KR101010708B1 - 웹 페이지 공격을 방지하기 위한 방법 및 장치 - Google Patents

웹 페이지 공격을 방지하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101010708B1
KR101010708B1 KR1020080083050A KR20080083050A KR101010708B1 KR 101010708 B1 KR101010708 B1 KR 101010708B1 KR 1020080083050 A KR1020080083050 A KR 1020080083050A KR 20080083050 A KR20080083050 A KR 20080083050A KR 101010708 B1 KR101010708 B1 KR 101010708B1
Authority
KR
South Korea
Prior art keywords
web page
processing unit
numerical score
client computer
threshold
Prior art date
Application number
KR1020080083050A
Other languages
English (en)
Other versions
KR20090025146A (ko
Inventor
스-웨이 치엔
Original Assignee
라이오닉 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라이오닉 코포레이션 filed Critical 라이오닉 코포레이션
Publication of KR20090025146A publication Critical patent/KR20090025146A/ko
Application granted granted Critical
Publication of KR101010708B1 publication Critical patent/KR101010708B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

웹 페이지 공격들을 방지하기 위한 방법 및 장치들이 개시된다. 특히 본 발명의 일 실시예가 방법으로 제시되고, 상기 방법은, 실시간으로 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 시험하는 단계, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단(collective) 위험 레벨을 평가하는 단계, 및 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함한다.

Description

웹 페이지 공격을 방지하기 위한 방법 및 장치{Method and apparatus for preventing web page attacks}
본 발명은 컴퓨터 보안 기술들에 관련되고, 보다 구체적으로 웹 페이지 공격을 방지하기 위한 방법 및 장치에 관련된다.
말웨어(malware)는 사용자 승낙 없이 클라이언트 컴퓨터를 침투하거나 손상을 입히도록 설계된 소프트웨어 또는 프로그램 코드이다. 이것은 컴퓨터 바이러스들, 웜들(worms), 트로이 목마(trojan horse), 스파이웨어(spyware), 부정한 애드웨어(adware), 및 다른 악성의 그리고 원하지 않는 소프트웨어를 포함한다. 일반적으로, 말웨어는 클라이언트 컴퓨터의 자원들을 빼앗고 종종 클라이언트 컴퓨터를 사용 가능하지 않게 함에 의하여 클라이언트 컴퓨터의 동작을 방해한다. 그러나 클라이언트 컴퓨터에 안티-바이러스 소프트웨어 또는 다양한 운영 시스템 보안 패치(patch)들의 설치 이후에 조차, 클라이언트 컴퓨터는 여전히 웹 페이지 공격 또는 코드 주입으로서 일반적으로 지칭되는 다른 형태의 공격의 대상이 된다. 특히, 어떠한 악성 코드들은 클라이언트 컴퓨터가 네트워크를 통하여 접속하는 웹 페이지로 내장된다. 이러한 웹 페이지는 크랙(crack) 및 시리얼 번호 사이트, 포르노 사 이트, 및 특히 악성 공격들을 위해 설계된 사이트와 같은 부정 웹 사이트 상의 페이지로 한정되지 않고, 인기 있는 상인의 웹 사이트, 인터넷 포털, 인터넷 블로그(blog) 및 인기 있는 다운로드 웹 사이트와 같은 일반적으로 방문되는 웹 사이트 상의 페이지도 포함한다.
도 1은 클라이언트 컴퓨터의 보안이 인터넷을 브라우징하는 클라이언트 컴퓨터의 정체 불명의 미지의 사용자에 의해 침해되는 한 시나리오를 묘사한다. 일반적으로 인터넷상의 웹 사이트에 대한 웹 페이지들은 도 1에서 보인 웹 서버(106)와 같은 웹 서버에 저장된다. 클라이언트 컴퓨터(102)의 사용자가 인터넷을 브라우즈하고 이 웹 사이트에 접속하면, 클라이언트 컴퓨터(102)는 웹 서버(106)로부터의 웹 페이지(104)에 대한 요청을 송신한다. 요청된 웹 페이지는 악성 코드들을 포함하는 변형된 웹 페이지(108)가 되도록 변형될 수 있다. 그래서 이러한 시나리오에서 요청(104)에 응답하여 웹 서버(106)가 클라이언트 컴퓨터(102)로 변형된 웹 페이지(108)를 송신한다. 클라이언트 컴퓨터(102)가 변형된 웹 페이지(108)를 수신하면, 변형된 웹 페이지(108) 내의 악성 코드들이 클라이언트 컴퓨터(102)를 손상시킬 수 있다. 악성 코드들의 효과는 즉시 느껴지지 않을 수 있기 때문에, 클라이언트 컴퓨터(102)의 사용자는 이러한 보안 침입에 대해 대부분 모를 것이다.
도 2는 클라이언트 컴퓨터의 보안이 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 또한 침입되는 다른 시나리오를 묘사한다. 도 1에서 묘사된 시나리오와 유사하게, 클라이언트 컴퓨터(202)가 웹 페이지에 대한 요청(204)을 송신할 때, 웹 서버(206)는 클라이언트 컴퓨터(202)로 다시 변형된 웹 페이지(208)를 송신한다. 그러나 악성 코드들 대신에, 변형된 웹 페이지(208)는 사용자의 인지 없이 클라이언트 컴퓨터상으로 좀비 사이트(zombie site, 212)로부터 웹 페이지 또는 부정한 프로그램을 로드하는 내장된 링크를 포함한다. 그 경우 그 좀비 사이트로부터의 또는 또 다른 좀비 사이트로부터의 악성 프로그램 또는 스크립트(214)가 클라이언트 컴퓨터(202)를 감염시키거나 피해를 입힌다. 보안 침입들의 이러한 두 개의 다른 유형들의 결과로서, 어떠한 사례들에서, 클라이언트 컴퓨터(202)는 되돌릴 수 없는 시스템 실패 및 폭주를 겪을 수 있다.
전통적인 데스크톱 안티-바이러스 소프트웨어는, 그것이 일반적으로 클라이언트 컴퓨터에 이미 있는 데이터 상에 동작하기 때문에, 앞서 언급된 웹 주입이 발생하는 것을 효과적으로 방지할 수 없다. 특히, 데스크톱 안티-바이러스 소프트웨어는 알려진 바이러스 서명들의 데이터베이스에 대하여 메모리(예를 들면 그것의 RAM 및 부트 섹터들)의 콘텐츠 휴리스틱(heuristic)과 또한 클라이언트 컴퓨터의 고정된 또는 제거 가능한 드라이브들(예를 들면 하드 드라이브들 및 플로피 드라이브들) 상에 저장된 파일들을 비교한다. 이러한 접근으로, 클라이언트 컴퓨터는 그것이 요청한 웹 페이지가 변형되었는지 여부를 바람직하게 알 수 있는 방법이 여전히 없고, 그러므로 그러한 변형된 웹 페이지의 수신을 방지할 방법이 없다. 대신에, 데스크톱 안티-바이러스 소프트웨어는 그것이 웹 페이지 공격에 의해 야기되는 보안 침입을 식별하고 어드레싱하는 것이 가능하거나 가능하지 않을 수 있는 스캔(scan)을 시작하기 전에 웹 페이지 공격이 발생한 후까지 기다려야한다.
앞선 묘사한 바와 같이, 전통적인 접근들은 웹 페이지 공격들 또는 코드 주입들을 방지할 수 없고, 그러므로 필요한 것은 클라이언트 컴퓨터가 그것의 요청된 웹 페이지들을 수신하기 전에 그러한 침입을 감지하고 어드레싱하는 효과적인 방법 및 시스템이다.
웹 페이지 공격들을 방지하기 위한 방법 및 장치가 개시된다. 특히, 본 발명의 일 실시예가 방법으로 제시되고, 상기 방법은 실시간으로 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 시험하는 단계; 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하는 단계; 및 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함한다.
개시된 방법 및 장치의 한 장점은 악성 코드들을 포함하는 웹 페이지가 클라이언트 컴퓨터에 도달하는 것을 방지하여, 그로 인해 클라이언트 컴퓨터가 웹 페이지의 수신 후에 악성 코드들을 식별하고 제거하는 부담을 지지 않는 것이다.
본 발명의 앞서 기재된 특징들이 상세하게 이해될 수 있는 방식으로, 앞서 간략하게 요약된 본 발명의 더욱 상세한 설명이 실시예들을 참조함에 의하여 제공 될 수 있고, 이들 중 일부는 첨부된 도면들에서 묘사된다. 그러나 첨부된 도면들은 본 발명의 오직 일반적인 실시예들을 묘사하고, 그것의 범위를 제한하는 것으로 고려되지 않아야 하며, 그러므로 본 발명은 다른 균등한 유효한 실시예들을 수용할 수 있다.
본 명세서를 통하여, 인터넷 및 네트워크 관련 기술들에 관련된 다양한 용어들이 사용되고, 이는 HTML(Hypertext Markup Language), URL(Uniform Resource Locator), TCP/IP(Transmission Control Protocol (TCP)/Internet Protocol (IP)), 및 네트워크 주소 해석(NAT, Network Address Translation)과 같은 것이다. 본 발명의 일 실시예는 네트워크 장치를 가지고 이용하기 위한 프로그램 제품으로서 구현된다. 프로그램 제품의 프로그램(들)은 실시예들(여기서 묘사되는 방법들을 포함한다)의 기능을 정의하고 다양한 기계-판독가능 저장 매체 상에 포함될 수 있다. 예시적인 기계-판독가능 저장 매체는 (i) 재기록-불가 저장 매체 (예를 들면 CD-ROM 드라이브에 의해 판독 가능한 CD-ROM 디스크들, DVD 드라이브에 의해 판독 가능한 DVD 디스크들, 또는 ROM 칩들 또는 어떠한 유형의 고체상 비휘발성 반도체 메모리와 같은 네트워크 장치 내의 ROM 메모리 장치들); (ii) 변경 가능한 정보가 저장된 기록 가능 저장 매체(예를 들면 플래시 메모리 또는 어떠한 유형의 고체상 RAM 반도체 메모리)를 포함하지만 이에 한정되는 것은 아니다. 그러한 기계-판독가능 저장 매체는, 본 발명의 기능들을 명령하는 기계-판독가능 명령어들을 운반할 때, 본 발명의 실시예가 된다. 다른 매체는 무선 통신 네트워크들을 포함하는 컴퓨터 또는 전화 네트워크를 통하는 바와 같이, 정보가 네트워크 장치로 그를 통해 전 달되는 통신 매체를 포함한다. 후자의 실시예는 특히 인터넷 및 다른 네트워크들로 또는 그로부터 정보를 전송하는 것을 포함한다. 그러한 통신 매체는, 본 발명의 기능들을 명령하는 기계-판독가능 명령어들을 운반할 때, 본 발명의 실시예이다.
도 3은 시스템 구조를 묘사하고, 여기서 본 발명의 일 실시예에 따라 변형된 웹 페이지가 클라이언트 컴퓨터에 도달하기 전에 차단된다. 도시된 바와 같이, 시스템(300)은 네트워크 서버(302), 게이트웨이(306), 및 클라이언트 컴퓨터(312)로 이루어진다. 여기서 네트워크 서버(302)가 클라이언트 컴퓨터(312)로 향하는 요청된 웹 페이지를 송신할 때, 상기 웹 페이지는 악성 코드들을 포함하도록 이미 변형되었을 수 있다. 그러나 이러한 요청된 웹 페이지(304)가 클라이언트 컴퓨터(312)에 도달하기 전에, 게이트웨이(306)는 상기 페이지를 차단하기 위한 보호 쉴드(shield)로서 동작한다. 특히, 일 실시예에서, 상기 게이트웨이(306)는 웹 페이지 분석부(308)를 포함하고, 이는 요청된 웹 페이지(304)의 실시간 보안 스캔을 수행한다. 일 실시예에서, 상기 보안 스캔은 상기 요청된 웹 페이지(304)의 소스 코드를 시험한다. 만약 악성 코드들이 상기 요청된 웹 페이지(304)에서 발견된다면, 웹 페이지 분석부(308)는 악성 코드들을 제거하거나 고립시키고, 클라이언트 컴퓨터(312)로 처리된 웹 페이지(310)를 송신한다. 다른 실시예에서, 상기 웹 페이지 분석부(308)는 또한 좀비 사이트와 같은 앞서 블랙리스트화 된 웹 사이트들에 접속하는 것으로부터 클라이언트 컴퓨터(312)를 차단하기 위한 호스트 필터로서 동작한다. 또 다른 실시예에서, 상기 웹 페이지 분석부(308)는 말웨어를 위해 클라이언트 컴퓨터(312)로 다운로드되도록 예정된 콘텐츠를 확인한다. 다음 문단들은 웹 페이 지 분석부(308)를 더욱 상세하게 설명할 것이다.
도 4는 본 발명의 일 실시예에 따른 웹 페이지 분석부(402)의 간략화된 블록도이다. 웹 페이지 분석부(402)는 서명 기반 엔진(404), 휴리스틱 엔진(406), 및 알려진 서명 데이터베이스(408)를 포함한다. 웹 페이지 분석부(402)가 요청된 웹 페이지를 수신할 때, 서명 기반 엔진(404)은 요청된 웹 페이지의 소스 코드를 시험한다. 상기 소스 코드는 복수의 객체들을 포함하고, 이들 각각은 어떠한 객체 특성들과 관련된다. 일 실시예에서, 서명 기반 엔진(404)은 소스 코드로부터 이러한 객체들을 분석하고 알려진 서명 데이터베이스(408) 내에 저장된 알려진 공격 서명들과 그들의 관련된 객체 특성들을 비교한다. 그러므로 만약 매치가 알려진 서명 데이터베이스(408)에서 발견된다면, 그 경우 요청된 웹 페이지는 악성 코드들을 포함하는 것으로 고려된다. 한편, 만약 어떠한 매치도 발견되지 않으면, 요청된 웹 페이지는 휴리스틱 엔진(406)에 의해 추가적으로 처리된다. 다음 문단은 웹 페이지 내의 객체들 및 객체 특성들의 예들을 제공할 것이다.
휴리스틱 엔진(406)의 일 측면은 요청된 웹 페이지 내의 예외를 감지하고 판독하는 것이다. 예외는 여기서 넓게 객체 특성으로서, 그러한 객체 특성에 대한 예측되는 속성들로부터 벗어나는 객체 특성을 지칭한다. 일 실현예에서, 휴리스틱 엔진(406)은 점수 매김 시스템이고, 여기서 수치적인 점수가 각각의 객체 특성에 할당된다. 상기 수치적인 점수는 객체 특성에 대한 위험 레벨을 대표한다. 그러므로 휴리스틱 엔진(406)은 잠재적으로 악성 예외와 관련되는 객체 특성에 높은 점수를 할당하고, 잠재적으로 양성의 예외와 관련되는 객체 특성에 낮은 점수를 할당하고, 전혀 어떠한 예외와도 관련되지 않는 객체 특성에 더 낮은 점수를 할당한다. 다음 표는 휴리스틱 엔진(406)이 감지하고 점수를 할당하는 어떠한 예외들을 묘사한다.
예외들 기대되는 속성들 점수
8비트 텍스트들로 부호화된 7비트 콘텐츠 부호화된 콘텐츠 및 텍스트들을 나타내는 동일한 수의 비트들 20
</HTML> 태그 뒤의 텍스트들 종료 태그 후에는 텍스트 없음 15
단일 웹 페이지 내의 일반적이지 않은 수의 프레임들 단일 웹 페이지 내의 일반적인 수의 프레임들 5
다른 호스트로 링크된 숨겨진 I프레임(Iframe) 숨겨진 I프레임은 일반적으로 현재 웹 페이지와 동일한 호스트로 링크된다. 10
자동적으로 실행 가능한 파일을 로드하는 스크립트 스크립트는 동적 콘텐츠를 로드하기 위하여 이용된다. 90
일 실시예에서, 휴리스틱 엔진(406)은 각각의 웹 페이지가 상기 웹 페이지에 대한 집단 위험 레벨을 나타내기 위하여 객체 특성들에 대한 이러한 점수들을 합산한다. 휴리스틱 엔진(406)은 각각의 점수에 다르게 가중치를 부여하고 상기 합산에서 변하는 가중치들을 적용할 수 있음을 주의해야 한다. 그 경우 휴리스틱 엔진(406)은 각각의 웹 페이지에 대한 조정 가능한 문턱값에 합산된 점수를 비교한다. 만약 합산된 점수가 조정 가능한 문턱값을 초과한다면, 그 경우 웹 페이지는 악성으로 간주되며 웹 페이지의 소스 코드의 스캔은 종료한다. 추가적으로, 조정 가능한 문턱값을 초과한 후에, 이러한 현재 처리된 웹 페이지의 위치가 알려진 서명 데이터베이스(408) 내에 블랙리스트화 된다. 대안으로, 합산된 점수에 기여하는 예외 또는 예외들의 조합들이 블랙리스트화 된다. 점수 매김 시스템 및 조정 가능 문턱값은 변하는 환경들에 적응적임을 주의해야 한다. 예를 들면 특정 유형의 예외가 높은 위험으로 가정되고 그러므로 처음으로 높은 점수에 할당된다고 가정한다. 그러나 필드 테스트를 통하여, 이러한 예외가 양성이거나 또는 다른 예외들보다 덜 위험한 것으로 이후에 발견될 수 있다고 가정한다. 그 경우 점수는 이러한 변화된 환경을 반영하기 위하여 조정될 수 있다. 유사하게, 문턱값은, 만약 휴리스틱 엔진(406)이 너무 많은 웹 페이지들이 악성인 것으로 잘못 라벨링 하였다면, 조정될 수 있다.
앞서 설명된 바와 같이, 알려진 서명 데이터베이스(408)는 알려진 공격들의 서명들을 저장한다. 일 실시예에서, 각각의 서명과 관련된 특성들은 데이터베이스 내에서 범주화 된다. 다음 문단들은 어떠한 예들을 제공할 것이다. 알려진 서명 데이터베이스(408)는 웹 페이지 분석부(402)의 개발자에 의하여 또는 어떠한 다른 제3자에 의하여 생성되고 유지될 수 있다. 또한 알려진 서명 데이터베이스(408)의 일 실현은 웹 페이지 분석부(402) 내에 있다(도 4에 미도시). 대안으로 알려진 서명 데이터베이스(408)는 네트워크 서버 내에 있고, 상기 네트워크 서버와 상기 웹 페이지 분석부(402)는 링크를 유지한다.
도 5는 본 발명의 일 실시예에 따라, 웹 페이지 분석부(402)가 따르는 처리를 묘사하는 흐름도이다. 클라이언트 컴퓨터 C가 웹 페이지 W를 요청하고, 웹 페이지 분석부(402)는 웹 페이지 W를 수신하다고 가정한다. 도 4와 연결하여, 단계 502에서, 서명 기반 엔진(404)이 웹 페이지 W의 소스 코드로부터 객체들을 파싱(parse)하고 어떤 객체가 시험되었는지를 추적한다. 만약 웹 페이지 W와 관련된 모든 객체가 단계 504에 의하여 나타난 바와 같이 시험되었다면, 스캔 처리는 단계 530에서 종료된다. 한편, 만약 확인될 객체들이 남아있다면, 그 경우 서명 기반 엔진(404)은 남아있는-확인될 객체들 중 하나와 관련된 객체 특성들을 추출하고, 단계 510에서 알려진 서명 데이터베이스(408) 내의 블랙리스트 서명들에 상기 객체 특성들을 비교한다. 만약 서명 기반 엔진(404)이 단계 512에서 매치를 발견하였다면, 그것은 단계 528에서 웹 페이지 분석부(402)에 결과를 보고한다. 일 실현에서, 상기 보고를 수신하는데 응답하여, 웹 페이지 분석부(402)는 웹 페이지 W가 클라이언트 컴퓨터 C에 도달하기 전에 악성 코드들을 제거하도록 시도하기 위해 정리 처리를 개시한다. 만약 어떠한 매치도 단계 512에서 나타난 바와 같이 발견되지 않았다면, 그 경우 서명 기반 엔진(404)은 휴리스틱 엔진(406)으로 객체 및 추출된 객체 특성들을 송신한다.
휴리스틱 엔진(406)은 단계 516에서 객체 및 그것의 관련된 객체 특성들을 확인한다. 앞서 설명된 바와 같이, 휴리스틱 엔진(406)은 객체 속성들에 수치적인 점수들을 할당하고, 또한 웹 페이지 W에 대한 합산된 점수를 추적한다. 다음으로 휴리스틱 엔진(406)은 단계 518에서 조정 가능 문턱값에 합산된 점수를 비교한다. 만약 점수가 너무 높다면, 즉 조정 가능 문턱값을 초과한다면, 그 경우 휴리스틱 엔진(406)은 현재 처리된 웹 페이지의 위치로 알려진 서명 데이터베이스(408)를 갱신한다. 대안으로, 상기 휴리스틱 엔진(406)은 알려진 서명 데이터베이스(408) 내의 합산된 점수에 기여하는 예외 또는 예외들의 조합들을 저장한다. 아니면 휴리스틱 엔진(408)은 마지막으로 추출된 객체 특성들에 대한 점수들을 포함함에 의하여 단계 524에서 합산된 점수를 갱신한다. 객체 특성들은 합산 이전에 다르게 가중치가 부여될 수 있음을 다시 주의해야 한다. 다음으로 서명 기반 엔진(404)은 단계 504에서 확인되지 않은 객체에 대해 동작을 계속한다.
설명된 예에 계속하여, 도 6은 웹 페이지 W의 소스 코드 내의 어떠한 객체들 의 스냅샷을 묘사한다. HTML 언어가 웹 페이지 W를 위하여 이용되었다고 가정한다. 객체들 600, 602, 및 604가 도 6에서 강조되고, 굵게 표시되고, 밑줄 쳐졌다. 객체 604, 즉 <IFRAME SRC=http://www.foo.bar>에 대하여, IFRAME 및 SRC는 이러한 객체에 대한 객체 특성들이다. IFRAME은 주요 문서 내에 다른 HTML 문서의 내장을 가능하게 하는 HTML 요소이다. 내장될 이러한 HTML 문서의 URL, 즉, http://www.foo.bar는 SRC에 의하여 특정된다.
도 7은 알려진 서명 데이터베이스의 예를 묘사한다. 도 7에서 보인 각각의 줄은 다른 객체 특성들을 갖는 알려진 공격 서명을 나타낸다. 이러한 블랙리스트 서명들 각각은 다른 범주들로 더욱 그룹화된다. 이러한 예에서, 서명들 중 일부는 "Type" 정보를 이용하여 범주화되고, 예시된 서명들 중 많은 수가 두 개 또는 그 이상의 특성들, 이름하여 IFRAME 및 SRC를 포함한다. 여기서 블랙리스트 서명들의 한 세트가 IFRAME Type을 갖는 범주에 속하고, 다른 세트가 SCRIPT Type을 갖는 범주에 속한다. 블랙리스트 서명들의 다른 세트는 서명들 702, 704, 706, 및 708과 같은 예외들의 조합을 포함한다. 각각의 블랙리스트 서명이 도 7에서 보인 것들과 다른 객체 특성들의 조합을 포함할 수 있음을 인지하는 것은 본 기술 분야의 통상의 기술자들에게 명백할 것이다.
앞서 설명되고 도 4 및 도 5와 연결하여 설명한 바와 같이, 서명 기반 엔진(404)은 도 6에서 보인 바와 같이 웹 페이지 W의 소스 코드의 객체들 600, 602, 및 604를 추출하고, 도 7에서 보인 알려진 서명 데이터베이스(408)에 이러한 추출된 객체들을 비교한다. 여기서, 서명 기반 엔진(404)은 매칭 서명(700)을, 상기 객 체(604)의 객체 특성들이 매칭 서명(700)의 Type 정보(즉, IFRAME) 및 또한 SRC 정보(즉, www.foo.bar)를 매치함으로써 식별한다. 그러나 웹 페이지 W는 알려진 서명 데이터베이스(408) 내의 블랙리스트 서명들 중 어느 것을 매치시키는 어떠한 객체를 포함하지 않는다고 가정한다. 그러면 휴리스틱 엔진(406)은 예외들에 대한 객체들 및 그들의 관련된 객체 특성들을 시험하고 웹 페이지 W에 대한 합산된 점수의 추적을 유지한다. 앞서 설명된 바와 같이, 만약 웹 페이지 W의 합산된 점수가 문턱값을 초과한다면, 그 경우 웹 페이지 W는 악성으로 고려되고, 현재 처리된 웹 페이지의 위치 또는 대안적으로 상기 합산된 점수에 기여하는 예외 또는 예외들의 조합이 알려진 서명 데이터베이스(408)에서 갱신된다.
도 8은 본 발명의 일 실시예에 따른 웹 페이지 분석부(803)를 갖는 네트워크 장치(800)의 간략화된 블록도이다. 상기 네트워크 장치(800)는 HTML 추출부(802), 웹 페이지 분석부(804), 라우팅 블록(806), 브리징(bridging) 블록(808), NAT 블록(810), 및 네트워크 구동부(812)를 포함한다. HTML 추출부(802)는 애플리케이션 사용자들 및 네트워크 서비스들에 의해 이용되는 네트워크 프로토콜들로부터 HTML 문서들을 추출하고, 웹 페이지 분석부(804)로 추출된 HTML 문서들을 전달하기 위한 것이다. 웹 페이지 분석부(804)는 도 4에서 보이고 앞서 상세히 설명된 웹 페이지 분석부(402)와 동일한 모든 기능들을 지원한다. 네트워크 장치(800)는 네트워크(814)와 또한 하나 이상의 클라이언트 컴퓨터들을 연결하도록 구성된다. 그러므로 클라이언트 컴퓨터들 및 네트워크(814) 사이에 모든 네트워크 트래픽은 네트워크 장치(800)를 통해 이동한다.
도 9는 또한 본 발명의 다른 실시예에 따른, 웹 페이지 분석부(904)를 갖는 다른 네트워크 장치(900)의 간략화된 블록도이다. 상기 네트워크 장치(900)는 HTTP 프록시(902), 웹 페이지 분석부(904), TCP/IP 계층 구성요소(906), 및 네트워크 구동부(908)를 포함한다. HTTP 프록시(902)는 네트워크(910) 상의 다른 서버들과 상호작용 함에 의하여 네트워크(910) 상의 클라이언트 컴퓨터들의 HTTP 요청들 및 응답들을 처리하고, 웹 페이지 분석부(904)로 HTML 문서들을 전달한다. 웹 페이지 분석부(904)는 도 4에서 보인 웹 페이지 분석부(402)와 동일하다. 추가적으로, 웹 페이지 분석부(904)의 일 실현은 또한 어떠한 블랙리스트 URL들을 필터링하는 기능을 수행한다. 네트워크 장치(800)와 유사하게, 클라이언트 컴퓨터들 및 네트워크(910) 사이의 모든 네트워크 트래픽은 다시 네트워크 장치(900)를 통하여 이동한다. 대안으로, HTTP 트래픽과 같은 어떠한 네트워크 트래픽은 네트워크 장치(900)에 의하여 처리된다. 일 실현에서, 네트워크 장치 800 및 네트워크 장치 900 모두에서 예시된 모든 블록들은 네트워크 장치들 내의 하나 이상의 처리 유닛들에 의하여 실행되는 소프트웨어 콤포넌트들이다. 대안으로, 웹 페이지 분석부 804 및 웹 페이지 분석부 904에 의해 지원되는 기능들과 같은, 이러한 블록들의 어떠한 기능들은 하나 이상의 전용 반도체 장치들에 의하여 수행된다.
앞선 설명이 어떻게 본 발명의 측면들이 실현될 수 있는지에 대한 예들을 가지고 본 발명의 다양한 실시예들을 묘사하였다. 앞선 예들, 실시예들, 및 도면들은 유일한 실시예들인 것으로 고려되지 않아야 하고, 다음 청구항들에 의해 정의되는 바와 같은 본 발명의 유연성 및 이점들을 묘사하기 위하여 표현된다.
도 1은 클라이언트 컴퓨터의 보안이 클라이언트 컴퓨터의 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 침입되는 한 시나리오를 묘사한다.
도 2는 클라이언트 컴퓨터의 보안이 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 또한 침입되는 다른 시나리오를 묘사한다.
도 3은 본 발명의 일 실시예에 따라, 변형된 웹 페이지가 클라이언트 컴퓨터에 도달하기 전에 차단되는 시스템 구조를 묘사한다.
도 4는 본 발명의 일 실시예에 따른, 웹 페이지 분석부의 간략화된 블록도이다.
도 5는 본 발명의 일 실시예에 따라, 웹 페이지 분석부가 따르는 처리를 묘사하는 흐름도이다.
도 6은 웹 페이지의 소스 코드 내의 어떠한 객체들의 스냅샷을 묘사한다.
도 7은 알려진 서명 데이터베이스의 일례를 묘사한다.
도 8은 본 발명의 일 실시예에 따른, 웹 페이지 분석부를 갖는 네트워크 장치의 간략화된 블록도이다.
도 9는 또한 본 발명의 다른 실시예에 따른, 웹 페이지 분석부를 갖는 다른 네트워크 장치의 간략화 된 블록도이다.

Claims (37)

  1. 웹 페이지 공격을 방지하기 위한 방법에 있어서,
    클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 상기 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하는 단계;
    상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단(collective) 위험 레벨을 평가하는 단계; 및
    상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  2. 제1항에 있어서, 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하는 단계를 더 포함하고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 웹 페이지 공격을 방지하기 위한 방법.
  3. 제2항에 있어서, 상기 시험하는 단계는,
    상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하는 단계; 및
    상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  4. 제3항에 있어서, 상기 평가하는 단계는, 알려진 서명 데이터베이스에 대해 상기 확인되지 않은 객체의 객체 특성을 비교하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  5. 제3항에 있어서, 상기 평가하는 단계는,
    상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하는 단계; 및
    상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  6. 제5항에 있어서, 상기 결정하는 단계는,
    상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하는 단계;
    상기 문턱값에 상기 수치적인 점수를 비교하는 단계; 및
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  7. 제5항에 있어서, 상기 결정하는 단계는,
    상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하는 단계;
    상기 문턱값에 상기 수치적인 점수를 비교하는 단계; 및
    만약 상기 수치적인 점수가 상기 문턱값을 초과하면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  8. 제1항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  9. 제1항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
  10. 웹 페이지 공격들을 방지하도록 구성된 네트워크 장치에 있어서, 상기 네트워크 장치는,
    메모리 시스템, 및
    처리 유닛으로서,
    클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고,
    상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고,
    상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 구성된 처리 유닛을 포함하는, 네트워크 장치.
  11. 제10항에 있어서, 상기 처리 유닛은,
    상기 처리 유닛은 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하도록 더 구성되고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성에 관련된 개별 위험 레벨을 반영하는, 네트워크 장치.
  12. 제11항에 있어서, 상기 처리 유닛은,
    상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;
    상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 더 구성된, 네트워크 장치.
  13. 제12항에 있어서, 상기 처리 유닛은 상기 메모리 시스템에 저장된 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 더 구성된, 네트워크 장치.
  14. 제12항에 있어서, 상기 처리 유닛은 상기 네트워크 장치에 대해 외부에 있는 장치에 의해 유지되는 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 더 구성된, 네트워크 장치.
  15. 제12항에 있어서, 상기 처리 유닛은,
    상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;
    상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 더 구성된, 네트워크 장치.
  16. 제15항에 있어서, 상기 처리 유닛은,
    상기 집단 위험 레벨을 평가하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 네트워크 장치.
  17. 제15항에 있어서, 상기 처리 유닛은,
    상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 네트워크 장치.
  18. 제10항에 있어서, 상기 처리 유닛은 상기 집단 위험 레벨을 평가한 결과를 보고하도록 더 구성된, 네트워크 장치.
  19. 제10항에 있어서, 상기 처리 유닛은 상기 웹 페이지를 정리하는(clean) 처리를 개시하도록 더 구성된, 네트워크 장치.
  20. 웹 페이지 분석부를 위한 명령어들의 시퀀스를 포함하는 기계-판독가능 매체에 있어서, 상기 명령어들의 시퀀스는 네트워크 장치 내의 처리 유닛에 의해 실행될 때, 상기 처리 유닛이,
    클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고;
    상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고;
    상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 야기하는, 기계-판독가능 매체.
  21. 제20항에 있어서, 휴리스틱(heuristic) 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하도록 야기하고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 휴리스틱 엔진을 위한 명령어들의 시퀀스를 더 포함하는, 기계-판독가능 매체.
  22. 제21항에 있어서, 서명 기반 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,
    상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;
    상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 야기하는 서명 기반 엔진을 위한 명령어들의 시퀀스를 더 포함하는, 기계-판독가능 매체.
  23. 제22항에 있어서, 상기 서명 기반 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 야기하는 상기 서명 기반 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
  24. 제22항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 대, 상기 처리 유닛이,
    상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;
    상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 야기하는 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
  25. 제24항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,
    상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 야기하는, 휴리스틱 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
  26. 제24항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,
    상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 야기하는, 휴리스틱 엔진을 위한 명 령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
  27. 제20항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 기계-판독가능 매체.
  28. 제20항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 포함하는, 기계-판독가능 매체.
  29. 웹 페이지 공격들을 방지하기 위한 처리 유닛에 있어서, 상기 처리 유닛은,
    클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고;
    상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고;
    상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  30. 제29항에 있어서, 상기 처리 유닛은 상기 웹 페이지 내의 각각의 객체 특성에 대해 수치적인 점수를 할당하도록 더 구성되고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  31. 제30항에 있어서, 상기 처리 유닛은,
    상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;
    상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  32. 제31항에 있어서, 상기 처리 유닛은 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 객체 특성을 비교하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  33. 제31항에 있어서, 상기 처리 유닛은,
    상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;
    상기 예외와 관련된 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  34. 제33항에 있어서, 상기 처리 유닛은,
    상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  35. 제33항에 있어서, 상기 처리 유닛은,
    상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;
    상기 문턱값에 상기 수치적인 점수를 비교하고;
    만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  36. 제29항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
  37. 제29항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 더 포함하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
KR1020080083050A 2007-09-05 2008-08-25 웹 페이지 공격을 방지하기 위한 방법 및 장치 KR101010708B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/850,036 2007-09-05
US11/850,036 US20090064337A1 (en) 2007-09-05 2007-09-05 Method and apparatus for preventing web page attacks

Publications (2)

Publication Number Publication Date
KR20090025146A KR20090025146A (ko) 2009-03-10
KR101010708B1 true KR101010708B1 (ko) 2011-01-26

Family

ID=39803249

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080083050A KR101010708B1 (ko) 2007-09-05 2008-08-25 웹 페이지 공격을 방지하기 위한 방법 및 장치

Country Status (6)

Country Link
US (1) US20090064337A1 (ko)
EP (1) EP2037384A1 (ko)
JP (1) JP2009064443A (ko)
KR (1) KR101010708B1 (ko)
CN (1) CN101382979B (ko)
TW (1) TW200912682A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024058399A1 (ko) * 2022-09-16 2024-03-21 삼성전자주식회사 보안 등급에 따라 웹 페이지 및 컨텐츠를 경고하거나 제한하는 전자 장치 및 그 동작 방법

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
KR100987354B1 (ko) * 2008-05-22 2010-10-12 주식회사 이베이지마켓 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법
US20130276120A1 (en) * 2008-06-02 2013-10-17 Gregory William Dalcher System, method, and computer program product for determining whether a security status of data is known at a server
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
MY154409A (en) * 2008-07-21 2015-06-15 Secure Corp M Sdn Bhd F Website content regulation
US8904536B2 (en) * 2008-08-28 2014-12-02 AVG Netherlands B.V. Heuristic method of code analysis
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
KR101042733B1 (ko) * 2009-04-09 2011-06-20 삼성에스디에스 주식회사 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치
US8438386B2 (en) * 2009-04-21 2013-05-07 Webroot Inc. System and method for developing a risk profile for an internet service
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US8914878B2 (en) * 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
CN101877696B (zh) * 2009-04-30 2014-01-08 国际商业机器公司 在网络应用环境下重构错误响应信息的设备和方法
KR101161008B1 (ko) * 2009-06-30 2012-07-02 주식회사 잉카인터넷 악성코드 탐지시스템 및 방법
TWI405434B (zh) * 2009-07-03 2013-08-11 Univ Nat Taiwan Science Tech 殭屍網路偵測系統及方法
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
US10157280B2 (en) * 2009-09-23 2018-12-18 F5 Networks, Inc. System and method for identifying security breach attempts of a website
US8489534B2 (en) * 2009-12-15 2013-07-16 Paul D. Dlugosch Adaptive content inspection
CA2694326A1 (en) * 2010-03-10 2010-05-18 Ibm Canada Limited - Ibm Canada Limitee A method and system for preventing cross-site request forgery attacks on a server
US8918867B1 (en) * 2010-03-12 2014-12-23 8X8, Inc. Information security implementations with extended capabilities
US9009330B2 (en) * 2010-04-01 2015-04-14 Cloudflare, Inc. Internet-based proxy service to limit internet visitor connection speed
US8813237B2 (en) 2010-06-28 2014-08-19 International Business Machines Corporation Thwarting cross-site request forgery (CSRF) and clickjacking attacks
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9032521B2 (en) 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
US9270691B2 (en) 2010-11-01 2016-02-23 Trusteer, Ltd. Web based remote malware detection
US9218461B2 (en) * 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
GB2488790A (en) * 2011-03-07 2012-09-12 Celebrus Technologies Ltd A method of controlling web page behaviour on a web enabled device
US8695096B1 (en) * 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8881000B1 (en) * 2011-08-26 2014-11-04 Google Inc. System and method for informing users of an action to be performed by a web component
US10445528B2 (en) * 2011-09-07 2019-10-15 Microsoft Technology Licensing, Llc Content handling for applications
US9223976B2 (en) * 2011-09-08 2015-12-29 Microsoft Technology Licensing, Llc Content inspection
US9122870B2 (en) 2011-09-21 2015-09-01 SunStone Information Defense Inc. Methods and apparatus for validating communications in an open architecture system
US20130254553A1 (en) * 2012-03-24 2013-09-26 Paul L. Greene Digital data authentication and security system
GB2509766A (en) * 2013-01-14 2014-07-16 Wonga Technology Ltd Website analysis
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US11386181B2 (en) * 2013-03-15 2022-07-12 Webroot, Inc. Detecting a change to the content of information displayed to a user of a website
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US9712548B2 (en) * 2013-10-27 2017-07-18 Cyber-Ark Software Ltd. Privileged analytics system
GB201321949D0 (en) 2013-12-12 2014-01-29 Ibm Semiconductor nanowire fabrication
US9953163B2 (en) 2014-02-23 2018-04-24 Cyphort Inc. System and method for detection of malicious hypertext transfer protocol chains
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US9544318B2 (en) * 2014-12-23 2017-01-10 Mcafee, Inc. HTML security gateway
US11895138B1 (en) * 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
CN104901962B (zh) * 2015-05-28 2018-01-05 北京椒图科技有限公司 一种网页攻击数据的检测方法及装置
US9921942B1 (en) 2015-10-23 2018-03-20 Wells Fargo Bank, N.A. Security validation of software delivered as a service
KR101648349B1 (ko) * 2015-11-12 2016-09-01 한국인터넷진흥원 웹사이트 위험도 산출 장치 및 그 방법
US20170279831A1 (en) * 2016-03-25 2017-09-28 Cisco Technology, Inc. Use of url reputation scores in distributed behavioral analytics systems
US10681059B2 (en) * 2016-05-25 2020-06-09 CyberOwl Limited Relating to the monitoring of network security
US11496438B1 (en) 2017-02-07 2022-11-08 F5, Inc. Methods for improved network security using asymmetric traffic delivery and devices thereof
US10791119B1 (en) 2017-03-14 2020-09-29 F5 Networks, Inc. Methods for temporal password injection and devices thereof
US10931662B1 (en) 2017-04-10 2021-02-23 F5 Networks, Inc. Methods for ephemeral authentication screening and devices thereof
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10986100B1 (en) * 2018-03-13 2021-04-20 Ca, Inc. Systems and methods for protecting website visitors
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) * 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US11210464B2 (en) * 2019-09-03 2021-12-28 Paypal, Inc. Systems and methods for detecting locations of webpage elements
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management
US11824878B2 (en) * 2021-01-05 2023-11-21 Bank Of America Corporation Malware detection at endpoint devices
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
IT202200006143A1 (it) * 2022-03-29 2023-09-29 Walter Coppo Dispositivo/Sistema di elaborazione di contenuti internet e corrispondente procedimento

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040004943A (ko) * 2002-07-06 2004-01-16 주식회사 잉카인터넷 다중 계층 구조의 인터넷 보안 방법 및 시스템
US20040181687A1 (en) 2003-03-14 2004-09-16 Nachenberg Carey S. Stream scanning through network proxy servers
US20050182924A1 (en) * 2004-02-17 2005-08-18 Microsoft Corporation User interface accorded to tiered object-related trust decisions

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194411B2 (en) * 2001-02-26 2007-03-20 Benjamin Slotznick Method of displaying web pages to enable user access to text information that the user has difficulty reading
EP1430420A2 (en) * 2001-05-31 2004-06-23 Lixto Software GmbH Visual and interactive wrapper generation, automated information extraction from web pages, and translation into xml
US7509679B2 (en) * 2002-08-30 2009-03-24 Symantec Corporation Method, system and computer program product for security in a global computer network transaction
US8280819B2 (en) * 2004-07-09 2012-10-02 Ebay Inc. Method and apparatus for securely displaying and communicating trusted and untrusted internet content
US7757289B2 (en) * 2005-12-12 2010-07-13 Finjan, Inc. System and method for inspecting dynamically generated executable code
US8196205B2 (en) * 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
US8307276B2 (en) * 2006-05-19 2012-11-06 Symantec Corporation Distributed content verification and indexing
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
US8255873B2 (en) * 2006-11-20 2012-08-28 Microsoft Corporation Handling external content in web applications
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US7865953B1 (en) * 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US7917846B2 (en) * 2007-06-08 2011-03-29 Apple Inc. Web clip using anchoring

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040004943A (ko) * 2002-07-06 2004-01-16 주식회사 잉카인터넷 다중 계층 구조의 인터넷 보안 방법 및 시스템
US20040181687A1 (en) 2003-03-14 2004-09-16 Nachenberg Carey S. Stream scanning through network proxy servers
US20050182924A1 (en) * 2004-02-17 2005-08-18 Microsoft Corporation User interface accorded to tiered object-related trust decisions

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024058399A1 (ko) * 2022-09-16 2024-03-21 삼성전자주식회사 보안 등급에 따라 웹 페이지 및 컨텐츠를 경고하거나 제한하는 전자 장치 및 그 동작 방법

Also Published As

Publication number Publication date
CN101382979A (zh) 2009-03-11
CN101382979B (zh) 2011-10-19
KR20090025146A (ko) 2009-03-10
JP2009064443A (ja) 2009-03-26
TW200912682A (en) 2009-03-16
US20090064337A1 (en) 2009-03-05
EP2037384A1 (en) 2009-03-18

Similar Documents

Publication Publication Date Title
KR101010708B1 (ko) 웹 페이지 공격을 방지하기 위한 방법 및 장치
RU2622870C2 (ru) Система и способ оценки опасности веб-сайтов
US8677481B1 (en) Verification of web page integrity
US9596255B2 (en) Honey monkey network exploration
US9654494B2 (en) Detecting and marking client devices
Wurzinger et al. SWAP: Mitigating XSS attacks using a reverse proxy
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
Egele et al. Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks
US8601586B1 (en) Method and system for detecting web application vulnerabilities
US8448245B2 (en) Automated identification of phishing, phony and malicious web sites
US8413239B2 (en) Web security via response injection
US20150163234A1 (en) System and methods for protecting computing devices from malware attacks
CN107896219B (zh) 一种网站脆弱性的检测方法、系统及相关装置
US11503072B2 (en) Identifying, reporting and mitigating unauthorized use of web code
US20210006592A1 (en) Phishing Detection based on Interaction with End User
Maroofi et al. Are you human? resilience of phishing detection to evasion techniques based on human verification
Gupta et al. Robust injection point-based framework for modern applications against XSS vulnerabilities in online social networks
Samarasinghe et al. On cloaking behaviors of malicious websites
WO2007096659A1 (en) Phishing mitigation
KR20140011518A (ko) 악성코드를 차단하기 위한 방법 및 시스템
EP3828745A1 (en) Information processing device, information processing method, and information processing program
Tiwari et al. Optimized client side solution for cross site scripting
KR101077855B1 (ko) 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법
CN115102781A (zh) 网络攻击处理方法、装置、电子设备和介质
Hadpawat et al. Analysis of prevention of XSS attacks at client side

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150112

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151207

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee