KR101253616B1 - 네트워크 경로 추적 장치 및 방법 - Google Patents
네트워크 경로 추적 장치 및 방법 Download PDFInfo
- Publication number
- KR101253616B1 KR101253616B1 KR1020110132050A KR20110132050A KR101253616B1 KR 101253616 B1 KR101253616 B1 KR 101253616B1 KR 1020110132050 A KR1020110132050 A KR 1020110132050A KR 20110132050 A KR20110132050 A KR 20110132050A KR 101253616 B1 KR101253616 B1 KR 101253616B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- url information
- departure
- url
- referrer
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000000605 extraction Methods 0.000 abstract description 14
- 238000004891 communication Methods 0.000 abstract description 10
- 239000000284 extract Substances 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
웹 페이지 방문시에 발생된 패킷 정보를 이용하여 효율적으로 네트워크 경로를 추적하기 위한 장치 및 방법이 개시된다.
본 발명에 따르면, 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 패킷 추출부; 상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 리퍼러 정보 추출부; 상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 제1 출발 URL 판단부; 상기 판단 결과 출발 URL 정보인 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 제1 도착 정보 추출부; 및 상기 제1 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제1 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제1 재지향 설정부;를 포함하는 네트워크 경로 추적 장치가 제공된다.
이에, 본 발명은 특정 웹 페이지를 실행하는 동안 발생된 HTTP 패킷 정보를 이용하여 리퍼러 정보, 출발 정보 및 도착 정보를 추출함으로써, 여러 웹 페이지에서 발생되는 악성 코드의 감염 경로를 확인 할 수 있어, 웹 페지지상에서 발생하는 악성 코드 감염을 방지하는 효과가 있다.
본 발명에 따르면, 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 패킷 추출부; 상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 리퍼러 정보 추출부; 상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 제1 출발 URL 판단부; 상기 판단 결과 출발 URL 정보인 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 제1 도착 정보 추출부; 및 상기 제1 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제1 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제1 재지향 설정부;를 포함하는 네트워크 경로 추적 장치가 제공된다.
이에, 본 발명은 특정 웹 페이지를 실행하는 동안 발생된 HTTP 패킷 정보를 이용하여 리퍼러 정보, 출발 정보 및 도착 정보를 추출함으로써, 여러 웹 페이지에서 발생되는 악성 코드의 감염 경로를 확인 할 수 있어, 웹 페지지상에서 발생하는 악성 코드 감염을 방지하는 효과가 있다.
Description
본 발명은 네트워크 경로 추적 장치 및 방법에 관한 것으로서, 더욱 상세하게는, 웹 페이지 방문시에 발생된 패킷 정보를 이용하여 효율적으로 네트워크 경로를 추적하기 위한 장치 및 방법에 관한 것이다.
일반적으로, 웹 페이지에 게재된 정보들은 여러 서버에서 보내온 정보를 통합하여 게재되는 경우가 대부분이다. 만약 상기 임의의 정보가 악성코드를 가지고 있다면, 상기 악성 코드는 웹 페이지를 관리하는 서버에서 뿌린 것이 아닌 여러 경로에 있는 서버 혹은 출발지 서버(유포지 서버)에서 뿌린 것일 수 있다.
이럴 경우, 악성 코드를 발생시킨 유포지 서버를 찾기란 쉽지 않다. 그러나, 최근에는 네트워크 경로를 추적하여 악성 코드의 출처를 알아낼 수 있는 기법이 제시되고 있으나, 웹 페이지상에서 심어진 악성 코드를 찾는 네트워크 경로 추적 기법은 제시되지 못하고 있는 실정이다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 웹 페이지 방문시에 발생된 패킷 정보 중 HTTP 패킷 정보를 이용하여 웹 페이지내의 악성 코드 유포지를 찾을 수 있는 네트워크 경로 추적 장치 및 방법을 제공하고자 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.
본 발명의 일 실시예에 따르면, 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 패킷 추출부; 상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 리퍼러 정보 추출부; 상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 제1 출발 URL 판단부; 상기 판단 결과 출발 URL 정보인 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 제1 도착 정보 추출부; 및 상기 제1 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제1 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제1 재지향 설정부;를 포함하는 네트워크 경로 추적 장치가 제공된다.
여기서, 네트워크 경로 추적 장치는 상기 판단 결과, 출발 URL 정보가 아닌 경우, 상기 HTTP 패킷 내에 미점검 출발 URL 정보가 있는지를 판단하는 제2 출발 URL 판단부; 상기 미점검 출발 URL 정보가 있을 경우 상기 미점검 출발 URL 정보를 상기 제2 리퍼러 정보로 하여, 상기 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 추출하는 제2 도착 정보 추출부; 및 상기 추출된 제2 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제2 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제2 재지향 설정부;를 더 포함할 수 있다.
또한, 상기 제1 재지향 설정부는, 상기 JS, HTML, PHP 형식이 아닐 경우 상기 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 더 탐지하여 없을 경우에 리다이렉션(redirection)으로 더 설정할 수 있다.
또한, 상기 제2 재지향 설정부는, 상기 JS, HTML, PHP 형식이 아닐 경우 상기 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 탐지하여 없을 경우에 리다이렉션(redirection)으로 더 설정할 수 있다.
또한, 본 발명의 다른 일 실시예에 따르면, (a) 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 단계; (b) 상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 단계; (c) 상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 단계; (c) 상기 판단 결과 출발 URL 정보인 것으로 판단될 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 단계; (d) 상기 추출된 제1 도착 URL 정보의 마지막 형식이 JS, HTML 및 PHP 형식 중 적어도 하나 이상의 형식인지를 판단하는 단계; (e) 상기 (d) 단계의 판단 결과 긍정일 경우, 상기 제1 도착 URL 정보를 재지향(redirection)으로 설정하는 단계; 및 (f) 상기 (b) 단계 내지 (e) 단계에 의해 점검된 리퍼러 정보의 개수가 상기 HTTP 패킷내에 있는 총 리퍼러 정보의 개수와 같은지를 판단하는 단계;를 포함하는 네트워크 경로 추적 방법이 제공된다.
여기서, (g) 상기 (f) 단계가 긍정일 경우 또는 상기 (c) 단계의 판단 결과 출발 URL 정보가 아닐 경우 상기 HTTP 패킷 내에 미점검 출발 URL 정보가 있는지를 확인하는 단계; (h) 상기 확인된 미점검 출발 URL 정보가 상기 제2 리퍼러 정보로 사용되고 있는지를 판단하는 단계; (i) 상기 판단 결과 긍정일 경우, 상기 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 추출하여 마지막 형식이 JS, HTML, PHP나 '/' 형식을 취하고 있는지를 판단하는 단계; 및 (j) 상기 (i) 단계가 긍정일 경우, 상기 제2 도착 URL 정보를 재지향(redirection)으로 설정하는 단계;를 더 포함할 수 있다.
또한, 네트워크 경로 추적 방법은 (k) 상기 (d) 단계의 판단 결과 부정일 경우, 상기 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단하는 단계;를 더 포함할 수 있다.
또한, 상기 (k) 단계의 판단 결과 긍정일 경우, 상기 제1 도착 URL 정보를 재지향(redirection)으로 설정할 수 있다.
또한, (l) 상기 (i) 단계의 판단 결과 부정일 경우, 상기 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단하는 단계;를 더 포함할 수 있다.
또한, 상기 (l) 단계의 판단 결과 부정일 경우, 상기 제2 도착 URL 정보를 재지향(redirection)으로 설정할 수 있다.
이상과 같이 본 발명에 의하면, 특정 웹 페이지를 실행하는 동안 발생된 HTTP 패킷 정보를 이용하여 리퍼러 정보, 출발 정보 및 도착 정보를 추출함으로써, 여러 웹 페이지에서 발생되는 악성 코드의 감염 경로를 확인 할 수 있어, 웹 페지지상에서 발생하는 악성 코드 감염을 방지하는 효과가 있다.
또한, 본 발명에 의하면, 웹 페이지에 게재된 정보가 여러 경로를 통하여 게재된 경우라도 도착 URL 정보 내의 JS, HTML, PHP나 '/' 형식이거나, '/' 이후 주소 끝까지 '.'가 없는지를 확인하여 리다이렉션으로 설정함으로써, 악성 코드의 네트워크 유통 경로를 쉽게 확인 가능한 효과가 있다.
도 1은 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)를 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제1 실시예에 따른 네트워크 경로 관계를 나타낸 도면이다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 HTTP 패킷 분석을 통해 찾아진 네트워크 경로를 예시적으로 나타낸 도면이다.
도 6은 본 발명의 제2 실시예에 따른 네트워크 경로 추적 방법(S100)을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제1 실시예에 따른 네트워크 경로 관계를 나타낸 도면이다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 HTTP 패킷 분석을 통해 찾아진 네트워크 경로를 예시적으로 나타낸 도면이다.
도 6은 본 발명의 제2 실시예에 따른 네트워크 경로 추적 방법(S100)을 예시적으로 나타낸 도면이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
제1 실시예
도 1은 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)를 예시적으로 나타낸 도면이고, 도 2는 본 발명의 제1 실시예에 따른 네트워크 경로 관계를 나타낸 도면이다.
도 1을 참조하면, 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)는 유/무선 통신망을 통하여 각 웹 페이지(웹 사이트라고도 함, 201, 202)를 관리하는 관리 서버(200, 210)에 접속하여 특정 웹 페이지를 방문할 경우, 상기 웹 페이지에 게재되는 임의의 정보에 대하여 악성 코드의 출처를 찾기 위한 장치이다. 상기 관리 서버(200, 210)는 복수 개로 이루어지나, 참조 부호 200의 관리 서버의 웹 페이지(201)에 게재된 정보에 대하여 네트워크 경로 추적 장치(100)가 악성 코드의 출처를 찾고자 한다.
이를 위하여, 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)는 패킷 추출부(110), 리퍼러 정보 추출부(120), 제1 출발 URL 판단부(130), 제1 도착정보 추출부(140), 제1 재지향 설정부(150), 정보 저장 모듈(185), 통신 모듈(190) 및 제어 모듈(195)을 포함하여 구성된다.
먼저, 패킷 추출부(110)는 관리 서버(200)에서 관리되는 웹 페이지('웹 사이트라'고도 함, 201)에 방문하여 상기 웹 페이지(201)를 실행하는 하는 동안 발생된 모든 패킷을 수집한다. 여기서의 모든 패킷은 관리 서버(201)에서 제공하는 웹 사페이지(201)에 접속하기 위하여 필요한 출발 URL 정보를 입력할 경우에 발생되는 패킷 정보를 지칭한다.
비록, 웹 사이트(201)를 방문하여 접속하는 시간은 단지 몇초 이내에 표면적으로 이루어지나, 이를 통해 실질적으로 내부적으로 주고 받는 패킷 데이터는 실질적으로 상당히 많다. 예를 들면, 요청 메시지, 응답 메시지와 같이 상당히 많은 패킷 데이터들이 발생한다.
이럴 경우, 패킷 추출부(110)는 수집된 모든 패킷 데이터중에서도 본 발명의 목적을 달성하기 위하여 HTTP 패킷만을 별도로 추출하여 수집한다. 수집된 HTTP 패킷 데이터에는 요청 메시지(Request message), 응답 메시지(Response message)로 구분되며, 상기 요청 메시지에는 리퍼러 정보(referer information), 출발 URL 정보 및 도착 URL 정보 등 다양한 정보를 담고있다.
예를 들어, 수집된 HTTP 패킷 정보(데이터)에는 웹 페이지(201)에 게재된 정보(예: 뉴스, 스포츠, 시사, IT 등)들이 각 출처를 나타내는 링크 정보(다른 웹 사이트의 리퍼러 정보, 출발 URL 정보 및 도착 URL 정보 등)가 포함되어 있다.
통상적으로, 리퍼러(referrer) 정보는 해당 웹 사이트뿐만 아니라 다른 웹 사이트에 남는 참조된 정보를 가리키며, 예를 들어, 도 2에 도시된 바와 같이 A라는 웹 페이지(201)에 B 사이트(210)로 이동하는 하이퍼 링크가 존재한다고 가정하면, 하이퍼 링크를 클릭하게 되면 A 웹 사이트(201)에서 B 웹 사이트(210)로 참조 주소를 전송하게 된다. 이때, 참조 주소를 리퍼러 정보(referre information)라 한다. 이와 같이 A 웹 사이트(201)에는 리퍼러 정보가 존재하게 된다.
이와 마찬가지로, B 웹 사이트(210)에서도 C 웹 사이트(211)로 참조 주소(리퍼러 정보)를 전송하게 된다. 이때, B 웹 사이트(210)와 C 웹 사이트(211)에서도 각각 리퍼러 정보가 존재하게 된다. 이러한 각 리퍼러 정보는 각 웹 사이트마다 제공하는 복수 개의 출발 URL 정보와 도착 URL 정보를 포함한다.
상기 출발 URL 정보는 각 웹사이트의 시작을 알리는 URL 정보이며, 도착 URL 정보는 출발 URL 정보로부터 링크된 정보를 의미한다. 이러한 각 정보는 추후의 모듈에 의하여 사용된다.
다음으로, 리퍼러 정보 추출부(120)는 수집된 HTTP 패킷 정보에서 관리 서버의 웹 페이지(201)의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출한다. 예를 들면, 도 2에 도시된 B 웹 사이트의 리퍼러 정보가 제2 리퍼러 정보일 것이다.
다음으로, 제1 출발 URL 판단부(130)는 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 기능을 수행한다. 여기서, 출발 URL 정보는 출발 시작 주소를 의미하며, 예를 들면, 사용자가 방문하고자 하는 웹 사이트(201)의 URL 주소를 의미한다. 결국, 제1 출발 URL 판단부(130)는 추출된 출발 URL 정보로 사용되고 있는지를 판단하게 되는 것이다.
다음으로, 제1 도착 정보 추출부(140)는 제1 출발 URL 판단부(130)의 판단 결과 제1 리퍼러 정보가 제1 출발 URL 정보인 것으로 판단되면, 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 기능을 수행한다. 상기 제1 도착 URL 정보는 웹 페이지(201)을 관리하는 관리 서버(200)에 있는 링크된 정보, 예컨대 이미지의 URL 정보 등을 의미한다. 다시 말해, 상기 관리 서버(200)에서 관리되는 웹 정보를 의미한다.
예를 들면, "http://www.khan.co.kr/"라는 출발 URL 정보에서 파생된 정보가 "http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201112041850045&code=9 10402"일 경우, 상기 "http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201112041850045&code=9 10402"의 URL 정보가 제1 도착 URL 정보인 것이다. 이러한 제1 도착 URL 정보는 다른 웹 사이트를 통해 가져온 정보가 아닌 순수 "http://www.khan.co.kr/(Seed URL)"에서 제공하는 고유의 링크 정보임을 의미한다.
다음으로, 제1 재지향 설정부(150)는 제1 도착 정보 추출부(140)에 의하여 추출된 제1 도착 URL 정보가 마지막 형식을 JS, HTML, PHP 형식 중 적어도 하나 이상의 형식을 취하고 있는지 확인하는 기능과 제1 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제1 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 기능을 수행한다.
예를 들면, "http://news.khan.co.kr/kh_news/khan_art_view.html? artid =201112041850045&code=9 10402"의 제1 도착 URL 정보가 마지막 형식으로서, "/js/livere_lib.js", "도메인/media/khan.co.kr/khan.html"과 같은 형식을 취하고 있다고 가정하면, "http://news.khan.co.kr/kh_news/khan_art_view.html?artid =201112041850045&code=9 10402"의 제1 도착 URL 정보를 리다이렉션(재지향)으로 설정하게 되는 것이다.
이와 같이 리다이렉션으로 설정되면, "http://news.khan.co.kr /kh_news/khan_art_view.html?artid=201112041850045&code=9 10402--> "http://www.khan.co.kr/(Seed URL)"의 링크 관계가 있음을 알 수 있게 되는 것이다.
아울러, 제1 재지향 설정부(150)는 JS, HTML, PHP 형식이 아닐 경우 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 더 탐지하여 없을 경우에 리다이렉션(redirection)으로 더 설정할 수 있다.
예를 들면, 제1 도착 URL 정보의 마지막 형식이 RealMedia/ads/adstream_sx.ads/www.khan.co.kr/news@right3일 경우 '/' 이후 주소 끝까지 '.'가 더 탐지되지 않으므로 이를 리다이렉션으로 더 설정하게 된다.
이와 같이 리다이렉션으로 설정하게 되면, RealMedia /ads /adstream_sx.ads /www.khan.co.kr /news@right3 --> "http://www.khan.co.kr/(Seed URL)"의 링크 관계가 있음을 알 수 있게 되는 것이다.
이와 같은 리다이렉션 설정에 의하여, 자체적인 관리 서버(200)에서 발생된 악성 코드 발생지임을 쉽게 확인이 가능하다.
다음으로, 정보 저장 모듈(185)은 패킷 추출부(110), 리퍼러 정보 추출부(120), 제1 출발 URL 판단부(130), 제1 도착정보 추출부(140) 및 제1 재지향 설정부(150)에서 처리한 정보를 저장하고, 저장된 정보 중 해당하는 정보를 각 모듈의 필요에 따라 불러와 각 모듈에 제공하는 역할을 한다.
이러한 정보 저장 모듈(150)은 데이터베이스 형태로 되거나 플래쉬 메모리, 비플래쉬 메모리와 같은 저장 매체일 수도 있다. 데이터베이스 또는 저장 매체는 통상적으로 널리 알려진 저장 매체이므로 그 설명은 생략하기로 한다.
다음으로, 통신 모듈(190)은 네트워크 경로 추적 장치(100)과 웹 사이트를 관리하는 관리 서버(200, 210)들 간의 통신 인터페이스를 지원하여, 특정 웹 사이트가 실행되는 동안 자신의 웹 사이트에서 제공하는 정보와 다른 웹 사이트로부터 제공되는 정보와 관련한 모든 패킷 정보((HTTP 패킷 정보)를 수집하게 된다.
마지막으로, 제어 모듈(195)은 패킷 추출부(110), 리퍼러 정보 추출부(120), 제1 출발 URL 판단부(130), 제1 도착정보 추출부(140), 제1 재지향 설정부(150) 및 통신 모듈(190) 간의 데이터 흐름을 제어하며, 이로써, 패킷 추출부(110), 리퍼러 정보 추출부(120), 제1 출발 URL 판단부(130), 제1 도착정보 추출부(140), 제1 재지향 설정부(150) 및 통신 모듈(190)에서 각각 고유의 데이터 처리를 수행할 수 있게 되는 것이다.
한편, 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)는 리퍼러 정보가 출발 URL 정보일 경우를 가정하여 설명하였지만, 리퍼러 정보가 출발 URL 정보가 아닌 경우에는 이하에서 설명될 제2 출발 URL 판단부(160), 제2 도착 정보 추출부(170) 및 제2 재지향 설정부(180)에 의하여 실시될 수 있다.
따라서, 본 발명의 제1 실시예에 따른 네트워크 경로 추적 장치(100)는 제2 출발 URL 판단부(160), 제2 도착 정보 추출부(170) 및 제2 재지향 설정부(180)를 더 포함할 수 있다.
먼저, 제2 출발 URL 판단부(160)는 제1 출발 URL 판단부(130)의 판단 결과, 출발 URL 정보가 아닌 경우로 판단되면, HTTP 패킷 내에 미점검 출발 URL 정보가 있는지를 판단하는 기능을 수행한다. 다시 말해, 관리 서버(200)의 웹 사이트(201)에서 제공하는 URL 정보가 아닌 다른 웹 사이트에서 제공하는 URL 정보가 있는지를 판단하는 것이다.
예를 들면, 방문한 웹 페이지(201)가 "http://www.khan.co.kr/(출발 URL 정보)"이고, 상기 출발 URL, 정보와 다른 형태의 출발 URL 정보(도메인/RealMedia/ads/adstream_sx.ads/www.khan.co.kr/news@x55)가 미점검 상태로 존재한다면, 상기 미점검된 출발 URL 정보가 다른 웹 사이트로부터 제공된 것임을 알 수 있다. 상기 미점검 출발 URL 정보는 제1 출발 URL 정보와 구분하기 위하여 제2 출발 URL 정보로 명명할 수 있다.
다음으로, 제2 도착 정보 추출부(170)는 제2 출발 URL 판단부(160)에 의해 미점검 출발 URL 정보가 있을 경우, 상기 미점검 출발 URL 정보가 리퍼러 정보 추출부(120)에 추출된 제2 리퍼러 정보로 사용될 경우 상기 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 찾아 추출하는 기능을 수행한다.
예를 들면, 도메인/RealMedia/ads/adstream_sx.ads/www.khan.co.kr/news@x55가 미점검 출발 URL 정보이고, 미점검 출발 URL에서 링크된 정보가 도메인/CID1126/240_240.swf를 상기 링크된 정보를 미점검 출발 URL 정보에서 파생된(링크된) 제2 도착 URL 정보로 인식하여 추출하게 되는 것이다.
이러한 제2 도착 URL 정보는 웹 페이지(201)와 이웃하는 다른 웹 페이지에서 제공하거나, 상기 다른 웹 페이지와 이웃하는 또 다른 웹 페이지에서 제공하는 정보일 수도 있다.
마지막으로, 제2 재지향 설정부(180)는 제2 도착 정보 추출부(170)에 의해 추출된 제2 도착 URL 정보가 마지막 형식을 JS, HTML, PHP 형식 중 적어도 하나 이상의 형식을 취하고 있는지 확인하는 기능과 제2 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제2 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 기능을 수행한다.
이러한 리다이렉션의 설정 기능은 앞서 설명한 제1 재지향 설정부(150)에 의한 리다이렉 설정과 동일한 원리를 갖고 있기 때문에 그 설명은 생략한다. 아울러, 제2 재지향 설정부(180)는 제2 도착 URL 정보가 JS, HTML, PHP 형식이 아닐 경우로 확인되면 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 더 탐지하는 기능을 수행한다.
상술한 형식이 없는 것으로 판단될 경우, 이를 리다이렉션(redirection)으로 더 설정하게 된다. 이러한 설정 또한, 제1 재지향 설정부(140)와 동일한 기능 형태로 진행한다.
이와 같이, 리다이렉션 설정에 의해, 관리 서버(200)의 웹 페이지(201)에 게재된 임의의 정보가 여러 웹 페이지를 통한 네트워크 경로로부터 발생된 정보라 할지라도 위와 같은 방식으로 그 경로를 추적하여 악성 코드를 발생시킨 우회 서버와 웹 페이지의 출처를 쉽게 알 수 있어, 해당하는 웹 페이지 상에서의 악성 코드 확산을 미리 방지할 수 있다.
아울러, 제2 출발 URL 판단부(160), 제2 도착 정보 추출부(170) 및 제2 재지향 설정부(180)는 제어 모듈(195)과 통신 모듈(190)에 의해 고유의 기능이 수행된다.
한편, 이상의 각 모듈에서 설명된 각 정보인 리퍼러 정보, 제1/제2 출발 URL 정보, 제1/제2 도착 URL 정보가 실제 어떤 형태로 HTTP 패킷에서 존재하고 있는지를 도 3를 통해 설명한다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 HTTP 패킷 분석을 통해 찾아진 네트워크 경로를 예시적으로 나타낸 도면이다. 도시된 바와 같이, 관리 서버(200)에서 제공하는 웹 페이지(201)를 실행하는 동안 많은 정보들(300)이 표시된다. 이러한 정보들이 표시되는 동안 HTTP 패킷 정보가 수집된다. 이하에서는 수집된 HTTP 패킷에서 찾아진 정보의 의미에 대해서 설명하기로 한다.
참조 부호 310은 해당 웹 페이지내의 출발 시작 주소인 출발 URL(http://news.khan.co.kr)에서 파생된(링크된) 제1 리퍼러 정보를 나타내고, 참조 부호 320과 330은 제1 리퍼러 정보에서 파생된 제1 도착 URL 정보를 각각 나타낸 것이다. 여기서, 참조 부호 320의 URL 정보는 제1 도착 URL 정보의 마지막 형식이 JS 형식인 경우를 나타내며, 참조 부호 330은 상기 제1 도착 URL 정보의 마지막 형식이 html 형식인 것을 나타낸다.
이와 같은 제1 리퍼러 정보와 제1 도착 URL 정보는 출발 URL(http://news.khan.co.kr)와 링크된 해당 웹 페이지내에서 제공하는 URL 정보인 것이다.
참조 부호 340와 350은 다른 웹 사이트에서 제공하는 각각 다른 형태의 미점검 출발 URL 정보를 나타낸 것이고, 참조 부호 345와 360은 상기 미점검 출발 URL 정보에서 파생된 각각 다른 형태의 제2 도착 URL 정보를 나타낸다.
참조 부호 370은 제1 출발 URL로부터 파생된 제1 도착 URL 정보를 나타내되, 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는 경우를 나타낸다.
제2 실시예
도 6은 본 발명의 제2 실시예에 따른 네트워크 경로 추적 방법(S100)을 예시적으로 나타낸 도면이다.
도 6을 참조하면, 본 발명의 제2 실시예에 다른 네트워크 경로 추적 방법(S100)은 특정 웹 페이지를 방문할 경우, 상기 웹 페이지에 게재되는 임의의 정보에 대하여 악성 코드의 출처를 찾기 위한 방법으로서, 이를 위하여 S102 내지 S134 단계로 이루어진다.
먼저, S102 단계에서는 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 정보, 예컨대 HTTP 패킷 정보가 덤프 완료되는지를 판단한다. 여기서의 덤프는 모든 패킷 데이터, 예컨대 HTTP 패킷 정보를 추출, 수집에서부터 저장하기까지를 포괄한다.
이후, S104 단계에서는 S102 단계에 의해 덤프 완료된 것으로서 판단될 경우 HTTP 패킷에 포함된 정보 중 제1 리퍼러 정보와 제2 리퍼러 정보(referrer information)를 추출한다. 만약 덤프되지 않은 것으로서 판단될 경우 다시 시작하거나 경우에 따라서는 이후에 설명될 S116 단계를 수행할 수도 있다. 여기서, 제1 , 제2 리퍼러 정보는 도 1 내지 도 5에서 충분히 설명하였으므로 그 설명은 생략한다.
이후, S106 단계에서는 추출된 제1 리퍼러 정보가 출발 URL 정보(Seed URL 정보)인지를 판단한다. 이후, S108 단계에서는 제1 리퍼러 정보가 출발 URL 정보인 것으로 판단될 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출한다. 이러한 제1 도착 URL 정보는 다른 웹 사이트로부터 발생된 링크 정보인 것을 의미한다. 이러한 제1 도착 URL 정보는 도 1 내지 도 5에서 충분히 설명하였으므로 그 설명은 생략한다.
이후, S110 단계에서는 S108 단계에서 추출된 제1 도착 URL 정보의 마지막 형식이 JS, HTML 및 PHP 형식 중 적어도 하나 이상의 형식인지를 판단한다. 판단 결과 긍정(YES)일 경우에는 S114 단계를 수행한다. 그렇지 않을 경우에는 S112 단계를 수행한다.
이후, S112 단계에서는 S110 단계의 판단 결과 부정(NO)일 경우, 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단한다. 판단결과 긍정일 경우 S114 단계를 수행하며, 그렇지 않을 경우에는 S116 단계를 수행한다.
이후, S114 단계에서는 S110 단계가 긍정일 경우이거나 S112 단계가 긍정일 경우에 제1 도착 URL 정보를 재지향(redirection)으로 설정한다. 재지향으로 설정되면, Seed URL -> 제1 도착 URL의 관계임을 알 수 있다.
이후, S116 단계에서는 이상의 S104 단계 내지 S112 단계에 의해 점검된 리퍼러 정보의 개수가 HTTP 패킷내에 있는 총 리퍼러 정보의 개수와 같은지를 판단한다.
판단 결과, 개수가 같은면 S102 단계 내지 S114 단계에 의한 모든 점검이 완료된 것으로 보고 S118 단계를 수행하며, 그렇지 않을 경우에는 S106 단계로 되돌아가 다시 수행한다.
이후, S118 단계에서는 HTTP 패킷 내에 미점검 출발 URL 정보(Seed URL이 아닌 경우)가 있는지를 판단한다. 이때, 미점검 출발 URL 정보는 해당 웹 페이지에서 제공하는 정보가 아닌 외부의 다른 웹 사이트로부터 가져온 URL 정보임을 의미한다. 판단 결과 긍정이면 S120 단계를 수행하고 그렇지 않을 경우에는 중지한다.
이후, S120 단계에서는 미점검 출발 URL 정보가 있다고 판단되면, 미점검 출발 URL 정보를 호출(추출)한다. 이후, S122 단계에서는 호출된 미점검 출발 URL 정보가 S104 단계에 의해 추출된 제2 리퍼러 정보로 사용되고 있는지를 판단한다. 긍정이면 S122 단계를 수행하고, 그렇지 않을 경우에는 S116 단계로 되돌아아 간다.
이후, S124 단계에서는 S120 단계의 판단 결과 긍정일 경우, 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 확인하여 제2 도착 URL 정보를 추출한다. 이후, S126 단계에서는 추출된 제2 도착 URL 정보의 마지막 형식이 JS, HTML, PHP나 '/' 형식을 취하고 있는지를 판단한다. 긍정일 경우 S130 단계를 수행하게되며, 부정일 경우 S128 단계를 수행한다.
이후, S128 단계에서는 S126 단계의 판단 결과 부정일 경우(아닐 경우), 추출된 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단한다. 없다고 판단되면 S130 단계를 수행하고, 그렇지 않을 경우에는 S116 단계로 되돌아 간다.
이후, S130 단계에서는 S126 단계가 긍정이거나 S128 단계가 긍정일 경우 추출된 제2 도착 URL 정보를 재지향(redirection)으로 설정한다. 이후, S132 단계에서는 S104 단계 내지 S130 단계에 의해 점검된 리퍼러 정보의 개수가 HTTP 패킷 내에 있는 총 리퍼러 정보의 개수와 같은지를 판단한다. 같으면 HTTP 패캣 내에 모든 리퍼러 정보에 대하여 점검이 완료된 것으로 보고 이후 S134 단계를 수행하고, 그렇지 않을 경우에는 S118 단계를 수행한다.
마지막으로, 이후, S134 단계에서는 S128 단계의 재지향 설정으로 인하여 출발 URL(Seed URL) --> 미점검 출발 URL --> 제2 도착 URL로 관계되고 있음을 지정한다.
한편, 이상에서 설명된 리퍼러 정보 출발 URL 정보 및 도착 URL 정보들의 형태는 제1 실시예에서 설명하였던 도 3 내지 도 5로부터 충분히 알 수 있다. 따라서, 도 3 내지 도 5의 예는 본 제2 실시예에서도 적용된다.
이와 같은 리다이렉션(재지향) 설정에 의해, 관리 서버(200)의 웹 페이지(201)에 게재된 임의의 정보가 여러 웹 페이지를 통한 네트워크 경로로부터 발생된 정보이거나 자체내에서 제공하는 정보라 할지라도 위와 같은 방식으로 그 경로를 쉽게 추적할 수 있어, 웹 페이지내에서의 악성 코드 확산을 줄일 수 있다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
100 : 네트워크 경로 추적 장치 110 : 패킷 추출부
120 : 리퍼러 정보 추출부 130 : 제1 출발 URL 판단부
140 : 제1 도착정보 추출부 150 : 제1 재지향 설정부
160 : 제2 출발 URL 판단부 170 : 제2 도착 정보 추출부
180 : 제2 재지향 설정부 185 : 정보 저장 모듈
190 : 통신 모듈 195 : 제어 모듈
200, 210 : 관리 서버 201, 202 : 웹 사이트
120 : 리퍼러 정보 추출부 130 : 제1 출발 URL 판단부
140 : 제1 도착정보 추출부 150 : 제1 재지향 설정부
160 : 제2 출발 URL 판단부 170 : 제2 도착 정보 추출부
180 : 제2 재지향 설정부 185 : 정보 저장 모듈
190 : 통신 모듈 195 : 제어 모듈
200, 210 : 관리 서버 201, 202 : 웹 사이트
Claims (10)
- 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 패킷 추출부;
상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 리퍼러 정보 추출부;
상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 제1 출발 URL 판단부;
상기 판단 결과 출발 URL 정보인 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 제1 도착 정보 추출부; 및
상기 제1 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제1 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제1 재지향 설정부를 포함하여 구성되며,
상기 제1 재지향 설정부는, 상기 JS, HTML, PHP 형식이 아닐 경우 상기 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 더 탐지하여 없을 경우에 리다이렉션(redirection)으로 더 설정하는 것을 특징으로 하는 네트워크 경로 추적 장치. - 제 1항에 있어서,
상기 판단 결과, 출발 URL 정보가 아닌 경우, 상기 HTTP 패킷 내에 미점검 출발 URL 정보가 있는지를 판단하는 제2 출발 URL 판단부;
상기 미점검 출발 URL 정보가 있을 경우 상기 미점검 출발 URL 정보를 상기 제2 리퍼러 정보로 하여, 상기 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 추출하는 제2 도착 정보 추출부; 및
상기 추출된 제2 도착 URL 정보의 마지막 형식이 JS, HTML, PHP 형식 중 적어도 하나 이상일 경우 상기 제2 도착 URL 정보를 리다이렉션(redirection)으로 설정하는 제2 재지향 설정부;
를 더 포함하는 것을 특징으로 하는 네트워크 경로 추적 장치. - 삭제
- 제 2항에 있어서,
상기 제2 재지향 설정부는,
상기 JS, HTML, PHP 형식이 아닐 경우 상기 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 탐지하여 없을 경우에 리다이렉션(redirection)으로 더 설정하는 것을 특징으로 하는 네트워크 경로 추적 장치. - (a) 임의의 웹 페이지를 실행하는 동안 발생된 모든 패킷 중 HTTP 패킷만을 추출하는 단계;
(b) 상기 HTTP 패킷에서 상기 웹 페이지의 출발을 알리는 제1 리퍼러 정보와 다른 웹 페이지의 출발을 알리는 제2 리퍼러 정보(referrer information)를 각각 추출하는 단계;
(c) 상기 추출된 제1 리퍼러 정보가 출발 URL 정보인지를 판단하는 단계;
(d) 상기 판단 결과 출발 URL 정보인 것으로 판단될 경우, 상기 출발 URL 정보에서 파생된 제1 도착 URL 정보를 추출하는 단계;
(e) 상기 추출된 제1 도착 URL 정보의 마지막 형식이 JS, HTML 및 PHP 형식 중 적어도 하나 이상의 형식인지를 판단하는 단계;
(f) 상기 (e) 단계의 판단 결과 긍정일 경우, 상기 제1 도착 URL 정보를 재지향(redirection)으로 설정하는 단계; 및
(g) 상기 (b) 단계 내지 (f) 단계에 의해 점검된 리퍼러 정보의 개수가 상기 HTTP 패킷내에 있는 총 리퍼러 정보의 개수와 같은지를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 경로 추적 방법. - 제 5항에 있어서,
(h) 상기 (e) 단계가 긍정일 경우 또는 상기 (c) 단계의 판단 결과 출발 URL 정보가 아닐 경우 상기 HTTP 패킷 내에 미점검 출발 URL 정보가 있는지를 확인하는 단계;
(i) 상기 확인된 미점검 출발 URL 정보가 상기 제2 리퍼러 정보로 사용되고 있는지를 판단하는 단계;
(j) 상기 판단 결과 긍정일 경우, 상기 미점검 출발 URL 정보에서 파생된 제2 도착 URL 정보를 추출하여 마지막 형식이 JS, HTML, PHP나 '/' 형식을 취하고 있는지를 판단하는 단계; 및
(k) 상기 (j) 단계가 긍정일 경우, 상기 제2 도착 URL 정보를 재지향(redirection)으로 설정하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 경로 추적 방법. - 제 5항에 있어서,
(l) 상기 (e) 단계의 판단 결과 부정일 경우, 상기 제1 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 경로 추적 방법. - 제 7항에 있어서,
상기 (l) 단계의 판단 결과 긍정일 경우, 상기 제1 도착 URL 정보를 재지향(redirection)으로 설정하는 것을 특징으로 하는 네트워크 경로 추적 방법. - 제 6항에 있어서,
(m) 상기 (j) 단계의 판단 결과 부정일 경우, 상기 제2 도착 URL 정보의 마지막 형식이 '/' 이후 주소 끝까지 '.'가 없는지를 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 경로 추적 방법. - 제 9항에 있어서,
상기 (m) 단계의 판단 결과 부정일 경우, 상기 제2 도착 URL 정보를 재지향(redirection)으로 설정하는 것을 특징으로 하는 네트워크 경로 추적 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110132050A KR101253616B1 (ko) | 2011-12-09 | 2011-12-09 | 네트워크 경로 추적 장치 및 방법 |
| US13/676,687 US20130185793A1 (en) | 2011-12-09 | 2012-11-14 | Apparatus and Method for Tracking Network Path |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110132050A KR101253616B1 (ko) | 2011-12-09 | 2011-12-09 | 네트워크 경로 추적 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101253616B1 true KR101253616B1 (ko) | 2013-04-11 |
Family
ID=48442950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110132050A KR101253616B1 (ko) | 2011-12-09 | 2011-12-09 | 네트워크 경로 추적 장치 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20130185793A1 (ko) |
| KR (1) | KR101253616B1 (ko) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9426171B1 (en) | 2014-09-29 | 2016-08-23 | Amazon Technologies, Inc. | Detecting network attacks based on network records |
| US9473516B1 (en) * | 2014-09-29 | 2016-10-18 | Amazon Technologies, Inc. | Detecting network attacks based on a hash |
| CN105791227A (zh) * | 2014-12-22 | 2016-07-20 | 深圳市志友企业发展促进中心 | 一种资源传播方法及系统 |
| KR101699009B1 (ko) * | 2016-01-07 | 2017-01-24 | 한국인터넷진흥원 | 모바일 악성앱 유포지 추적을 위한 블랙마켓 수집방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040104902A (ko) * | 2003-06-04 | 2004-12-13 | 마이크로소프트 코포레이션 | 스팸 방지를 위한 발신지/수신지 특징 및 리스트 |
| KR100918370B1 (ko) * | 2008-05-23 | 2009-09-21 | 주식회사 나우콤 | 웹관리시스템 및 그 방법 |
| KR20110111715A (ko) * | 2010-04-05 | 2011-10-12 | 주식회사 안철수연구소 | 단말 장치 및 상기 단말 장치의 파일 배포처 확인 방법 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004029939A (ja) * | 2002-06-21 | 2004-01-29 | Hitachi Ltd | 通信プロキシ装置、および、通信プロキシ装置を用いたサービス提供方法 |
| US7496962B2 (en) * | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
| US8521667B2 (en) * | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
-
2011
- 2011-12-09 KR KR1020110132050A patent/KR101253616B1/ko not_active IP Right Cessation
-
2012
- 2012-11-14 US US13/676,687 patent/US20130185793A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040104902A (ko) * | 2003-06-04 | 2004-12-13 | 마이크로소프트 코포레이션 | 스팸 방지를 위한 발신지/수신지 특징 및 리스트 |
| KR100918370B1 (ko) * | 2008-05-23 | 2009-09-21 | 주식회사 나우콤 | 웹관리시스템 및 그 방법 |
| KR20110111715A (ko) * | 2010-04-05 | 2011-10-12 | 주식회사 안철수연구소 | 단말 장치 및 상기 단말 장치의 파일 배포처 확인 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130185793A1 (en) | 2013-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230195822A1 (en) | Method and apparatus of processing invalid user input search information | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| US10666672B2 (en) | Collecting domain name system traffic | |
| EP2408166B1 (en) | Filtering method, system and network device therefor | |
| JP5722783B2 (ja) | 傾向の識別に基づくユーザへのカスタマイズ情報の提供 | |
| CN102523210B (zh) | 钓鱼网站检测方法及装置 | |
| CN102752288A (zh) | 网络访问行为识别方法和装置 | |
| US10079770B2 (en) | Junk information filtering method and apparatus | |
| KR101253616B1 (ko) | 네트워크 경로 추적 장치 및 방법 | |
| CN104348803A (zh) | 链路劫持检测方法、装置、用户设备、分析服务器及系统 | |
| JP6770454B2 (ja) | 異常検知システム及び異常検知方法 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| KR20130065312A (ko) | 에스엔에스 검색 서비스를 이용한 유알엘 수집 시스템 및 방법 | |
| US11064052B2 (en) | Page insertion method and device | |
| EP3096492A1 (en) | Page push method, device, server and system | |
| US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
| CN115314271B (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| KR101428721B1 (ko) | 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템 | |
| CN106664223B (zh) | 一种共享接入主机数目检测方法及检测装置 | |
| CN110266746B (zh) | 一种信息推送方法及装置 | |
| KR101974445B1 (ko) | Dpi와 인공신경망 기반의 m2m 데이터 수집 방법 및 시스템 | |
| KR20170046103A (ko) | 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법 | |
| CN103118024B (zh) | 防止网页跟踪的系统及方法 | |
| JP6787846B2 (ja) | 被疑箇所推定装置、及び被疑箇所推定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |