KR101267953B1 - Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site - Google Patents

Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site Download PDF

Info

Publication number
KR101267953B1
KR101267953B1 KR1020110054566A KR20110054566A KR101267953B1 KR 101267953 B1 KR101267953 B1 KR 101267953B1 KR 1020110054566 A KR1020110054566 A KR 1020110054566A KR 20110054566 A KR20110054566 A KR 20110054566A KR 101267953 B1 KR101267953 B1 KR 101267953B1
Authority
KR
South Korea
Prior art keywords
url
site
list
malicious code
distribution
Prior art date
Application number
KR1020110054566A
Other languages
Korean (ko)
Other versions
KR20120135707A (en
Inventor
김대환
백승태
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020110054566A priority Critical patent/KR101267953B1/en
Publication of KR20120135707A publication Critical patent/KR20120135707A/en
Application granted granted Critical
Publication of KR101267953B1 publication Critical patent/KR101267953B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

본 발명은 악성코드 배포사이트 URL 수집/배포 장치 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 악성코드 배포사이트 URL 수집/배포 장치는, 복수의 사용자 패널으로부터 기분류된 관리대상 URL 목록과 미분류된 URL 목록을 수신하는 수집부; 상기 미분류된 URL 목록으로부터 이전에 등록되지 않은 신규 관리대상 URL 목록을 선별하는 관리대상 갱신부; 상기 신규 관리대상 URL 목록에 포함된 URL이 악성코드 배포사이트 URL인지를 복수의 확인 사이트에 질의하고, 적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 배포대상 갱신부; 및 상기 유효성이 있는 상기 악성코드 배포사이트 URL의 목록을 배포하는 배포부를 포함하며, 상기 확인 사이트는, 상기 악성코드 배포사이트 URL을 포함하는 데이터베이스를 구비한 기업의 서비스 사이트인 것을 특징으로 한다.The present invention discloses a device and method for collecting / distributing a malicious code distribution site URL. Malicious code distribution site URL collection / distribution device according to an aspect of the present invention, the collection unit for receiving a list of the management target URL and the unclassified URL list from the plurality of user panel; A management target updating unit that selects a new management target URL list not previously registered from the unclassified URL list; The plurality of verification sites are queried as to whether a URL included in the new management target URL list is a malicious code distribution site URL, and the malicious one having validity among URLs identified as at least one verification site URL by the malicious code distribution site URL. Distribution target updating unit for selecting the code distribution site URL; And a distribution unit for distributing a list of the valid malicious code distribution site URLs, wherein the verification site is a service site of an enterprise having a database including the malicious code distribution site URLs.

Figure R1020110054566
Figure R1020110054566

Description

P2P 및 웹하드 사이트 모니터링을 통한 악성코드 배포방지 장치 및 DDoS 예방 방법{Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site}Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site}

본 발명은 악성코드 배포방지 방법에 관한 것으로서, 더 구체적으로는 인터넷 접속 URL을 분석하여 악성코드의 배포를 방지할 수 있는 악성코드 배포사이트 URL 수집/배포 장치 및 방법에 관한 것이다.The present invention relates to a method for preventing malicious code distribution, and more particularly, to an apparatus and method for collecting / distributing a malicious code distribution site URL that can prevent distribution of malicious code by analyzing an Internet access URL.

일반적으로, PC는 1)USB 등의 물리적인 이동식 저장매체나, 2)네트워크를 통해 악성코드에 감염되는데, 최근에는 이동식 저장매체보다 네트워크를 통한 감염이 더 빈번하게 발생하고 있다.In general, PCs are infected by malicious code via 1) physical removable storage media such as USB, or 2) network. In recent years, PC infections are more frequent than mobile storage media.

네트워크를 통한 감염은 1)PC에 설치된 이메일, 메신저, P2P 등의 넷앱스(NetApps; Network Applications)나, 2)악성코드를 배포하는 웹사이트 접속에 의한 감염으로 분류할 수 있는데, 최근에는 웹사이트 접속에 의한 감염이 더 빈번하게 발생하고 있다.Infection via the network can be classified as 1) NetApps (Network Applications) such as e-mail, messenger, or P2P installed on a PC, or 2) access to a website that distributes malicious code. Infections by connections are more frequent.

악성코드나 프로그램 파일은 명시적인 동의 방식이나 "Drive By Download" 방식을 통해서 PC에 다운로드될 수 있다. 최근에는 웹브라우저의 보안 기능이 우수하고, 사회적인 관심도 높아 명시적인 동의 방식은 대부분 차단되거나 거부될 수 있다. 따라서, 최근에는 악성코드가 거의 "Drive By Download" 방식으로 다운로드되고 있다.Malware or program files can be downloaded to a PC through explicit consent or "Drive By Download". In recent years, the high security features of web browsers and the high social interest can make explicit consents most of them blocked or denied. Therefore, recently, malicious codes have been downloaded in a "Drive By Download" manner.

마찬가지로, DDoS(Distributed Denial of Service Attack) 공격의 기반인 좀비 PC도 사용자 PC가 악성코드를 배포하는 P2P(Peer to Peer File Sharing Service) 또는 웹하드 사이트에 접속할 때 악성코드에 의한 DDoS 공격 프로그램이 "Drive by Download" 방식으로 자동 설치됨에 따라 대량 양산된다.Similarly, zombie PCs that are the basis of the Distributed Denial of Service Attack (DDoS) attack also have a DDoS attack program caused by malware when a user's PC connects to a peer-to-peer file sharing service (P2P) or web hard site that distributes malware. Drive by Download "is installed automatically, mass production.

좀비 PC는 감염일로부터 일정기간 후 특정일시에 특정사이트를 공격하는 DDoS 공격에 활용되며, 공격이 끝나면 PC의 하드디스크를 삭제하는 추가 피해도 유발시킨다.Zombie PCs are used for DDoS attacks that attack specific sites at specific times after a certain period of infection, and also cause additional damage to delete the PC's hard disk after the attack.

P2P 및 웹하드 사이트는 많은 사용자에 의해 이용되는데 반해, 보안 인프라가 취약하기 때문에, 좀비 PC로 많이 활용된다.While P2P and Webhard sites are used by many users, they are often used as zombie PCs because of their weak security infrastructure.

더욱이, 한국의 초고속 인터넷 인프라는 세계 최고 수준이어서 다른 나라보다 영화나 음악 등의 대용량 파일이 많이 배포 및 공유되는데, 주경로가 P2P 및 웹하드 사이트이다.Moreover, Korea's high-speed Internet infrastructure is the world's best, so large files such as movies and music are distributed and shared more than other countries. The main paths are P2P and web hard sites.

실제로, 종래의 3.4 DDoS 공격에서 악성코드를 배포하여 수많은 좀비 PC를 양산시킨 쉐어박스(Sharebox)는 하루 방문자가 수만에서 수십만 명에 이르는 웹하드 사이트였다.In fact, Sharebox, which distributed numerous malicious codes by mass-producing zombie PCs in the previous 3.4 DDoS attack, was a web hard site with tens of thousands to hundreds of thousands of visitors per day.

P2P 및 웹하드 사이트에 반하여, 네이버(NAVER)와 다음(DAUM)과 같은 포털사이트는 방문자 수와 데이터 트래픽은 더 많지만, 음란물 및 불법저작물이 게시되지 않도록 지속적으로 관리하며, 전문인력에 의해 시스템을 지속적으로 모니터링하고, 보안 취약점을 보완하므로 상대적으로 악성코드로부터 안전할 수 있다.In contrast to P2P and Webhard sites, portal sites such as NAVER and DAUM have more visitors and data traffic, but continuously manage pornography and illegal works to be posted, and manage the system by professional personnel. By constantly monitoring and supplementing security vulnerabilities, it can be relatively safe from malicious code.

그러나, 소규모 웹하드와 P2P 사이트는 저작권침해 등의 불법적인 성격이 있으므로 법 규제의 사각지대에 있으며, 일주일에도 수십에서 수백 개씩 생성과 폐쇄를 반복하여 관리가 어렵다. 그로 인해, 웹하드, P2P 등의 사이트는 악성코드 배포의 온상이 되고 있으며, 앞으로도 이러한 추세는 계속될 것이다.However, small web hard and P2P sites are in the blind spot of law regulation because they have illegal characteristics such as copyright infringement, and it is difficult to manage them by creating and closing tens or hundreds of them a week. As a result, sites such as Webhard and P2P have become hotbeds of malware distribution, and this trend will continue.

그러므로, 웹하드와 P2P 사이트 등의 생성을 지속적으로 추적 및 분석해서 유해사이트 차단시스템에 실시간으로 반영하여 해당 사이트로의 접속을 적절히 통제해 주지 않으면, 추가적인 DDoS 공격과 그로 인한 피해는 계속해서 발생할 것이 자명하다.Therefore, additional DDoS attacks and their damages will continue to occur unless the webhard and P2P sites are continuously tracked and analyzed and reflected to the harmful site blocking system in real time to properly control access to the site. Self-explanatory

더욱이, 좀비 PC로 감염된 PC가 기업이나 기관의 업무용 PC일 경우에는 업무파일 손실 등의 직접적 손실뿐만 아니라, 기업이나 기관의 브랜드 가치 하락으로 인해 예측할 수 없는 수준의 부가적 손실이 발생할 수 있다. 따라서, 기업과 기관은 좀비 PC로 감염된 내부 PC가 발생하지 않도록 하기 위한 투자와 관심을 가져야할 상황에 직면해 있다.In addition, if a PC infected with a zombie PC is a business PC of an enterprise or an institution, not only a direct loss such as a loss of a work file, but also an unpredictable level of additional loss may occur due to a decrease in the brand value of the company or an institution. As a result, companies and organizations are faced with the need to invest and pay attention to prevent internal PCs infected with zombies.

방화벽, IPS(Intrusion Prevention System) 및 Anti-DDoS 등과 같은 종래의 네트워크 보안 장비들은 DDoS 공격 발생시에 내부 시스템을 보호하기 위한 기술을 사용하고 있다.Conventional network security devices such as firewalls, intrusion prevention systems (IPS), and anti-DDoS use technology to protect internal systems in the event of DDoS attacks.

또한, 종래의 NAC(Network Access Control) 장비들은 악성코드에 감염된 좀비 PC에서 비정상적으로 과도한 트래픽이 발생하는 것을 탐지하여 해당 네트워크를 차단하는 기술을 사용하고 있다.In addition, the conventional network access control (NAC) equipment uses a technology that detects abnormally excessive traffic from a zombie PC infected with malware and blocks the network.

종래의 바이러스 백신은 DDoS 공격에 사용된 프로그램이 정상적인 프로그램을 가장하는 경우 DDoS 공격에 사용된 프로그램을 탐지할 수 없어, 좀비 PC의 예방에는 큰 효용이 없다고 할 수 있다.Conventional antivirus cannot detect the program used for the DDoS attack when the program used for the DDoS attack impersonates a normal program, and thus, there is no great benefit in the prevention of the zombie PC.

물론, 종래의 일부 방화벽과 IPS는 수동적인 방식에 의한 악성코드 배포사이트 URL 등록 및 차단 기능을 제공하기도 한다. 그러나, 해당 기능 제공시에 네트워크 보안 성능이 저하되며, 지속적으로 생성 및 폐쇄가 반복되는 P2P 및 웹하드 사이트를 지속적으로 추적 및 분석하여 실시간으로 반영하지 않으므로, 사실상 좀비 PC를 예방하는 기능으로는 무용하다고 할 수 있다.Of course, some conventional firewalls and IPSs also provide manual registration and blocking of URL distribution site URLs. However, network security performance is degraded when the function is provided, and since P2P and web hard sites that are continuously created and closed are not tracked and analyzed in real time, they are not used to prevent zombie PCs. It can be said.

종래의 네트워크 보안 장비와 함께 좀비 PC의 생성을 원천적으로 방지할 수 있는 기술이 병행되어야, 추가적인 DDoS 공격을 예방하여 공격의 수준 또는 피해 수준을 최소화할 수 있을 것으로 생각되나, 아직까지 좀비 PC의 생성을 방지할 수 있는 기술 개발은 미진하다.It is thought that the technology to prevent the creation of zombie PCs in parallel with the conventional network security equipment can be minimized to prevent additional DDoS attacks, but to minimize the level of attack or the damage level. The development of technology that can prevent this is insufficient.

본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 복수의 확인 사이트 중 적어도 하나를 통해 사용자 패널에 의해 수집된 URL이 악성코드 사이트의 URL인지 여부를 확인할 수 있는 악성코드 배포사이트 URL 수집/배포 장치 및 방법을 제공하는 것을 그 목적으로 한다.The present invention has been made in the technical background as described above, collecting / distributing a malicious code distribution site URL that can determine whether the URL collected by the user panel through the at least one of the plurality of verification sites is the URL of the malicious code site It is an object of the present invention to provide an apparatus and method.

본 발명은 사용자 패널에 의해 수집된 URL 목록 중에 새로이 확인된 악성코드 사이트의 URL을 저장하고 유해사이트 차단 시스템에 배포할 수 있는 악성코드 배포사이트 URL 수집/배포 장치 및 방법을 제공하는 것을 다른 목적으로 한다.It is another object of the present invention to provide a malware distribution site URL collection / distribution apparatus and method for storing URLs of newly identified malware sites in a list of URLs collected by a user panel and distributing them to a harmful site blocking system. do.

본 발명의 일면에 따른 악성코드 배포사이트 URL 수집/배포 장치는, 복수의 사용자 패널으로부터 기분류된 관리대상 URL 목록과 미분류된 URL 목록을 수신하는 수집부; 상기 미분류된 URL 목록으로부터 이전에 등록되지 않은 신규 관리대상 URL 목록을 선별하는 관리대상 갱신부; 상기 신규 관리대상 URL 목록에 포함된 URL이 악성코드 배포사이트 URL인지를 복수의 확인 사이트에 질의하고, 적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 배포대상 갱신부; 및 상기 유효성이 있는 상기 악성코드 배포사이트 URL의 목록을 배포하는 배포부를 포함하며, 상기 확인 사이트는, 상기 악성코드 배포사이트 URL을 포함하는 데이터베이스를 구비한 기업의 서비스 사이트인 것을 특징으로 한다.Malicious code distribution site URL collection / distribution device according to an aspect of the present invention, the collection unit for receiving a list of the management target URL and the unclassified URL list from the plurality of user panel; A management target updating unit that selects a new management target URL list not previously registered from the unclassified URL list; The plurality of verification sites are queried as to whether a URL included in the new management target URL list is a malicious code distribution site URL, and the malicious one having validity among URLs identified as at least one verification site URL by the malicious code distribution site URL. Distribution target updating unit for selecting the code distribution site URL; And a distribution unit for distributing a list of the valid malicious code distribution site URLs, wherein the verification site is a service site of an enterprise having a database including the malicious code distribution site URLs.

본 발명의 다른 면에 따른 악성코드 배포사이트 URL 수집/배포 방법은, 복수의 사용자 패널 단말에 설치된 응용 프로그램에 의하여 분류된 기분류된 관리대상 URL 목록과 미분류된 URL 목록을 수신하는 단계; 상기 미분류된 URL 목록으로부터 기등록되지 않은 신규 관리대상 URL 목록을 선별하는 단계; 상기 신규 관리대상 URL 목록에 포함된 URL이 악성코드 배포사이트 URL인지를 복수의 확인 사이트에 질의하는 단계; 적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 단계; 및 상기 유효성이 있는 상기 악성코드 배포사이트 URL의 목록을 유해사이트 차단 시스템 및 상기 복수의 사용자 패널 단말 중 적어도 하나에 배포하는 단계를 포함하며, 상기 확인 사이트는, 상기 악성코드 배포사이트 URL을 포함하는 데이터베이스를 구비한 기업의 서비스 사이트인 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method for collecting / distributing a malicious code distribution site URL, the method comprising: receiving a list of unclassified URLs and a classified management target URL list classified by applications installed in a plurality of user panel terminals; Selecting a new unlisted management target URL list from the unclassified URL list; Querying a plurality of verification sites whether a URL included in the new management target URL list is a malicious code distribution site URL; Selecting a valid malicious code distribution site URL from at least one of the verification site URLs identified as the malicious code distribution site URL; And distributing the list of the valid malicious code distribution site URLs to at least one of a harmful site blocking system and the plurality of user panel terminals, wherein the verification site includes the malicious code distribution site URL. Characterized in that it is a service site of a company having a database.

본 발명에 따르면, 악성코드 배포의 온상인 P2P 사이트 및 웹하드 카테고리를 포함하는 관리대상 및 악성코드 배포사이트 URL을 지속적으로 검색, 분석 및 식별하고, 유해사이트 차단시스템에 신규 관리대상 URL 목록 및 악성코드 배포 사이트 URL 목록을 지속적으로 갱신하여 배포할 수 있다.According to the present invention, continuously search, analyze and identify URLs of managed and malicious code distribution sites including P2P sites and webhard categories, which are hotbeds of malicious code distribution, and list new target URLs and malicious codes in the harmful site blocking system. You can update the code distribution site URL list continuously for distribution.

따라서, 본 발명은 유해사이트 차단시스템이 악성코드 감염의 위험성이 높은 관리대상 사이트 및 악성코드 배포사이트의 접속을 차단하거나 경고할 수 있도록 지원할 수 있다.Therefore, the present invention can support the harmful site blocking system to block or warn the access of the management target site and malicious code distribution site high risk of malware infection.

뿐만 아니라, 본 발명은 하나의 서버에서 복수의 확인 사이트에서 제공하는 응용 프로그램을 설치하여 악성코드 배포사이트 URL에 접속하는지 여부를 확인하는 것으로 관리영역 내 모든 PC에 대해 악성코드 배포를 방지할 수 있다.In addition, the present invention can prevent the distribution of malicious code to all PCs in the management area by checking whether or not to access the malicious code distribution site URL by installing applications provided by a plurality of verification sites in one server. .

또한, 본 발명은 DDoS 공격의 수단이 되는 좀비 PC의 생성을 억제함으로써, DDoS 공격을 예방하여 공격 규모를 최소화시키거나, DDoS 공격을 무력화시킬 수 있다.In addition, the present invention by suppressing the generation of the zombie PC that is a means of DDoS attack, it is possible to prevent the DDoS attack to minimize the size of the attack, or to disable the DDoS attack.

더 나아가, 본 발명은 종래의 방화, IPS 및 Anti-DDoS 등과 같은 네트워크 보안 장비와 더불어 전방위적인 DDoS 공격 방어 인프라를 갖추게 됨으로써, 국가적으로는 국부를 보호하고, 국가 경쟁력 및 이미지 제고를 통해 국부 향상에 이바지할 수 있다.Furthermore, the present invention is equipped with a full-range DDoS attack defense infrastructure in addition to network security equipment such as fire prevention, IPS, and Anti-DDoS, thereby protecting the nation nationally and improving the nation through national competitiveness and image enhancement. I can contribute.

도 1은 본 발명의 실시예에 따른 악성코드 배포방지 시스템을 도시한 구성도.
도 2는 본 발명의 실시예에 따른 배포대상 갱신부의 데이터 흐름을 도시한 도면.
도 3은 본 발명의 실시예에 따른 악성코드 배포사이트의 정보 제공 방법을 도시한 흐름도.1 is a block diagram showing a system for preventing malicious code distribution according to an embodiment of the present invention.
2 is a diagram illustrating a data flow of a distribution target updater according to an embodiment of the present invention.
3 is a flowchart illustrating a method of providing information of a malicious code distribution site according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms " comprises, " and / or "comprising" refer to the presence or absence of one or more other components, steps, operations, and / Or additions.

이제 본 발명의 바람직한 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 악성코드 배포방지 시스템을 도시한 구성도이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. 1 is a block diagram showing a system for preventing malicious code distribution according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 악성코드 배포방지 시스템(10)은 복수의 사용자 패널 단말(100), URL 수집/배포 서버(200), 유해사이트 차단 시스템(300, 300')을 포함한다.As shown in Figure 1, the malware distribution prevention system 10 according to an embodiment of the present invention is a plurality of user panel terminal 100, URL collection / distribution server 200, harmful site blocking system (300, 300) Include ').

복수의 사용자 패널 단말(100)은 개인, 기업, 기관 및 ISP(Internet Service Provider) 등에 의해 국내외에서 이용중인 모든 인터넷망을 대표할 수 있도록, 복수의 인터넷 접속 인터페이스에 대하여 하나 이상 선정된 단말이다.The plurality of user panel terminals 100 are one or more terminals selected for the plurality of Internet access interfaces so as to represent all the Internet networks used at home and abroad by individuals, companies, institutions, and ISPs.

복수의 사용자 패널 단말(100)에는 집계된 인터넷 접속 사이트의 URL(Universal Resource Locator) 목록의 집계 및 송신에 사용되는 단말에이전트 응용 프로그램이 설치된다. 여기서, 단말에이전트 응용 프로그램은 URL 수집/배포 서버(200)에 의하여 제공될 수 있다.The plurality of user panel terminals 100 are provided with a terminal agent application program used for aggregation and transmission of a list of the aggregated universal resource locators (URLs) of the Internet access sites. Here, the terminal agent application program may be provided by the URL collection / distribution server 200.

각 사용자 패널 단말(100)은 단말에이전트 응용 프로그램의 실행시에, 정해진 시간 단위 또는 일 단위로 저장 및 집계된 URL 목록 중에서 관리대상 카테고리에 포함되는 기분류된 관리대상 URL 목록과 그외 미분류된 URL 목록을 구분하여 URL 수집/배포 서버(200)로 송신한다.When the user panel terminal 100 executes the terminal agent application program, each user panel terminal 100 includes a list of pleasant management target URLs and other unclassified URLs included in the management target category among URL lists stored and aggregated in a predetermined time unit or daily unit. To be transmitted to the URL collection / distribution server 200.

여기서, 관리대상 URL은 P2P 사이트, 웹하드 사이트, 음란 사이트, 도박 사이트나, 웹메일 사이트 등과 같이 악성코드 배포사이트가 될 위험성이 높은 웹사이트 카테고리에 포함되는 URL일 수 있다.Here, the management target URL may be a URL included in a high-risk website category, such as a P2P site, a web hard site, a lewd site, a gambling site, or a web mail site.

URL 수집/배포 서버(200)는 수집부(210), 관리대상 갱신부(220), 배포대상 갱신부(230), 관리대상 목록 DB(250) 배포대상 목록 DB(260) 및 배포부(240)를 포함한다.The URL collection / distribution server 200 may include a collection unit 210, a management target updater 220, a distribution target updater 230, a management target list DB 250, a distribution target list DB 260, and a distribution unit 240. ).

수집부(210)는 복수의 사용자 패널 단말(100) 중 적어도 하나로부터 전달받은 미분류된 URL 목록을 관리대상 갱신부(220)로 전달한다.The collection unit 210 transmits the unclassified URL list received from at least one of the plurality of user panel terminals 100 to the management target update unit 220.

또한, 수집부(210)는 복수의 사용자 패널 단말(100) 중 적어도 하나로부터 전달받은 기분류된 관리대상 URL 목록을 배포대상 갱신부(230)로 전달한다.In addition, the collection unit 210 transmits the mood management target URL list received from at least one of the plurality of user panel terminals 100 to the distribution target updating unit 230.

관리대상 갱신부(220)는 미분류된 URL 목록을 화면, 프린트나, 복사&붙여넣기(Copy&Paste) 등의 인터페이스를 통해 전문인력에 제공하고, 전문인력에 의해 분류된 기등록되지 않은 신규 관리대상 URL 목록을 배포대상 갱신부(230)로 전달한다. The management target updating unit 220 provides a list of unclassified URLs to professionals through an interface such as screen, print, copy & paste, and the like, and is not registered new management target URLs classified by the professionals. The list is transmitted to the update target distribution unit 230.

이때, 관리대상 갱신부(220)는 전문인력(사용자)의 수작업 없이 응용 프로그램에 의하여 미분류된 URL 목록 중에서 신규 관리대상 URL 목록을 구별할 수도 있음은 물론이다.At this time, the management target updating unit 220 may distinguish the new management target URL list from the list of URLs unclassified by the application program without the manual labor of the expert (user).

관리대상 갱신부(220)는 신규 관리대상 URL 목록 및 기분류된 관리대상 URL 목록 중에서 악성코드 배포사이트 URL이 아니거나, 유효성이 없는 악성코드 배포사이트 URL인 것으로 확인된 URL 목록을 관리대상 목록 DB(250)에 갱신(Update)한다.The management target updating unit 220 manages a list of URLs that are identified as being URLs that are not malicious code distribution site URLs or URLs that are not valid URLs among the list of new management target URLs and the list of favorite managed URLs. Update to 250.

배포대상 갱신부(230)는 복수의 확인 사이트에 관리대상 URL 목록(즉, 신규 관리대상 URL 목록 및 기분류된 관리대상 URL 목록)에 포함된 각 URL이 악성코드 배포사이트 URL인지를 질의한다. 여기서, 확인 사이트는 Ahnlab, MacAfee, Symantec, Google, Brower Defender, WebSecuriry Guard, MalwareDomainList이나, WebOfTrust 등의 서비스 사이트와 같이 악성코드 도메인 정보를 제공하는 사이트일 수 있다.The distribution target updater 230 queries the plurality of verification sites whether each URL included in the management target URL list (that is, the new management target URL list and the desired management target URL list) is a malicious code distribution site URL. Here, the verification site may be a site providing malware domain information, such as service sites such as Ahnlab, MacAfee, Symantec, Google, Brower Defender, WebSecuriry Guard, MalwareDomainList, or WebOfTrust.

배포대상 갱신부(230)는 복수의 확인 사이트로부터의 응답을 확인하여 관리대상 URL 목록 중에서 악성코드 배포사이트 URL을 선별한다. 이때, 배포대상 갱신부(230)는 복수의 확인 사이트 중 적어도 하나로부터 악성코드 배포사이트 URL인 것으로 확인된 URL을 악성코드 배포사이트 URL로 분류한다.The distribution target updating unit 230 checks responses from the plurality of verification sites and selects a malicious code distribution site URL from a list of management target URLs. In this case, the distribution target updater 230 classifies the URL identified as the malicious code distribution site URL from at least one of the plurality of verification sites as the malicious code distribution site URL.

배포대상 갱신부(230)는 "Client Honeypot"에 분류된 악성코드 배포사이트 URL의 유효성을 질의한다. 여기서, 악성코드 및 악성코드 프로그램 파일이 "Drive By Download" 방식으로 다운로드될 경우 PC의 형상(프로세스, 시스템파일, 레지스트리 등)의 변경을 시도하는 특징이 있는데, "Client Honeypot"은 이러한 특징을 이용하여 악성코드 배포사이트 URL의 유효성을 점검한다.The distribution target updater 230 queries the validity of the malware distribution site URL classified in "Client Honeypot". Here, when malware and malware program files are downloaded in the "Drive By Download" method, there is a feature that attempts to change the shape of the PC (process, system files, registry, etc.), and "Client Honeypot" uses these features. Check the validity of the malware distribution site URL.

배포대상 갱신부(230)는 현재는 개선되어 유효성이 없는 악성코드 배포사이트 URL을 관리대상 목록 DB(250)에 갱신하고, 유효성이 있는 악성코드 배포사이트 URL을 배포대상 목록 DB(260)에 갱신한다.The distribution target updater 230 updates the malicious code distribution site URL that is currently improved and invalidated to the management target list DB 250, and updates the valid malicious code distribution site URL to the distribution target list DB 260. do.

배포부(240)는 갱신된 악성코드 배포사이트 URL 목록 및 관리대상 URL 목록을 유해사이트 차단 시스템(300, 300')에 실시간으로 배포한다.The distribution unit 240 distributes the updated malicious code distribution site URL list and the management target URL list to the harmful site blocking system 300 or 300 'in real time.

배포부(240)는 갱신된 관리대상 URL 목록을 복수의 사용자 패널 단말(100)의 단말에이전트 응용 프로그램에 실시간으로 배포한다. 이후, 복수의 사용자 패널 단말(100)이 배포된 관리대상 URL 목록을 URL 분류에 이용한다.The distribution unit 240 distributes the updated management target URL list to the terminal agent application programs of the plurality of user panel terminals 100 in real time. Thereafter, the plurality of user panel terminals 100 use the distributed management target URL list for URL classification.

유해사이트 차단 시스템(300, 300')은 배포부(240)로부터의 악성코드 배포사이트 URL 목록을 저장하고, 관리영역 내의 PC가 악성코드 배포사이트 URL에 접속하려 하면 해당 접속을 차단한다.The harmful site blocking system 300 or 300 ′ stores a list of malicious code distribution site URLs from the distribution unit 240, and blocks the access when a PC in the management area tries to access the malicious code distribution site URL.

이하, 도 2를 참조하여 본 발명의 실시예에 따른 배포대상 갱신부의 동작 알고리즘에 대하여 살펴본다. 도 2는 본 발명의 실시예에 따른 배포대상 갱신부의 데이터 흐름을 도시한 도면이다.Hereinafter, an operation algorithm of a distribution target updater according to an embodiment of the present invention will be described with reference to FIG. 2. 2 is a diagram illustrating a data flow of a distribution target updater according to an exemplary embodiment of the present invention.

도 2에 도시된 바와 같이, 배포대상 갱신부(230)는 새롭게 발견된 악성코드 배포사이트가 될 위험성이 높은 카테고리에 포함되는 웹사이트로 분류된 신규 관리대상 URL 목록을 전달받는다(S210).As illustrated in FIG. 2, the distribution target updater 230 receives a list of new management target URLs classified as websites included in a category having a high risk of becoming a newly discovered malware distribution site (S210).

배포대상 갱신부(230)는 복수의 확인 사이트에 신규 관리대상 URL 목록에 포함된 각 URL이 악성코드 배포사이트 URL인지를 질의한다(S220).The distribution target updater 230 queries the plurality of verification sites whether each URL included in the new management target URL list is a malicious code distribution site URL (S220).

배포대상 갱신부(230)는 복수의 확인 사이트 모두로부터 악성코드 배포사이트 URL이 아니라는 응답을 수신하면(S230), 해당 URL을 관리대상 목록 DB(250)에 갱신한다(S240).When the distribution target updater 230 receives a response from the plurality of verification sites that it is not a malicious code distribution site URL (S230), it updates the URL to the management target list DB 250 (S240).

배포대상 갱신부(230)는 복수의 확인 사이트 중 적어도 하나로부터 악성코드 배포사이트 URL이라는 응답을 수신하면(S250), 클라이언트 허니 팟(Client Honeypot)에 해당 URL의 유효성을 질의한다(S260).When the distribution target updater 230 receives a response that the URL of the malicious code distribution site is received from at least one of the plurality of verification sites (S250), it queries the client honeypot for validity of the URL (S260).

배포대상 갱신부(230)는 Client Honeypot으로부터 유효성이 있다는 응답을 수신하면(S270), 해당 URL을 배포대상 목록 DB(260)에 갱신한다(S280).When the distribution target updating unit 230 receives a response that the validity from the client Honeypot (S270), and updates the URL to the distribution target list DB (260) (S280).

배포대상 갱신부(230)는 Client Honeypot으로부터 유효성이 없다는 응답을 수신하면(S290), 해당 URL을 관리대상 목록 DB(250)에 갱신한다(S240).When the distribution target updater 230 receives a response from the Client Honeypot that it is not valid (S290), it updates the URL to the management target list DB 250 (S240).

한편, 배포대상 갱신부(230)는 신규 관리대상 URL 목록의 모든 URL에 대하여 전술한 (S220) 내지 (S280)단계를 수행한 다음, 배포대상 목록 DB(260) 및 관리대상 목록 DB(250)을 갱신할 수도 있다.Meanwhile, the distribution target updating unit 230 performs the above-described steps (S220) to (S280) for all the URLs of the new management target URL list, and then the distribution target list DB 260 and the management target list DB 250. You can also update.

도 2에서는 배포대상 갱신부(230)가 신규 관리대상 URL 목록에 대해서만 악성코드 배포사이트 URL인지 여부 및 유효성이 있는지 여부를 확인하는 경우를 예로 들어 설명하였지만, 배포대상 갱신부(230)는 확인된 모든 관리대상 URL 목록의 URL에 대해서 악성코드 배포사이트 URL인지 여부 및 유효성이 있는지 여부를 확인할 수 있다. 따라서, 본 발명은 최근 감염된 악성코드 배포사이트의 URL에 대해도 방어하도록 지원할 수 있다.In FIG. 2, the distribution target updater 230 checks whether or not the distribution site URL is valid and valid only for the list of new management target URLs. For example, the distribution target updater 230 is confirmed. You can check whether the URL of all managed URL list is the URL of the malware distribution site and whether it is valid. Therefore, the present invention can support to defend against URLs of recently infected malware distribution sites.

이하, 도 3을 참조하여 본 발명의 실시예에 따른 악성코드 배포사이트의 정보 제공 방법에 대하여 설명한다. 도 3은 본 발명의 실시예에 따른 악성코드 배포사이트의 정보 제공 방법을 도시한 흐름도이다. 도 3의 악성코드 배포사이트 URL 수집/배포 장치는 도 1의 URL 수집/배포 서버(200)일 수 있다.Hereinafter, a method of providing information of a malicious code distribution site according to an embodiment of the present invention will be described with reference to FIG. 3. 3 is a flowchart illustrating a method of providing information of a malicious code distribution site according to an embodiment of the present invention. The malicious code distribution site URL collection / distribution apparatus of FIG. 3 may be the URL collection / distribution server 200 of FIG. 1.

도 3을 참조하면, 악성코드 배포사이트 URL 수집/배포 장치는 사용자 설정에 따라 인터넷 접속을 대표하는 사용자 패널 단말을 선정한다(S310).Referring to FIG. 3, the malicious code distribution site URL collection / distribution apparatus selects a user panel terminal representing an Internet connection according to a user setting (S310).

악성코드 배포사이트 URL 수집/배포 장치는 인터넷 접속 사이트의 URL을 자동으로 집계하여 송신하는 응용 프로그램을 사용자 패널 단말에 제공하여 설치한다(S320).The malicious code distribution site URL collection / distribution apparatus provides and installs an application program for automatically collecting and transmitting URLs of an Internet access site to the user panel terminal (S320).

악성코드 배포사이트 URL 수집/배포 장치는 사용자 패널 단말로부터 기분류된 관리대상 URL 목록 및 미분류된 URL 목록을 수신한다(S330).The malicious code distribution site URL collection / distribution apparatus receives a management target URL list and an unclassified URL list from the user panel terminal (S330).

악성코드 배포사이트 URL 수집/배포 장치는 전문인력에 의해 미분류된 URL 목록을 신규 관리대상 URL 목록과 그외 관리대상이 아닌 URL 목록으로 분류한다(S340).The malicious code distribution site URL collecting / distributing device classifies the unclassified URL list into a new management target URL list and other non-management URL lists (S340).

악성코드 배포사이트 URL 수집/배포 장치는 복수의 확인 사이트에 기분류된 관리대상 URL 목록 및 신규 관리대상 URL 목록에 포함된 각 URL이 악성코드 배포사이트 URL인지 여부를 질의한다(S350).The malicious code distribution site URL collecting / distributing apparatus queries the plurality of verification sites whether each URL included in the management target URL list and the new management target URL list is the malicious code distribution site URL (S350).

악성코드 배포사이트 URL 수집/배포 장치는 확인 사이트로부터 악성코드 배포사이트 URL인 것으로 확인된 URL에 대해서는 유효성이 있는지를 확인한다(S360).The malicious code distribution site URL collection / distribution apparatus checks whether the URL identified as being the malicious code distribution site URL from the verification site is valid (S360).

악성코드 배포사이트 URL 수집/배포 장치는 유효성이 있으면, 유효성이 있는 악성코드 배포사이트 URL을 배포대상 목록 DB(260)에 갱신한다(S370).If the malicious code distribution site URL collection / distribution apparatus is valid, the malicious code distribution site URL is updated to the distribution target list DB 260 (S370).

악성코드 배포사이트 URL 수집/배포 장치는 갱신된 악성코드 배포사이트 URL 목록의 전체 또는 일부를 실시간으로 배포한다(S380).The malware distribution site URL collection / distribution apparatus distributes all or part of the updated malware distribution site URL list in real time (S380).

악성코드 배포사이트 URL 수집/배포 장치는 악성코드 배포사이트 URL이 아닌 것으로 확인되거나, 악성코드 배포사이트이지만 유효성이 없는 것으로 확인된 관리대상 URL을 관리대상 목록 DB(250)에 갱신한다(S390).The malicious code distribution site URL collection / distribution apparatus is confirmed as not the malicious code distribution site URL or updates the management target URL that is determined to be a malicious code distribution site but not valid to the management target list DB 250 (S390).

이와 같이, 본 발명은 악성코드 배포의 온상인 P2P 사이트 및 웹하드 카테고리를 포함하는 관리대상 및 악성코드 배포사이트 URL을 지속적으로 검색, 분석 및 식별하고, 유해사이트 차단시스템에 신규 관리대상 URL 목록 및 악성코드 배포 사이트 URL 목록을 지속적으로 갱신하여 배포할 수 있다.As described above, the present invention continuously searches, analyzes and identifies URLs of managed and malicious code distribution sites including P2P sites and webhard categories that are hotbeds of malicious code distribution, and lists new target URLs in the harmful site blocking system. Malware distribution site URL list can be updated continuously for distribution.

따라서, 본 발명은 유해사이트 차단시스템이 악성코드 감염의 위험성이 높은 관리대상 사이트 및 악성코드 배포사이트의 접속을 차단하거나 경고할 수 있도록 지원할 수 있다.Therefore, the present invention can support the harmful site blocking system to block or warn the access of the management target site and malicious code distribution site high risk of malware infection.

뿐만 아니라, 본 발명은 하나의 서버에서 복수의 확인 사이트에서 제공하는 응용 프로그램을 설치하여 악성코드 배포사이트 URL에 접속하는지 여부를 확인하는 것으로 관리영역 내 모든 PC에 대해 악성코드 배포를 방지할 수 있다.In addition, the present invention can prevent the distribution of malicious code to all PCs in the management area by checking whether or not to access the malicious code distribution site URL by installing applications provided by a plurality of verification sites in one server. .

또한, 본 발명은 DDoS 공격의 수단이 되는 좀비 PC의 생성을 억제함으로써, DDoS 공격을 예방하여 공격 규모를 최소화시키거나, DDoS 공격을 무력화시킬 수 있다.In addition, the present invention by suppressing the generation of the zombie PC that is a means of DDoS attack, it is possible to prevent the DDoS attack to minimize the size of the attack or to disable the DDoS attack.

더 나아가, 본 발명은 종래의 방화, IPS 및 Anti-DDoS 등과 같은 네트워크 보안 장비와 더불어 전방위적인 DDoS 공격 방어 인프라를 갖추게 됨으로써, 국가적으로는 국부를 보호하고, 국가 경쟁력 및 이미지 제고를 통해 국부 향상에 이바지할 수 있다.Furthermore, the present invention is equipped with a full-range DDoS attack defense infrastructure in addition to network security equipment such as fire prevention, IPS, and Anti-DDoS, thereby protecting the nation nationally and improving the nation through national competitiveness and image enhancement. I can contribute.

이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.While the present invention has been described in detail with reference to the accompanying drawings, it is to be understood that the invention is not limited to the above-described embodiments. Those skilled in the art will appreciate that various modifications, Of course, this is possible. Accordingly, the scope of protection of the present invention should not be limited to the above-described embodiments, but should be determined by the description of the following claims.

Claims (10)

복수의 사용자 패널로부터 기분류된 관리대상 URL(Universal Resource Locator) 목록과 미분류된 URL 목록을 수신하는 수집부;
상기 미분류된 URL 목록으로부터 이전에 등록되지 않은 신규 관리대상 URL 목록을 선별하는 관리대상 갱신부;
상기 신규 관리대상 URL 목록에 포함된 URL이 악성코드 배포사이트 URL인지를 복수의 확인 사이트에 질의하고, 적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 배포대상 갱신부; 및
상기 유효성이 있는 상기 악성코드 배포사이트 URL의 목록을 배포하는 배포부를 포함하며,
상기 확인 사이트는, 상기 악성코드 배포사이트 URL을 포함하는 데이터베이스를 구비한 기업의 서비스 사이트이고,
상기 복수의 사용자 패널에, 집계된 인터넷 접속 URL을 상기 기분류된 관리대상 URL 목록과 그외 상기 미분류된 URL 목록으로 분류하는 단말에이전트 응용 프로그램을 제공하는 것인 URL 수집/배포 장치.A collection unit configured to receive a list of managed object URLs and unclassified URLs from a plurality of user panels;
A management target updating unit that selects a new management target URL list not previously registered from the unclassified URL list;
The plurality of verification sites are queried as to whether a URL included in the new management target URL list is a malicious code distribution site URL, and the malicious one having validity among URLs identified as at least one verification site URL by the malicious code distribution site URL. Distribution target updating unit for selecting the code distribution site URL; And
It includes a distribution unit for distributing the list of the malicious code distribution site URL that is valid,
The verification site is a service site of an enterprise having a database including the URL of the malicious code distribution site,
And a terminal agent application program for classifying the aggregated Internet access URLs into the desired management target URL list and the other unclassified URL list to the plurality of user panels. 제1항에 있어서, 상기 배포대상 갱신부는,
Client Honeypot을 통해서 상기 악성코드 배포사이트 URL의 유효성이 있는지 여부를 확인하는 것인 URL 수집/배포 장치.The method of claim 1, wherein the distribution target update unit,
URL collecting / distributing device for checking whether the malware distribution site URL is valid through the Client Honeypot. 제1항에 있어서, 상기 배포대상 갱신부는,
유효성이 없는 상기 악성코드 배포사이트 URL을 상기 관리대상 URL 목록 중 하나로 분류하여 관리대상 URL 목록 데이터베이스에 갱신하는 것인 URL 수집/배포 장치.The method of claim 1, wherein the distribution target update unit,
The URL collection / distribution apparatus of classifying the malicious code distribution site URL into one of the management target URL list and updating the URL to a management target URL list database. 제3항에 있어서, 상기 배포부는,
상기 관리대상 URL 목록 데이터베이스에 갱신된 상기 관리대상 URL 목록을 상기 복수의 사용자 패널에 배포하는 것인 URL 수집/배포 장치.The method of claim 3, wherein the distribution unit,
And distributing the management target URL list updated in the management target URL list database to the plurality of user panels. 제1항에 있어서, 상기 배포대상 갱신부는,
상기 기분류된 관리대상 URL 목록에 포함된 URL이 상기 악성코드 배포사이트 URL인지를 상기 복수의 확인 사이트에 질의하고, 적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 것인 URL 수집/배포 장치.The method of claim 1, wherein the distribution target update unit,
The plurality of verification sites are queried as to whether the URL included in the pleasant management target URL list is the URL of the malicious code distribution site, and validity among URLs identified as the malicious code distribution site URL from at least one verification site. URL collection / distribution device that screens the malware distribution site URL. 삭제delete 복수의 사용자 패널 단말에 설치된 응용 프로그램에 의하여 분류된, 기분류된 관리대상 URL(Universal Resource Locator) 목록과 미분류된 URL 목록을 수신하는 단계;
상기 미분류된 URL 목록으로부터 기등록되지 않은 신규 관리대상 URL 목록을 선별하는 단계;
상기 신규 관리대상 URL 목록에 포함된 URL이 악성코드 배포사이트 URL인지를 복수의 확인 사이트에 질의하는 단계;
적어도 하나의 상기 확인 사이트로부터 상기 악성코드 배포사이트 URL인 것으로 확인된 URL 중에서 유효성이 있는 상기 악성코드 배포사이트 URL을 선별하는 단계; 및
상기 유효성이 있는 상기 악성코드 배포사이트 URL의 목록을 유해사이트 차단 시스템 및 상기 복수의 사용자 패널 단말 중 적어도 하나에 배포하는 단계를 포함하며,
상기 확인 사이트는, 상기 악성코드 배포사이트 URL을 포함하는 데이터베이스를 구비한 기업의 서비스 사이트이며,
복수의 인터넷 접속을 각기 대표하는 상기 복수의 사용자 패널 단말을 선정하는 단계; 및
상기 복수의 사용자 패널 단말에 인터넷 접속 사이트의 URL을 집계하여 송신하는 상기 응용 프로그램을 제공하는 단계를 더 포함하는 URL 수집/배포 방법.Receiving a list of the un-classified URL and unclassified URL list, classified by the application programs installed in the plurality of user panel terminal;
Selecting a new unlisted management target URL list from the unclassified URL list;
Querying a plurality of verification sites whether a URL included in the new management target URL list is a malicious code distribution site URL;
Selecting a valid malicious code distribution site URL from at least one of the verification site URLs identified as the malicious code distribution site URL; And
Distributing the list of valid malicious code distribution site URLs to at least one of a harmful site blocking system and the plurality of user panel terminals;
The verification site is a service site of an enterprise having a database including the URL of the malicious code distribution site,
Selecting the plurality of user panel terminals each representing a plurality of internet connections; And
And providing the application program to aggregate and transmit URLs of an internet access site to the plurality of user panel terminals. 삭제delete 제7항에 있어서,
상기 악성코드 배포사이트 URL을 선별하는 단계는, 상기 복수의 확인사이트로부터 상기 악성코드 배포사이트 URL이 아니거나, 유효성이 없는 것으로 확인된, 상기 악성코드 배포사이트 URL을 상기 관리대상 URL 목록 중 하나로 분류하여 상기 관리대상 URL 목록을 갱신하는 단계를 포함할 때,
상기 배포하는 단계는, 갱신된 상기 관리대상 URL 목록을 상기 복수의 사용자 패널 단말에 배포하는 단계를 포함하는 것인 URL 수집/배포 방법.The method of claim 7, wherein
The selecting of the malicious code distribution site URL may include classifying the malicious code distribution site URL into one of the management target URL lists, which is determined to be not the malicious code distribution site URL or invalid from the plurality of verification sites. When updating the management target URL list to include,
The distributing step includes distributing the updated management target URL list to the plurality of user panel terminals. 제9항에 있어서, 상기 배포하는 단계는,
갱신된 상기 관리대상 URL 목록을 유해사이트 차단 시스템 및 상기 복수의 사용자 패널 단말 중 적어도 하나에 배포하는 단계
를 포함하는 것인 URL 수집/배포 방법.The method of claim 9, wherein the distributing step,
Distributing the updated URL list to the harmful site blocking system and the plurality of user panel terminals;
URL collection / distribution method comprising a.
KR1020110054566A 2011-06-07 2011-06-07 Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site KR101267953B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110054566A KR101267953B1 (en) 2011-06-07 2011-06-07 Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110054566A KR101267953B1 (en) 2011-06-07 2011-06-07 Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site

Publications (2)

Publication Number Publication Date
KR20120135707A KR20120135707A (en) 2012-12-17
KR101267953B1 true KR101267953B1 (en) 2013-05-27

Family

ID=47903362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110054566A KR101267953B1 (en) 2011-06-07 2011-06-07 Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site

Country Status (1)

Country Link
KR (1) KR101267953B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101454754B1 (en) * 2013-03-06 2014-10-27 주식회사 시큐아이 Method and apparatus for creating blocking list of harmful site
KR101480903B1 (en) * 2013-09-03 2015-01-13 한국전자통신연구원 Method for multiple checking a mobile malicious code

Also Published As

Publication number Publication date
KR20120135707A (en) 2012-12-17

Similar Documents

Publication Publication Date Title
US11245714B2 (en) Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11057427B2 (en) Method for identifying phishing websites and hindering associated activity
US11882136B2 (en) Process-specific network access control based on traffic monitoring
Oest et al. Inside a phisher's mind: Understanding the anti-phishing ecosystem through phishing kit analysis
US10212134B2 (en) Centralized management and enforcement of online privacy policies
Oprea et al. Made: Security analytics for enterprise threat detection
US10826872B2 (en) Security policy for browser extensions
Invernizzi et al. Nazca: Detecting Malware Distribution in Large-Scale Networks.
US9942250B2 (en) Network appliance for dynamic protection from risky network activities
CN113228585B (en) Network security system with feedback loop based enhanced traffic analysis
US8429751B2 (en) Method and apparatus for phishing and leeching vulnerability detection
RU2417429C2 (en) Protection from exploitation of software vulnerability
Akiyama et al. HoneyCirculator: distributing credential honeytoken for introspection of web-based attack cycle
CN105915532A (en) Method and device for recognizing fallen host
US10375091B2 (en) Method, device and assembly operable to enhance security of networks
CN113408948A (en) Network asset management method, device, equipment and medium
EP3987728B1 (en) Dynamically controlling access to linked content in electronic communications
Ko et al. Management platform of threats information in IoT environment
KR101267953B1 (en) Apparatus for Preventing Malicious Codes Distribution and DDoS Attack through Monitoring for P2P and Webhard Site
KR101542762B1 (en) Network based safe-browsing db generating and distribution method and safe-browsing method
Droppa et al. Cyber threat assessment report in selected environment conducted by choosen technology of firewalls

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180427

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190430

Year of fee payment: 7