KR101010708B1 - 웹 페이지 공격을 방지하기 위한 방법 및 장치 - Google Patents
웹 페이지 공격을 방지하기 위한 방법 및 장치 Download PDFInfo
- Publication number
- KR101010708B1 KR101010708B1 KR1020080083050A KR20080083050A KR101010708B1 KR 101010708 B1 KR101010708 B1 KR 101010708B1 KR 1020080083050 A KR1020080083050 A KR 1020080083050A KR 20080083050 A KR20080083050 A KR 20080083050A KR 101010708 B1 KR101010708 B1 KR 101010708B1
- Authority
- KR
- South Korea
- Prior art keywords
- web page
- processing unit
- numerical score
- client computer
- threshold
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
웹 페이지 공격들을 방지하기 위한 방법 및 장치들이 개시된다. 특히 본 발명의 일 실시예가 방법으로 제시되고, 상기 방법은, 실시간으로 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 시험하는 단계, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단(collective) 위험 레벨을 평가하는 단계, 및 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함한다.
Description
본 발명은 컴퓨터 보안 기술들에 관련되고, 보다 구체적으로 웹 페이지 공격을 방지하기 위한 방법 및 장치에 관련된다.
말웨어(malware)는 사용자 승낙 없이 클라이언트 컴퓨터를 침투하거나 손상을 입히도록 설계된 소프트웨어 또는 프로그램 코드이다. 이것은 컴퓨터 바이러스들, 웜들(worms), 트로이 목마(trojan horse), 스파이웨어(spyware), 부정한 애드웨어(adware), 및 다른 악성의 그리고 원하지 않는 소프트웨어를 포함한다. 일반적으로, 말웨어는 클라이언트 컴퓨터의 자원들을 빼앗고 종종 클라이언트 컴퓨터를 사용 가능하지 않게 함에 의하여 클라이언트 컴퓨터의 동작을 방해한다. 그러나 클라이언트 컴퓨터에 안티-바이러스 소프트웨어 또는 다양한 운영 시스템 보안 패치(patch)들의 설치 이후에 조차, 클라이언트 컴퓨터는 여전히 웹 페이지 공격 또는 코드 주입으로서 일반적으로 지칭되는 다른 형태의 공격의 대상이 된다. 특히, 어떠한 악성 코드들은 클라이언트 컴퓨터가 네트워크를 통하여 접속하는 웹 페이지로 내장된다. 이러한 웹 페이지는 크랙(crack) 및 시리얼 번호 사이트, 포르노 사 이트, 및 특히 악성 공격들을 위해 설계된 사이트와 같은 부정 웹 사이트 상의 페이지로 한정되지 않고, 인기 있는 상인의 웹 사이트, 인터넷 포털, 인터넷 블로그(blog) 및 인기 있는 다운로드 웹 사이트와 같은 일반적으로 방문되는 웹 사이트 상의 페이지도 포함한다.
도 1은 클라이언트 컴퓨터의 보안이 인터넷을 브라우징하는 클라이언트 컴퓨터의 정체 불명의 미지의 사용자에 의해 침해되는 한 시나리오를 묘사한다. 일반적으로 인터넷상의 웹 사이트에 대한 웹 페이지들은 도 1에서 보인 웹 서버(106)와 같은 웹 서버에 저장된다. 클라이언트 컴퓨터(102)의 사용자가 인터넷을 브라우즈하고 이 웹 사이트에 접속하면, 클라이언트 컴퓨터(102)는 웹 서버(106)로부터의 웹 페이지(104)에 대한 요청을 송신한다. 요청된 웹 페이지는 악성 코드들을 포함하는 변형된 웹 페이지(108)가 되도록 변형될 수 있다. 그래서 이러한 시나리오에서 요청(104)에 응답하여 웹 서버(106)가 클라이언트 컴퓨터(102)로 변형된 웹 페이지(108)를 송신한다. 클라이언트 컴퓨터(102)가 변형된 웹 페이지(108)를 수신하면, 변형된 웹 페이지(108) 내의 악성 코드들이 클라이언트 컴퓨터(102)를 손상시킬 수 있다. 악성 코드들의 효과는 즉시 느껴지지 않을 수 있기 때문에, 클라이언트 컴퓨터(102)의 사용자는 이러한 보안 침입에 대해 대부분 모를 것이다.
도 2는 클라이언트 컴퓨터의 보안이 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 또한 침입되는 다른 시나리오를 묘사한다. 도 1에서 묘사된 시나리오와 유사하게, 클라이언트 컴퓨터(202)가 웹 페이지에 대한 요청(204)을 송신할 때, 웹 서버(206)는 클라이언트 컴퓨터(202)로 다시 변형된 웹 페이지(208)를 송신한다. 그러나 악성 코드들 대신에, 변형된 웹 페이지(208)는 사용자의 인지 없이 클라이언트 컴퓨터상으로 좀비 사이트(zombie site, 212)로부터 웹 페이지 또는 부정한 프로그램을 로드하는 내장된 링크를 포함한다. 그 경우 그 좀비 사이트로부터의 또는 또 다른 좀비 사이트로부터의 악성 프로그램 또는 스크립트(214)가 클라이언트 컴퓨터(202)를 감염시키거나 피해를 입힌다. 보안 침입들의 이러한 두 개의 다른 유형들의 결과로서, 어떠한 사례들에서, 클라이언트 컴퓨터(202)는 되돌릴 수 없는 시스템 실패 및 폭주를 겪을 수 있다.
전통적인 데스크톱 안티-바이러스 소프트웨어는, 그것이 일반적으로 클라이언트 컴퓨터에 이미 있는 데이터 상에 동작하기 때문에, 앞서 언급된 웹 주입이 발생하는 것을 효과적으로 방지할 수 없다. 특히, 데스크톱 안티-바이러스 소프트웨어는 알려진 바이러스 서명들의 데이터베이스에 대하여 메모리(예를 들면 그것의 RAM 및 부트 섹터들)의 콘텐츠 휴리스틱(heuristic)과 또한 클라이언트 컴퓨터의 고정된 또는 제거 가능한 드라이브들(예를 들면 하드 드라이브들 및 플로피 드라이브들) 상에 저장된 파일들을 비교한다. 이러한 접근으로, 클라이언트 컴퓨터는 그것이 요청한 웹 페이지가 변형되었는지 여부를 바람직하게 알 수 있는 방법이 여전히 없고, 그러므로 그러한 변형된 웹 페이지의 수신을 방지할 방법이 없다. 대신에, 데스크톱 안티-바이러스 소프트웨어는 그것이 웹 페이지 공격에 의해 야기되는 보안 침입을 식별하고 어드레싱하는 것이 가능하거나 가능하지 않을 수 있는 스캔(scan)을 시작하기 전에 웹 페이지 공격이 발생한 후까지 기다려야한다.
앞선 묘사한 바와 같이, 전통적인 접근들은 웹 페이지 공격들 또는 코드 주입들을 방지할 수 없고, 그러므로 필요한 것은 클라이언트 컴퓨터가 그것의 요청된 웹 페이지들을 수신하기 전에 그러한 침입을 감지하고 어드레싱하는 효과적인 방법 및 시스템이다.
웹 페이지 공격들을 방지하기 위한 방법 및 장치가 개시된다. 특히, 본 발명의 일 실시예가 방법으로 제시되고, 상기 방법은 실시간으로 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 시험하는 단계; 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하는 단계; 및 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함한다.
개시된 방법 및 장치의 한 장점은 악성 코드들을 포함하는 웹 페이지가 클라이언트 컴퓨터에 도달하는 것을 방지하여, 그로 인해 클라이언트 컴퓨터가 웹 페이지의 수신 후에 악성 코드들을 식별하고 제거하는 부담을 지지 않는 것이다.
본 발명의 앞서 기재된 특징들이 상세하게 이해될 수 있는 방식으로, 앞서 간략하게 요약된 본 발명의 더욱 상세한 설명이 실시예들을 참조함에 의하여 제공 될 수 있고, 이들 중 일부는 첨부된 도면들에서 묘사된다. 그러나 첨부된 도면들은 본 발명의 오직 일반적인 실시예들을 묘사하고, 그것의 범위를 제한하는 것으로 고려되지 않아야 하며, 그러므로 본 발명은 다른 균등한 유효한 실시예들을 수용할 수 있다.
본 명세서를 통하여, 인터넷 및 네트워크 관련 기술들에 관련된 다양한 용어들이 사용되고, 이는 HTML(Hypertext Markup Language), URL(Uniform Resource Locator), TCP/IP(Transmission Control Protocol (TCP)/Internet Protocol (IP)), 및 네트워크 주소 해석(NAT, Network Address Translation)과 같은 것이다. 본 발명의 일 실시예는 네트워크 장치를 가지고 이용하기 위한 프로그램 제품으로서 구현된다. 프로그램 제품의 프로그램(들)은 실시예들(여기서 묘사되는 방법들을 포함한다)의 기능을 정의하고 다양한 기계-판독가능 저장 매체 상에 포함될 수 있다. 예시적인 기계-판독가능 저장 매체는 (i) 재기록-불가 저장 매체 (예를 들면 CD-ROM 드라이브에 의해 판독 가능한 CD-ROM 디스크들, DVD 드라이브에 의해 판독 가능한 DVD 디스크들, 또는 ROM 칩들 또는 어떠한 유형의 고체상 비휘발성 반도체 메모리와 같은 네트워크 장치 내의 ROM 메모리 장치들); (ii) 변경 가능한 정보가 저장된 기록 가능 저장 매체(예를 들면 플래시 메모리 또는 어떠한 유형의 고체상 RAM 반도체 메모리)를 포함하지만 이에 한정되는 것은 아니다. 그러한 기계-판독가능 저장 매체는, 본 발명의 기능들을 명령하는 기계-판독가능 명령어들을 운반할 때, 본 발명의 실시예가 된다. 다른 매체는 무선 통신 네트워크들을 포함하는 컴퓨터 또는 전화 네트워크를 통하는 바와 같이, 정보가 네트워크 장치로 그를 통해 전 달되는 통신 매체를 포함한다. 후자의 실시예는 특히 인터넷 및 다른 네트워크들로 또는 그로부터 정보를 전송하는 것을 포함한다. 그러한 통신 매체는, 본 발명의 기능들을 명령하는 기계-판독가능 명령어들을 운반할 때, 본 발명의 실시예이다.
도 3은 시스템 구조를 묘사하고, 여기서 본 발명의 일 실시예에 따라 변형된 웹 페이지가 클라이언트 컴퓨터에 도달하기 전에 차단된다. 도시된 바와 같이, 시스템(300)은 네트워크 서버(302), 게이트웨이(306), 및 클라이언트 컴퓨터(312)로 이루어진다. 여기서 네트워크 서버(302)가 클라이언트 컴퓨터(312)로 향하는 요청된 웹 페이지를 송신할 때, 상기 웹 페이지는 악성 코드들을 포함하도록 이미 변형되었을 수 있다. 그러나 이러한 요청된 웹 페이지(304)가 클라이언트 컴퓨터(312)에 도달하기 전에, 게이트웨이(306)는 상기 페이지를 차단하기 위한 보호 쉴드(shield)로서 동작한다. 특히, 일 실시예에서, 상기 게이트웨이(306)는 웹 페이지 분석부(308)를 포함하고, 이는 요청된 웹 페이지(304)의 실시간 보안 스캔을 수행한다. 일 실시예에서, 상기 보안 스캔은 상기 요청된 웹 페이지(304)의 소스 코드를 시험한다. 만약 악성 코드들이 상기 요청된 웹 페이지(304)에서 발견된다면, 웹 페이지 분석부(308)는 악성 코드들을 제거하거나 고립시키고, 클라이언트 컴퓨터(312)로 처리된 웹 페이지(310)를 송신한다. 다른 실시예에서, 상기 웹 페이지 분석부(308)는 또한 좀비 사이트와 같은 앞서 블랙리스트화 된 웹 사이트들에 접속하는 것으로부터 클라이언트 컴퓨터(312)를 차단하기 위한 호스트 필터로서 동작한다. 또 다른 실시예에서, 상기 웹 페이지 분석부(308)는 말웨어를 위해 클라이언트 컴퓨터(312)로 다운로드되도록 예정된 콘텐츠를 확인한다. 다음 문단들은 웹 페이 지 분석부(308)를 더욱 상세하게 설명할 것이다.
도 4는 본 발명의 일 실시예에 따른 웹 페이지 분석부(402)의 간략화된 블록도이다. 웹 페이지 분석부(402)는 서명 기반 엔진(404), 휴리스틱 엔진(406), 및 알려진 서명 데이터베이스(408)를 포함한다. 웹 페이지 분석부(402)가 요청된 웹 페이지를 수신할 때, 서명 기반 엔진(404)은 요청된 웹 페이지의 소스 코드를 시험한다. 상기 소스 코드는 복수의 객체들을 포함하고, 이들 각각은 어떠한 객체 특성들과 관련된다. 일 실시예에서, 서명 기반 엔진(404)은 소스 코드로부터 이러한 객체들을 분석하고 알려진 서명 데이터베이스(408) 내에 저장된 알려진 공격 서명들과 그들의 관련된 객체 특성들을 비교한다. 그러므로 만약 매치가 알려진 서명 데이터베이스(408)에서 발견된다면, 그 경우 요청된 웹 페이지는 악성 코드들을 포함하는 것으로 고려된다. 한편, 만약 어떠한 매치도 발견되지 않으면, 요청된 웹 페이지는 휴리스틱 엔진(406)에 의해 추가적으로 처리된다. 다음 문단은 웹 페이지 내의 객체들 및 객체 특성들의 예들을 제공할 것이다.
휴리스틱 엔진(406)의 일 측면은 요청된 웹 페이지 내의 예외를 감지하고 판독하는 것이다. 예외는 여기서 넓게 객체 특성으로서, 그러한 객체 특성에 대한 예측되는 속성들로부터 벗어나는 객체 특성을 지칭한다. 일 실현예에서, 휴리스틱 엔진(406)은 점수 매김 시스템이고, 여기서 수치적인 점수가 각각의 객체 특성에 할당된다. 상기 수치적인 점수는 객체 특성에 대한 위험 레벨을 대표한다. 그러므로 휴리스틱 엔진(406)은 잠재적으로 악성 예외와 관련되는 객체 특성에 높은 점수를 할당하고, 잠재적으로 양성의 예외와 관련되는 객체 특성에 낮은 점수를 할당하고, 전혀 어떠한 예외와도 관련되지 않는 객체 특성에 더 낮은 점수를 할당한다. 다음 표는 휴리스틱 엔진(406)이 감지하고 점수를 할당하는 어떠한 예외들을 묘사한다.
예외들 | 기대되는 속성들 | 점수 |
8비트 텍스트들로 부호화된 7비트 콘텐츠 | 부호화된 콘텐츠 및 텍스트들을 나타내는 동일한 수의 비트들 | 20 |
</HTML> 태그 뒤의 텍스트들 | 종료 태그 후에는 텍스트 없음 | 15 |
단일 웹 페이지 내의 일반적이지 않은 수의 프레임들 | 단일 웹 페이지 내의 일반적인 수의 프레임들 | 5 |
다른 호스트로 링크된 숨겨진 I프레임(Iframe) | 숨겨진 I프레임은 일반적으로 현재 웹 페이지와 동일한 호스트로 링크된다. | 10 |
자동적으로 실행 가능한 파일을 로드하는 스크립트 | 스크립트는 동적 콘텐츠를 로드하기 위하여 이용된다. | 90 |
일 실시예에서, 휴리스틱 엔진(406)은 각각의 웹 페이지가 상기 웹 페이지에 대한 집단 위험 레벨을 나타내기 위하여 객체 특성들에 대한 이러한 점수들을 합산한다. 휴리스틱 엔진(406)은 각각의 점수에 다르게 가중치를 부여하고 상기 합산에서 변하는 가중치들을 적용할 수 있음을 주의해야 한다. 그 경우 휴리스틱 엔진(406)은 각각의 웹 페이지에 대한 조정 가능한 문턱값에 합산된 점수를 비교한다. 만약 합산된 점수가 조정 가능한 문턱값을 초과한다면, 그 경우 웹 페이지는 악성으로 간주되며 웹 페이지의 소스 코드의 스캔은 종료한다. 추가적으로, 조정 가능한 문턱값을 초과한 후에, 이러한 현재 처리된 웹 페이지의 위치가 알려진 서명 데이터베이스(408) 내에 블랙리스트화 된다. 대안으로, 합산된 점수에 기여하는 예외 또는 예외들의 조합들이 블랙리스트화 된다. 점수 매김 시스템 및 조정 가능 문턱값은 변하는 환경들에 적응적임을 주의해야 한다. 예를 들면 특정 유형의 예외가 높은 위험으로 가정되고 그러므로 처음으로 높은 점수에 할당된다고 가정한다. 그러나 필드 테스트를 통하여, 이러한 예외가 양성이거나 또는 다른 예외들보다 덜 위험한 것으로 이후에 발견될 수 있다고 가정한다. 그 경우 점수는 이러한 변화된 환경을 반영하기 위하여 조정될 수 있다. 유사하게, 문턱값은, 만약 휴리스틱 엔진(406)이 너무 많은 웹 페이지들이 악성인 것으로 잘못 라벨링 하였다면, 조정될 수 있다.
앞서 설명된 바와 같이, 알려진 서명 데이터베이스(408)는 알려진 공격들의 서명들을 저장한다. 일 실시예에서, 각각의 서명과 관련된 특성들은 데이터베이스 내에서 범주화 된다. 다음 문단들은 어떠한 예들을 제공할 것이다. 알려진 서명 데이터베이스(408)는 웹 페이지 분석부(402)의 개발자에 의하여 또는 어떠한 다른 제3자에 의하여 생성되고 유지될 수 있다. 또한 알려진 서명 데이터베이스(408)의 일 실현은 웹 페이지 분석부(402) 내에 있다(도 4에 미도시). 대안으로 알려진 서명 데이터베이스(408)는 네트워크 서버 내에 있고, 상기 네트워크 서버와 상기 웹 페이지 분석부(402)는 링크를 유지한다.
도 5는 본 발명의 일 실시예에 따라, 웹 페이지 분석부(402)가 따르는 처리를 묘사하는 흐름도이다. 클라이언트 컴퓨터 C가 웹 페이지 W를 요청하고, 웹 페이지 분석부(402)는 웹 페이지 W를 수신하다고 가정한다. 도 4와 연결하여, 단계 502에서, 서명 기반 엔진(404)이 웹 페이지 W의 소스 코드로부터 객체들을 파싱(parse)하고 어떤 객체가 시험되었는지를 추적한다. 만약 웹 페이지 W와 관련된 모든 객체가 단계 504에 의하여 나타난 바와 같이 시험되었다면, 스캔 처리는 단계 530에서 종료된다. 한편, 만약 확인될 객체들이 남아있다면, 그 경우 서명 기반 엔진(404)은 남아있는-확인될 객체들 중 하나와 관련된 객체 특성들을 추출하고, 단계 510에서 알려진 서명 데이터베이스(408) 내의 블랙리스트 서명들에 상기 객체 특성들을 비교한다. 만약 서명 기반 엔진(404)이 단계 512에서 매치를 발견하였다면, 그것은 단계 528에서 웹 페이지 분석부(402)에 결과를 보고한다. 일 실현에서, 상기 보고를 수신하는데 응답하여, 웹 페이지 분석부(402)는 웹 페이지 W가 클라이언트 컴퓨터 C에 도달하기 전에 악성 코드들을 제거하도록 시도하기 위해 정리 처리를 개시한다. 만약 어떠한 매치도 단계 512에서 나타난 바와 같이 발견되지 않았다면, 그 경우 서명 기반 엔진(404)은 휴리스틱 엔진(406)으로 객체 및 추출된 객체 특성들을 송신한다.
휴리스틱 엔진(406)은 단계 516에서 객체 및 그것의 관련된 객체 특성들을 확인한다. 앞서 설명된 바와 같이, 휴리스틱 엔진(406)은 객체 속성들에 수치적인 점수들을 할당하고, 또한 웹 페이지 W에 대한 합산된 점수를 추적한다. 다음으로 휴리스틱 엔진(406)은 단계 518에서 조정 가능 문턱값에 합산된 점수를 비교한다. 만약 점수가 너무 높다면, 즉 조정 가능 문턱값을 초과한다면, 그 경우 휴리스틱 엔진(406)은 현재 처리된 웹 페이지의 위치로 알려진 서명 데이터베이스(408)를 갱신한다. 대안으로, 상기 휴리스틱 엔진(406)은 알려진 서명 데이터베이스(408) 내의 합산된 점수에 기여하는 예외 또는 예외들의 조합들을 저장한다. 아니면 휴리스틱 엔진(408)은 마지막으로 추출된 객체 특성들에 대한 점수들을 포함함에 의하여 단계 524에서 합산된 점수를 갱신한다. 객체 특성들은 합산 이전에 다르게 가중치가 부여될 수 있음을 다시 주의해야 한다. 다음으로 서명 기반 엔진(404)은 단계 504에서 확인되지 않은 객체에 대해 동작을 계속한다.
설명된 예에 계속하여, 도 6은 웹 페이지 W의 소스 코드 내의 어떠한 객체들 의 스냅샷을 묘사한다. HTML 언어가 웹 페이지 W를 위하여 이용되었다고 가정한다. 객체들 600, 602, 및 604가 도 6에서 강조되고, 굵게 표시되고, 밑줄 쳐졌다. 객체 604, 즉 <IFRAME SRC=http://www.foo.bar>에 대하여, IFRAME 및 SRC는 이러한 객체에 대한 객체 특성들이다. IFRAME은 주요 문서 내에 다른 HTML 문서의 내장을 가능하게 하는 HTML 요소이다. 내장될 이러한 HTML 문서의 URL, 즉, http://www.foo.bar는 SRC에 의하여 특정된다.
도 7은 알려진 서명 데이터베이스의 예를 묘사한다. 도 7에서 보인 각각의 줄은 다른 객체 특성들을 갖는 알려진 공격 서명을 나타낸다. 이러한 블랙리스트 서명들 각각은 다른 범주들로 더욱 그룹화된다. 이러한 예에서, 서명들 중 일부는 "Type" 정보를 이용하여 범주화되고, 예시된 서명들 중 많은 수가 두 개 또는 그 이상의 특성들, 이름하여 IFRAME 및 SRC를 포함한다. 여기서 블랙리스트 서명들의 한 세트가 IFRAME Type을 갖는 범주에 속하고, 다른 세트가 SCRIPT Type을 갖는 범주에 속한다. 블랙리스트 서명들의 다른 세트는 서명들 702, 704, 706, 및 708과 같은 예외들의 조합을 포함한다. 각각의 블랙리스트 서명이 도 7에서 보인 것들과 다른 객체 특성들의 조합을 포함할 수 있음을 인지하는 것은 본 기술 분야의 통상의 기술자들에게 명백할 것이다.
앞서 설명되고 도 4 및 도 5와 연결하여 설명한 바와 같이, 서명 기반 엔진(404)은 도 6에서 보인 바와 같이 웹 페이지 W의 소스 코드의 객체들 600, 602, 및 604를 추출하고, 도 7에서 보인 알려진 서명 데이터베이스(408)에 이러한 추출된 객체들을 비교한다. 여기서, 서명 기반 엔진(404)은 매칭 서명(700)을, 상기 객 체(604)의 객체 특성들이 매칭 서명(700)의 Type 정보(즉, IFRAME) 및 또한 SRC 정보(즉, www.foo.bar)를 매치함으로써 식별한다. 그러나 웹 페이지 W는 알려진 서명 데이터베이스(408) 내의 블랙리스트 서명들 중 어느 것을 매치시키는 어떠한 객체를 포함하지 않는다고 가정한다. 그러면 휴리스틱 엔진(406)은 예외들에 대한 객체들 및 그들의 관련된 객체 특성들을 시험하고 웹 페이지 W에 대한 합산된 점수의 추적을 유지한다. 앞서 설명된 바와 같이, 만약 웹 페이지 W의 합산된 점수가 문턱값을 초과한다면, 그 경우 웹 페이지 W는 악성으로 고려되고, 현재 처리된 웹 페이지의 위치 또는 대안적으로 상기 합산된 점수에 기여하는 예외 또는 예외들의 조합이 알려진 서명 데이터베이스(408)에서 갱신된다.
도 8은 본 발명의 일 실시예에 따른 웹 페이지 분석부(803)를 갖는 네트워크 장치(800)의 간략화된 블록도이다. 상기 네트워크 장치(800)는 HTML 추출부(802), 웹 페이지 분석부(804), 라우팅 블록(806), 브리징(bridging) 블록(808), NAT 블록(810), 및 네트워크 구동부(812)를 포함한다. HTML 추출부(802)는 애플리케이션 사용자들 및 네트워크 서비스들에 의해 이용되는 네트워크 프로토콜들로부터 HTML 문서들을 추출하고, 웹 페이지 분석부(804)로 추출된 HTML 문서들을 전달하기 위한 것이다. 웹 페이지 분석부(804)는 도 4에서 보이고 앞서 상세히 설명된 웹 페이지 분석부(402)와 동일한 모든 기능들을 지원한다. 네트워크 장치(800)는 네트워크(814)와 또한 하나 이상의 클라이언트 컴퓨터들을 연결하도록 구성된다. 그러므로 클라이언트 컴퓨터들 및 네트워크(814) 사이에 모든 네트워크 트래픽은 네트워크 장치(800)를 통해 이동한다.
도 9는 또한 본 발명의 다른 실시예에 따른, 웹 페이지 분석부(904)를 갖는 다른 네트워크 장치(900)의 간략화된 블록도이다. 상기 네트워크 장치(900)는 HTTP 프록시(902), 웹 페이지 분석부(904), TCP/IP 계층 구성요소(906), 및 네트워크 구동부(908)를 포함한다. HTTP 프록시(902)는 네트워크(910) 상의 다른 서버들과 상호작용 함에 의하여 네트워크(910) 상의 클라이언트 컴퓨터들의 HTTP 요청들 및 응답들을 처리하고, 웹 페이지 분석부(904)로 HTML 문서들을 전달한다. 웹 페이지 분석부(904)는 도 4에서 보인 웹 페이지 분석부(402)와 동일하다. 추가적으로, 웹 페이지 분석부(904)의 일 실현은 또한 어떠한 블랙리스트 URL들을 필터링하는 기능을 수행한다. 네트워크 장치(800)와 유사하게, 클라이언트 컴퓨터들 및 네트워크(910) 사이의 모든 네트워크 트래픽은 다시 네트워크 장치(900)를 통하여 이동한다. 대안으로, HTTP 트래픽과 같은 어떠한 네트워크 트래픽은 네트워크 장치(900)에 의하여 처리된다. 일 실현에서, 네트워크 장치 800 및 네트워크 장치 900 모두에서 예시된 모든 블록들은 네트워크 장치들 내의 하나 이상의 처리 유닛들에 의하여 실행되는 소프트웨어 콤포넌트들이다. 대안으로, 웹 페이지 분석부 804 및 웹 페이지 분석부 904에 의해 지원되는 기능들과 같은, 이러한 블록들의 어떠한 기능들은 하나 이상의 전용 반도체 장치들에 의하여 수행된다.
앞선 설명이 어떻게 본 발명의 측면들이 실현될 수 있는지에 대한 예들을 가지고 본 발명의 다양한 실시예들을 묘사하였다. 앞선 예들, 실시예들, 및 도면들은 유일한 실시예들인 것으로 고려되지 않아야 하고, 다음 청구항들에 의해 정의되는 바와 같은 본 발명의 유연성 및 이점들을 묘사하기 위하여 표현된다.
도 1은 클라이언트 컴퓨터의 보안이 클라이언트 컴퓨터의 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 침입되는 한 시나리오를 묘사한다.
도 2는 클라이언트 컴퓨터의 보안이 정체 불명인 미지의 사용자가 인터넷을 브라우징 함에 의하여 또한 침입되는 다른 시나리오를 묘사한다.
도 3은 본 발명의 일 실시예에 따라, 변형된 웹 페이지가 클라이언트 컴퓨터에 도달하기 전에 차단되는 시스템 구조를 묘사한다.
도 4는 본 발명의 일 실시예에 따른, 웹 페이지 분석부의 간략화된 블록도이다.
도 5는 본 발명의 일 실시예에 따라, 웹 페이지 분석부가 따르는 처리를 묘사하는 흐름도이다.
도 6은 웹 페이지의 소스 코드 내의 어떠한 객체들의 스냅샷을 묘사한다.
도 7은 알려진 서명 데이터베이스의 일례를 묘사한다.
도 8은 본 발명의 일 실시예에 따른, 웹 페이지 분석부를 갖는 네트워크 장치의 간략화된 블록도이다.
도 9는 또한 본 발명의 다른 실시예에 따른, 웹 페이지 분석부를 갖는 다른 네트워크 장치의 간략화 된 블록도이다.
Claims (37)
- 웹 페이지 공격을 방지하기 위한 방법에 있어서,클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 상기 클라이언트 컴퓨터에 의하여 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하는 단계;상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단(collective) 위험 레벨을 평가하는 단계; 및상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하는 단계를 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제1항에 있어서, 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하는 단계를 더 포함하고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제2항에 있어서, 상기 시험하는 단계는,상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하는 단계; 및상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제3항에 있어서, 상기 평가하는 단계는, 알려진 서명 데이터베이스에 대해 상기 확인되지 않은 객체의 객체 특성을 비교하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제3항에 있어서, 상기 평가하는 단계는,상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하는 단계; 및상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제5항에 있어서, 상기 결정하는 단계는,상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하는 단계;상기 문턱값에 상기 수치적인 점수를 비교하는 단계; 및만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제5항에 있어서, 상기 결정하는 단계는,상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하는 단계;상기 문턱값에 상기 수치적인 점수를 비교하는 단계; 및만약 상기 수치적인 점수가 상기 문턱값을 초과하면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하는 단계를 더 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제1항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 제1항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 포함하는, 웹 페이지 공격을 방지하기 위한 방법.
- 웹 페이지 공격들을 방지하도록 구성된 네트워크 장치에 있어서, 상기 네트워크 장치는,메모리 시스템, 및처리 유닛으로서,클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고,상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고,상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 구성된 처리 유닛을 포함하는, 네트워크 장치.
- 제10항에 있어서, 상기 처리 유닛은,상기 처리 유닛은 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하도록 더 구성되고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성에 관련된 개별 위험 레벨을 반영하는, 네트워크 장치.
- 제11항에 있어서, 상기 처리 유닛은,상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 더 구성된, 네트워크 장치.
- 제12항에 있어서, 상기 처리 유닛은 상기 메모리 시스템에 저장된 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 더 구성된, 네트워크 장치.
- 제12항에 있어서, 상기 처리 유닛은 상기 네트워크 장치에 대해 외부에 있는 장치에 의해 유지되는 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 더 구성된, 네트워크 장치.
- 제12항에 있어서, 상기 처리 유닛은,상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 더 구성된, 네트워크 장치.
- 제15항에 있어서, 상기 처리 유닛은,상기 집단 위험 레벨을 평가하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 네트워크 장치.
- 제15항에 있어서, 상기 처리 유닛은,상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 네트워크 장치.
- 제10항에 있어서, 상기 처리 유닛은 상기 집단 위험 레벨을 평가한 결과를 보고하도록 더 구성된, 네트워크 장치.
- 제10항에 있어서, 상기 처리 유닛은 상기 웹 페이지를 정리하는(clean) 처리를 개시하도록 더 구성된, 네트워크 장치.
- 웹 페이지 분석부를 위한 명령어들의 시퀀스를 포함하는 기계-판독가능 매체에 있어서, 상기 명령어들의 시퀀스는 네트워크 장치 내의 처리 유닛에 의해 실행될 때, 상기 처리 유닛이,클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고;상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고;상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 야기하는, 기계-판독가능 매체.
- 제20항에 있어서, 휴리스틱(heuristic) 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이 상기 웹 페이지 내의 각각의 객체 특성에 대한 수치적인 점수를 할당하도록 야기하고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 휴리스틱 엔진을 위한 명령어들의 시퀀스를 더 포함하는, 기계-판독가능 매체.
- 제21항에 있어서, 서명 기반 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 야기하는 서명 기반 엔진을 위한 명령어들의 시퀀스를 더 포함하는, 기계-판독가능 매체.
- 제22항에 있어서, 상기 서명 기반 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 상기 객체 특성을 비교하도록 야기하는 상기 서명 기반 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
- 제22항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 대, 상기 처리 유닛이,상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;상기 예외와 관련된 상기 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 야기하는 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
- 제24항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 야기하는, 휴리스틱 엔진을 위한 명령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
- 제24항에 있어서, 상기 휴리스틱 엔진을 위한 명령어들의 시퀀스로서, 상기 처리 유닛에 의해 실행되었을 때, 상기 처리 유닛이,상기 평가 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 야기하는, 휴리스틱 엔진을 위한 명 령어들의 시퀀스를 포함하는, 기계-판독가능 매체.
- 제20항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 기계-판독가능 매체.
- 제20항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 포함하는, 기계-판독가능 매체.
- 웹 페이지 공격들을 방지하기 위한 처리 유닛에 있어서, 상기 처리 유닛은,클라이언트 컴퓨터에 송신되는 상기 웹 페이지를 차단하는 보호 쉴드에서, 클라이언트 컴퓨터에 의해 요청된 웹 페이지로부터의 객체 특성을, 상기 클라이언트 컴퓨터가 상기 웹 페이지를 수신하기 전에 실시간으로 시험하고;상기 보호 쉴드에서, 상기 객체 특성을 시험한 결과에 기초하여 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 웹 페이지와 관련된 집단 위험 레벨을 평가하고;상기 보호 쉴드에서, 상기 집단 위험 레벨에 따라 상기 웹 페이지에 대한 동작을 수행하도록 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제29항에 있어서, 상기 처리 유닛은 상기 웹 페이지 내의 각각의 객체 특성에 대해 수치적인 점수를 할당하도록 더 구성되고, 상기 수치적인 점수는 상기 클라이언트 컴퓨터에 피해를 유발하는 상기 객체 특성과 관련된 개별 위험 레벨을 반영하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제30항에 있어서, 상기 처리 유닛은,상기 웹 페이지의 소스 코드로부터 확인되지 않은 객체를 식별하고;상기 확인되지 않은 객체로부터 상기 객체 특성을 추출하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제31항에 있어서, 상기 처리 유닛은 알려진 서명 데이터베이스에 상기 확인되지 않은 객체의 객체 특성을 비교하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제31항에 있어서, 상기 처리 유닛은,상기 웹 페이지와 관련된 예외가 있는지 여부를 확인하고;상기 예외와 관련된 집단 위험 레벨이 문턱값을 초과하는지 여부를 결정하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제33항에 있어서, 상기 처리 유닛은,상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 예외와 관련된 상기 객체 특성으로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제33항에 있어서, 상기 처리 유닛은,상기 평가하는 단계를 수행하는 각각의 반복에서 상기 수치적인 점수를 추적하고;상기 문턱값에 상기 수치적인 점수를 비교하고;만약 상기 수치적인 점수가 상기 문턱값을 초과한다면, 상기 웹 페이지의 위치로 알려진 서명 데이터베이스를 갱신하도록 더 구성된, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제29항에 있어서, 상기 동작은 상기 집단 위험 레벨을 평가한 결과를 보고하는 것을 포함하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
- 제29항에 있어서, 상기 동작은 상기 웹 페이지를 정리하는(clean) 처리를 개시하는 것을 더 포함하는, 웹 페이지 공격들을 방지하기 위한 처리 유닛.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/850,036 | 2007-09-05 | ||
US11/850,036 US20090064337A1 (en) | 2007-09-05 | 2007-09-05 | Method and apparatus for preventing web page attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090025146A KR20090025146A (ko) | 2009-03-10 |
KR101010708B1 true KR101010708B1 (ko) | 2011-01-26 |
Family
ID=39803249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080083050A KR101010708B1 (ko) | 2007-09-05 | 2008-08-25 | 웹 페이지 공격을 방지하기 위한 방법 및 장치 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20090064337A1 (ko) |
EP (1) | EP2037384A1 (ko) |
JP (1) | JP2009064443A (ko) |
KR (1) | KR101010708B1 (ko) |
CN (1) | CN101382979B (ko) |
TW (1) | TW200912682A (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024058399A1 (ko) * | 2022-09-16 | 2024-03-21 | 삼성전자주식회사 | 보안 등급에 따라 웹 페이지 및 컨텐츠를 경고하거나 제한하는 전자 장치 및 그 동작 방법 |
Families Citing this family (72)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
KR100987354B1 (ko) * | 2008-05-22 | 2010-10-12 | 주식회사 이베이지마켓 | 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법 |
US20130276120A1 (en) * | 2008-06-02 | 2013-10-17 | Gregory William Dalcher | System, method, and computer program product for determining whether a security status of data is known at a server |
US8301904B1 (en) | 2008-06-24 | 2012-10-30 | Mcafee, Inc. | System, method, and computer program product for automatically identifying potentially unwanted data as unwanted |
MY154409A (en) * | 2008-07-21 | 2015-06-15 | Secure Corp M Sdn Bhd F | Website content regulation |
US8904536B2 (en) * | 2008-08-28 | 2014-12-02 | AVG Netherlands B.V. | Heuristic method of code analysis |
US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
KR101042733B1 (ko) * | 2009-04-09 | 2011-06-20 | 삼성에스디에스 주식회사 | 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치 |
US8438386B2 (en) * | 2009-04-21 | 2013-05-07 | Webroot Inc. | System and method for developing a risk profile for an internet service |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
US8914878B2 (en) * | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
CN101877696B (zh) * | 2009-04-30 | 2014-01-08 | 国际商业机器公司 | 在网络应用环境下重构错误响应信息的设备和方法 |
KR101161008B1 (ko) * | 2009-06-30 | 2012-07-02 | 주식회사 잉카인터넷 | 악성코드 탐지시스템 및 방법 |
TWI405434B (zh) * | 2009-07-03 | 2013-08-11 | Univ Nat Taiwan Science Tech | 殭屍網路偵測系統及方法 |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
US10157280B2 (en) * | 2009-09-23 | 2018-12-18 | F5 Networks, Inc. | System and method for identifying security breach attempts of a website |
US8489534B2 (en) * | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
CA2694326A1 (en) * | 2010-03-10 | 2010-05-18 | Ibm Canada Limited - Ibm Canada Limitee | A method and system for preventing cross-site request forgery attacks on a server |
US8918867B1 (en) * | 2010-03-12 | 2014-12-23 | 8X8, Inc. | Information security implementations with extended capabilities |
US9009330B2 (en) * | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
US8813237B2 (en) | 2010-06-28 | 2014-08-19 | International Business Machines Corporation | Thwarting cross-site request forgery (CSRF) and clickjacking attacks |
US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
US9032521B2 (en) | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
US9270691B2 (en) | 2010-11-01 | 2016-02-23 | Trusteer, Ltd. | Web based remote malware detection |
US9218461B2 (en) * | 2010-12-01 | 2015-12-22 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions |
GB2488790A (en) * | 2011-03-07 | 2012-09-12 | Celebrus Technologies Ltd | A method of controlling web page behaviour on a web enabled device |
US8695096B1 (en) * | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US8881000B1 (en) * | 2011-08-26 | 2014-11-04 | Google Inc. | System and method for informing users of an action to be performed by a web component |
US10445528B2 (en) * | 2011-09-07 | 2019-10-15 | Microsoft Technology Licensing, Llc | Content handling for applications |
US9223976B2 (en) * | 2011-09-08 | 2015-12-29 | Microsoft Technology Licensing, Llc | Content inspection |
US9122870B2 (en) | 2011-09-21 | 2015-09-01 | SunStone Information Defense Inc. | Methods and apparatus for validating communications in an open architecture system |
US20130254553A1 (en) * | 2012-03-24 | 2013-09-26 | Paul L. Greene | Digital data authentication and security system |
GB2509766A (en) * | 2013-01-14 | 2014-07-16 | Wonga Technology Ltd | Website analysis |
US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
US11386181B2 (en) * | 2013-03-15 | 2022-07-12 | Webroot, Inc. | Detecting a change to the content of information displayed to a user of a website |
US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
US9712548B2 (en) * | 2013-10-27 | 2017-07-18 | Cyber-Ark Software Ltd. | Privileged analytics system |
GB201321949D0 (en) | 2013-12-12 | 2014-01-29 | Ibm | Semiconductor nanowire fabrication |
US9953163B2 (en) | 2014-02-23 | 2018-04-24 | Cyphort Inc. | System and method for detection of malicious hypertext transfer protocol chains |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
US9544318B2 (en) * | 2014-12-23 | 2017-01-10 | Mcafee, Inc. | HTML security gateway |
US11895138B1 (en) * | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
CN104901962B (zh) * | 2015-05-28 | 2018-01-05 | 北京椒图科技有限公司 | 一种网页攻击数据的检测方法及装置 |
US9921942B1 (en) | 2015-10-23 | 2018-03-20 | Wells Fargo Bank, N.A. | Security validation of software delivered as a service |
KR101648349B1 (ko) * | 2015-11-12 | 2016-09-01 | 한국인터넷진흥원 | 웹사이트 위험도 산출 장치 및 그 방법 |
US20170279831A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Use of url reputation scores in distributed behavioral analytics systems |
US10681059B2 (en) * | 2016-05-25 | 2020-06-09 | CyberOwl Limited | Relating to the monitoring of network security |
US11496438B1 (en) | 2017-02-07 | 2022-11-08 | F5, Inc. | Methods for improved network security using asymmetric traffic delivery and devices thereof |
US10791119B1 (en) | 2017-03-14 | 2020-09-29 | F5 Networks, Inc. | Methods for temporal password injection and devices thereof |
US10931662B1 (en) | 2017-04-10 | 2021-02-23 | F5 Networks, Inc. | Methods for ephemeral authentication screening and devices thereof |
US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
US10986100B1 (en) * | 2018-03-13 | 2021-04-20 | Ca, Inc. | Systems and methods for protecting website visitors |
US11658995B1 (en) | 2018-03-20 | 2023-05-23 | F5, Inc. | Methods for dynamically mitigating network attacks and devices thereof |
US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
US10521583B1 (en) * | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
US11210464B2 (en) * | 2019-09-03 | 2021-12-28 | Paypal, Inc. | Systems and methods for detecting locations of webpage elements |
US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
US11824878B2 (en) * | 2021-01-05 | 2023-11-21 | Bank Of America Corporation | Malware detection at endpoint devices |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
IT202200006143A1 (it) * | 2022-03-29 | 2023-09-29 | Walter Coppo | Dispositivo/Sistema di elaborazione di contenuti internet e corrispondente procedimento |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040004943A (ko) * | 2002-07-06 | 2004-01-16 | 주식회사 잉카인터넷 | 다중 계층 구조의 인터넷 보안 방법 및 시스템 |
US20040181687A1 (en) | 2003-03-14 | 2004-09-16 | Nachenberg Carey S. | Stream scanning through network proxy servers |
US20050182924A1 (en) * | 2004-02-17 | 2005-08-18 | Microsoft Corporation | User interface accorded to tiered object-related trust decisions |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194411B2 (en) * | 2001-02-26 | 2007-03-20 | Benjamin Slotznick | Method of displaying web pages to enable user access to text information that the user has difficulty reading |
EP1430420A2 (en) * | 2001-05-31 | 2004-06-23 | Lixto Software GmbH | Visual and interactive wrapper generation, automated information extraction from web pages, and translation into xml |
US7509679B2 (en) * | 2002-08-30 | 2009-03-24 | Symantec Corporation | Method, system and computer program product for security in a global computer network transaction |
US8280819B2 (en) * | 2004-07-09 | 2012-10-02 | Ebay Inc. | Method and apparatus for securely displaying and communicating trusted and untrusted internet content |
US7757289B2 (en) * | 2005-12-12 | 2010-07-13 | Finjan, Inc. | System and method for inspecting dynamically generated executable code |
US8196205B2 (en) * | 2006-01-23 | 2012-06-05 | University Of Washington Through Its Center For Commercialization | Detection of spyware threats within virtual machine |
US8307276B2 (en) * | 2006-05-19 | 2012-11-06 | Symantec Corporation | Distributed content verification and indexing |
KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
US8255873B2 (en) * | 2006-11-20 | 2012-08-28 | Microsoft Corporation | Handling external content in web applications |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US7865953B1 (en) * | 2007-05-31 | 2011-01-04 | Trend Micro Inc. | Methods and arrangement for active malicious web pages discovery |
US7917846B2 (en) * | 2007-06-08 | 2011-03-29 | Apple Inc. | Web clip using anchoring |
-
2007
- 2007-09-05 US US11/850,036 patent/US20090064337A1/en not_active Abandoned
-
2008
- 2008-08-08 EP EP08014248A patent/EP2037384A1/en not_active Withdrawn
- 2008-08-22 TW TW097132074A patent/TW200912682A/zh unknown
- 2008-08-25 KR KR1020080083050A patent/KR101010708B1/ko not_active IP Right Cessation
- 2008-09-05 JP JP2008228572A patent/JP2009064443A/ja active Pending
- 2008-09-05 CN CN2008102128288A patent/CN101382979B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040004943A (ko) * | 2002-07-06 | 2004-01-16 | 주식회사 잉카인터넷 | 다중 계층 구조의 인터넷 보안 방법 및 시스템 |
US20040181687A1 (en) | 2003-03-14 | 2004-09-16 | Nachenberg Carey S. | Stream scanning through network proxy servers |
US20050182924A1 (en) * | 2004-02-17 | 2005-08-18 | Microsoft Corporation | User interface accorded to tiered object-related trust decisions |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024058399A1 (ko) * | 2022-09-16 | 2024-03-21 | 삼성전자주식회사 | 보안 등급에 따라 웹 페이지 및 컨텐츠를 경고하거나 제한하는 전자 장치 및 그 동작 방법 |
Also Published As
Publication number | Publication date |
---|---|
CN101382979A (zh) | 2009-03-11 |
CN101382979B (zh) | 2011-10-19 |
KR20090025146A (ko) | 2009-03-10 |
JP2009064443A (ja) | 2009-03-26 |
TW200912682A (en) | 2009-03-16 |
US20090064337A1 (en) | 2009-03-05 |
EP2037384A1 (en) | 2009-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101010708B1 (ko) | 웹 페이지 공격을 방지하기 위한 방법 및 장치 | |
RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
US8677481B1 (en) | Verification of web page integrity | |
US9596255B2 (en) | Honey monkey network exploration | |
US9654494B2 (en) | Detecting and marking client devices | |
Wurzinger et al. | SWAP: Mitigating XSS attacks using a reverse proxy | |
Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
US8601586B1 (en) | Method and system for detecting web application vulnerabilities | |
US8448245B2 (en) | Automated identification of phishing, phony and malicious web sites | |
US8413239B2 (en) | Web security via response injection | |
US20150163234A1 (en) | System and methods for protecting computing devices from malware attacks | |
CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
Maroofi et al. | Are you human? resilience of phishing detection to evasion techniques based on human verification | |
Gupta et al. | Robust injection point-based framework for modern applications against XSS vulnerabilities in online social networks | |
Samarasinghe et al. | On cloaking behaviors of malicious websites | |
WO2007096659A1 (en) | Phishing mitigation | |
KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
EP3828745A1 (en) | Information processing device, information processing method, and information processing program | |
Tiwari et al. | Optimized client side solution for cross site scripting | |
KR101077855B1 (ko) | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 | |
CN115102781A (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
Hadpawat et al. | Analysis of prevention of XSS attacks at client side |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131105 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150112 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151207 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |