KR101169014B1 - System for detecting landing, hopping and distribution sites of malicious code - Google Patents

System for detecting landing, hopping and distribution sites of malicious code Download PDF

Info

Publication number
KR101169014B1
KR101169014B1 KR1020100133522A KR20100133522A KR101169014B1 KR 101169014 B1 KR101169014 B1 KR 101169014B1 KR 1020100133522 A KR1020100133522 A KR 1020100133522A KR 20100133522 A KR20100133522 A KR 20100133522A KR 101169014 B1 KR101169014 B1 KR 101169014B1
Authority
KR
South Korea
Prior art keywords
distribution
malicious code
module
information
malicious
Prior art date
Application number
KR1020100133522A
Other languages
Korean (ko)
Other versions
KR20120071826A (en
Inventor
정종일
임채태
오주형
강홍구
이진경
김병익
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100133522A priority Critical patent/KR101169014B1/en
Publication of KR20120071826A publication Critical patent/KR20120071826A/en
Application granted granted Critical
Publication of KR101169014B1 publication Critical patent/KR101169014B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/40Information retrieval; Database structures therefor; File system structures therefor of multimedia data, e.g. slideshows comprising image and additional audio data
    • G06F16/44Browsing; Visualisation therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/30Creation or generation of source code

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

악성코드 경유-유포지들에 대한 체계적 탐지가 가능한 악성코드 경유-유포지 탐지 시스템이 제공된다. 악성코드 경유-유포지 탐지 시스템은 씨드 정보 수집 채널로부터 잠재적 악성코드 경유-유포지 주소 정보를 수집하고, 잠재적 악성코드 경유-유포지 주소 정보를 이용하여 잠재적 악성코드 경유-유포지의 웹 소스코드를 수집하는 씨드 정보 수집 모듈, 특정 주소의 웹 소스코드를 제공받고 이에 대한 시그니쳐 탐지를 수행하여 특정 주소가 악성코드 경유-유포지인지 여부를 탐지하는 악성코드 경유-유포지 탐지 모듈, 씨드 정보 수집 모듈로부터 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받고, 이를 악성코드 경유-유포지 탐지 모듈에 제공하는 웹 소스코드 분석 모듈, 적어도 하나 이상의 악성코드 경유-유포지의 주소 정보 및 연결관계 정보를 제공받아, 각 악성코드 경유-유포지의 위험도를 평가하고, 각 악성코드 경유-유포지의 평판 정보를 생성하는 악성코드 경유-유포지 평가 모듈, 및 적어도 하나 이상의 악성코드 경유-유포지의 연결관계 정보를 이용하여, 적어도 하나 이상의 악성코드 경유-유포지의 연결관계 및 각 악성코드 경유-유포지별 연결 집중도를 시각화하는 악성코드 경유-유포지 시각화 모듈을 포함한다.Provided is a malicious code via-distribution detection system capable of systematic detection of malicious code via-distributions. Malicious code via-distribution detection system collects potential malware via-distribution address information from seed information collection channel, and uses the potential malware via-distribution address information to collect web source code of potential malware via-distribution Information collection module, through the malicious code through which the web source code of a specific address is received and signature detection is performed to detect whether a specific address is through the malware-distribution site. -The web source code of the distribution site is provided, and through the malicious code-Web source code analysis module for providing it to the distribution site detection module, via at least one or more malicious code-The address information and connection relationship information of the distribution site are provided, and via each malicious code -Evaluate the risk of distributing sites, and pass reputation information of each distributing site via malicious code. Visualize the connection relationship between at least one malware via-distribution and the concentration of connection by each malware via-distribution using the generated malware passing-distribution evaluation module and at least one malicious code via-distribution relationship information It includes via the malware-distribution visualization module.

Figure R1020100133522
Figure R1020100133522

Description

악성코드 경유-유포지 탐지 시스템{System for detecting landing, hopping and distribution sites of malicious code}System for detecting landing, hopping and distribution sites of malicious code}

본 발명은 악성코드 경유-유포지 탐지 시스템에 관한 것이다.The present invention relates to a malicious code via-distribution detection system.

악성코드란 악성 또는 악용 가능한 소프트웨어의 집합으로서, 바이러스, 웜, 스파이웨어, 악성 애드웨어 등 사용자와 컴퓨터에게 잠재적으로 위험이 되는 모든 소프트웨어를 총칭하는 말이다. 사전적 의미로 멀웨어(malware)는 'malicious software(악의적인 소프트웨어)'의 약자로, 사용자의 의사와 이익에 반해 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 국내에서는 이를 '악성코드'로 번역하며. 자기 복제와 파일 감염이 특징인 바이러스를 포함하는 더 넓은 개념이라고 할 수 있다.Malware is a collection of malicious or exploitable software that refers to all software that is potentially dangerous to users and computers, including viruses, worms, spyware, and malicious adware. In a lexical sense, malware is an abbreviation of "malicious software," which is software that is intentionally designed to perform malicious activities, such as destroying the system or leaking information against the user's intentions and interests. . In Korea, this is translated as 'malware code'. It's a broader concept that includes viruses that are characterized by self-replicating and file infections.

이와 같은 악성코드는 네트워크를 통해 광범위하게 유통, 확산되는 특성이 있는데, 이러한 악성코드가 유통, 확산되는 경로를 체계적 파악할 수 있다면 악성코드의 확산을 효율적으로 방지하고 그에 의한 피해를 줄일 수 있는바, 이에 대한 연구가 필요하다.Such malware has a characteristic of being widely distributed and spread through the network. If a systematic understanding of the distribution and spread of such malware is provided, the malware can be effectively prevented from spreading and reducing the damage. There is a need for research.

본 발명이 해결하고자 하는 기술적 과제는 악성코드 경유-유포지들에 대한 체계적 탐지가 가능한 악성코드 경유-유포지 탐지 시스템을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a system through the malicious code via-distribution detection that can be systematically detected through the malicious code via-distribution.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

상기 기술적 과제를 달성하기 위한 본 발명의 악성코드 경유-유포지 탐지 시스템 일 태양(aspect)은, 씨드 정보 수집 채널로부터 잠재적 악성코드 경유-유포지 주소 정보를 수집하고, 잠재적 악성코드 경유-유포지 주소 정보를 이용하여 잠재적 악성코드 경유-유포지의 웹 소스코드를 수집하는 씨드 정보 수집 모듈, 특정 주소의 웹 소스코드를 제공받고 이에 대한 시그니쳐 탐지를 수행하여 특정 주소가 악성코드 경유-유포지인지 여부를 탐지하는 악성코드 경유-유포지 탐지 모듈, 씨드 정보 수집 모듈로부터 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받고, 이를 악성코드 경유-유포지 탐지 모듈에 제공하는 웹 소스코드 분석 모듈, 적어도 하나 이상의 악성코드 경유-유포지의 주소 정보 및 연결관계 정보를 제공받아, 각 악성코드 경유-유포지의 위험도를 평가하고, 각 악성코드 경유-유포지의 평판 정보를 생성하는 악성코드 경유-유포지 평가 모듈, 및 적어도 하나 이상의 악성코드 경유-유포지의 연결관계 정보를 이용하여, 적어도 하나 이상의 악성코드 경유-유포지의 연결관계 및 각 악성코드 경유-유포지별 연결 집중도를 시각화하는 악성코드 경유-유포지 시각화 모듈을 포함한다.In one aspect of the present invention, the malicious code route-distribution detection system for collecting the potential malware route-distribution address information from the seed information collection channel and the potential malware route-distribution address information is provided. Seed information collection module that collects web source code of potential distribution via potential malicious code, and receives malicious code of web address of specific address and performs signature detection to detect whether specific address is through distribution of malicious code Code source-distribution detection module, web source code analysis module which receives web malware of potential distribution via seed information collection module, and provides it to malware source-distribution detection module, via at least one malicious code- Received address information and connection relation information of distribution site, and through each malware At least one malicious code via-distribution site, using the malicious code via-distribution evaluation module for evaluating risk and generating reputation information of each via-malware distribution site, and linkage information of at least one malicious code via-distribution site It includes a visualization method through the malicious code via-distribution to visualize the connection concentration of each malicious code via-distribution.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.

본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템은 다음과 같은 장점을 갖고 있다.Malicious code via-distribution detection system according to an embodiment of the present invention has the following advantages.

첫째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템은 사회적 이슈 키워드를 주기적으로 수집하고 이를 바탕으로 잠재적 악성코드 경유-유포지를 탐지하기 때문에, 능동적으로 악성코드 경유-유포지를 탐지하는 것이 가능하다.First, since the malicious code via-distribution detection system according to an embodiment of the present invention periodically collects social issue keywords and detects potential malicious code via-distribution based thereon, actively detects via the malicious code via-distribution site. It is possible.

둘째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템은 탐지된 악성코드 경유-유포지를 근원지, 경유지, 유포지로 분류하고 이를 체계적으로 시각화한다. 따라서, 본 시스템의 사용자는 특정 악성코드에 대한 경유-유포 정보를 일목요연하게 파악할 수 있으며, 그에 따라 특정 악성코드에 대한 체계적인 대응도 가능하다.Second, the malicious code via-distribution detection system according to an embodiment of the present invention classifies the detected malicious code via-distribution into a source, a waypoint, and a dissemination site and visualizes it systematically. Therefore, the user of the system can grasp the route-distribution information for a specific malicious code at a glance, and thus can systematically respond to the specific malicious code.

셋째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템은 탐지된 악성코드 경유-유포지에 대해 라이프 싸이클 관리를 수행함으로써, 상황 변동에 따라 변경되는 악성코드 경유-유포지에 대한 정보를 실시간으로 유지한다. 따라서 본 시스템의 사용자는 언제든지 악성코드에 대한 즉각적인 대응이 가능하다.Third, the malicious code via-distribution detection system according to an embodiment of the present invention performs life cycle management on the detected malicious code via-distribution site, thereby real-time information on the distribution through the malicious code via-distribution according to the situation change. Keep it. Therefore, users of this system can immediately respond to malicious code at any time.

본 발명의 효과들은 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 네트워크간 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 악성코드 경유-유포지 평가 모듈이 생성하는 각 악성코드 경유-유포지에 대한 평판 정보를 설명하기 위한 도면들이다.
도 5 내지 도 8은 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 악성코드 경유-유포지 시각화 모듈의 시각화 동작을 설명하기 위한 도면들이다.1 is a diagram showing the configuration between networks of the malicious code via-distribution detection system according to an embodiment of the present invention.
2 is a block diagram of a malicious code via-distribution detection system according to an embodiment of the present invention.
3 and 4 are diagrams for describing the reputation information for each malicious code via-distribution generated by the malicious code via-distribution evaluation module of the malicious code via-distribution detection system according to an embodiment of the present invention.
5 to 8 are diagrams for explaining a visualization operation of the malicious code via-distribution visualization module of the malicious code via-distribution detection system according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various forms, and only the present embodiments are intended to complete the disclosure of the present invention, and the general knowledge in the art to which the present invention pertains. It is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined only by the scope of the claims. The size and relative size of the components shown in the drawings may be exaggerated for clarity of explanation.

명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.Like reference numerals refer to like elements throughout the specification, and "and / or" includes each and every combination of one or more of the mentioned items.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms "comprises" and / or "made of" means that a component, step, operation, and / or element may be embodied in one or more other components, steps, operations, and / And does not exclude the presence or addition thereof.

비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various components, it goes without saying that these components are not limited by these terms. These terms are used only to distinguish one component from another. Therefore, it goes without saying that the first component mentioned below may be the second component within the technical scope of the present invention.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used in a sense that can be commonly understood by those skilled in the art. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.

이하 도 1 내지 도 8을 참조하여, 본 발명의 일 실시예에 따른 경유-유포지 탐지 시스템에 대해 설명한다.1 to 8, a light oil-diffuse detection system according to an embodiment of the present invention will be described.

도 1은 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 네트워크간 구성을 나타낸 도면이고, 도 2는 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 블록 구성도이다.1 is a diagram showing the configuration between networks of the malicious code via-distribution detection system according to an embodiment of the present invention, Figure 2 is a block diagram of a malicious code via-distribution detection system according to an embodiment of the present invention .

본 명세서에서 악성코드 경유-유포지란 악성코드의 근원지(landing site), 경유지(hopping site) 또는 유포지(distribution site) 중 적어도 어느 하나를 의미하는 개념일 수 있다. 구체적으로, 악성코드의 근원지란 예를 들어, 악성코드가 생성되는 사이트일 수 있으며, 악성코드의 경유지란 근원지에서 유포지로 연결되는 중간 과정의 사이트일 수 있고, 악성코드의 유포지란 실제 악성코드가 사용자에게 유포되는 사이트를 의미할 수 있다. 아울러, 본 명세서에서 잠재적 악성코드 경유-유포지란 이러한 악성코드의 근원지, 경유지 또는 유포지 중 적어도 어느 하나가 될 수 있는 사이트를 의미할 수 있다.In the present specification, the malicious code route-distribution site may be a concept meaning at least one of a landing site, a hopping site, or a distribution site of the malicious code. Specifically, the source of the malicious code may be, for example, a site where the malicious code is generated, and the route of the malicious code may be an intermediate process site connected to the distribution site at the source, and the distribution of the malicious code is the actual malicious code. It can mean a site that is distributed to users. In addition, in the present specification, a potential malicious code via-distribution site may refer to a site that may be at least one of a source, a transit site, or a distribution site of such malicious code.

먼저 도 1을 참조하면, 본 발명의 일 실시예에 따른 경유-유포지 탐지 시스템(100)은 씨드 정보 수집 채널(10), 외부 공유 시스템(200) 및 외부 악성코드 분석 시스템(300)과 다양한 네트워크를 통해 연결될 수 있다. 먼저, 씨드 주소(SEED URL), 공개 악성코드 경유-유포지 주소(공개 악성 URL), 공개 악성 웹 소스코드, 일반 웹 소스코드를 수집하고 및 DNS 검색 서버(WHOIS DNSLOOKUP)와 연결되는 씨드 정보 수집 채널(10)과는 예를 들어 HTTP/TCP를 통해 연결될 수 있다. 그리고, 악성코드 경유-유포지에 대한 탐지 정보를 공유하는 외부 공유 시스템(200) 및 외부 악성코드 분석 시스템(300)과는 TCP를 통해 연결될 수 있다.First, referring to FIG. 1, a diesel transit-distribution detection system 100 according to an embodiment of the present invention may include a seed information collection channel 10, an external sharing system 200, an external malware analysis system 300, and various networks. Can be connected via. First, a seed information collection channel that collects a seed address (SEED URL), a public malicious code via-distribution address (public malicious URL), a public malicious web source code, a general web source code, and is connected to a DNS search server (WHOIS DNSLOOKUP). 10 may be connected via, for example, HTTP / TCP. In addition, the external sharing system 200 and the external malware analysis system 300 sharing the detection information on the distribution via the malicious code may be connected via TCP.

다음, 도 2를 참조하면, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)은 씨드 정보 수집 모듈(105), 웹 소스코드 분석 모듈(110), 악성코드 경유-유포지 탐지 모듈(115), 시그니쳐 생성 모듈(120), 저장부(130), 악성코드 경유-유포지 평가 모듈(135), 악성코드 경유-유포지 시각화 모듈(140), 정책 관리 모듈(145), 통계 리포트 생성 모듈(150) 및 탐지 정보 공유 모듈(155)을 포함할 수 있다.Next, referring to FIG. 2, the malicious code via-distribution detection system 100 according to an embodiment of the present invention may include a seed information collection module 105, a web source code analysis module 110, and a malicious code via-distribution detection. Module 115, signature generation module 120, storage unit 130, malware via-distribution evaluation module 135, malware via-distribution visualization module 140, policy management module 145, statistical report generation Module 150 and detection information sharing module 155.

먼저, 씨드 정보 수집 모듈(105)은 씨드 정보 수집 채널로부터 잠재적 악성코드 경유-유포지 주소 정보를 수집하고, 잠재적 악성코드 경유-유포지 주소 정보를 이용하여 잠재적 악성코드 경유-유포지의 웹 소스코드를 수집하는 모듈일 수 있다. 그리고, 특히 본 발명의 일 실시예에 따른 경유-유포지 탐지 시스템(100)의 씨드 정보 수집 모듈(105)은 씨드 정보 수집 채널(10)로부터 사회적 이슈 키워드(social issue keyword)를 수집하고, 수집된 사회적 이슈 키워드로부터 잠재적 악성코드 경유-유포지 주소 정보를 수집하는 모듈일 수 있다. 여기서, 사회적 이슈 키워드란, 특정 시기 동안 대중적 관심의 대상이 되는 이슈를 표현하는 키워드를 의미할 수 있고, 잠재적 악성코드 경유-유포지 주소 정보는 예를 들어, 잠재적 악성코드 경유-유포지가 될 수 있는 사이트의 URL 또는 IP 중 적어도 어느 하나를 포함하는 정보일 수 있다.First, the seed information collection module 105 collects the potential malware via-distribution address information from the seed information collection channel, and collects the web source code of the potential malware via-distribution using the potential malware via-distribution address information. May be a module. In particular, the seed information collection module 105 of the diesel transit-distribution detection system 100 according to an embodiment of the present invention collects a social issue keyword from the seed information collection channel 10 and collects the social issue keywords. It may be a module for collecting potential malware via-distribution address information from social issue keywords. Here, the social issue keyword may mean a keyword expressing an issue that is a subject of public interest for a specific period, and the potential malware via-distribution address information may be, for example, a potential malware via-distribution. It may be information including at least one of a URL or an IP of a site.

구체적으로, 씨드 정보 수집 모듈(105)은 적어도 하나 이상의 인터넷 검색 엔진(예를 들어, 현재 대한민국에서 제공되고 있는 주요 인터넷 검색 엔진으로는 네이버, 다음, 야후, 구글 등을 들 수 있다)에서 제공하는 API(Application Programming Interface)를 이용하여, 해당 인터넷 검색 엔진의 실시간 검색어 리스트를 참조하여 사회적 이슈 키워드를 수집할 수 있다. 그리고 이 때, 정책 관리 모듈(145)은 이러한 씨드 정보 수집 모듈(105)의 수집 대상에 대한 정책을 제공하고, 수집 동작이 일정 시간(예를 들어, 10분) 단위로 지속되도록 씨드 정보 수집 모듈(105)의 수집 정책을 관리할 수 있다.Specifically, the seed information collection module 105 may be provided by at least one or more Internet search engines (eg, major Internet search engines currently provided in South Korea may include Naver, Daum, Yahoo, Google, etc.). Using an API (Application Programming Interface), a social issue keyword can be collected by referring to a real-time search term list of a corresponding internet search engine. At this time, the policy management module 145 provides a policy on the collection target of the seed information collection module 105 and the seed information collection module so that the collection operation is continued for a predetermined time (for example, 10 minutes). The collection policy of 105 may be managed.

이렇게 사회적 이슈 키워드가 수집되면, 씨드 정보 수집 모듈(105)은 수집된 사회적 이슈 키워드를 적어도 하나 이상의 인터넷 검색 엔진에 질의하여, 검색된 사이트 주소 정보를 잠재적 악성코드 경유-유포지 주소 정보로 수집할 수 있다. 구체적으로, 씨드 정보 수집 모듈(105)은 인터넷 검색 엔진의 검색 결과 중, 각 영역별 혹은 각 주제별로 생성 일자가 늦은 순 또는 유사도 순으로 선정된 N개(N은 관리자가 정할 수 있는 임의의 수)의 사이트 주소 정보를 잠재적 악성코드 경유-유포지 주소 정보로 수집할 수 있다. 이 때, 씨드 정보 수집 모듈(105)의 이러한 수집 정책은 정책 관리 모듈(145)에 의해 제공될 수 있다.When the social issue keyword is collected in this way, the seed information collection module 105 may query the collected social issue keyword to at least one or more Internet search engines to collect the searched site address information as potential route-distribution address information via malicious code. . In detail, the seed information collection module 105 may be selected from N search results of Internet search engines in which the creation date of each region or each subject is in descending order or similarity order (N is an arbitrary number that can be determined by the administrator). ) 'S site address information can be collected as potential malware-distribution address information. At this time, this collection policy of the seed information collection module 105 may be provided by the policy management module 145.

한편, 본 발명의 일 실시예에 따른 경유-유포지 탐지 시스템(100)의 씨드 정보 수집 모듈(105)은 씨드 정보 수집 채널(10)로부터 이미 공개된 악성코드 주소 정보도 수집할 수 있다. 이 때, 마찬가지로 정책 관리 모듈(145)은 이러한 씨드 정보 수집 모듈(105)의 수집 대상에 대한 정책을 제공하고, 수집 동작이 일정 시간 단위로 지속되도록 씨드 정보 수집 모듈(105)의 수집 정책을 관리할 수 있다.On the other hand, the seed information collection module 105 of the diesel pass-through site detection system 100 according to an embodiment of the present invention may also collect the malware address information that has already been published from the seed information collection channel 10. At this time, the policy management module 145 likewise provides a policy for the collection target of the seed information collection module 105, and manages the collection policy of the seed information collection module 105 so that the collection operation continues for a predetermined time unit. can do.

이러한 주소 정보 수집이 끝나면, 씨드 정보 수집 모듈(105)은 수집한 잠재적 악성코드 경유-유포지 주소 정보 또는 공개된 악성코드 주소 정보를 이용하여 잠재적 악성코드 경유-유포지 또는 공개된 악성코드 주소지의 웹 소스코드를 수집할 수 있다. 이러한 씨드 정보 수집 모듈(105)의 웹 소스코드 수집은 잠재적 악성코드 경유-유포지 또는 공개된 악성코드 주소지를 방문하고, 그 곳의 HTML 콘텐츠를 다운받은 후, 이를 파싱(parsing)함으로써 수행될 수 있다.After the collection of the address information, the seed information collection module 105 uses the collected potential malware via-distribution address information or published malware address information to generate a web source of the potential malware via-distribution or public malware address. You can collect the code. Web source code collection of the seed information collection module 105 may be performed by visiting a potential malicious code via-distribution or published malware address, downloading HTML content there, and parsing it. .

다음, 웹 소스코드 분석 모듈(110)은 씨드 정보 수집 모듈(105)로부터 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받고, 잠재적 악성코드 경유-유포지가 실제 악성코드 경유-유포지인지 여부를 탐지하기 위해, 잠재적 악성코드 경유-유포지의 웹 소스코드를 악성코드 경유-유포지 탐지 모듈(115)에 제공하는 모듈일 수 있다.Next, the web source code analysis module 110 receives the web source code of the potential malware via-distribution from the seed information collection module 105, and detects whether the potential malware via-distribution is the actual malware via-distribution. In order to do so, it may be a module for providing the web source code of the potential malicious code via-distribution to the malicious code via-distribution detection module 115.

한편, 악성코드 경유-유포지 탐지 모듈(115)은 특정 주소의 웹 소스코드를 제공받고 이에 대한 시그니쳐 탐지를 수행하여, 제공 받은 특정 주소가 악성코드 경유-유포지인지 여부를 탐지하는 모듈일 수 있고, 시그니쳐 생성 모듈(120)은 악성 웹 소스코드에 대한 대응 시그니쳐를 생성하는 모듈일 수 있다. 따라서, 악성코드 경유-유포지 탐지 모듈(115)은 웹 소스코드 분석 모듈(110)로부터 제공받은 잠재적 악성코드 경유-유포지의 웹 소스코드에 대해 시그니쳐 생성 모듈(120)이 생성한 시그니쳐를 기반으로 시그니쳐 탐지를 수행한다. On the other hand, the malicious code via-distribution detection module 115 may be a module that receives a web source code of a specific address and performs signature detection on it, thereby detecting whether the provided specific address is via the malicious code-distribution, The signature generation module 120 may be a module for generating a corresponding signature for malicious web source code. Therefore, the malware via-distribution detection module 115 generates a signature based on the signature generated by the signature generation module 120 for the web source code of the potential malware via-distribution provided from the web source code analysis module 110. Perform detection

이 때, 탐지 결과 잠재적 악성코드 경유-유포지가 실제 악성코드 경유-유포지로 탐지되면, 악성코드 경유-유포지 탐지 모듈(115)은 악성코드 경유-유포지에 대한 탐지 정보를 저장부(130)의 탐지정보 DB에 저장한다. 하지만, 시그니쳐 생성 모듈(120)이 생성한 시그니쳐로 잠재적 악성코드 경유-유포지의 웹 소스코드가 탐지되지 않는 경우, 악성코드 경유-유포지 탐지 모듈(115)은 잠재적 악성코드 경유-유포지의 웹 소스코드를 외부 악성코드 분석 시스템(300)에 분석 의뢰할 수 있도록 웹 소스코드 분석 모듈(110)에 다시 제공한다.At this time, when the potential malicious code via-distribution is detected as the actual malicious code via-distribution as a result of the detection, the malicious code via-distribution detection module 115 detects the detection information on the distribution via the malicious code via the storage unit 130. Store in the information DB. However, when the signature generated by the signature generation module 120 does not detect the web source code of the potential malicious code via-distribution, the malicious code via-distribution detection module 115 detects the web source code of the potential malware via-distribution. Re-provides the web source code analysis module 110 to request an analysis to the external malware analysis system 300.

악성코드 경유-유포지 탐지 모듈(115)이 잠재적 악성코드 경유-유포지가 실제 악성코드 경유-유포지인지 탐지 할 수 없어, 악성코드 경유-유포지 탐지 모듈(115)로부터 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받으면, 웹 소스코드 분석 모듈(110)은 제공받은 웹 소스코드의 출처 형태 분석을 통해 의심 웹 소스코드만 외부 악성코드 분석 시스템(300)에 분석 의뢰한다.Malware via-distribution detection module 115 cannot detect whether potential malware via-distribution is actually via malware-distribution, so the web source of potential malware via-distribution from 115 via malware-distribution detection module 115 Upon receiving the code, the web source code analysis module 110 requests the external malicious code analysis system 300 to analyze only suspicious web source code through source code analysis of the provided web source code.

즉, 웹 소스코드 분석 모듈(110)은 제공받은 웹 소스코드의 출처 URL 및 IP 형태에 대해 아래 표 1에 제시된 것과 같은 점검을 수행하여, 제공받은 웹 소스코드가 의심 웹 소스코드로 탐지될 경우에만 이를 외부 악성코드 분석 시스템(300)에 분석 의뢰한다.That is, the web source code analysis module 110 performs a check as shown in Table 1 below on the source URL and IP form of the provided web source code, and when the provided web source code is detected as suspicious web source code. Only request it to the external malware analysis system 300.

점검 항목check list 설명Explanation 등록 시간Registration time 악성 도메인의 등록 시간은 평균적으로 49.5 시간임Malicious domain registration time averaged 49.5 hours Domain reputationDomain reputation URL/IP에 EMAIL주소를 포함하여 목적지 URL을 신뢰하도록 유도하는지 판단Determine whether to include the EMAIL address in the URL / IP to trust the destination URL URL/IP에 신뢰할 수 있는 URL을 덧붙여 목적지 URL을 신뢰하도록 유도하는지 판단Determine whether to append a trusted URL to the URL / IP to trust the destination URL Encoded Host NameEncoded Host Name Encoding된(특히, % 인코딩된) 호스트 명이 있는지 판단Determine if there is an Encoded (especially% encoded) host name Dashes in host nameDashes in host name 호스트 명에 dash(-)기호가 존재하는지 판단Determine if dash (-) sign exists in hostname External domainExternal domain 이미지 등 도메인 내부 참조용 링크를 외부 도메인에 요청하는 경우인지 판단Determine if you are requesting an external domain for links to domain internal references, such as images

표 1을 참조하면, 먼저 웹 소스코드 분석 모듈(110)은 제공받은 웹 소스코드의 도메인 등록 시간이 일정 시간 이하인 경우, 이를 의심 웹 소스코드로 탐지한다. 일반적으로, 악성 도메인은 악성코드 유포 목적을 위해서만 생성되기 때문에 그 등록시간이 길지 못한 경우가 많다. 따라서, 웹 소스코드 분석 모듈(110)은 제공받은 웹 소스코드의 도메인 등록 시간이 일정 시간 이하인 경우, 이를 의심 웹 소스코드로 탐지한다.Referring to Table 1, first, the web source code analysis module 110 detects the suspected web source code when the domain registration time of the provided web source code is less than a predetermined time. In general, since the malicious domain is generated only for the purpose of distributing malicious code, the registration time is not long. Therefore, when the domain registration time of the provided web source code is less than a predetermined time, the web source code analysis module 110 detects this as suspicious web source code.

다음 웹 소스코드 분석 모듈(110)은 제공받은 웹 소스코드의 출처 주소의 형태를 점검한다. 구체적으로, 웹 소스코드 분석 모듈(110)은 웹 소스코드의 출처 주소의 형태가 EMAIL주소를 포함하여 목적지 URL을 신뢰하도록 유도하는지, 신뢰할 수 있는 URL을 덧붙여 목적지 URL을 신뢰하도록 유도하는지, Encoding된(특히, % 인코딩된) 호스트 명이 있는지, 그리고 호스트 명에 dash(-)기호가 존재하는지, 마지막으로 이미지 등 도메인 내부 참조용 링크를 외부 도메인에 요청하는 경우인지 판단하여, 이에 해당하는 경우 제공받은 웹 소스코드를 의심 웹 소스코드로 탐지한다.Next web source code analysis module 110 checks the form of the source address of the provided web source code. Specifically, the web source code analysis module 110 encodes whether the source address form of the web source code leads to trust the destination URL including the EMAIL address, or adds a trusted URL to trust the destination URL. Determine if there is a host name (especially% encoded), if there is a dash (-) in the host name, and if you are finally requesting an external domain for links to domain internal references such as images. Detects web source code as suspicious web source code.

이렇게 제공받은 웹 소스코드를 의심 웹 소스코드로 탐지되면, 웹 소스코드 분석 모듈(110)은 이를 외부 악성코드 분석 시스템(300)에 분석 의뢰하게 되고, 분석 결과를 받은 시그니쳐 생성 모듈(120)은 이를 바탕으로 분석 의뢰한 웹 소스코드에 대한 대응 시그니쳐를 생성하게 된다. 한편, 이렇게 시그니쳐 생성 모듈(120)이 생성한 시그니쳐는 저장부(130)의 시그니쳐 DB에 저장되게 된다.When the provided web source code is detected as suspicious web source code, the web source code analysis module 110 requests the analysis to the external malware analysis system 300, and the signature generation module 120 receiving the analysis result is Based on this, the corresponding signature is generated for the web source code requested for analysis. Meanwhile, the signature generated by the signature generation module 120 may be stored in the signature DB of the storage 130.

다시 도 2를 참조하면, 악성코드 경유-유포지 평가 모듈(135)은 저장부(130)에 저장된 적어도 하나 이상의 악성코드 경유-유포지의 주소 정보 및 연결관계 정보를 제공받아, 각 악성코드 경유-유포지의 위험도를 평가하고, 각 악성코드 경유-유포지의 평판 정보를 생성하는 모듈일 수 있다.Referring back to FIG. 2, the malicious code route-distribution evaluation module 135 is provided with address information and connection relationship information of at least one or more malicious code route-distribution stores stored in the storage 130, and passes through each malicious code-distribution site. It can be a module for evaluating the risk of the malicious code, and generating reputation information of each route through the malicious code.

구체적으로, 악성코드 경유-유포지 평가 모듈(135)은 적어도 하나 이상의 악성코드 경유-유포지가 저장된 저장부(130)의 탐지정보 DB로부터 악성코드 경유-유포지의 주소 정보 및 연결관계 정보를 제공받고, 각 악성코드 경유-유포지의 위험도를 평가할 수 있다. 그리고, 각 악성코드 경유-유포지의 주소 정보를 이용하여 DNS 검색 서버(230)에 질의함으로써 각 악성코드 경유-유포지의 평판 정보를 생성할 수 있다.Specifically, the malicious code via-distribution evaluation module 135 is provided with the address information and connection information of the malicious code via-distribution from the detection information DB of the storage unit 130 in which at least one malicious code via-distribution is stored, You can assess the risk of each malware via-distribution site. Then, the DNS search server 230 may be queried using the address information of each malicious code via-distribution site to generate reputation information of each malicious code via-distribution site.

여기서, 악성코드 경유-유포지의 연결관계 정보는 내향 집중도(in-degree) 정보, 외향 집중도(out-dgree) 정보, 악성코드 정보, 전(previous) 악성코드 경유-유포지 정보, 및 후(next) 악성코드 경유-유포지 정보를 포함할 수 있다. 구체적으로, 내향 집중도는 각 악성코드 경유-유포지로 인입되는 사이트의 수를 의미하고, 외향 집중도는 각 악성코드 경유-유포지에서 외부로 나가는 사이트의 수를 의미한다. 한편, 악성코드 정보는 각 악성코드 경유-유포지에서 다른 악성코드 경유-유포지로 전달되거나 사용자에게 유포되는 악성코드에 관한 정보이며, 전 악성코드 경유-유포지 정보는 선택된 악성코드 경유-유포지로 인입되는 사이트에 관한 정보이고, 후 악성코드 경유-유포지 정보는 선택된 악성코드 경유-유포지에서 외부로 나가는 사이트에 관한 정보이다.Here, the connection information of the distribution via the malicious code may include in-degree information, out-dgree information, malicious code information, previous malicious code via-distribution information, and next. It may include information via malware-distribution site. In detail, the inward concentration refers to the number of sites introduced through each malicious code via-distribution site, and the outward concentration refers to the number of outgoing sites through each malicious code via-distribution site. Meanwhile, the malicious code information is information related to the malicious code transmitted from each malware code-distribution site to the other malware code-distribution site or distributed to the user, and all malware code-distribution information is transferred to the selected malware code-distribution site. The information on the site, and the post-malware via-distribution information is information about a site going out from the selected malware via-distribute.

이 때, 악성코드 경유-유포지 평가 모듈(135)이 평가하는 각 악성코드 경유-유포지의 위험도는 앞서 설명한 내향 집중도와 외향 집중도의 합일 수 있으며, 이러한 악성코드 경유-유포지의 위험도는 내향 집중도와 외향 집중도의 합이 증가할수록 증가한다. 내향 집중도와 외향 집중도가 크다는 것은 악성코드의 경유, 유포 활동이 활발한 사이트일 가능성이 크기 때문이다.In this case, the risk of each of the malicious code via-distribution assessed by the malware passing-and-distribution evaluation module 135 may be the sum of the inward concentration and the outward concentration, and the risk of the passing through the malicious code and the distribution is inward and outward. It increases as the sum of concentration increases. The high concentration of inwards and outwards is due to the high possibility of active sites via malicious code.

한편, 악성코드 경유-유포지 평가 모듈(135)이 생성하는 각 악성코드 경유-유포지의 평판 정보는 각 악성코드 경유-유포지가 속한 도메인의 악성 호스트 개수, 각 악성코드 경유-유포지가 속한 도메인의 등록 일자 및 각 악성코드 경유-유포지에 대한 외부 악성코드 대응 업체의 평판 정보를 포함할 수 있다. 이하, 도 3 및 도 4를 참조하여 이에 대해 보다 구체적으로 설명하도록 한다.Meanwhile, the reputation information of each malicious code via-distribute generated by the malicious code via-distribution evaluation module 135 includes the number of malicious hosts in the domain to which the malicious code passes through-distribute, and the registration of the domain through which the malicious code passes through-distribute. It may include the date and reputation information of external malware counterparts for each malware distribution and distribution site. Hereinafter, this will be described in more detail with reference to FIGS. 3 and 4.

도 3 및 도 4는 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 악성코드 경유-유포지 평가 모듈이 생성하는 각 악성코드 경유-유포지에 대한 평판 정보를 설명하기 위한 도면들이다.3 and 4 are diagrams for describing the reputation information for each malicious code via-distribution generated by the malicious code via-distribution evaluation module of the malicious code via-distribution detection system according to an embodiment of the present invention.

먼저, 악성코드 경유-유포지 평가 모듈(135)은 각 악성코드 경유-유포지가 속한 도메인(domain)의 악성 호스트 개수를 산정한다. 즉, 악성코드 경유-유포지 평가 모듈(135)은 다수의 악성코드 경유-유포지 중에서 동일한 도메인에 속한 사이트의 수를 파악한다. 이는 예를 들어, 도 3과 같은 악성코드 경유-유포지 주소 정보에서, 도메인 명(②NET_LOC의 DOMAIN)이 동일하면서, 나머지(①SCHEME, ③DIRECTORY, ④RESOURCE)가 상이한 것의 개수를 파악함으로써 수행될 수 있다.First, the malicious code route-distribution evaluation module 135 calculates the number of malicious hosts in a domain to which each malicious code route-distribution belongs. That is, the malicious code via-distribution evaluation module 135 determines the number of sites belonging to the same domain among the plurality of malicious code via-distribution sites. This can be done, for example, by identifying the number of different domain names (DOMAIN of ② NET_LOC) while the remainder (① SCHEME, ③ DIRECTORY, ④ RESOURCE) are the same in the malicious code via-distribution address information such as FIG. 3.

다음, 악성코드 경유-유포지 평가 모듈(135)은 각 악성코드 경유-유포지의 주소 정보를 이용하여 DNS 검색 서버(230)에 질의함으로써, 도 4에 예시적으로 도시된 것과 같은 각 악성코드 경유-유포지의 등록 일자를 수집한다. 앞서 설명한 바와 같이 일반적으로 악성코드 경유-유포지는 악성코드 경유-유포를 위해 생성되기 때문에, 도메인 생성시간이 그리 길지 못한 특징이 있다. 따라서, 이러한 등록 일자 정보는 악성코드 경유-유포지에 대한 하나의 평판 정보가 될 수 있다.Next, the malicious code route-distribution evaluation module 135 queries the DNS search server 230 using the address information of each malicious code route-distribution, thereby passing through each malware as illustrated in FIG. 4. Collect the date of registration of the distribution site. As described above, in general, the malicious code via-distribution is generated for distributing through the malicious code, so the domain generation time is not very long. Therefore, such registration date information may be one reputation information for the distribution via the malicious code.

마지막으로, 악성코드 경유-유포지 평가 모듈(135)은 각 악성코드 경유-유포지의 평판 정보를 외부 악성코드 대응 업체(예를 들어, 현재 이러한 업체로는 URLVoid.com 등을 들 수 있다)로부터 수집한다. 이렇게 수집된 정보들은 각 악성코드 경유-유포지를 체계적으로 평가할 수 있는 평판 정보가 된다.Finally, the malware transit-distribution evaluation module 135 collects reputation information of each malware transit-distribution from an external malware counterpart (for example, URLVoid.com may be used as such at present). do. The collected information becomes reputation information that can systematically evaluate the distribution through each malicious code.

한편, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)의 악성코드 경유-유포지 평가 모듈(135)은, 저장부(130)의 탐지정보 DB에 저장된 악성코드 경유-유포지들에 대한 라이프 싸이클 관리를 수행할 수 있다.On the other hand, the malicious code via-distribution evaluation module 135 of the malicious code via-distribution detection system 100 according to an embodiment of the present invention, the malicious code via-distributors stored in the detection information DB of the storage unit 130 Life cycle management can be performed for.

구체적으로, 악성코드 경유-유포지 평가 모듈(135)은 저장부(130)의 탐지정보 DB에 저장된 악성코드 경유-유포지들의 주소 정보를 씨드 정보 수집 모듈(105)에 제공하여, 씨드 정보 수집 모듈(105)이 각각의 악성코드 경유-유포지를 방문하고, 그 곳으로부터 웹 소스코드를 수집하도록 한다. 그리고, 수집된 웹 소스코드는 웹 소스코드 분석 모듈(110)을 거쳐 악성코드 경유-유포지 탐지 모듈(115)에 제공됨으로써, 대상 악성코드 경유-유포지가 여전히 악성코드 경유-유포지의 기능을 수행하는 관찰한다. 또한 이 과정에서 각 악성코드 경유-유포지의 연결관계 정보는 실제 상황이 반영되도록 갱신되는데, 이렇게 갱신된 각 악성코드 경유-유포지의 연결관계 정보는 후술할 악성코드 경유-유포지 시각화 모듈(140)에 의해 시각화되게 된다.In detail, the malicious code route-distribution evaluation module 135 provides the seed information collection module 105 with address information of the malicious code route-distributors stored in the detection information DB of the storage unit 130, thereby collecting seed information collection module ( 105) visits each distribution via the malware and collects web source code from it. In addition, the collected web source code is provided to the malicious code via-distribution detection module 115 through the web source code analysis module 110, so that the target malicious code via-distribution still performs the function of the malicious code via-distribution. Observe. In addition, in this process, the connection information of each route via the malicious code-distribution is updated to reflect the actual situation. The connection information of each route via the malicious code-distribution is updated in the visualization via the distributing malware-distribution module 140 which will be described later. To be visualized.

다시 도 2를 참조하면, 악성코드 경유-유포지 시각화 모듈(140)은 악성코드 경유-유포지들의 연결관계 정보를 이용하여, 악성코드 경유-유포지들의 연결관계 및 각 악성코드 경유-유포지별 연결 집중도를 시각화하는 모듈일 수 있다.Referring back to FIG. 2, the malicious code via-distribution visualization module 140 uses the connection information between the malicious code and the distributors to determine the connection concentration between the malicious code and the distributors and the concentration of connection between each malicious code and the distributor. It may be a module to visualize.

구체적으로, 먼저 악성코드 경유-유포지 시각화 모듈(140)은, 악성코드 경유-유포지 탐지 모듈(115)에 의해 일정 주기마다 갱신되는 악성코드 경유-유포지들의 연결관계 정보를 제공받고 이를 이용하여 악성코드 경유-유포지들을 근원지, 경유지 또는 유포지로 분류한다. 이러한 분류 과정을 보다 구체적으로 살펴보면 다음과 같다.Specifically, first, via the malicious code via-distribution visualization module 140 is provided with connection information between the malicious code via-distributors updated at regular intervals by the malicious code via-distribution detection module 115 and uses the malicious code by using the same. Light oil-distributions are classified as source, waypoint or dissemination. The classification process is as follows.

만약, 악성코드 경유-유포지의 내향 집중도는 0이나(즉, 해당 악성코드 경유-유포지로 인입되는 사이트가 없으나), 외향 집중도가 0보다 크다면(즉, 해당 악성코드 경유-유포지에서 외부로 나가는 사이트가 존재한다면), 악성코드 경유-유포지 시각화 모듈(140)은 해당 악성코드 경유-유포지를 근원지(landing site)로 분류한다. 다만, 해당 악성코드 경유-유포지가 이러한 조건을 동일하게 가지고 있으나, 해당 악성코드 경유-유포지의 최종 접속지가 유포 사이트 또는 파일 다운로드 사이트인지 명확하지 않다면, 악성코드 경유-유포지 시각화 모듈(140)은 이와 같은 악성코드 경유-유포지를 미상지(unknown site)로 분류한다.If the inward concentration of the distribution via the malware is 0 (ie, no site enters the distribution via the malicious code), but the outward concentration is greater than 0 (that is, outward from the distribution via the malware) If a site exists), the malware via-distribution visualization module 140 classifies the malware via-distribution as a landing site. However, if the malicious code via-distribution has the same conditions, but it is not clear whether the final access point of the malicious code via-distribution is a distribution site or a file download site, the malware via-distribution visualization module 140 may Classify the distribution via the same malware as an unknown site.

다음, 악성코드 경유-유포지의 내향 집중도와 외향 집중도가 모두 0보다 크면(즉, 해당 악성코드 경유-유포지로 인입되는 사이트도 존재하고, 해당 악성코드 경유-유포지에서 외부로 나가는 사이트도 존재하면), 악성코드 경유-유포지 시각화 모듈(140)은 해당 악성코드 경유-유포지를 경유지(hopping site)로 분류한다. 이 때, 여기서 해당 악성코드 경유-유포지가 이러한 조건을 동일하게 만족시키면서, 익스플로잇(exploit) 코드를 포함하거나 유포지(distribution site)로 연결(redirection)하는 특성을 갖는 경우에는, 악성코드 경유-유포지 시각화 모듈(140)은 이같은 악성코드 경유-유포지를 이용지(exploit site)로 별도로 분류한다.Next, if both the inward and outward concentration of the malware-distribution site are greater than zero (that is, there is a site that enters through the malware-distribution site, and there is a site outgoing from the malware-distribution site). In addition, the malicious code route-distribution visualization module 140 classifies the malware route-distribution site as a hopping site. At this time, if the malware transit-distribution satisfies these conditions equally and includes an exploit code or has a characteristic of redirecting to a distribution site, the visualization of malware transit-distribution is visualized. The module 140 separately classifies such malware via-distribution site as an exploit site.

마지막으로, 악성코드 경유-유포지의 외향 집중도는 0이나(즉, 해당 악성코드 경유-유포지에서 외부로 나가는 사이트는 없으나), 내향 집중도는 0보다 크고(즉, 해당 악성코드 경유-유포지로 인입되는 사이트가 존재하고), 해당 악성코드 경유-유포지에 접속 시 파일을 다운로드하는 특성이 있다면, 악성코드 경유-유포지 시각화 모듈(140)은 해당 악성코드 경유-유포지를 유포지(distribution site)로 분류한다.Finally, the outward concentration of the malware-distribution site is zero (i.e., no site goes out of the malware-distribution site), but the inbound concentration is greater than zero (i.e. If there is a site), and if there is a characteristic of downloading a file when accessing the distribution via the malicious code, the malicious code via-distribution visualization module 140 classifies the distribution via the malicious code as a distribution site (distribution site).

다음 악성코드 경유-유포지 시각화 모듈(140)은, 파악된 악성코드 경유-유포지들의 연결관계 정보를 이용하여, 악성코드 경유-유포지들의 연결관계 및 각 악성코드 경유-유포지별 연결 집중도를 시각화한다. 이하 도 5 내지 도 8을 참조하여, 이에 대해 보다 구체적으로 설명 하도록 한다.The malicious code via-distribution visualization module 140 visualizes the connection relationship between the malicious code via-distribution and the concentration of connection by each malicious code via-distribution using the identified connection information between the distribution through the malicious code. Hereinafter, this will be described in more detail with reference to FIGS. 5 to 8.

도 5 내지 도 8은 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템의 악성코드 경유-유포지 시각화 모듈의 시각화 동작을 설명하기 위한 도면들이다.5 to 8 are diagrams for explaining a visualization operation of the malicious code via-distribution visualization module of the malicious code via-distribution detection system according to an embodiment of the present invention.

도 5에는 설명의 편의상 URL로 표기된 악성코드 경유-유포지간 연결 관계 정보가 도시되어 있다. 도 5를 참조하면, ′www.abc123.com/index.html′의 내향 집중도는 0이고, 외향 집중도는 1이며, 전 악성코드 경유-유포지(From)는 없고, 후 악성코드 경유-유포지(To)는 ′www.pes.com/file/img.php′임을 알 수 있다. 한편, ′www.pes.com/file/img.php′, ′www.showme.net/index.php′, ′www.dul.me/fly/index.jsp′의 내향 집중도와 외향 집중도는 모두 1이고, 각각 서로간 전 악성코드 경유-유포지(From)와, 후 악성코드 경유-유포지(To)가 됨을 알 수 있다. 마지막으로, ′http://12.21.12.222/file/a.exe′는 내향 집중도가 1이고, 외향 집중도는 0이며, 전 악성코드 경유-유포지(From)는 ′www.dul.me/fly/index.jsp′이고, 후 악성코드 경유-유포지(To)는 없음을 알 수 있다.FIG. 5 is a diagram illustrating connection relationship information between a distribution site and a malicious code expressed as a URL for convenience of description. Referring to FIG. 5, the inward concentration of 'www.abc123.com/index.html' is 0, the outward concentration is 1, and there is no former malware via-distribution (From), and after the malicious code via-distribution (To ) Is 'www.pes.com/file/img.php'. Meanwhile, the inward concentration and the outward concentration of 'www.pes.com/file/img.php', 'www.showme.net/index.php ′, and' www.dul.me/fly/index.jsp ′ are both 1 And, it can be seen that each through the pre-malware via-distribution (From) and the post-malware via-distribution (To). Finally, 'http://12.21.12.222/file/a.exe' has an inward concentration of 1, an outward concentration of 0, and all malicious code-distribution (From) is' www.dul.me/fly/ index.jsp ′, and it can be seen that there is no post-distribution via malware (To).

앞서 설명한 분류 동작을 이 예시에 적용하면, ′www.abc123.com/index.html′는 근원지로 분류되고, ′www.pes.com/file/img.php′, ′www.showme.net/index.php′, ′www.dul.me/fly/index.jsp′는 경유지로 분류되며, ′http://12.21.12.222/file/a.exe′는 유포지로 분류된다. 그리고, 근원지 ′www.abc123.com/index.html′와 경유지 ′www.pes.com/file/img.php′는 서로 연결되고, ′www.pes.com/file/img.php′, ′www.showme.net/index.php′, ′www.dul.me/fly/index.jsp′는 서로 경유지로 연결되며, 경유지 ′www.dul.me/fly/index.jsp′는 유포지 ′http://12.21.12.222/file/a.exe′와 연결되게 된다.Applying the classification operation described above to this example, 'www.abc123.com/index.html' is classified as a source, and 'www.pes.com/file/img.php', 'www.showme.net/index .php 'and' www.dul.me/fly/index.jsp 'are classified as waypoints, and' http://12.21.12.222/file/a.exe 'is classified as a distribution site. The source sites' www.abc123.com/index.html 'and waypoints' www.pes.com/file/img.php' are connected to each other, and 'www.pes.com/file/img.php', 'www .showme.net / index.php ′ and „www.dul.me/fly/index.jsp ′ are connected to each other via a stop, and” www.dul.me/fly/index.jsp ′ is a distribution site ‘http: / /12.21.12.222/file/a.exe '.

이렇게 분류되고 연결된 악성코드 경유-유포지들을 악성코드 경유-유포지 시각화 모듈(140)에 의해 시각화하게 되면 도 6과 같이 표현된다. 즉, 악성코드 경유-유포지 시각화 모듈(140)은 악성코드 경유-유포지들의 상호 연결관계와 각 악성코드 경유-유포지의 연결 집중도를 시각화한다. 도 5 및 도 6에서는, 이해의 편의를 위해 간단한 케이스를 예시했으나, 실제 시각화된 악성코드 경유-유포지들은 도 7 또는 도 8과 같은 양상을 나타낼 수 있다.The classified and connected malicious code via-distribution sites are visualized by the malicious code via-distribution visualization module 140 as shown in FIG. 6. That is, the malicious code via-distribution visualization module 140 visualizes the interconnection relationship between the malicious code via-distribution and the concentration of connection between each malicious code via-distribution. In FIGS. 5 and 6, a simple case is illustrated for convenience of understanding, but the actual visualized malware distribution-distribution sites may exhibit an aspect similar to that of FIG. 7 or 8.

도 7은 입체적으로 악성코드 경유-유포지들을 시각화한 것을 나타내고 있으며, 도 8은 상대적인 위치를 동심원을 동일 레벨로 표현함으로써 시각화된 악성코드 경유-유포지들의 위치 레벨을 한눈에 파악할 수 있게 시각화한 것을 나타내고 있다. 도 7이나 도 8이나, 이처럼 시각화된 악성코드 경유-유포지들을 관찰하면서 사용자는 악성코드 경유-유포지들의 상호 연결관계와 각 악성코드 경유-유포지의 연결 집중도를 한눈에 파악할 수 있게 된다.FIG. 7 shows a visualization of three-dimensionally the malicious code via-distributions, and FIG. 8 shows a visualization of the location level of the visualized malware-distributions by visualizing the concentric circles at the same level. have. As illustrated in FIG. 7 and FIG. 8, the user can grasp the interconnected relationship between the malicious code via-distributing sites and the concentration of connection between each malicious code via-distributing site.

다시 도 2를 참조하면, 정책 관리 모듈(145)은 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)을 구성하는 모든 모듈에 시스템 정책을 제공하고 이를 관리하는 모듈일 수 있다. 이러한 정책 관리 모듈(145)의 기능은 앞서 각 모듈의 기능을 설명하면서 설명한바 중복되는 설명은 생략하도록 한다.Referring back to FIG. 2, the policy management module 145 may be a module that provides a system policy to all modules constituting the malicious code via-distribution detection system 100 according to an embodiment of the present invention and manages the same. . The function of the policy management module 145 will be omitted as described above while explaining the function of each module.

통계 리포트 생성 모듈(150)은 악성코드 경유-유포지에 대한 탐지 정보를 그래프와 테이블 형태의 통계 데이터로 생성하는 모듈일 수 있다. 이렇게 통계 리포트 생성 모듈(150)을 통해 생성된 통계 데이터는 악성코드 경유-유포지 시각화 모듈(140)을 통해 사용자가 볼 수 있도록 시각화될 수 있다.The statistical report generation module 150 may be a module for generating detection information on the malicious code via-distribution site as statistical data in the form of graphs and tables. The statistical data generated through the statistical report generation module 150 may be visualized to be viewed by the user through the malware-distribution visualization module 140.

탐지 정보 공유 모듈(155)은 악성코드 경유-유포지에 대한 탐지 정보를 외부 공유 시스템(200)과 공유하는 모듈일 수 있다. 특히, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)의 탐지 정보 공유 모듈(155)은 악성코드 경유-유포지에 대한 탐지 정보를 XML 문서 형태로 생성하고, 이를 외부 공유 시스템(200)과 공유할 수 있다. XML 문서의 경우 웹을 통해 손쉽게 공유가 가능하기 때문에, 손쉽게 악성코드 경유-유포지에 대한 탐지 정보를 외부 공뷰 시스템(200)과 공유하여 신규 발생되는 악성코드나 기존에 인지하고 있던 악성코드에 대해 서로 협력하여 신속하게 대응할 수 있다.Detection information sharing module 155 may be a module for sharing the detection information for the distribution via the malicious code with the external sharing system 200. In particular, the detection information sharing module 155 of the malware via-distribution detection system 100 according to an embodiment of the present invention generates detection information regarding the malware-distribution via-distribution in the form of an XML document, and this is an external sharing system. Can share with 200. Since the XML document can be easily shared through the web, detection information on the distribution site via the malicious code can be easily shared with the external public view system 200 so that the newly generated malicious code or the previously recognized malicious code can be shared with each other. Cooperate quickly.

지금까지 설명한 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)은 다음과 같은 장점을 갖고 있다.The malicious code via-distribution detection system 100 according to an embodiment of the present invention described so far has the following advantages.

첫째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)은 사회적 이슈 키워드를 주기적으로 수집하고 이를 바탕으로 잠재적 악성코드 경유-유포지를 탐지하기 때문에, 능동적으로 악성코드 경유-유포지를 탐지하는 것이 가능하다.First, since the malicious code via-distribution detection system 100 according to an embodiment of the present invention periodically collects social issue keywords and detects potential malware via-distribution based thereon, actively via the malware-distribution site. It is possible to detect.

둘째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)은 탐지된 악성코드 경유-유포지를 근원지, 경유지, 유포지로 분류하고 이를 체계적으로 시각화한다. 따라서, 본 시스템의 사용자는 특정 악성코드에 대한 경유-유포 정보를 일목요연하게 파악할 수 있으며, 그에 따라 특정 악성코드에 대한 체계적인 대응도 가능하다.Second, the malicious code via-distribution detection system 100 according to an embodiment of the present invention classifies the detected malicious code via-distribution into a source, a waypoint, and a distribution site and visualizes it systematically. Therefore, the user of the system can grasp the route-distribution information for a specific malicious code at a glance, and thus can systematically respond to the specific malicious code.

셋째, 본 발명의 일 실시예에 따른 악성코드 경유-유포지 탐지 시스템(100)은 탐지된 악성코드 경유-유포지에 대해 라이프 싸이클 관리를 수행함으로써, 상황 변동에 따라 변경되는 악성코드 경유-유포지에 대한 정보를 실시간으로 유지한다. 따라서 본 시스템의 사용자는 언제든지 악성코드에 대한 즉각적인 대응이 가능하다.Third, the malicious code via-distribution detection system 100 according to an embodiment of the present invention performs life cycle management on the detected malicious code via-distribution site, so that the malicious code via-distribution site is changed according to a change in circumstances. Maintain information in real time. Therefore, users of this system can immediately respond to malicious code at any time.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described above with reference to the accompanying drawings, the present invention is not limited to the above embodiments but may be manufactured in various forms, and having ordinary skill in the art to which the present invention pertains. It will be understood by those skilled in the art that the present invention may be embodied in other specific forms without changing the technical spirit or essential features of the present invention. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

10: 씨드 정보 수집 채널
100: 악성코드 경유-유포지 탐지 시스템
105: 씨드 정보 수집 모듈 110: 웹 소스코드 분석 모듈
115: 악성코드 경유-유포지 탐지 모듈
120: 시그니쳐 생성 모듈 130: 저장부
135: 악성코드 경유-유포지 평가 모듈
140: 악성코드 경유-유포지 시각화 모듈
145: 정책 관리 모듈 150: 통계 리포트 생성 모듈
155: 탐지 정보 공유 모듈10: seed information collection channel
100: malicious code via-distribution detection system
105: seed information collection module 110: web source code analysis module
115: Malware pass-through distribution module
120: signature generation module 130: storage unit
135: Malware pass-through distribution evaluation module
140: Malware pass-through distribution visualization module
145: Policy Management Module 150: Statistical Report Generation Module
155: detection information sharing module

Claims (14)

씨드 정보 수집 채널로부터 사회적 이슈 키워드를 수집하고, 수집된 상기 사회적 이슈 키워드로부터 잠재적 악성코드 경유-유포지 주소 정보를 수집하고, 상기 잠재적 악성코드 경유-유포지 주소 정보를 이용하여 상기 잠재적 악성코드 경유-유포지의 웹 소스코드를 수집하는 씨드 정보 수집 모듈;
상기 씨드 정보 수집 모듈로부터 상기 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받는 웹 소스코드 분석 모듈;
상기 웹 소스코드 분석 모듈로부터 상기 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받고, 이에 대한 시그니쳐 탐지를 수행하여 상기 잠재적 악성코드 경유-유포지가 악성코드 경유-유포지인지 여부를 탐지하고, 그 결과를 저장부에 저장하는 악성코드 경유-유포지 탐지 모듈;
상기 저장부로부터 적어도 하나 이상의 상기 악성코드 경유-유포지의 주소 정보 및 그 연결관계 정보를 제공받아, 상기 각 악성코드 경유-유포지의 위험도를 평가하고, 상기 각 악성코드 경유-유포지의 평판 정보를 생성하는 악성코드 경유-유포지 평가 모듈;
적어도 하나 이상의 상기 악성코드 경유-유포지의 연결관계 정보를 이용하여, 상기 적어도 하나 이상의 악성코드 경유-유포지의 연결관계 및 상기 각 악성코드 경유-유포지별 연결 집중도를 시각화하는 악성코드 경유-유포지 시각화 모듈;
상기 씨드 정보 수집 모듈, 악성코드 경유-유포지 탐지 모듈, 웹 소스코드 분석 모듈, 악성코드 경유-유포지 평가 모듈, 및 악성코드 경유-유포지 시각화 모듈에 시스템 정책을 제공하고 이를 관리하는 정책 관리 모듈;
상기 악성코드 경유-유포지에 대한 탐지 정보를 그래프와 테이블 형태의 통계 데이터로 생성하는 통계 리포트 생성 모듈; 및
상기 악성코드 경유-유포지에 대한 탐지 정보를 외부 공유 시스템과 공유하는 탐지 정보 공유 모듈을 포함하는 악성코드 경유-유포지 탐지 시스템.Collect social issue keywords from seed information collection channels, collect potential malware via-distribution address information from the collected social issue keywords, and use the potential malware via-distribution address information to use the potential malware via-distribution site Seed information collection module for collecting the web source code of;
A web source code analysis module receiving web source code of the potential malicious code via-distribution from the seed information collection module;
The web source code analysis module receives the web source code of the potential malicious code via-distribution from the web source code analysis module and performs a signature detection to detect whether the potential malicious code via-distribution is via the malicious code via-distribution, and as a result, Malicious code via-distribution detection module for storing the storage unit;
The address of the at least one malicious code via-distribution site and its connection relation information are received from the storage unit, the risk of each of the malicious code via-distribution site is evaluated, and the reputation information of each of the malicious code via-distribution site is generated. Through the malware-distribution evaluation module;
A malicious code via-distribution visualization module that visualizes the connection relationship between the at least one malicious code via-distribution and the concentration of connection by each malicious code via-distribution using at least one connection information of the distribution via the malicious code. ;
A policy management module for providing and managing system policies to the seed information collection module, malicious code via-distribution detection module, web source code analysis module, malicious code via-distribution evaluation module, and malicious code via-distribution visualization module;
A statistical report generation module for generating detection information on the malicious code via-distribution site as statistical data in the form of graphs and tables; And
Malicious code via-distribution detection system comprising a detection information sharing module for sharing the detection information on the distribution via the malicious code with an external sharing system. 제 1항에 있어서,
상기 주소 정보는 URL 또는 IP 중 적어도 어느 하나를 포함하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The address information through the malicious code via-distribution detection system including at least one of the URL or IP. 삭제delete 제 1항에 있어서,
악성 웹 소스코드에 대한 대응 시그니쳐를 생성하는 시그니쳐 생성 모듈을 더 포함하고,
상기 악성코드 경유-유포지 탐지 모듈은 상기 웹 소스코드 분석 모듈로부터 제공받은 상기 잠재적 악성코드 경유-유포지의 웹 소스코드에 대해 상기 시그니쳐 생성 모듈이 생성한 시그니쳐를 기반으로 시그니쳐 탐지를 수행하되, 상기 시그니쳐 생성 모듈이 생성한 시그니쳐로 상기 잠재적 악성코드 경유-유포지의 웹 소스코드가 탐지되지 않을 경우, 상기 잠재적 악성코드 경유-유포지의 웹 소스코드를 외부 악성코드 분석 시스템에 분석 의뢰할 수 있도록 상기 상기 웹 소스코드 분석 모듈에 제공하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
It further includes a signature generation module for generating a corresponding signature for malicious web source code,
The malicious code route-distribution detection module performs signature detection based on the signature generated by the signature generation module for the web source code of the potential malicious code route-distribution provided from the web source code analysis module. When the web source code of the potential malicious code via-distribution is not detected by the signature generated by the generation module, the web source code of the potential malicious code via-distribution may be analyzed and requested to an external malware analysis system. Malicious code via-distribution detection system provided to the source code analysis module. 제 4항에 있어서,
상기 웹 소스코드 분석 모듈은 상기 악성코드 경유-유포지 탐지 모듈로부터 상기 잠재적 악성코드 경유-유포지의 웹 소스코드를 제공받으면, 상기 제공받은 웹 소스코드의 출처 형태 분석을 통해 의심 웹 소스코드만 상기 외부 악성코드 분석 시스템에 분석 의뢰하는 악성코드 경유-유포지 탐지 시스템.The method of claim 4, wherein
When the web source code analysis module receives the web source code of the potential malicious code via-distribution from the malicious code via-distribution detection module, only the suspect web source code is analyzed through the source type analysis of the provided web source code. Malicious code via-distribution detection system that requests analysis to malware analysis system. 제 5항에 있어서,
상기 출처 형태 분석은 도메인 등록 시간 분석과 출처 주소의 형태 분석을 포함하는 악성코드 경유-유포 탐지 시스템.6. The method of claim 5,
The source type analysis comprises a domain registration time analysis and a source code analysis of the distribution through the malware. 제 4항에 있어서,
상기 시그니쳐 생성 모듈은 상기 잠재적 악성코드 경유-유포지의 웹 소스코드에 대한 상기 외부 분석 시스템의 분석 결과를 바탕으로 상기 잠재적 악성코드 경유-유포지의 웹 소스코드에 대한 대응 시그니쳐를 생성하는 악성코드 경유-유포지 탐지 시스템.The method of claim 4, wherein
The signature generation module is via the malicious malware-generating a corresponding signature for the web source code of the potential malicious code-through the distribution based on the analysis result of the external analysis system for the web source code of the potential malicious code. Diffusion Site Detection System. 제 1항에 있어서,
상기 악성코드 경유-유포지의 연결관계 정보는 내향 집중도(in-degree) 정보, 외향 집중도(out-dgree) 정보, 악성코드 정보, 전(previous) 악성코드 경유-유포지 정보, 및 후(next) 악성코드 경유-유포지 정보를 포함하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The connection information of the distribution via the malicious code includes: in-degree information, out-dgree information, malicious code information, prior malicious code via-distribution information, and next malicious information. Malicious code via-distribution detection system that contains code via-distribution information. 제 8항에 있어서,
상기 각 악성코드 경유-유포지의 위험도는 상기 내향 집중도와 상기 외향 집중도가 증가할수록 증가하는 악성코드 경유-유포지 탐지 시스템.The method of claim 8,
The malicious code via-distribution detection system increases the risk of each of the malicious code via-distribution increases as the inward concentration and the outward concentration increase. 제 1항에 있어서,
상기 평판 정보는 상기 각 악성코드 경유-유포지가 속한 도메인의 악성 호스트 개수, 상기 각 악성코드 경유-유포지가 속한 도메인의 등록 일자 및 상기 각 악성코드 경유-유포지에 대한 외부 악성코드 대응 업체의 평판 정보를 포함하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The reputation information includes the number of malicious hosts in the domain to which each malicious code via-distribution belongs, the registration date of the domain to which the malicious code through-distribution belongs, and the reputation information of an external malicious code corresponding company for each of the malicious code via-distribution. Malicious code via-dissemination detection system comprising a. 제 1항에 있어서,
상기 악성코드 경유-유포지 평가 모듈은 상기 적어도 하나 이상의 악성코드 경유-유포지의 주소 정보를 이용하여 상기 적어도 하나 이상의 악성코드 경유-유포지를 각각 방문하고, 그 곳으로부터 웹 소스코드를 수집하고, 상기 수집된 웹 소스코드를 대상으로 시그니쳐 기반 탐지를 수행하여, 상기 각 악성코드 경유-유포지의 상태 변화를 관찰하고, 상기 각 악성코드 경유-유포지의 상기 연결관계 정보를 갱신하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The malicious code route-distribution evaluation module visits the at least one malicious code route-distribution site using the address information of the at least one malicious code route-distribution site, collects web source code therefrom, and collects the web source code therefrom. By performing signature-based detection on the generated web source code, the malicious code via-distribution detection system observes the state change of each of the via-distribution via the malicious code and updates the connection relationship information of the via-distribution through the malicious code. . 제 1항에 있어서,
상기 악성코드 경유-유포지 시각화 모듈은 상기 악성코드 경유-유포지의 연결관계 정보를 이용하여 상기 적어도 하나 이상의 악성코드 경유-유포지를 근원지, 경유지 또는 유포지로 분류하고,
상기 근원지와 상기 경유지간, 상기 서로 다른 경유지간, 상기 경유지와 상기 유포지간의 상기 연결관계 및 상기 연결 집중도를 시각화하는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The malicious code route-distribution visualization module classifies the at least one malicious code route-distribution site as a source, a route site or a distribution site using the connection information of the route via the malicious code.
And a malicious code route-distribution detection system for visualizing the connection relationship and the concentration of the connection between the origin and the waypoint, between the different waypoints, and the waypoint and the dissemination site. 삭제delete 제 1항에 있어서,
상기 외부 공유 시스템과 공유하는 상기 악성코드 경유-유포지에 대한 탐지 정보는 XML 문서 형태로 생성되는 악성코드 경유-유포지 탐지 시스템.The method of claim 1,
The malicious code via-distribution detection system, wherein the detection information for the malicious code via-distribution shared with the external sharing system is generated in the form of XML document.
KR1020100133522A 2010-12-23 2010-12-23 System for detecting landing, hopping and distribution sites of malicious code KR101169014B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100133522A KR101169014B1 (en) 2010-12-23 2010-12-23 System for detecting landing, hopping and distribution sites of malicious code

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100133522A KR101169014B1 (en) 2010-12-23 2010-12-23 System for detecting landing, hopping and distribution sites of malicious code

Publications (2)

Publication Number Publication Date
KR20120071826A KR20120071826A (en) 2012-07-03
KR101169014B1 true KR101169014B1 (en) 2012-07-26

Family

ID=46706733

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100133522A KR101169014B1 (en) 2010-12-23 2010-12-23 System for detecting landing, hopping and distribution sites of malicious code

Country Status (1)

Country Link
KR (1) KR101169014B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160031588A (en) * 2014-09-12 2016-03-23 고려대학교 산학협력단 Method and apparatus for malicious code classification

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101639869B1 (en) * 2014-08-04 2016-07-14 (주)엔토빌소프트 Program for detecting malignant code distributing network
KR101712462B1 (en) * 2016-10-14 2017-03-06 국방과학연구소 System for monitoring dangerous ip
KR20180060135A (en) * 2016-11-28 2018-06-07 (주) 세인트 시큐리티 Method of Visualizing Associated Information of Analyzed Information of Malware
KR102150571B1 (en) * 2019-09-04 2020-09-01 국방과학연구소 Apparatus, method, computer-readable storage medium, and computer program for identifying source of information on network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"제로데이 공격 대응력 향상을 위한 시그니처 자동 공유 방안", 김성기 외 2인, 정보과학회논문지 : 정보통신 제37권 제4호(2010.8.)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160031588A (en) * 2014-09-12 2016-03-23 고려대학교 산학협력단 Method and apparatus for malicious code classification
KR101645214B1 (en) 2014-09-12 2016-08-16 고려대학교 산학협력단 Method and apparatus for malicious code classification

Also Published As

Publication number Publication date
KR20120071826A (en) 2012-07-03

Similar Documents

Publication Publication Date Title
Lever et al. A lustrum of malware network communication: Evolution and insights
US20200201989A1 (en) Multi-point causality tracking in cyber incident reasoning
US20060230039A1 (en) Online identity tracking
US11184374B2 (en) Endpoint inter-process activity extraction and pattern matching
US8813228B2 (en) Collective threat intelligence gathering system
RU2417417C2 (en) Real-time identification of resource model and resource categorisation for assistance in protecting computer network
Krishnamurthy et al. Privacy leakage vs. protection measures: the growing disconnect
US8375120B2 (en) Domain name system security network
US8769673B2 (en) Identifying potentially offending content using associations
JP6315640B2 (en) Communication destination correspondence collection apparatus, communication destination correspondence collection method, and communication destination correspondence collection program
US8707441B1 (en) Techniques for identifying optimized malicious search engine results
US20110191342A1 (en) URL Reputation System
KR101781450B1 (en) Method and Apparatus for Calculating Risk of Cyber Attack
US20070006310A1 (en) Systems and methods for identifying malware distribution sites
KR101169014B1 (en) System for detecting landing, hopping and distribution sites of malicious code
CN105550593A (en) Cloud disk file monitoring method and device based on local area network
US20180041525A1 (en) Apparatus and methods thereof for inspecting events in a computerized environment respective of a unified index for granular access control
Starov et al. Betrayed by your dashboard: Discovering malicious campaigns via web analytics
Hong et al. Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data
JP2011193343A (en) Communications network monitoring system
Zhang et al. Characterization of blacklists and tainted network traffic
Akiyama et al. Improved blacklisting: inspecting the structural neighborhood of malicious URLs
KR20120071827A (en) Seed information collecting device for detecting landing, hopping and distribution sites of malicious code and seed information collecting method for the same
KR101260032B1 (en) Device for evaluating landing, hopping and distribution sites of malicious code
Shick et al. Unique approach to threat analysis mapping: A malware centric methodology for better understanding the adversary landscape

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150720

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee