KR101044275B1 - Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded - Google Patents
Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded Download PDFInfo
- Publication number
- KR101044275B1 KR101044275B1 KR1020090096072A KR20090096072A KR101044275B1 KR 101044275 B1 KR101044275 B1 KR 101044275B1 KR 1020090096072 A KR1020090096072 A KR 1020090096072A KR 20090096072 A KR20090096072 A KR 20090096072A KR 101044275 B1 KR101044275 B1 KR 101044275B1
- Authority
- KR
- South Korea
- Prior art keywords
- site
- malicious
- information
- file
- event
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
본 발명은 악성 사이트 치료 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체에 관한 것으로, 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 획득 및 수집하면서 악성 요소를 추출 및 제거하여 해당 악성 사이트를 치료 후에 접속할 수 있도록 하고, 브라우저를 탑재한 데이터 통신 단말에 의해 악성 사이트를 검사 및 치료함으로써, 새로 만들어진 웹페이지라도 방문만 하면 악성 여부를 알 수 있으며, 서버의 내용이 변경되었을 경우에 이 내용을 바로 적용할 수 있고, 악성 호환프로그램을 사용하는 사이트도 검사할 수 있으며, 동적으로 바뀌는 웹문서를 제공하는 사이트에 대해서도 악성 코드를 검사 및 치료할 수 있고, 브라우저의 익스플로잇(exploit)은 계속 변경되나 익스플로잇을 통해서 실행되는 바이너리의 악성을 판단하기 때문에 변종 또는 의심되는 익스플로잇 코드를 수집 및 치료할 수 있는 이점이 있다.The present invention relates to a method for treating a malicious site, a method for collecting malicious site information, a recording medium in which a device, a system, and a computer program are recorded. The present invention relates to distributing a malicious compatible program between a site and an application through a data communication network such as the Internet, or to a malicious process. Scan and execute malicious site information and / or malicious site code information to extract and remove malicious elements so that the malicious site can be accessed after treatment. By inspecting and cleaning, even if a newly created web page is visited, you can see whether it is malicious. If the contents of the server are changed, it can be applied immediately, and the site using malicious compatibility programs can be scanned. To provide web documents that change dynamically Can also scan and clean malicious code on the site, and because the browser's exploits will continue to change, but will determine the maliciousness of the binaries that run through the exploit, it has the advantage of collecting and treating variant or suspected exploit code. .
악성 사이트, 악성 프로세스, 악성 코드, 액티브엑스, 익스플로잇 코드 Malicious Sites, Malicious Processes, Malicious Code, ActiveX, Exploit Code
Description
본 발명은 악성 사이트 치료에 관한 것으로서, 더욱 상세하게는 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 치료하는 악성 사이트 치료 방법, 악성 사이트 정보 수집 방법, 악성 사이트 치료 장치, 악성 사이트 정보 수집 장치, 악성 사이트 치료 시스템 및 악성 사이트 치료 방법을 수행하는 컴퓨터 프로그램이 기록된 기록매체에 관한 것이다.The present invention relates to the treatment of malicious sites, and more particularly, malicious site treatment method for distributing malicious compatible programs between sites and applications through data communication networks such as the Internet, or for treating sites executing malicious processes, and collecting malicious site information. The present invention relates to a recording medium on which a method, a malicious site treatment device, a malicious site information collection device, a malicious site treatment system, and a computer program for performing the malicious site treatment method are recorded.
최근 인터넷 시대라고 해도 과언이 아닐 정도로 인터넷이 보급화되면서 해킹도 인터넷을 통해서 이뤄지고 있다. 공격자는 웹서버를 해킹한 뒤 사이트의 내용을 자신의 목적대로 바꾸며, 이렇게 바뀐 사이트에 방문하게 되면 공격자가 심어 놓은 악성 코드가 실행되거나 원하지 않는 사이트로 방문하게 된다. 웹사이트의 수는 폭발적으로 증가하고 있으나 모든 웹사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어려운 것이기에 크래커(cracker)는 보안 상태가 취약한 웹사이트를 해킹하여 악성 코드를 숨겨놓고, 웹사이트에 방문하거나 웹사이트와 링크된 사이트에 방문하는 방문자들이 악성 코드에 감염되도록 하고 있다. 특히 악성 코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터 시스템이나 보안에 치명적인 피해를 가할 수 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door) 등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 식별정보(IDentification, ID)와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.It is no exaggeration to say that the Internet age has been spreading hacking through the Internet. An attacker hacks a web server and then changes the site's content to his or her purpose. Visiting such a site runs malicious code that the attacker has planted or visits an unwanted site. The number of websites is exploding, but keeping all websites at a constant level is practically difficult, so crackers hack into vulnerable websites to hide malicious code and visit websites. Visitors to sites linked to or linked to websites are infected with malware. In particular, malicious codes are designed to destroy a system or leak confidential information on a user's computer or network, which can cause a serious damage to a user's computer system or security. Malware is software that is intentionally designed to perform malicious activities, such as destroying the system or leaking information, contrary to the user's intentions and interests. Such malicious code types include hacking tools such as viruses, worms, trojans, backdoors, logic bombs, and trap doors, and malicious spywares. spyware and ad-ware. They are equipped with self-replicating or auto-propagating functions, leaking personal information such as IDentification (ID) and password, controlling target system, changing / deleting files, destroying system, denying service of application / system, leaking key data. It causes problems such as installing other hacking programs, and the damage is very diverse and serious.
이런 웹서버를 목적으로 한 해킹을 막기 위해서 웹 방화벽 같은 솔루션을 사용하기도 한다. 하지만 이런 웹 방화벽 장비는 고가이며 웹서버의 필수 사항이 아니기에 그 피해가 사용자에게 돌아가는 경우가 다반사이다.Others use solutions such as web firewalls to prevent hacking for these web servers. However, these web firewall devices are expensive and are not essential to the web server.
새로이 만들어지는 악성 코드는 기존에 만들어진 컴퓨터 백신으로 검사하거 나 치유할 수 없는 경우가 대부분이다. 따라서, 사용자가 주의를 기울이지 않으면 해당 웹사이트 서버의 관리자 및 해당 사이트 방문자가 악성 코드 감염 여부를 느끼지 못한 상태에서 네트워크를 통하여 악성 코드가 빠른 속도로 확산된다.In most cases, newly created malicious code cannot be scanned or repaired with existing computer vaccines. Therefore, if the user is not paying attention, the malicious code spreads rapidly through the network without the administrator of the website server and the visitor of the site not feeling the malware infection.
그러나, 현재까지는 악성 코드로 인하여 실질적으로 피해를 입은 웹사이트 서버 관리자 또는 사용자들이 해킹 피해 사이트나 백신 제조 사이트에 이를 신고함으로써, 후속 조치들이 이루어지는 것이 일반적이었다. 즉, 악성 코드의 발견 및 대응이 전적으로 사용자 신고 위주로 되어있어 침해 사이트를 발견하고 악성 코드 유포를 방지하는 작업이 신속하게 이루어질 수 없었다.However, until now, it has been common for website server administrators or users who have been substantially damaged by malicious code to report it to hacked victim sites or vaccine manufacturing sites, so that follow-up actions have been taken. In other words, the detection and response of malicious code is entirely user-reported, and therefore, it was not possible to quickly find an infringing site and prevent the spread of malicious code.
따라서, 실질적으로 피해자가 피해 사실을 인지하기까지 이미 급속도로 악성 코드가 번져나간 상태인 경우가 대부분이므로, 최초 유포자를 찾아내 처벌하거나 악성 코드에 감염된 모든 컴퓨터 시스템 및 서버를 치유하고 복구하는 것은 현실적으로 불가능했다. 그러므로, 이러한 악성 코드 감염에 의한 피해 확산을 방지하기 위해서는 조기에 악성 코드 감염 여부를 검사하여 신속하게 차단할 수 있는 시스템 개발이 절실하다.Therefore, in most cases, the malicious code has already spread rapidly until the victim is aware of the damage. Therefore, it is practical to find and punish the original distributor, and to heal and repair all computer systems and servers infected with the malicious code. It was impossible. Therefore, in order to prevent the spread of the damage caused by the malicious code infection, it is urgent to develop a system capable of quickly blocking the malicious code infection and blocking it quickly.
종래 기술에 따른 악성 사이트 검사 기술로는, 프록시(proxy) 방식과 네트워크 필터링(network filtering) 방식을 들 수 있다.The malicious site inspection technique according to the prior art includes a proxy method and a network filtering method.
종래의 프록시 방식은 웹문서를 대신 받아서 파싱(parsing)하여 검사하는 방 식인데, 웹문서를 대신 받고 분석 후에 브라우저(browser)에 보내기 때문에 성능 저하가 심하며, 파서(parser)가 모든 웹문서를 분석할 수 없는 문제점이 있다.The conventional proxy method is a method of receiving and parsing a web document instead of inspecting the web document. The performance is severely degraded because the web document is received and sent to a browser after analysis, and the parser analyzes all web documents. There is a problem that cannot be done.
종래의 네트워크 필터링 방식은 네트워크의 중간 레벨에서 모든 데이터를 필터링하는 방식으로서, 데이터를 파싱하거나 패턴(pattern)을 찾는 방식이다. 그런데 모든 데이터를 검사하여야 하기 때문에 성능 저하가 심하며, 새로 만들어진 패턴이나 변형된 패턴에 대해서는 악성 코드를 찾을 수 없는 문제점이 있다.The conventional network filtering method is a method of filtering all data at an intermediate level of a network, by parsing data or finding a pattern. However, since all data has to be examined, performance is severely degraded, and there is a problem in that malicious code cannot be found for newly created patterns or modified patterns.
특히, 종래의 프록시 방식과 네트워크 필터링 방식은 공히 악성 사이트의 검사에 관련한 문제점뿐만 아니라 악성 사이트에 포함된 위험 요소를 수집하거나 제거할 수 없었기 때문에 악성 사이트를 치료하지 못하는 문제점이 있다.In particular, the conventional proxy method and the network filtering method have a problem in that they cannot treat malicious sites because they cannot collect or remove the risk factors included in the malicious sites as well as problems related to the inspection of the malicious sites.
본 발명은 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 수집함과 아울러 악성 요소를 추출 및 제거한다.The present invention collects malicious site information and / or malicious site code information by extracting malicious site information and / or malicious site code information by distributing malicious compatible programs between sites and applications or executing malicious processes through a data communication network such as the Internet. Remove
본 발명은 사용자가 방문하는 사이트와 그 사이트에서 실행되는 코드를 인터넷 등과 같은 데이터 통신망에 접속하는 데이터 통신 단말에서 검사할 수 있다. 브라우저의 행위를 실시간 감시하고 브라우저가 방문하는 사이트에서 실행되려고 하는 코드를 검사한 후에 악성 여부를 판단하고 악성이면 해당 코드를 제거한다. 데이터 통신 단말에서 브라우저가 방문하는 사이트를 실시간으로 검사 및 치료하기 때문에 모든 사이트를 안전하게 방문할 수 있다.According to the present invention, a site visited by a user and code executed in the site can be inspected by a data communication terminal connected to a data communication network such as the Internet. It monitors the behavior of the browser in real time, examines the code that is about to run on the site that the browser visits, determines whether it is malicious, and removes the code if it is malicious. Since the data communication terminal inspects and treats the site visited by the browser in real time, all sites can be visited safely.
본 발명의 제 1 관점으로서 악성 사이트 치료 방법은, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 사이트 페이지 정보를 획득하는 단계와, 상기 사이트와 응용프로그램간 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 상기 호환프로그램의 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와, 상기 호환프로그램이 악성으로 확인되면 상기 호환프로그램을 추출 및 제거하여 치료하면서 상기 사이트 페이지 정보와 상기 호환프로그램의 정보 및 상기 사이트의 치료 정보를 악성 사이트 정보로 획득하는 단계를 포함할 수 있다.According to a first aspect of the present invention, a malicious site treatment method includes: acquiring site page information when a browsing event of the site is detected by a browser activated for accessing a site provided through a communication network, and the site and application program. Checking whether the compatible program is malicious while acquiring information of the compatible program when the browser loads the interoperable program is detected; and extracting and removing the compatible program when the compatible program is identified as malicious, and then treating it. And acquiring the site page information, the information of the compatible program, and the treatment information of the site as malicious site information.
여기서, 상기 치료 방법은, 상기 사이트 페이지 정보의 획득을 위해 상기 브라우저의 이벤트를 감시하는 환경을 설정하는 단계와, 상기 호환프로그램의 정보를 획득하기 위해 상기 브라우저에 의한 상기 호환프로그램의 로드를 감시하는 환경을 설정하는 단계를 더 포함할 수 있다.The treatment method may include setting an environment for monitoring an event of the browser to obtain the site page information, and monitoring a load of the compatible program by the browser to obtain information of the compatible program. The method may further include setting an environment.
상기 이벤트는, 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하여 감시할 수 있다.The event may be generated and monitored by a connection program called and executed by the browser.
상기 연결 프로그램은, 브라우저 헬퍼 오브젝트(browser helper object)일 수 있다.The connection program may be a browser helper object.
상기 로드는, 동적 링크 라이브러리 파일의 식별자를 후킹하여 감시할 수 있다.The load can be monitored by hooking the identifier of the dynamic link library file.
상기 호환프로그램은 액티브엑스(ActiveX)이고, 상기 동적 링크 라이브러리 파일은 URLMon.dll이며, 상기 식별자는 CoGetClassObject 함수일 수 있다.The compatible program is ActiveX, the dynamic link library file is URLMon.dll, and the identifier may be a CoGetClassObject function.
상기 치료 방법은, 상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보의 획득 이전에 상기 악성 사이트 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트를 치료할 수 있다.In the treatment method, when the search event is detected, the malicious site information may be used before the acquisition of the site page information to determine whether the malicious site is malicious.
상기 치료 방법은, 상기 악성 사이트 정보를 저장하거나 상기 통신망을 통해 전송할 수 있다.The treatment method may store the malicious site information or transmit the information through the communication network.
상기 사이트 페이지 정보는, 쓰레드(thread) 식별정보를 키(key)로 하여 획득할 수 있다.The site page information can be obtained by using thread identification information as a key.
상기 사이트 페이지 정보의 획득은, 기 획득된 사이트 페이지 정보에서 상기 쓰레드에 웹링크 노드가 있는지 확인한 후에 상기 웹링크 노드가 없다면 메인 웹링크 노드로 등록하나 상기 쓰레드에 상기 웹링크 노드가 있다면 프레임 웹링크 노드로 등록할 수 있다.Acquiring the site page information, after checking whether the thread has a web link node in the acquired site page information, registers as a main web link node if there is no web link node, but if the thread has the web link node, a frame web link You can register as a node.
상기 악성 사이트 정보는, 상기 사이트 페이지 정보와 상기 호환프로그램의 정보를 연결하여 획득할 수 있다.The malicious site information may be obtained by connecting the site page information and the information of the compatible program.
상기 악성 사이트 정보는, 상기 호환프로그램이 악성으로 확인되면 상기 호환프로그램의 정보를 참조하여 해당 호환프로그램을 로드하는 상기 쓰레드 식별정보를 참고로 상기 사이트 페이지 정보에서 상기 웹링크 노드를 찾으며, 상기 웹링크 노드의 웹문서를 파싱(parsing)하여 해당 호환프로그램 태그(tag)가 존재하는지 확인하여 상기 호환프로그램 태그가 있으면 해당 웹링크 노드를 상기 악성 사이트 정보로 획득할 수 있다.The malicious site information, when the compatible program is identified as malicious, finds the web link node in the site page information by referring to the thread identification information that loads the compatible program by referring to the information of the compatible program. Parsing the web document of the node to check whether the corresponding compatible program tag exists, and if the compatible program tag exists, the corresponding web link node can be obtained as the malicious site information.
상기 악성 사이트 정보는, 상기 해당 웹링크 노드에 상기 호환프로그램 태그가 없으면 자식 웹링크 노드를 대상으로 상기 악성 사이트 정보를 획득할 수 있다.The malicious site information may acquire the malicious site information for a child web link node when the compatible program tag is not present in the corresponding web link node.
상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보와 함께 사이트 코드 정보를 획득하며, 상기 치료 방법은, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와, 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와, 상기 파일의 비정상적 실행이 확인되면 상기 파일을 추출 및 제거하여 치료하면서 상기 사이트 페이지 정보와 상기 사이트 코드 정보, 상기 프로세스 정보 및 상기 사이트의 치료 정보를 악성 사이트 코드 정보로 획득하는 단계를 더 포함할 수 있다.Acquiring site code information together with the site page information when the search event is detected; and, in the treatment method, checking whether the file is malicious while acquiring process information when a file load is detected; If it is confirmed that the abnormal execution of the file, and if the abnormal execution of the file is confirmed by extracting and removing the file while the site page information, the site code information, the process information and the treatment of the site The method may further include obtaining information as malicious site code information.
본 발명의 제 2 관점에 따른 악성 사이트 치료 방법은, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 사이트 페이지 정보 및 사이트 코드 정보를 획득하는 단계와, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와, 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와, 상기 파일의 비정상적 실행이 확인되면 상기 파일을 추출 및 제거하여 치료하면서 상기 사이트 페이지 정보와 상기 사이트 코드 정보, 상기 프로세스 정보 및 상기 사이트의 치료 정보를 악성 사이트 코드 정보로 획득하는 단계를 포함할 수 있다.According to a second aspect of the present invention, there is provided a method for treating a malicious site, the method comprising: acquiring site page information and site code information when a detection event of the site is detected by a browser activated for access to a site provided through a communication network; Checking whether the file is malicious while acquiring process information when the load of the file is detected; checking whether the file is abnormally executed when the file is identified as malicious; and if abnormal execution of the file is confirmed; The method may include obtaining the site page information, the site code information, the process information, and the treatment information of the site as malicious site code information while extracting and removing a file and treating the file.
여기서, 상기 치료 방법은, 상기 사이트 페이지 정보 및 사이트 코드 정보의 획득을 위해 상기 브라우저의 이벤트를 감시하는 환경을 설정하는 단계와, 상기 프로세스 정보의 획득을 위해 상기 파일의 로드를 감시하는 환경을 설정하는 단계를 더 포함할 수 있다.The treatment method may include setting an environment for monitoring an event of the browser for obtaining the site page information and site code information, and setting an environment for monitoring the loading of the file for obtaining the process information. It may further comprise the step.
상기 이벤트는, 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하여 감시할 수 있다.The event may be generated and monitored by a connection program called and executed by the browser.
상기 연결 프로그램은, 브라우저 헬퍼 오브젝트(browser helper object)일 수 있다.The connection program may be a browser helper object.
상기 로드,는 브라우저 프로세스의 식별자를 후킹하여 감시할 수 있다.The load may be monitored by hooking an identifier of the browser process.
상기 치료 방법은, 상기 파일이 악성이 아닌 것으로 확인되면 신규 브라우저 프로세스의 식별자를 후킹할 수 있다.The treatment method may hook the identifier of the new browser process if the file is found to be not malicious.
상기 식별자는 CreateProcess 함수일 수 있다.The identifier may be a CreateProcess function.
상기 치료 방법은, 상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보 및 사이트 코드 정보의 획득 이전에 상기 악성 사이트 코드 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트를 치료할 수 있다.In the treatment method, when the search event is detected, the malicious site code information may be used before the acquisition of the site page information and the site code information to determine whether the malicious site is malicious.
상기 비정상적 실행 여부는, 상기 파일이 상기 사이트와 응용프로그램간 호환프로그램에 의해 실행되거나 사용자에 의해 실행되었는지를 확인할 수 있다.The abnormal execution may determine whether the file is executed by a compatible program between the site and an application program or by a user.
상기 치료 방법은, 상기 악성 사이트 코드 정보를 저장하거나 상기 통신망을 통해 전송할 수 있다.The treatment method may store or transmit the malicious site code information through the communication network.
상기 사이트 페이지 정보 및 사이트 코드 정보는, 쓰레드(thread) 식별정보 를 키(key)로 하여 획득할 수 있다.The site page information and site code information can be obtained by using thread identification information as a key.
상기 사이트 페이지 정보 및 사이트 코드 정보의 획득은, 기 획득된 사이트 코드 정보에서 상기 쓰레드에 웹링크 사이트 코드 노드가 있는지 확인한 후에 상기 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 상기 쓰레드에 상기 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록할 수 있다.Acquiring the site page information and site code information, after confirming whether the thread has a web link site code node in the acquired site code information, registers as a main web link site code node if there is no web link site code node, but the thread If the web link site code node is present, the web link site code node may be registered as a frame web link site code node.
상기 악성 사이트 코드 정보는, 상기 프로세스 정보 중에서 현재 프로세스의 부모 정보와 함께 상기 부모 정보 중에서 쓰레드(thread) 식별정보를 키(key)로 하는 상기 사이트 페이지 정보 및 사이트 코드 정보를 상기 악성 사이트 코드 정보로 획득할 수 있다.The malicious site code information includes, as the malicious site code information, the site page information and site code information having a thread identification information as a key in the parent information together with the parent information of the current process in the process information. Can be obtained.
상기 치료 방법은, 상기 파일의 정상적 실행이 확인되면 상기 사이트 페이지 정보를 악성 사이트 정보로 획득하는 단계를 더 포함할 수 있다.The treatment method may further include acquiring the site page information as malicious site information when the normal execution of the file is confirmed.
본 발명의 제 3 관점에 따라 전술한 악성 사이트 치료 방법을 수행하는 컴퓨터 프로그램이 기록된 기록매체를 제공할 수 있다.According to a third aspect of the present invention, it is possible to provide a recording medium on which a computer program for performing the above-described malicious site treatment method is recorded.
본 발명의 제 4 관점에 따른 악성 사이트 정보 수집 방법은, 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 치료하는 방법을 활용하여 악성 사이트 정보를 수집하는 방법으로서, 상기 치료하는 방법은, 상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤 트가 감지되면 사이트 페이지 정보를 획득하는 단계와, 상기 사이트와 응용프로그램간 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 상기 호환프로그램의 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와, 상기 호환프로그램이 악성으로 확인되면 상기 호환프로그램을 추출 및 제거하여 치료하면서 상기 사이트 페이지 정보와 상기 호환프로그램의 정보 및 상기 사이트의 치료 정보를 상기 악성 사이트 정보로 획득하는 단계를 포함하며, 상기 수집하는 방법은, 상기 통신망을 통해 상기 악성 사이트 정보를 수집하여 데이터베이스화할 수 있다.The malicious site information collection method according to the fourth aspect of the present invention is a method of collecting malicious site information by using a method of treating a malicious site that distributes a malicious compatible program between a site and an application program through a communication network. The method may include acquiring site page information when a search event of the site is detected by a browser activated for accessing the site, and when the load of the browser is detected for a compatible program between the site and an application program. Checking whether the compatible program is malicious while acquiring information of a compatible program; and if the compatible program is identified as malicious, extracting and removing the compatible program, and treating the site program information and information of the compatible program and the site. Treatment of the malignant remind And a step of acquiring a byte information, and wherein the collecting is, by collecting the malicious site information through the communication network can databasing.
본 발명의 제 5 관점에 따른 악성 사이트 정보 수집 방법은, 악성 프로세스를 실행하는 악성 사이트를 치료하는 방법을 활용하여 악성 사이트 코드 정보를 수집하는 방법으로서, 상기 치료하는 방법은, 상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 사이트 페이지 정보 및 사이트 코드 정보를 획득하는 단계와, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와, 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와, 상기 파일의 비정상적 실행이 확인되면 상기 파일을 추출 및 제거하여 치료하면서 상기 사이트 페이지 정보와 상기 사이트 코드 정보, 상기 프로세스 정보 및 상기 사이트의 치료 정보를 악성 사이트 코드 정보로 획득하는 단계를 포함하며, 상기 수집하는 방법은, 통신망을 통해 상기 악성 사이트 코드 정보를 수집하여 데이터베이스화할 수 있다.The malicious site information collection method according to the fifth aspect of the present invention is a method of collecting malicious site code information by using a method of treating a malicious site that executes a malicious process, and the treating method includes accessing the site. Acquiring site page information and site code information when a browsing event of the site is detected by a browser that is activated for the purpose of detecting the site; and confirming whether the file is malicious while acquiring process information when a load of the file is detected; Determining whether the file is abnormally executed if the file is identified as malicious; and extracting and removing the file and treating the file if the file is abnormally executed, and treating the site page information, the site code information, the process information, and the Malicious site code information of the site's treatment information And a step of obtaining, the method for the collection, it is possible to collect the malignant site code information through a communication network databasing.
본 발명의 제 6 관점에 따른 악성 사이트 치료 장치는, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트 및 상기 사이트와 응용프로그램간 호환프로그램에 대한 상기 브라우저의 로드를 감지하는 이벤트 감시부와, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 상기 호환프로그램의 악성 여부를 확인하여 악성으로 확인되면 상기 호환프로그램을 추출 및 제거하는 악성 요소 제거부와, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 사이트 페이지 정보를 획득하고, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 상기 호환프로그램의 정보를 획득하며, 상기 악성 요소 제거부에 의해 상기 호환프로그램이 추출 및 제거되면 상기 사이트 페이지 정보와 상기 호환프로그램의 정보 및 상기 사이트의 치료 정보를 악성 사이트 정보로 획득하는 정보 관리부를 포함할 수 있다.Malicious site treatment apparatus according to a sixth aspect of the present invention, the browsing event of the site by the browser is activated for access of the site provided through the communication network and the load of the browser for the compatible program between the site and the application program An event monitoring unit for detecting and detecting a load of the compatible program when the event monitoring unit detects the malicious program, and removes and removes the compatible program when the malicious program is detected as malicious, and the event Acquire site page information when the search event is detected by the monitoring unit, obtain information of the compatible program when the load of the compatible program is detected by the event monitoring unit, and obtain the information of the compatible program by the malicious element removing unit. Once site is extracted and removed And the information and treatment information of the site of the compatible programs can include information management to obtain information to a malicious site.
여기서, 상기 이벤트 감시부는, 상기 이벤트를 감시하기 위해 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성할 수 있다.Here, the event monitoring unit may generate a connection program called and executed by the browser to monitor the event.
상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)일 수 있다.The connection program may be a browser helper object.
상기 이벤트 감시부는, 상기 로드를 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹할 수 있다.The event monitor may hook an identifier of a dynamic link library file to monitor the load.
상기 호환프로그램은 액티브엑스(ActiveX)이고, 상기 동적 링크 라이브러리 파일은 URLMon.dll이며, 상기 식별자는 CoGetClassObject 함수일 수 있다.The compatible program is ActiveX, the dynamic link library file is URLMon.dll, and the identifier may be a CoGetClassObject function.
상기 악성 요소 제거부는, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 상기 악성 사이트 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트를 치료할 수 있다.When the search event is detected by the event monitoring unit, the malicious element removal unit may use the malicious site information to check whether the malicious element is malicious, and, when the malicious element is malicious, treat the corresponding site.
상기 치료 장치는, 상기 악성 사이트 정보를 저장하는 정보 저장부를 더 포함할 수 있다.The treatment apparatus may further include an information storage unit which stores the malicious site information.
상기 치료 장치는, 상기 악성 사이트 정보를 상기 통신망을 통해 전송하는 데이터 통신부를 더 포함할 수 있다.The treatment apparatus may further include a data communication unit configured to transmit the malicious site information through the communication network.
상기 정보 관리부는, 쓰레드(thread) 식별정보를 키(key)로 하여 상기 사이트 페이지 정보를 획득할 수 있다.The information manager may acquire the site page information by using thread identification information as a key.
상기 정보 관리부는, 기 획득된 사이트 페이지 정보에서 상기 쓰레드에 웹링크 노드가 있는지 확인한 후에 상기 웹링크 노드가 없다면 메인 웹링크 노드로 등록하나 상기 쓰레드에 상기 웹링크 노드가 있다면 프레임 웹링크 노드로 등록할 수 있다.The information manager, after checking whether the thread has a web link node in the acquired site page information, registers as a main web link node if there is no web link node, but registers as a frame web link node if the thread has the web link node. can do.
상기 정보 관리부는, 상기 사이트 페이지 정보와 상기 호환프로그램의 정보를 연결하여 상기 악성 사이트 정보를 획득할 수 있다.The information manager may obtain the malicious site information by connecting the site page information and the information of the compatible program.
상기 정보 관리부는, 상기 악성 요소 제거부에 의해 상기 호환프로그램이 악성으로 확인되면 상기 호환프로그램의 정보를 참조하여 해당 호환프로그램을 로드하는 상기 쓰레드 식별정보를 참고로 상기 사이트 페이지 정보에서 상기 웹링크 노드를 찾으며, 상기 웹링크 노드의 웹문서를 파싱(parsing)하여 해당 호환프로그램 태그(tag)가 존재하는지 확인하여 상기 호환프로그램 태그가 있으면 해당 웹링크 노드를 상기 악성 사이트 정보로 획득할 수 있다.If the compatible program is identified as malicious by the malicious element removal unit, the information manager refers to the web link node in the site page information by referring to the thread identification information that loads the compatible program by referring to the information of the compatible program. Find and check whether the compatible program tag exists by parsing the web document of the web link node, and if the compatible program tag exists, the web link node may be obtained as the malicious site information.
상기 정보 관리부는, 상기 해당 웹링크 노드에 상기 호환프로그램 태그가 없으면 자식 웹링크 노드를 대상으로 상기 악성 사이트 정보를 획득할 수 있다.If the corresponding web link node does not have the compatible program tag, the information manager may acquire the malicious site information for a child web link node.
상기 이벤트 감시부는, 파일의 로드를 감지하며, 상기 악성 요소 제거부는, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하고, 상기 정보 관리부는, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보와 함께 사이트 코드 정보를 획득하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프로세스 정보를 획득하고, 상기 악성 요소 제거부에 의해 상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득할 수 있다.The event monitoring unit detects the load of the file, and the malicious element removing unit checks whether the file is malicious when the load of the file is detected by the event monitoring unit, and when the file is identified as malicious, abnormal of the file. Check whether it is executed, and the information manager acquires site code information together with the site page information when the search event is detected by the event monitor, and when the load of the file is detected by the event monitor, When the information is obtained and abnormal execution of the file is confirmed by the malicious element removing unit, the site page information, the site code information, and the process information may be obtained as malicious site code information.
본 발명의 제 7 관점에 따른 악성 사이트 치료 장치는, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트와 파일의 로드를 감지하는 이벤트 감시부와, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인한 후에 비정상적 실행으로 확인되면 해당 파일을 추출 및 제거하여 치료하는 악성 요소 제거부와, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 페이지 정보 및 사이트 코드 정보를 획득하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프 로세스 정보를 획득하고, 상기 악성 요소 제거부에 의해 상기 파일이 추출 및 제거되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보, 상기 프로세스 정보 및 상기 사이트의 치료 정보를 악성 사이트 코드 정보로 획득하는 정보 관리부를 포함할 수 있다.Malicious site treatment apparatus according to a seventh aspect of the present invention, the event monitoring unit for detecting the load of the browsing events and files of the site by the browser is activated for access to the site provided through the communication network, and the event monitoring unit When the load of the file is detected by checking whether the file is malicious, if the file is identified as malicious, after checking whether the file is abnormally executed, and if it is determined to be abnormally executed, extracts and removes the file and removes the malicious component. When the search event is detected by the event monitoring unit, the corresponding site page information and site code information are obtained. When the load of the file is detected by the event monitoring unit, the process information is obtained. When the file is extracted and removed by the remover, the site page Information and treatment information for the site code information, said process information, and the site may contain information management to obtain code information to a malicious site.
여기서, 상기 이벤트 감지부는, 상기 이벤트를 감시하기 위해 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성할 수 있다.Here, the event detector may generate a connection program called and executed by the browser to monitor the event.
상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)일 수 있다.The connection program may be a browser helper object.
상기 이벤트 감지부는, 상기 로드를 감시하기 위해 브라우저 프로세스의 식별자를 후킹할 수 있다.The event detector may hook an identifier of a browser process to monitor the load.
상기 이벤트 감지부는, 상기 악성 코드 감지부에 의해 상기 파일이 악성이 아닌 것으로 확인되면 신규 브라우저 프로세스의 식별자를 후킹할 수 있다.The event detection unit may hook an identifier of a new browser process when the malicious code detection unit determines that the file is not malicious.
상기 식별자는 CreateProcess 함수일 수 있다.The identifier may be a CreateProcess function.
상기 악성 요소 제거부는, 상기 이벤트 감지부에 의해 상기 탐색 이벤트가 감지되면 상기 악성 사이트 코드 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트를 치료할 수 있다.When the search event is detected by the event detection unit, the malicious element removal unit checks whether or not the malicious site is malicious by using the malicious site code information, and, in the case of malicious, may treat the corresponding site.
상기 악성 요소 제거부는, 상기 파일이 상기 사이트와 응용프로그램간 호환프로그램에 의해 실행되거나 사용자에 의해 실행되었는지를 확인하여 상기 비정상적 실행 여부를 확인할 수 있다.The malicious element removal unit may check whether the file is abnormally executed by checking whether the file is executed by a compatible program between the site and an application program or by a user.
상기 치료 장치는, 상기 악성 사이트 코드 정보를 저장하는 정보 저장부를 더 포함할 수 있다.The treatment apparatus may further include an information storage unit which stores the malicious site code information.
상기 치료 장치는, 상기 악성 사이트 코드 정보를 상기 통신망을 통해 전송하는 데이터 통신부를 더 포함할 수 있다.The treatment apparatus may further include a data communication unit configured to transmit the malicious site code information through the communication network.
상기 정보 관리부는, 쓰레드(thread) 식별정보를 키(key)로 하여 상기 사이트 페이지 정보 및 사이트 코드 정보를 획득할 수 있다.The information manager may acquire the site page information and the site code information by using thread identification information as a key.
상기 정보 관리부는, 기 획득된 사이트 코드 정보에서 상기 쓰레드에 웹링크 사이트 코드 노드가 있는지 확인한 후에 상기 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 상기 쓰레드에 상기 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록하여 상기 사이트 페이지 정보 및 사이트 코드 정보를 획득할 수 있다.The information manager checks whether the thread has a web link site code node in the acquired site code information, and if the web link site code node is not present, registers as a main web link site code node, but the web link site code node in the thread. If present, the site page information and site code information can be obtained by registering as a frame web link site code node.
상기 정보 관리부는, 상기 프로세스 정보 중에서 현재 프로세스의 부모 정보와 함께 상기 부모 정보 중에서 쓰레드(thread) 식별정보를 키(key)로 하는 상기 사이트 페이지 정보 및 사이트 코드 정보를 상기 악성 사이트 코드 정보로 획득할 수 있다.The information manager may acquire the site page information and the site code information using the thread identification information as a key from the parent information together with the parent information of the current process among the process information as the malicious site code information. Can be.
상기 정보 관리부는, 상기 악성 요소 제거부에 의해 상기 파일의 정상적 실행이 확인되면 상기 사이트 페이지 정보를 악성 사이트 정보로 획득할 수 있다.The information management unit may acquire the site page information as malicious site information when the normal execution of the file is confirmed by the malicious element removing unit.
본 발명의 제 8 관점에 따른 악성 사이트 정보 수집 장치는, 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 치료하는 장치를 활용하여 악성 사이트 정보를 수집하는 장치로서, 상기 치료하는 장치는, 상기 사이트의 접속을 위해 활성화되는 브라우저가 로드하는 호환프로그램이 악성으로 확인되면 상기 호환프로그램을 추출 및 제거하여 치료하면서 해당 사이트 페이지 정보와 상기 호환프로그램의 정보 및 해당 사이트의 치료 정보를 악성 사이트 정보로 획득하며, 상기 수집하는 장치는, 상기 통신망을 통해 상기 악성 사이트 정보를 수집하는 데이터 수집 서버와, 데이터베이스화된 상기 악성 사이트 정보를 저장하는 악성 사이트 데이터베이스를 포함할 수 있다.The malicious site information collecting device according to the eighth aspect of the present invention is a device for collecting malicious site information by using a device for treating malicious sites distributing malicious compatible programs between sites and applications through a communication network. If the compatible program loaded by the browser activated for access to the site is identified as malicious, the device extracts and removes the compatible program, and then treats the malicious page information, the information of the compatible program, and the treatment information of the corresponding site. Acquiring the site information, the collecting device may include a data collection server for collecting the malicious site information through the communication network, and a malicious site database for storing the database of malicious site information.
본 발명의 제 9 관점에 따른 악성 사이트 정보 수집 장치는, 악성 프로세스를 실행하는 악성 사이트를 치료하는 장치를 활용하여 악성 사이트 코드 정보를 수집하는 장치로서, 상기 치료하는 장치는, 상기 사이트의 접속을 위해 활성화되는 브라우저가 로드하는 파일이 악성으로 확인 및 비정상적 실행으로 확인되면 상기 파일을 추출 및 제거하여 치료하면서 해당 사이트 페이지 정보와 사이트 코드 정보, 프로세스 정보 및 해당 사이트의 치료 정보를 악성 사이트 코드 정보로 획득하며, 상기 수집하는 장치는, 통신망을 통해 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버와, 데이터베이스화된 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스를 포함할 수 있다.A malicious site information collecting device according to a ninth aspect of the present invention is a device for collecting malicious site code information by using a device for treating a malicious site that executes a malicious process, wherein the treating device is configured to access the site. If the file loaded by the browser activated by the browser is identified as malicious and abnormally executed, the file is extracted, removed, and cleaned, and the site page information, site code information, process information, and the site's cleaning information are converted into malicious site code information. The acquiring and collecting device may include a data collection server that collects the malicious site code information through a communication network, and a malicious site database that stores the malicious site code information in a database.
본 발명의 제 10 관점에 따른 악성 사이트 치료 시스템은, 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 악성 사이트를 치료하는 시스템으로서, 상기 사이트의 접속을 위해 활성화되는 브 라우저가 로드하는 호환프로그램이 악성으로 확인되면 상기 호환프로그램을 추출 및 삭제하여 치료하면서 해당 사이트 페이지 정보와 상기 호환프로그램의 정보 및 사이트 치료 정보를 악성 사이트 정보로 획득하거나 로드하는 파일이 악성으로 확인 및 비정상적 실행으로 확인되면 상기 파일을 추출 및 삭제하여 치료하면서 해당 사이트 페이지 정보와 사이트 코드 정보, 프로세스 정보 및 사이트 치료 정보를 악성 사이트 코드 정보로 획득하는 악성 사이트 치료 장치를 포함하는 데이터 통신 단말과, 상기 통신망을 통해 상기 악성 사이트 정보 또는 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버, 데이터베이스화된 상기 악성 사이트 정보 또는 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스를 포함하는 악성 사이트 정보 수집 장치를 포함할 수 있다.The malicious site treatment system according to the tenth aspect of the present invention is a system for distributing a malicious compatible program between a site and an application through a communication network or for treating a malicious site executing a malicious process. When the compatible program loaded by the browser is identified as malicious, the file which acquires or loads the corresponding site page information, the information of the compatible program and the site cleaning information as malicious site information is identified as malicious while extracting and deleting the compatible program and treating it. A data communication terminal including a malicious site treatment device which extracts and deletes the file and treats the site page information, the site code information, the process information, and the site treatment information as malicious site code information when it is determined to be abnormally executed; barrel And a malicious site information collecting device including a malicious data collection server for collecting the malicious site information or the malicious site code information through a trust network, and a malicious site database for storing the malicious site information or the malicious site code information. Can be.
본 발명의 실시예에 의하면, 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 획득 및 수집하면서 악성 요소를 추출 및 제거하여 해당 악성 사이트를 치료 후에 접속할 수 있도록 한다.According to an embodiment of the present invention, while acquiring and collecting malicious site information and / or malicious site code information by inspecting a site for distributing malicious compatible programs between sites and applications or executing a malicious process through a data communication network such as the Internet, etc. By extracting and removing malicious elements, the malicious site can be accessed after treatment.
아울러, 브라우저를 탑재한 데이터 통신 단말에 의해 악성 사이트를 검사 및 치료함으로써, 새로 만들어진 웹페이지라도 방문만 하면 악성 여부를 알 수 있으며, 서버의 내용이 변경되었을 경우에 이 내용을 바로 적용할 수 있고, 악성 호환 프로그램을 사용하는 사이트도 검사할 수 있으며, 동적으로 바뀌는 웹문서(예, ajax)를 제공하는 사이트에 대해서도 악성 코드를 검사 및 치료할 수 있다.In addition, by inspecting and treating malicious sites with a data communication terminal equipped with a browser, it is possible to know whether or not even newly created web pages are malicious by simply visiting them, and when the contents of the server are changed, the contents can be immediately applied. It can also scan sites that use malicious-compatible programs, and even scan and repair malicious code for sites that deliver dynamically changing web documents (such as ajax).
또한, 브라우저의 익스플로잇(exploit)은 계속 변경되나 익스플로잇을 통해서 실행되는 바이너리의 악성을 판단하기 때문에 변종 또는 의심되는 익스플로잇 코드를 수집 및 치료할 수 있다.In addition, browser exploits continue to change, but because they determine the malicious nature of binaries executed through exploits, they can collect and disinfect variants or suspect exploit code.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the embodiments of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be based on the contents throughout this specification.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Combinations of each block of the accompanying block diagram and each step of the flowchart may be performed by computer program instructions. These computer program instructions may be mounted on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment such that instructions executed through the processor of the computer or other programmable data processing equipment may not be included in each block or flowchart of the block diagram. It will create means for performing the functions described in each step. These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory. It is also possible for the instructions stored in to produce an article of manufacture containing instruction means for performing the functions described in each block or flow chart step of the block diagram. Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing a specified logical function (s). It should also be noted that in some alternative embodiments, the functions noted in the blocks or steps may occur out of order. For example, the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.
도 1은 본 발명의 실시예에 따른 악성 사이트 치료 시스템의 네트워크 구성도이며, 도 2는 본 발명의 실시예에 따른 악성 사이트 치료 장치의 세부 구성도이고, 도 3은 본 발명의 실시예에 따른 악성 사이트 정보 수집 장치의 세부 구성도이다.1 is a network configuration diagram of a malicious site treatment system according to an embodiment of the present invention, Figure 2 is a detailed configuration diagram of a malicious site treatment apparatus according to an embodiment of the present invention, Figure 3 according to an embodiment of the present invention Detailed configuration diagram of a malicious site information collection device.
도 1 내지 도 3을 참조하면 본 발명의 실시예에 따른 악성 사이트 치료 시스템은, 인터넷 등과 같은 데이터 통신망(200)을 통해 웹서버에 자료를 요청하거나 웹서버로부터 자료를 제공받는 클라이언트 프로그램인 브라우저(110) 및 웹환경에서 사이트와 응용프로그램간 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사 및 치료하는 악성 사이트 치료 장치(120)를 포함하는 데이터 통신 단말(100)과, 악성 사이트 치료 장치(120)에 의한 악성 사이트 검사 결과에 따라 데이터 통신망(200)을 통해 악성 사이트 정보 및 악성 사이트 코드 정보를 수집하는 악성 사이트 정보 수집 장치(300)를 포함한다.1 to 3 is a malicious site treatment system according to an embodiment of the present invention, a browser that is a client program that requests data from or receives data from a web server through a
악성 사이트 치료 장치(120)는 이벤트 감시부(121), 악성 요소 제거부(123), 정보 관리부(125), 정보 저장부(127), 데이터 통신부(129) 등을 포함한다.The malicious
이벤트 감시부(121)는 데이터 통신망(200)을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저(110)에 의한 사이트의 탐색 이벤트, 사이트와 응용프로그램간 호환프로그램에 대한 브라우저(110)의 로드, 파일의 로드 등을 감지한다. 이를 위해 감시 환경을 설정하는데, 이벤트를 감시하기 위해 브라우저(110)에 의해 불리어서 실행되는 연결 프로그램을 생성하며, 호환프로그램의 로드를 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹(hooking)하고, 파일의 로드를 감시하기 위해 브라우저 프로세스의 식별자를 후킹한다.
악성 요소 제거부(123)는 이벤트 감시부(121)에 의해 호환프로그램 또는 파일의 로드가 감지되면 해당 호환프로그램 또는 해당 파일의 악성 여부를 확인하며, 악성으로 확인되면 해당 호환프로그램이나 해당 파일 등의 악성 요소를 추출하여 제거한다.When the malicious component removal unit 123 detects a load of a compatible program or file by the
정보 관리부(125)는 이벤트 감시부(121)에 의해 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하고, 이벤트 감시부(121)에 의해 호환프로그램의 로드가 감지되면 해당 호환프로그램 정보를 획득하며, 이벤트 감시부(121)에 의해 파일의 로드가 감지되면 프로세스 정보를 획득하고, 악성 요소 제거부(123)에 의해 악성 요소가 추출 및 제거되면 사이트 페이지 정보, 호환프로그램 정보, 프로세스 정보, 사이트 치료 정보 등을 악성 사이트 정보로 획득한다.The
정보 저장부(127)는 정보 관리부(125)에 의해 획득된 사이트 페이지 정보, 호환프로그램 정보, 프로세스 정보, 사이트 치료 정보 등을 저장한다. 이러한 정보 저장부(127)는 정보 관리부(125)가 내부 메모리 등을 활용하여 관련 데이터를 저장하거나 데이터 통신부(129)를 통해 악성 사이트 정보 수집 장치(300)간에 관련 데 이터를 상호 실시간 전송하는 경우에는 생략할 수도 있다.The
데이터 통신부(129)는 정보 관리부(125)에 의해 획득된 사이트 페이지 정보, 호환프로그램 정보, 프로세스 정보, 사이트 치료 정보 등의 악성 사이트 정보를 데이터 통신망(200)을 통해 악성 사이트 정보 수집 장치(300)에게 전송한다. 이러한 데이터 통신부(129)는 악성 사이트 치료 장치(120)와 악성 사이트 정보 수집 장치(300)간에 악성 사이트 정보 등의 관련 데이터를 상호 전송하지 않고 악성 사이트 치료 장치(120)가 독립적으로 구동되는 경우에는 생략할 수도 있다.The
악성 사이트 정보 수집 장치(300)는 데이터 통신망(200)을 통해 악성 사이트 치료 장치(120)로부터 악성 사이트 정보 등을 수집하여 데이터베이스화한다. 이러한 악성 사이트 정보 수집 장치(300)는 데이터 수집 서버(310), 악성 사이트 데이터베이스(320)를 포함한다.The malicious site
데이터 수집 서버(310)는 데이터 통신망(200)을 통해 악성 사이트 치료 장치(120)로부터 악성 사이트 정보 등을 수집하며, 악성 사이트 데이터베이스(320)는 데이터 수집 서버(310)에 의해 데이터베이스화된 악성 사이트 정보 등을 저장한다.The
도 4 및 도 5는 본 발명에 따른 악성 사이트 치료 장치에 의해 웹환경에서 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 치료하는 방법을 설명하기 위한 도면으로서, 도 4는 흐름도이고, 도 5는 개념도이다.4 and 5 are diagrams for explaining a method for treating a malicious site for distributing a malicious compatible program between a site and an application in a web environment by the apparatus for treating a malicious site according to the present invention. FIG. 4 is a flowchart. 5 is a conceptual diagram.
도 1 내지 도 5를 참조하여 웹환경에서 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 치료하는 과정을 살펴보면 아래와 같다.Referring to FIGS. 1 to 5, the process of treating malicious sites distributing malicious compatible programs between sites and applications in a web environment is as follows.
먼저, 악성 사이트 치료 장치(120)는 브라우저(110)를 구동하는 데이터 통신 단말(100)에 설치 및 탑재되며, 브라우저(110)가 인터넷 등과 같은 웹환경의 데이터 통신망(200)을 통해 웹사이트에 접속할 때에 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 검사 및 치료한다.First, the malicious
이를 위해, 악성 사이트 치료 장치(120)의 이벤트 감시부(121)는 브라우저(110)에 의한 이벤트 발생을 감시하기 위해서 활성화된 브라우저(110)에 의해 불리어서 실행되어 브라우저(110)의 이벤트를 감시할 수 있는 연결 프로그램을 생성한다. 예로서, 브라우저(110)가 마이크로소프트의 익스플로러일 경우에 브라우저 헬퍼 오브젝트(browser helper object)를 만든다(S401).To this end, the
아울러, 이벤트 감시부(121)는 브라우저(110)가 액티브엑스(ActiveX) 등과 같은 사이트와 응용프로그램간 호환프로그램을 로드하는 것을 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹한다. 예로서, URLMon.dll의 CoGetClassObject 함수를 감시하는 것이다(S403).In addition, the event monitor 121 hooks the identifier of the dynamic link library file to monitor the
이와 같이 이벤트 감시부(121)가 이벤트를 감시(S405)하는 중에 브라우저(110)가 임의의 URL를 찾은 이벤트가 발생할 때(S407), 예로서 NavigateComplete가 호출될 때에 이벤트 감시부(121)에 의해 해당 이벤트가 감지되며, 이벤트 감시부(121)는 해당 이벤트의 발생을 악성 사이트 치료 장치(120)의 정보 관리부(125)에게 알려준다.As such, when the event that the
그러면, 정보 관리부(125)는 악성 사이트 치료 장치(120)의 정보 저장부(127)에 저장된 사이트 페이지 목록 정보에서 해당 쓰레드(thread)에 웹링크 노 드가 있는지 확인드가 있는때 웹링크 노드가 없다면 메인 웹링크 노드로써 최상위 노드를 등록하나있는미 쓰레드에 노드가 있다면 프레임 웹링크 노드로 등록하여 정보 저장부(127)의 사이트 페이지 목록 정보를 갱신한다(S413).Then, the
한편, 브라우저(110)가 사이트와 응용프로그램간 호환프로그램을 로드(실행 또는 다운로드 요청)하려고 한다면 동적 링크 라이브러리 파일의 식별자, 예로서 CoGetClassObject 함수가 호출되며, 이를 감지한 이벤트 감시부(121)는 호환프로그램의 로드 상황을 악성 사이트 치료 장치(120)의 악성 요소 제거부(123) 및 정보 관리부(125)에게 알려준다(S415).On the other hand, if the
그러면, 정보 관리부(125)는 정보 저장부(127)에 저장하는 호환프로그램 정보를 갱신한다. 예로서, 액티브엑스 목록 정보를 갱신하는 것이다(S417).Then, the
아울러, 악성 요소 제거부(123)는 악성 코드 검사 엔진을 구동하여 호환프로그램이 악성 코드인지를 검사한다(S419).In addition, the malicious element removal unit 123 drives a malicious code inspection engine to check whether the compatible program is malicious code (S419).
만약, 호환프로그램이 악성 코드로 판정되면 악성 요소 제거부(123)는 브라우저(110)가 로드하려는 호환프로그램이 악성 코드임을 정보 관리부(125)에게 알려준다(S421).If the compatible program is determined to be malicious code, the malicious element removing unit 123 informs the
그러면, 정보 관리부(125)는 정보 저장부(127)에 저장된 호환프로그램 정보를 참조하여 해당 호환프로그램을 로드하는 쓰레드 식별정보를 키(key)로 이용하여 사이트 페이지 목록 정보에서 웹링크 노드를 찾으며, 웹링크 노드의 웹문서(예로서, HTML(hypertext markup language))를 파싱하여 해당 호환프로그램 태그(tag), 예로서 액티브엑스 태그가 존재하는지 확인한다. 만약 호환프로그램 태그가 있다면 이 웹링크 노드는 악성 호환프로그램을 로드하려는 악성 웹링크 노드이다. 현재 노드에 없다면 자식 노드를 대상으로 위와 같은 과정으로 검색하여 악성 사이트 정보를 획득한다(S423).Then, the
이렇게 정보 관리부(125)는 악성 사이트 정보를 획득하면 이를 정보 저장부(127)에 저장할 수 있다. 또는 악성 사이트 정보를 데이터 통신부(129)로 전달하며, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 악성 사이트 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S425).In this way, when the
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 치료 장치(120)로부터 전송되는 악성 사이트 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.Then, the
아울러, 악성 요소 제거부(123)는 악성 코드로 판정된 해당 호환프로그램을 포함하는 페이지를 로드할 때에 악성 호환프로그램을 추출 및 제거하여 해당 사이트를 치료하며(S427), 이러한 악성 요소 제거부(123)에 의한 사이트 치료 정보는 정보 관리부(125)에 의해 획득(S429)되어 정보 저장부(127)에 저장된다(S431).In addition, the malicious element removal unit 123 extracts and removes a malicious compatible program and then, when the page including the corresponding compatible program determined as malicious code is loaded, repairs the corresponding site (S427), and removes the malicious element 123. ), The site treatment information is obtained by the information management unit 125 (S429) and stored in the information storage unit 127 (S431).
또는, 정보 관리부(125)는 획득한 사이트 치료 정보를 데이터 통신부(129)로 전달하며, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 사이트 치료 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S431).Alternatively, the
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 치료 장치(120)로부터 전송되는 사이트 치료 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.Then, the
따라서, 브라우저(110)는 악성 사이트 치료 장치(120)에 의해 악성 코드가 제거된 사이트, 즉 악성 호환프로그램이 제거된 사이트에 접속하게 되며, 데이터 통신 단말(100)을 통해 해당 사이트의 정보 및 화면을 제공한다(S433).Therefore, the
한편, 단계 S415 내지 단계 S431의 수행에 의해 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에는 악성 사이트 정보가 축적된다. 이 경우에 바람직한 실시예에 의하면 단계 S407이후에 단계 S413을 곧바로 수행하지 않고 기 축적된 악성 사이트 정보를 활용한 악성 검사를 수행한다(S409). 이벤트 감시부(121)에 의해 브라우저(110)의 탐색 이벤트가 감지되면 악성 요소 제거부(123)는 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에 저장된 악성 사이트 정보를 제공받으며, 브라우저(110)가 접속하려고 하는 웹링크 정보와 악성 사이트 정보를 비교하여 악성 여부를 확인한 후에 악성으로 판정되지 않은 경우에는 단계 S413부터 수행하나 악성으로 판정된 경우에는 단계 S427부터 수행한다.Meanwhile, malicious site information is accumulated in the
도 6 및 도 7은 본 발명에 따른 악성 사이트 치료 장치에 의해 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 치료하는 방법을 설명하기 위한 도면으로서, 도 6은 흐름도이고, 도 7은 개념도이다.6 and 7 are diagrams for explaining a method for treating a malicious site executing a malicious process in a web environment by the apparatus for treating a malicious site according to the present invention. FIG. 6 is a flowchart and FIG. 7 is a conceptual diagram.
도 1 내지 도 3, 도 6 및 도 7을 참조하여 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 검사하는 과정을 살펴보면 아래와 같다.Referring to FIGS. 1 to 3, 6, and 7, a process of checking a malicious site executing a malicious process in a web environment will be described below.
먼저, 악성 사이트 치료 장치(120)는 브라우저(110)를 구동하는 데이터 통신 단말(100)에 설치 및 탑재되며, 브라우저(110)가 인터넷 등과 같은 웹환경의 데이 터 통신망(200)을 통해 웹사이트에 접속할 때에 악성 프로세스를 실행하는 악성 사이트를 검사 및 치료한다.First, the malicious
이를 위해, 악성 사이트 치료 장치(120)의 이벤트 감시부(121)는 브라우저(110)에 의한 이벤트 발생을 감시하기 위해서 활성화된 브라우저(110)에 의해 불리어서 실행되어 브라우저(110)의 이벤트를 감시할 수 있는 연결 프로그램을 생성한다. 예로서, 브라우저(110)가 마이크로소프트의 익스플로러일 경우에 브라우저 헬퍼 오브젝트를 만든다(S501).To this end, the
아울러, 이벤트 감시부(121)는 액티브엑스(ActiveX) 등과 같은 사이트와 응용프로그램간 호환프로그램에 의해서 실행되는 프로세스 등을 감시하기 위해 브라우저 프로세스의 식별자를 후킹한다. 예로서, 브라우저 프로세스의 CreateProcess 함수를 감시하는 것이다(S503).In addition, the event monitor 121 hooks an identifier of a browser process to monitor a process executed by a compatible program between a site and an application program such as ActiveX. For example, the CreateProcess function of the browser process is monitored (S503).
이와 같이 브라우저(110)의 이벤트를 감시(S505)하는 중에 브라우저(110)가 임의의 URL를 찾은 이벤트가 발생할 때, 예로서 NavigateComplete가 호출될 때에 이벤트 감시부(121)에 의해 해당 이벤트가 감지되며, 이벤트 감시부(121)는 해당 이벤트의 발생을 악성 사이트 치료 장치(120)의 정보 관리부(125)에게 알려준다(S507).As such, when an event in which the
그러면, 정보 관리부(125)는 악성 사이트 치료 장치(120)의 정보 저장부(127)에 저장된 사이트 페이지 목록 정보에서 해당 쓰레드(thread)에 웹링크 노드가 있는지 확인한다. 이때 웹링크 노드가 없다면 메인 웹링크 노드로써 최상위 노드를 등록하나 이미 쓰레드에 노드가 있다면 프레임 웹링크 노드로 등록하여 정 보 저장부(127)의 사이트 페이지 목록 정보를 갱신한다. 아울러 정보 관리부(125)는 정보 저장부(127)에 저장된 사이트 페이지 코드 목록 정보에서 해당 쓰레드에 웹링크 사이트 코드 노드가 있는지 확인한 후에 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 이미 쓰레드에 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록하여 정보 저장부(127)의 사이트 페이지 코드 목록 정보를 갱신한다(S515).Then, the
한편, 액티브엑스 등과 같은 사이트와 응용프로그램간 호환프로그램에 의해서 새로운 프로세스가 만들어지려고 하거나 파일이 로드(실행 또는 다운로드 요청)되면 후킹하고 있는 브라우저 프로세스의 식별자, 예로서 CreateProcess 함수가 호출된다. 그러면 이를 감지한 이벤트 감시부(121)는 프로세스 실행 상황을 악성 사이트 치료 장치(120)의 악성 요소 제거부(123) 및 정보 관리부(125)에게 알려준다(S517).On the other hand, when a new process is to be created or a file is loaded (executed or downloaded) by a compatible program between a site and an application program such as ActiveX, the identifier of the browser process being hooked, for example, the CreateProcess function is called. Then, the
그러면, 정보 관리부(125)는 브라우저 프로세스의 식별자를 호출한 대상의 쓰레드 식별정보를 확인하며, 정보 저장부(127)에 저장된 사이트 페이지 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 최상위 웹링크 코드 노드를 확인한다. 그리고 정보 저장부(127)에 저장된 프로세스 리스트에 프로세스 노드를 추가하고, 추가한 프로세스 노드의 관련 웹링크 노드로서 앞서 확인한 최상위 웹링크 노드를 연결한다(S519).Then, the
아울러, 악성 요소 제거부(123)는 이벤트 감시부(121)가 알려준 프로세스 실행 상황에 따라 악성 코드 검사 엔진을 구동(S521)하여 실행되려고 하는 프로세스 가 악성 코드인지를 확인하며, 해당 프로세스가 악성 코드가 아닌 경우에 그 결과를 이벤트 감시부(121)에게 알려준다(S523).In addition, the malicious element removal unit 123 determines whether a process that is about to be executed by driving a malicious code inspection engine (S521) according to the process execution situation informed by the
그러면, 이벤트 감시부(121)는 새로 만들어지는 브라우저 프로세스의 식별자를 후킹한다. 예로서, 브라우저 프로세스의 CreateProcess 함수를 감시하는 것이다(S525).Then, the event monitor 121 hooks the identifier of the newly created browser process. For example, the CreateProcess function of the browser process is monitored (S525).
이에, 브라우저(110)에 의해 만들어진 프로세스가 다시 새로운 프로세스를 만들려고 하면 후킹하고 있는 브라우저 프로세스의 식별자, 예로서 CreateProcess 함수가 호출된다. 그러면 이를 감지한 이벤트 감시부(121)는 프로세스 실행 상황을 악성 사이트 치료 장치(120)의 악성 요소 제거부(123) 및 정보 관리부(125)에게 알려준다.Therefore, when a process created by the
그러면, 정보 관리부(125)는 브라우저 프로세스의 식별자를 호출한 프로세스를 정보 저장부(127)에 저장된 프로세스 리스트에서 찾은 후에 새로 만들어질 프로세스 노드를 자식 노드로 추가한다.Then, the
역시, 악성 요소 제거부(123)는 이벤트 감시부(121)가 알려준 프로세스 실행 상황에 따라 실행되려고 하는 프로세스가 악성 코드인지를 확인하며, 해당 프로세스가 악성 코드가 아닌 경우에 단계 S525, S517 내지 단계 S523의 과정이 재수행된다. 이러한 단계 S525, S517 내지 단계 S523의 과정은 프로세스가 실행될 때마다 반복적으로 수행된다.In addition, the malicious element removal unit 123 checks whether the process to be executed according to the process execution situation informed by the
만약, 단계 S523에서 실행되는 프로세스가 악성 프로세스로 판정된 경우에는 악성 요소 제거부(123)는 현재의 파일 실행이 정상적인 파일 실행인지 아니면 비정 상적인 파일 실행인지를 확인한다. 여기서 정상적인 파일 실행이라 함은 액티브엑스 등과 같은 호환프로그램에 의한 실행이거나 사용자가 직접 실행하는 경우이며, 비정상적인 파일 실행이라 함은 브라우저 익스플로잇이 실행하는 경우이다. 따라서 호환프로그램에 의한 실행인지를 확인한 후에 호환프로그램에 의한 실행이 아니라고 확인된 경우에는 다시 사용자에 의한 실행인지를 확인하여 이마저 아니라면 브라우저 익스플로잇이 실행하는 경우, 즉 비정상적인 실행으로 판정한다. 악성 요소 제거부(123)는 이와 같은 파일 실행에 대한 판정 결과를 정보 관리부(125)에게 알려준다(S527).If the process executed in step S523 is determined to be a malicious process, the malicious element removing unit 123 checks whether the current file execution is a normal file execution or an abnormal file execution. In this case, normal file execution refers to execution by a compatible program such as ActiveX or direct execution by the user, and abnormal file execution refers to execution by a browser exploit. Therefore, if it is confirmed that the execution by the compatible program is not executed by the compatible program after checking whether the execution by the user again, if it is not already determined that the browser exploit is executed, that is, abnormal execution. The malicious element removal unit 123 informs the
정보 관리부(125)는 현재의 파일 실행이 비정상적인 파일 실행으로 판정되면 정보 저장부(127)에 저장된 웹링크 코드 정보를 참고하여 해당 악성 프로세스에 연결되어 있는 악성 사이트 코드 정보를 획득하고, 획득한 악성 사이트 코드 정보를 정보 저장부(127)에 저장하거나 데이터 통신부(129)로 전달한다. 그러면, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 악성 사이트 코드 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S529).If the current file execution is determined to be abnormal file execution, the
만약, 현재의 파일 실행이 정상적인 파일 실행으로 판정되면 정보 관리부(125)는 도 4를 참조하여 설명한 단계 S423 및 S425에서처럼 악성 사이트 정보를 획득하여 정보 저장부(127)에 저장하거나 악성 사이트 정보 수집 장치(300)에게 전송한다(S531).If the current file execution is determined to be normal file execution, the
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 치료 장치(120)로부터 전송되는 악성 사이트 정보 및/또는 악성 사이트 코 드 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.Then, the
아울러, 악성 요소 제거부(123)는 악성으로 판정된 해당 파일을 포함하는 페이지를 로드할 때에 악성 파일을 추출 및 제거하여 해당 사이트를 치료하며(S533), 이러한 악성 요소 제거부(123)에 의한 사이트 치료 정보는 정보 관리부(125)에 의해 획득(S535)되어 정보 저장부(127)에 저장된다(S537).In addition, the malicious element removal unit 123 extracts and removes a malicious file to treat the corresponding site when loading a page including the corresponding file determined as malicious (S533), and by the malicious element removal unit 123 The site treatment information is obtained by the information manager 125 (S535) and stored in the information storage unit 127 (S537).
또는, 정보 관리부(125)는 획득한 사이트 치료 정보를 데이터 통신부(129)로 전달하며, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 사이트 치료 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S537).Alternatively, the
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 치료 장치(120)로부터 전송되는 사이트 치료 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.Then, the
따라서, 브라우저(110)는 악성 사이트 치료 장치(120)에 의해 악성 코드가 제거된 사이트, 즉 악성 파일이 제거된 사이트에 접속하게 되며, 데이터 통신 단말(100)을 통해 해당 사이트의 정보 및 화면을 제공한다(S539).Therefore, the
한편, 단계 S517 내지 단계 S537의 수행에 의해 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에는 악성 사이트 정보 및 악성 사이트 코드 정보가 축적된다. 이 경우에 바람직한 실시예에 의하면 단계 S507이후에 단계 S515를 곧바로 수행하지 않고 기 축적된 악성 사이트 정보 및 악성 사이트 코드 정보를 활용한 악성 검사를 수행한다. 이벤트 감시부(121)에 의해 브라우저(110)의 탐색 이벤트가 감지되면 악성 요소 제거부(123)는 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에 저장된 악성 사이트 정보 및 악성 사이트 코드 정보를 제공받으며, 브라우저(110)가 접속하려고 하는 웹링크 정보와 악성 사이트 정보 및 악성 사이트 코드 정보를 비교하여 악성 여부를 확인한 후에 악성으로 판정되지 않은 경우에는 단계 S515부터 수행하나 악성으로 판정된 경우에는 단계 S533부터 수행한다.Meanwhile, malicious site information and malicious site code information are accumulated in the
앞서 설명한 실시예에서는 악성 호환프로그램을 배포하는 악성 사이트를 검사 및 치료하는 방법과 악성 프로세스를 실행하는 악성 사이트를 검사 및 치료하는 방법을 분리하여 별개로 설명하였으나, 악성 프로세스의 실행을 검사 및 치료하는 과정들은 악성 사이트를 검사 및 치료하는 과정에 귀속되어 실행할 수도 있다. 예로서, 단계 S421에서 호환프로그램이 악성으로 판정되지 않은 경우에는 단계 S517 및 그 이후 과정들을 수행함으로써 악성 파일을 추출 및 제거하는 것이다. 이를 위해서는 단계 S503 및 S515 등이 우선적으로 실행하여야 할 것이다. 또한 이 경우라면, 단계 S531의 과정은 생략할 수도 있는데, 이로써 악성 사이트 정보가 중복으로 수집되는 것을 방지할 수 있다.In the above-described embodiments, the method of checking and treating malicious sites for distributing malicious compatible programs and the method of checking and treating malicious sites for executing malicious processes are separately described. The processes may be attributed to the process of scanning and treating malicious sites. For example, when the compatible program is not determined to be malicious in step S421, the malicious file is extracted and removed by performing steps S517 and subsequent steps. For this purpose, steps S503 and S515 should be executed first. In this case, the process of step S531 may be omitted, thereby preventing the malicious site information from being repeatedly collected.
도 1은 본 발명에 따른 악성 사이트 치료 시스템의 네트워크 구성도,1 is a network diagram of a malicious site treatment system according to the present invention;
도 2는 본 발명에 따른 악성 사이트 치료 장치의 세부 구성도,2 is a detailed configuration diagram of a malicious site treatment apparatus according to the present invention;
도 3은 본 발명에 따른 악성 사이트 정보 수집 장치의 세부 구성도,3 is a detailed configuration diagram of an apparatus for collecting malicious site information according to the present invention;
도 4는 본 발명에 따른 악성 사이트 치료 장치에 의해 웹환경에서 사이트와 응용프로그램간 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 설명하기 위한 흐름도,4 is a flowchart illustrating a method for checking a malicious site for distributing malicious compatible programs between a site and an application in a web environment by the apparatus for treating a malicious site according to the present invention;
도 5는 본 발명에 따라 악성 호환프로그램을 배포하는 악성 사이트를 치료하는 방법을 설명하기 개념도,5 is a conceptual diagram illustrating a method of treating a malicious site for distributing malicious compatible programs according to the present invention;
도 6은 본 발명에 따른 악성 사이트 치료 장치에 의해 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 치료하는 방법을 설명하기 위한 흐름도,6 is a flowchart illustrating a method of treating a malicious site executing a malicious process in a web environment by a malicious site treating apparatus according to the present invention;
도 7은 본 발명에 따라 악성 프로세스를 실행하는 악성 사이트를 치료하는 방법을 설명하기 위한 개념도이다.7 is a conceptual diagram illustrating a method of treating a malicious site executing a malicious process according to the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for main parts of the drawings>
100 : 데이터 통신 단말 110 : 브라우저100: data communication terminal 110: browser
120 : 악성 사이트 치료 장치 121 : 이벤트 감지부120: malicious site treatment device 121: event detection unit
123 : 악성 요소 제거부 125 : 정보 관리부123: remove malicious elements 125: information management unit
127 : 정보 저장부 129 : 데이터 통신부127: information storage unit 129: data communication unit
200 : 데이터 통신망 300 : 악성 사이트 정보 수집 장치200: data communication network 300: malicious site information collection device
310 : 데이터 수집 서버 320 : 악성 사이트 데이터베이스310: data collection server 320: malicious site database
Claims (62)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090096072A KR101044275B1 (en) | 2009-10-09 | 2009-10-09 | Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded |
| PCT/KR2010/006908 WO2011043627A2 (en) | 2009-10-09 | 2010-10-08 | Method for curing malicious site, apparatus, and network-based malicious site curing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090096072A KR101044275B1 (en) | 2009-10-09 | 2009-10-09 | Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110038887A KR20110038887A (en) | 2011-04-15 |
| KR101044275B1 true KR101044275B1 (en) | 2011-06-28 |
Family
ID=43857302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020090096072A KR101044275B1 (en) | 2009-10-09 | 2009-10-09 | Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR101044275B1 (en) |
| WO (1) | WO2011043627A2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030021065A (en) * | 2001-09-05 | 2003-03-12 | 이상천 | Method of controlling connection of terminal to internet site |
| KR20070049514A (en) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | Malignant code monitor system and monitoring method using thereof |
| KR100723867B1 (en) | 2005-11-23 | 2007-05-31 | 한국전자통신연구원 | Apparatus and method for blocking access to phishing web page |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100475311B1 (en) * | 2002-12-24 | 2005-03-10 | 한국전자통신연구원 | Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point |
| US20050086161A1 (en) * | 2005-01-06 | 2005-04-21 | Gallant Stephen I. | Deterrence of phishing and other identity theft frauds |
-
2009
- 2009-10-09 KR KR1020090096072A patent/KR101044275B1/en active IP Right Grant
-
2010
- 2010-10-08 WO PCT/KR2010/006908 patent/WO2011043627A2/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030021065A (en) * | 2001-09-05 | 2003-03-12 | 이상천 | Method of controlling connection of terminal to internet site |
| KR20070049514A (en) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | Malignant code monitor system and monitoring method using thereof |
| KR100723867B1 (en) | 2005-11-23 | 2007-05-31 | 한국전자통신연구원 | Apparatus and method for blocking access to phishing web page |
Non-Patent Citations (1)
| Title |
|---|
| 한국정보과학회 봄 학술발표논문집 Vol.30, No.1, pp.281-283 (2003)* |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011043627A3 (en) | 2011-08-25 |
| WO2011043627A2 (en) | 2011-04-14 |
| KR20110038887A (en) | 2011-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101514984B1 (en) | Detecting system for detecting Homepage spreading Virus and Detecting method thereof | |
| US8850585B2 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| US7287279B2 (en) | System and method for locating malware | |
| US7269851B2 (en) | Managing malware protection upon a computer network | |
| CN102413011B (en) | A kind of method and system of LAN safety assessment | |
| KR101462311B1 (en) | Method for preventing malicious code | |
| KR20070049514A (en) | Malignant code monitor system and monitoring method using thereof | |
| EP2642715A1 (en) | Method and system for malicious code detection | |
| US20060075494A1 (en) | Method and system for analyzing data for potential malware | |
| US20090064337A1 (en) | Method and apparatus for preventing web page attacks | |
| KR100961149B1 (en) | Method for detecting malicious site, method for gathering information of malicious site, apparatus, system, and recording medium having computer program recorded | |
| CN103279710B (en) | Method and system for detecting malicious codes of Internet information system | |
| KR100912794B1 (en) | Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search | |
| US20100306184A1 (en) | Method and device for processing webpage data | |
| CN105939311A (en) | Method and device for determining network attack behavior | |
| US20060075468A1 (en) | System and method for locating malware and generating malware definitions | |
| US20070006311A1 (en) | System and method for managing pestware | |
| US20060075490A1 (en) | System and method for actively operating malware to generate a definition | |
| KR101372906B1 (en) | Method and system to prevent malware code | |
| CN105791250B (en) | Application program detection method and device | |
| EP1834243B1 (en) | System and method for locating malware | |
| KR101234066B1 (en) | Web / email for distributing malicious code through the automatic control system and how to manage them | |
| Supriya et al. | Malware detection techniques: a survey | |
| KR101044275B1 (en) | Method for curing malicious site, method for gathering information of malicious element, apparatus, system, and recording medium having computer program recorded | |
| KR101077855B1 (en) | Apparatus and method for inspecting a contents and controlling apparatus of malignancy code |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20140620 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20150622 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20160620 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20170620 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20180620 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20190620 Year of fee payment: 9 |