KR101253613B1 - 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 - Google Patents

하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 Download PDF

Info

Publication number
KR101253613B1
KR101253613B1 KR1020100131399A KR20100131399A KR101253613B1 KR 101253613 B1 KR101253613 B1 KR 101253613B1 KR 1020100131399 A KR1020100131399 A KR 1020100131399A KR 20100131399 A KR20100131399 A KR 20100131399A KR 101253613 B1 KR101253613 B1 KR 101253613B1
Authority
KR
South Korea
Prior art keywords
message
irp
virtual file
web site
file system
Prior art date
Application number
KR1020100131399A
Other languages
English (en)
Other versions
KR20120070014A (ko
Inventor
김병익
임채태
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100131399A priority Critical patent/KR101253613B1/ko
Publication of KR20120070014A publication Critical patent/KR20120070014A/ko
Application granted granted Critical
Publication of KR101253613B1 publication Critical patent/KR101253613B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 하이 인터액션 클라이언트 허니팟 시스템에 있어서, 가상 환경에서 파일 작업을 제어하는 가상 파일 시스템; 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 IRP 메시지 후커; 및 상기 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하며, 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 가상파일 시스템 관리 모듈;를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템을 제공한다.
또한, 본 발명은 하이 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서, 가상파일 시스템 관리 모듈이 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하는 단계; IRP 메시지 후커가 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 단계; 가상 파일 시스템이 상기 변경된 메시지를 기반으로 가상 환경에서 파일 작업을 제어하는 단계; 및 상기 가상파일 시스템 관리 모듈이 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 단계;를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템 운용방법을 제공한다.

Description

하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법{High interaction client honeypot system and its operation method}
본 발명은 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 관한 것으로, 시스템의 특정 부분에서만 파일을 쓰고 읽고 변경이 가능하도록 설정된 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 관한 것이다.
인터넷의 발달에 따라 많은 사용자들이 웹 페이지를 방문하여 다양한 서비스를 이용하고 있다. 사용자들의 편의를 제공하는 인터넷 서비스의 이면에는 이를 악용하여 이익을 추구하는 사람들이 존재한다. 이들은 주로 인터넷을 통해 사용자 모르게 악성 공격 행위 프로그램을 사용자 컴퓨터에 설치하도록 한다. 이 악성 공격 행위 프로그램을 이용하여 공격자는 사용자의 개인정보 탈취 또는 공공기관의 인터넷 서비스를 방해하는 작업을 수행한다.
이처럼 인터넷을 통해 일어나는 사고들을 막기 위해 악의적 목적을 가진 웹사이트를 구별하여 접근을 제안하는 연구가 진행되고 있다.
분석 시스템의 분석을 원하는 웹사이트를 방문하는 하이 인터액션 클라이언트 허니팟 방식과 웹사이트의 응답을 비교하는 로우 인터액션 클라이언트 허니팟 방식 등이 존재한다.
하이 인터액션 클라이언트 허니팟은 직접 해당 분석 웹사이트를 방문하여 그 결과를 분석한다. 실제 사용자가 해당 웹페이지를 방문하는 것과 같은 작업을 수행하여 시스템의 모든 변화를 분석 할 수 있다. 알려지지 않는 신종 악성 행위 공격 등을 보다 효율적으로 탐지할 수 있는 장점을 가지고 있다. 하지만 악성 웹 사이트를 방문 시 분석 시스템은 악성 행위 공격에 노출이 되어 시스템의 오염이 발생한다. 따라서, 차후 분석을 위해 분석 시스템을 오염되기 이전 상태로 돌려야 한다. 또한 악성 행위 프로그램이 동작 할 수 있는 환경을 구축해야 하는 단점이 존재한다.
로우 인터액션 클라이언트 허니팟은 웹사이트의 응답을 확인하여 웹사이트를 분석하는 방식이다. 웹사이트에서 받은 리퀘스트를 분석하여 악성 웹사이트 유무를 확인한다. 따라서 해당 웹사이트를 직접 방문하지 않아도 악성 웹사이트 유무를 확인할 수 있다. 하지만 알려지지 않은 공격이나 직접 웹사이를 방문하여 발생하는 공격에 대해서 탐지를 못하는 단점이 존재한다. 보다 정확한 웹사이트 판별을 위해 로우 인터액션 클라이언트 허니팟 보다는 하이 인터액션 클라이언트 허니팟을 사용하고 있다.
이에 대해 보다 자세히 설명하면, 인터넷을 사용하는 사용자들을 위협하는 요소로 사용자가 인지하지 못하는 사이 악성 코드를 다운 받거나 악성 스크립트를 실행하는 Drive by Download와 스크립트 난독화를 통한 악성행위, 악성 웹사이트로 사용자를 불러 모으는 피싱 사이트 그리고 악성 행위를 하는 악성 웹사이트 등이 존재한다. 이러한 인터넷 사용 위험 요소를 막고 분석하기 위해서 허니팟 기반의 분석 시스템을 사용하고 있다. 도 1에 도시된 바와 같이 수동적으로 악성 공격을 기다리는 서버 기반 허니팟과 직접 악성 웹서버를 찾아다니는 클라이언트 허니팟이 존재한다. 서버 기반 허니팟은 수동적으로 공격이 이루어질 때까지 대기하므로 웹사이트 분석에 적합성이 떨어지고 있다. 이러한 단점을 보완할 허니팟이 등장하여 그 사용빈도가 증가하고 있다.
클라이언트 허니팟은 공격자(웹사이트)와 분석 시스템간의 상호작용의 차이를 이용하여 앞서 간략하게 설명한 로우 인터액션과 하이 인터액션으로 구분된다.
로우 인터액션 클라이언트 허니팟은 공격자와 분석 시스템이 구축한 시뮬레이션 환경 사이에서 상호 작용이 발생한다. 로우 인터액션 클라이언트 허니팟은 웹사이트의 반응만을 가지고 웹사이트를 분석한다. 웹사이트를 분석시 패턴 매칭 방식을 사용하여 해당 웹사이트의 응답을 확인하고 이를 분석하여 악성행위 유무를 판별한다. 웹사이트의 응답만 분석하는 방식이므로 분석 속도가 빠르고 악의적 공격에 노출이 되지 않는 장점을 가지고 있다. 하지만 동적 생성 코드를 이용한 공격이나 기존의 탐지 패턴을 벗어난 공격 그리고 알려지지 않은 공격을 탐지하지 못하는 단점을 가진다.
하이 인터액션 클라이언트 허니팟은 웹사이트와 주고받는 응답 메시지를 분석하는 로우 인터액션 클라이언트 허니팟과는 다르게 웹사이트를 직접 방문한다. 그런 후 분석 시스템의 시스템 변경 사항을 확인하여 해당 웹사이트의 악성 행위 유무를 탐지하는 방식이다. 로우 인터액션 클라이언트 허니팟보다 더욱 높은 수준의 상호 작용을 제공한다. 따라서 알려지지 않는 공격을 탐지할 수 있으며 동적 생성 코드를 이용한 공격도 분석할 수 있다. 하지만 웹사이트를 직접 방문하여 공격에 노출되기 때문에 분석이 끝난 후 분석 시스템을 분석 시점 이전으로 초기화하는 작업이 필요하다. 초기화하는 부분에서 많은 시간이 소요되고 방문한 악성 웹사이트의 개수가 증가할수록 초기와 빈도는 점차 증가하게 된다. 웹사이트를 분석하는 시간은 로우 인터액션 클라이언트 허니팟에 비하여 느린 단점을 가진다.
따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 시스템의 특정 부분에서만 파일을 쓰고 읽고 변경이 가능하도록 설정된 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법을 제공함으로써, 시스템 초기화의 범위를 줄이고, 직접 분석 시스템이 공격에 노출되는 기회를 줄여 좀 더 안전한 환경에서 웹사이트를 분석할 수 있도록 하는 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법을 제공하는데 그 목적이 있다.
상기의 목적을 달성하기 위한 본 발명은 하이 인터액션 클라이언트 허니팟 시스템에 있어서, 가상 환경에서 파일 작업을 제어하는 가상 파일 시스템; 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 IRP 메시지 후커; 및 상기 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하며, 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 가상파일 시스템 관리 모듈;를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템을 제공한다.
또한, 상기 가상 파일 시스템은, 시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업이 이루어도록 하는 파일 관리부; 상기 파일 작업에 관한 메시지의 조작을 제어하는 메시지 제어부; 및 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 초기화되는 초기화부;를 포함할 수 있다.
또한, 상기 IRP 메시지 후커는, 상기 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받는 아이디 수신부; 상기 아이디 수신부로부터 전달받은 ID를 이용하여 IRP 메시지 중 해당 프로프로세스 아이디에서 발생한 메시지를 변경하는 메시지 변경부; 및 상기 메시지 변경부로부터 변경된 메시지의 목적지를 상기 가상 파일 시스템으로 변경하여 상기 가상 파일 시스템에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리하는 IRP 메시지 관리부;를 포함할 수 있다.
또한, 상기 가상파일 시스템 관리 모듈은, 상기 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하는 명령확인부; 상기 실행된 명령들에 따른 해당 IRP 메시지들을 상기 IRP 메시지 후커에게 전달하는 메시지 발신부; 및 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석하는 초기화 관리부; 를 포함할 수 있다.
상기의 목적을 달성하기 위한 본 발명은 하이 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서, 가상파일 시스템 관리 모듈이 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하는 단계; IRP 메시지 후커가 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 단계; 가상 파일 시스템이 상기 변경된 메시지를 기반으로 가상 환경에서 파일 작업을 제어하는 단계; 및 상기 가상파일 시스템 관리 모듈이 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 단계;를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템 운용방법을 제공한다.
또한, IRP 메시지 후커가 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 단계에서, 상기 IRP 메시지 후커는 상기 메시지 변경부로부터 변경된 메시지의 목적지를 상기 가상 파일 시스템으로 변경하여 상기 가상 파일 시스템에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리할 수 있다.
또한, 가상 파일 시스템이 상기 변경된 메시지를 기반으로 가상 환경에서 파일 작업을 제어하는 단계에서, 상기 가상 파일 시스템은 시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업이 가상 환경에서 이루어질 수 있다.
또한, 상기 가상파일 시스템 관리 모듈이 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 단계에서, 상기 가상파일 시스템 관리 모듈은 상기 가상 파일 시스템의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석할 수 있다.
이상에서, 본 발명은 시스템의 특정 부분에서만 파일을 쓰고 읽고 변경이 가능하도록 설정된 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법을 제공함으로써, 시스템 초기화의 범위를 줄이고, 직접 분석 시스템이 공격에 노출되는 기회를 줄여 좀 더 안전한 환경에서 웹사이트를 분석할 수 있도록 하는 효과가 있다.
도 1은 종래 기술에 따른 서버 기반 허니팟 및 클라이언트 기반 허니팟에 대한 도면이다.
도 2는 본 발명의 실시예에 따른 하이 인터액션 클라이언트 허니팟 시스템의 구성에 대한 도면이다.
도 3은 본 발명의 실시예에 따른 하이 인터액션 클라이언트 허니팟 시스템의 세부 구성에 대한 도면이다.
도 4는 본 발명의 실시예에 따른 하이 인터액션 클라이언트 허니팟 시스템의 운용 방법에 대한 순서도이다.
본 발명에 따른 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.
하이 인터액션 클라이언트 허니팟 시스템
도 2 및 도 3을 참조하여 설명하면, 본 발명의 실시예에 따른 하이 인터액션 클라이언트 허니팟 시스템(100)은 가상 환경에서 파일 작업을 제어하는 가상 파일 시스템(110), 웹 사이트 분석 시스템(120)으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 IRP 메시지 후커(130) 및 상기 웹 사이트 분석 시스템(120)으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커(130)에게 전달하며, 상기 웹 사이트 분석 시스템(120)으로부터 분석이 완료된 후 상기 가상 파일 시스템(110)의 초기화를 관리하는 가상파일 시스템 관리 모듈(140)을 포함하여 이루어질 수 있다.
본 발명에 따른 하이 인터액션 클라이언트 허니팟 시스템(100)은 도면에 도시된 바와 같이 시스템의 특정 부분에서만 파일에 관한 작업을 실시하도록 하는 시스템으로, 가상 환경에서 웹사이트를 분석할 때 시스템에 대한 파일 작업을 따로 처리하도록 하는 방식으로 이루어진다.
상기 가상 파일 시스템(110)은 기존의 파일 시스템과 유사한 구조를 가지고 있다. 상기 가상 파일 시스템(110)은 별도의 공간에서 구축되는 것이 아니라 존재하는 파일 시스템의 특정 공간을 사용하여 구성된다. 시스템에서 일어나는 모든 파일 쓰기, 삭제, 변경 등의 작업을 가상 파일 시스템(110)에서만 이루어지도록 한다. 먼저 파일 작업에 관한 메시지를 조작할 필요가 있다. 이를 위해 IRP 메시지 후커(130)를 구성하여 해당 메시지를 조작한다. 변경이 일어난 메시지는 기존의 파일 작업 대상이 가상 파일 시스템(110)으로 변화되어 모든 작업이 가상 파일 시스템(110)에서 이루어지도록 한다. 따라서, 분석이 완료된 후 모든 시스템을 초기화하지 않고 가상 파일시스템만 초기화하여 공격에 의한 피해를 정상 상태로 복구시킬 수 있다.
이와 같은 상기 가상 파일 시스템(110)은 파일 관리부(111), 메시지 제어부(112), 초기화부(113)로 구성될 수 있다. 상기 파일 관리부(111)는 시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업이 이루어도록 한다, 상기 메시지 제어부(112)는 상기 파일 작업에 관한 메시지의 조작을 제어하도록 한다. 상기 초기화부(113)는 상기 웹 사이트 분석 시스템(120)으로부터 분석이 완료된 후 초기화되도록 한다.
상기 IRP 메시지 후커(130)는 상기 웹 사이트 분석 시스템(120)으로부터 시스템 변경을 유도하는 프로세스 아이디를 전달받아, 프로세스 아이디를 이용하여 IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하도록 한다. 변경된 IRP 메시지의 목적지는 상기 가상 파일 시스템(110)으로 변경된다.
따라서, 분석하는 웹페이지가 시스템 변경 작업을 하는 것처럼 보이지만 실제적으로 시스템에서는 아무런 변화가 없고 단지 상기 가상 파일 시스템(110)에서 변경이 이루어진다. 만약 웹사이트에서 생성한 파일을 다시 불어들이는 작업을 하게 되는 경우, 상기 IRP 메시지 후커(130)는 IRP 메시지를 변경하여 상기 가상 파일 시스템(110)에 생성된 파일 정보를 불러 주게 된다. 단, 파일을 실행하는 IRP 메시지가 발생되면 이 발생 메시지는 삭제되어 시스템의 다른 부분이 변경되는 것을 막는다. 관찰하는 프로세스 아이디와 관련된 모든 작업은 상기 가상 파일 시스템(110)에서만 이루어지며, 다른 부분에서 작업이 이루어지는 IRP 메시지는 무시되거나 삭제될 수 있다.
이와 같은 상기 IRP 메시지 후커(130)는 아이디 수신부(131), 메시지 변경부(132), IRP 메시지 관리부(133)로 구성될 수 있다. 상기 아이디 수신부(131)는 상기 웹 사이트 분석 시스템(120)으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받을 수 있다. 상기 메시지 변경부(132)는 상기 아이디 수신부(131)로부터 전달받은 ID를 이용하여 IRP 메시지 중 해당 프로프로세스 아이디에서 발생한 메시지를 변경할 수 있다. 상기 IRP 메시지 관리부(133)는 상기 메시지 변경부(132)로부터 변경된 메시지의 목적지를 상기 가상 파일 시스템(110)으로 변경하여 상기 가상 파일 시스템(110)에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리할 수 있다.
상기 가상파일 시스템 관리 모듈(140)은 상기 웹 사이트 분석 시스템(120)으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지들을 상기 IRP 메시지 후커(130)에게 전달하는 목적을 수행한다. 더 나아가 웹사이트의 분석이 완료된 후 상기 가상 파일 시스템(110)의 초기화를 관리할 수 있다. 이때, 상기 가상 파일 시스템(110)에 작성되거나 변경된 파일들을 추출하여 관리할 수 있다. 이에 따라 웹사이트 분석을 마친 후 해당 웹사이트가 배포하는 파일들을 분석하여 어떠한 공격이 이루어지고 어떤 형태의 공격인지 확인할 수 있도록 도와줄 수 있다.
이와 같은 상기 가상파일 시스템 관리 모듈(140)은 명령확인부(141), 메시지 발신부(142), 초기화 관리부(143)로 구성될 수 있다. 상기 명령확인부(141)는 상기 웹 사이트 분석 시스템(120)으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인할 수 있다. 상기 메시지 발신부(142)는 상기 실행된 명령들에 따른 해당 IRP 메시지들을 상기 IRP 메시지 후커(130)에게 전달할 수 있다. 상기 초기화 관리부(143)는 상기 웹 사이트 분석 시스템(120)으로부터 분석이 완료된 후 상기 가상 파일 시스템(110)의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석할 수 있다.
하이 인터액션 클라이언트 허니팟 시스템 운용방법
도 4를 참조하여 설명하면, 본 발명의 실시예에 따른 하이 인터액션 클라이언트 허니팟 시스템 운용방법은 앞서 설명한 도 2 내지 도 3과 같은 구성으로 이루어진 하이 인터액션 클라이언트 허니팟 시스템(100)을 기반으로 하는 시스템 운용방법으로 이하 중복되는 설명은 생략한다.
먼저, 가상파일 시스템 관리 모듈(140)이 웹 사이트 분석 시스템(120)으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커(130)에게 전달한다.(S100)
다음으로, IRP 메시지 후커(130)가 웹 사이트 분석 시스템(120)으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경한다.(S110) 이때, 상기 IRP 메시지 후커(130)는 상기 메시지 변경부로부터 변경된 메시지의 목적지를 상기 가상 파일 시스템(110)으로 변경하여 상기 가상 파일 시스템(110)에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리할 수 있다.
다음으로, 가상 파일 시스템(110)이 상기 변경된 메시지를 기반으로 가상 환경에서 파일 작업을 제어한다.(S120) 이때, 상기 가상 파일 시스템(110)은 시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업이 가상 환경에서 이루어질 수 있다.
마지막으로, 상기 가상파일 시스템 관리 모듈(140)이 상기 웹 사이트 분석 시스템(120)으로부터 분석이 완료된 후 상기 가상 파일 시스템(110)의 초기화를 관리한다.(S130) 이때, 상기 가상파일 시스템 관리 모듈(140)은 상기 가상 파일 시스템(110)의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석할 수 있다.
이처럼, 본 발명에 따른 하이 인터액션 클라이언트 허니팟 시스템(100) 및 그 운용방법은 시스템의 특정 부분에서만 파일을 쓰고 읽고 변경이 가능하도록 설정된 하이 인터액션 클라이언트 허니팟 시스템(100) 및 그 운용방법을 제공함으로써, 시스템 초기화의 범위를 줄이고, 직접 분석 시스템이 공격에 노출되는 기회를 줄여 좀 더 안전한 환경에서 웹사이트를 분석할 수 있다.
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다.
100 : 하이 인터액션 클라이언트 허니팟 시스템
110 : 가상 파일 시스템
120 : 웹 사이트 분석 시스템
130 : IRP 메시지 후커
140 : 가상파일 시스템 관리 모듈

Claims (8)

  1. 하이 인터액션 클라이언트 허니팟 시스템에 있어서,
    가상 환경에서 파일 작업을 제어하는 가상 파일 시스템;
    웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 IRP 메시지 후커; 및
    상기 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하며, 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 가상파일 시스템 관리 모듈을 포함하여 구성되며,
    상기 IRP 메시지 후커는,
    상기 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받는 아이디 수신부;
    상기 아이디 수신부로부터 전달받은 ID를 이용하여 IRP 메시지 중 해당 프로프로세스 아이디에서 발생한 메시지를 변경하는 메시지 변경부; 및
    상기 메시지 변경부로부터 변경된 메시지의 목적지를 상기 가상 파일 시스템으로 변경하여 상기 가상 파일 시스템에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리하는 IRP 메시지 관리부를 포함하여 구성되며,
    상기 가상 파일 시스템은,
    시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업이 이루어도록 하는 파일 관리부,
    상기 파일 작업에 관한 메시지의 조작을 제어하는 메시지 제어부, 및
    상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 초기화되는 초기화부를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템.
  2. 삭제
  3. 삭제
  4. 제 1항에 있어서, 상기 가상파일 시스템 관리 모듈은,
    상기 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하는 명령확인부;
    상기 실행된 명령들에 따른 해당 IRP 메시지들을 상기 IRP 메시지 후커에게 전달하는 메시지 발신부; 및
    상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석하는 초기화 관리부를 포함하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템.
  5. 하이 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서,
    가상파일 시스템 관리 모듈이 웹 사이트 분석 시스템으로부터 분석하는 웹사이트에서 명령하는 실행들을 확인하고 해당 IRP 메시지를 상기 IRP 메시지 후커에게 전달하는 단계;
    IRP 메시지 후커가 웹 사이트 분석 시스템으로부터 시스템 변경을 유도하는 프로세스의 아이디를 전달받아 이를 이용하여, IRP 메시지 중 해당 프로세스 아이디에서 발생한 메시지를 변경하는 단계;
    상기 IRP 메시지 후커가 메시지 상기 변경된 메시지의 목적지를 가상 파일 시스템으로 변경하여 상기 가상 파일 시스템에 생성된 파일 정보를 수집하며, 상기 IRP 메시지를 관리하는 단계;
    상기 가상 파일 시스템이 상기 변경된 메시지를 기반으로 가상 환경에서 파일 작업을 제어하는 단계; 및
    상기 가상파일 시스템 관리 모듈이 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 단계를 포함하여 이루어지며,
    상기 가상 파일 시스템이 파일작업을 제어하는 단계는 가상환경에서 상기 가상 파일 시스템이 시스템에서 일어나는 파일 쓰기, 삭제, 변경 작업을 수행하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템 운용방법.
  6. 삭제
  7. 삭제
  8. 제 5항에 있어서,
    상기 가상파일 시스템 관리 모듈이 상기 웹 사이트 분석 시스템으로부터 분석이 완료된 후 상기 가상 파일 시스템의 초기화를 관리하는 단계에서,
    상기 가상파일 시스템 관리 모듈은 상기 가상 파일 시스템의 초기화에 따른 작성되거나 변경된 파일들을 추출하여 해당 웹 사이트가 배포하는 파일들을 분석하는 것을 특징으로 하는 하이 인터액션 클라이언트 허니팟 시스템 운용방법.





KR1020100131399A 2010-12-21 2010-12-21 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 KR101253613B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131399A KR101253613B1 (ko) 2010-12-21 2010-12-21 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131399A KR101253613B1 (ko) 2010-12-21 2010-12-21 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법

Publications (2)

Publication Number Publication Date
KR20120070014A KR20120070014A (ko) 2012-06-29
KR101253613B1 true KR101253613B1 (ko) 2013-04-11

Family

ID=46687973

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131399A KR101253613B1 (ko) 2010-12-21 2010-12-21 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법

Country Status (1)

Country Link
KR (1) KR101253613B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101400680B1 (ko) * 2013-03-12 2014-05-29 주식회사 윈스 악성코드 자동 수집 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050082681A (ko) * 2004-02-20 2005-08-24 한국과학기술원 허니팟 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050082681A (ko) * 2004-02-20 2005-08-24 한국과학기술원 허니팟 시스템

Also Published As

Publication number Publication date
KR20120070014A (ko) 2012-06-29

Similar Documents

Publication Publication Date Title
KR102137773B1 (ko) 보안 애플리케이션을 통해 안전한 데이터를 전송하기 위한 시스템 및 그에 관한 방법
US10951647B1 (en) Behavioral scanning of mobile applications
JP5446860B2 (ja) 仮想マシン運用システム、仮想マシン運用方法およびプログラム
CN106462703B (zh) 补丁文件分析系统与分析方法
CN105493054B (zh) 使用双文件系统的快速数据保护
JP6100898B2 (ja) メッセージを処理するための方法およびデバイス
US11797636B2 (en) Intermediary server for providing secure access to web-based services
Ntantogian et al. Evaluating the privacy of Android mobile applications under forensic analysis
JP4159100B2 (ja) 情報処理装置による通信を制御する方法およびプログラム
EP2199940A2 (en) Methods and systems for detecting man-in-the-browser attacks
US20130160126A1 (en) Malware remediation system and method for modern applications
CN105760787B (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
US9208235B1 (en) Systems and methods for profiling web applications
JP2007316637A (ja) 個別アプリケーション・プログラム用のスクリーンセーバ
KR101190261B1 (ko) 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법
US9973525B1 (en) Systems and methods for determining the risk of information leaks from cloud-based services
CN103390130A (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
CN107430669A (zh) 计算系统和方法
US7797727B1 (en) Launching an application in a restricted user account
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
JP5478390B2 (ja) ログ抽出システムおよびプログラム
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
KR20090031393A (ko) 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
US10275596B1 (en) Activating malicious actions within electronic documents
JP2012234540A (ja) 悪性コード検出システム及び悪性コード検出方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee