KR101291782B1 - 웹쉘 탐지/대응 시스템 - Google Patents

웹쉘 탐지/대응 시스템 Download PDF

Info

Publication number
KR101291782B1
KR101291782B1 KR1020130009330A KR20130009330A KR101291782B1 KR 101291782 B1 KR101291782 B1 KR 101291782B1 KR 1020130009330 A KR1020130009330 A KR 1020130009330A KR 20130009330 A KR20130009330 A KR 20130009330A KR 101291782 B1 KR101291782 B1 KR 101291782B1
Authority
KR
South Korea
Prior art keywords
information
detection
target server
webshell
web page
Prior art date
Application number
KR1020130009330A
Other languages
English (en)
Inventor
이재우
Original Assignee
인포섹(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인포섹(주) filed Critical 인포섹(주)
Priority to KR1020130009330A priority Critical patent/KR101291782B1/ko
Priority to CN201310080172.XA priority patent/CN103973664A/zh
Priority to US13/845,360 priority patent/US8832834B2/en
Priority to JP2013060408A priority patent/JP5410626B1/ja
Application granted granted Critical
Publication of KR101291782B1 publication Critical patent/KR101291782B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42DBOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
    • B42D5/00Sheets united without binding to form pads or blocks
    • B42D5/04Calendar blocks
    • B42D5/047Calendar blocks in which the calendar sheet or sheets are combined with other articles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42PINDEXING SCHEME RELATING TO BOOKS, FILING APPLIANCES OR THE LIKE
    • B42P2221/00Books or filing appliances with additional arrangements
    • B42P2221/02Books or filing appliances with additional arrangements with indicating means

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 웹쉘 탐지/대응 시스템에 관한 것으로, 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되는 정보 수집 스크립트를 통해 탐지 대상 서버로부터 정보를 수집하고, 수집된 정보를 이용해 원격에서 탐지 대상 서버가 웹쉘에 감염되었는지 여부를 판단할 수 있도록 한 것이다.

Description

웹쉘 탐지/대응 시스템{Webshell detection and corresponding system}
본 발명은 웹쉘(Webshell) 탐지 기술에 관련한 것으로 특히 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지/대응 시스템에 관한 것이다.
웹쉘(Webshell)은 공격자가 원격에서 침입 대상 서버에 명령을 수행할 수 있도록 작성한 asp, php, jsp, cgi 파일 등의 웹 스크립트(Web Script) 파일을 말한다. 공격자는 웹쉘을 이용해 침입 대상 서버의 관리자 권한을 획득한 후, 침입 대상 서버의 웹페이지 소스 코드 열람, 침입 대상 서버내의 컨텐츠 등의 자료 유출, 백도어 프로그램 설치 등의 다양한 공격을 할 수 있다. 최근에는 파일 업로드뿐만 아니라, SQL 인젝션(Injection) 등과 같은 웹 취약점을 공격한 후 지속적으로 침입 대상 서버를 해킹하는 등 그 유형이 점차 교묘해 지고 있다.
대한민국 공개특허 제10-2009-0088687호(2009. 08. 20)에서 탐지 대상 컴퓨터에 설치되어 웹쉘 시그니쳐 분석을 통해 탐지 대상 컴퓨터가 웹쉘에 감염되었는지 탐지하고, 등록되지 않은 웹쉘 시그니쳐가 발생한 경우에는 서버로부터 웹쉘 시그니쳐를 업데이트 받는 웹쉘 탐지 기술을 제안하고 있다.
그러나, 이러한 종래의 웹쉘 탐지 기술은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하여 웹쉘을 탐지해야만 하였으므로, 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 있었고, 웹쉘 탐지를 위한 별도의 관리 인력이 필요하였고, 웹쉘로 인한 사고 발생시 웹쉘에 대한 전문적인 지식 부재로 신속한 대응이 어려운 문제가 있었다.
따라서, 본 발명자는 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지 기술에 대한 연구를 하게 되었다.
대한민국 공개특허 제10-2009-0088687호(2009. 08. 20)
본 발명은 상기한 취지하에 발명된 것으로, 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되는 정보 수집 스크립트를 통해 탐지 대상 서버로부터 정보를 수집하고, 수집된 정보를 이용해 원격에서 탐지 대상 서버가 웹쉘에 감염되었는지 여부를 판단할 수 있는 웹쉘 탐지/대응 시스템을 제공함을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 웹쉘 탐지/대응 시스템이 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와의 연동을 처리하는 스크립트 연동부와; 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와; 상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를; 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템이 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를 더 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 대응 관리부가 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 DB 관리부가 상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 정보 수집 스크립트가 웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와; 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와; 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를; 포함하여 이루어지는 것을 특징으로 한다.
본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능한 효과가 있다.
도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다.
도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다.
도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다.
도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다. 도 1 에 도시한 바와 같이, 본 발명에 따른 웹쉘 탐지/대응 시스템(100)은 인터넷을 통해 적어도 하나의 탐지 대상 서버(200)와 연결된다. 각 탐지 대상 서버(200)의 웹페이지 홈 경로내에는 정보 수집 스크립트(300)가 삽입되어, 각 탐지 대상 서버(200)로부터 정보를 수집하여 웹쉘 탐지/대응 시스템(100)으로 전송한다.
웹쉘 탐지/대응 시스템(100)은 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.
그리고, 웹쉘 탐지/대응 시스템(100)은 정보 수집 스크립트(300)를 통해 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지한다.
이에 따라, 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능해진다.
도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다. 도 2 에 도시한 바와 같이, 이 실시예에 따른 웹쉘 탐지/대응 시스템(100)은 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130)를 포함하여 이루어진다.
상기 스크립트 연동부(110)는 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)와의 연동을 처리한다.
예컨대, 상기 스크립트 연동부(110)가 주기적 또는 비주기적으로 정보 수집 스크립트(300)와 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)이 정보 수집 스크립트(300)와 연동되도록 구현될 수 있다. 정보 수집 스크립트(300)의 구체적인 구성은 추후 설명한다.
한편, 스크립트 연동부(110)가 탐지 대상 서버(200)의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버(200)가 활성 상태인 경우 정보 분석부(130)로 변조된 웹페이지 구성 컨텐츠 검색을 요청하도록 구현될 수도 있다.
만약, 상기 탐지 대상 서버가 비활성 상태인 경우, 상기 스크립트 연동부(110)가 해당 탐지 대상 서버 접속 실패 로그를 저장하도록 구현될 수도 있다. 탐지 대상 서버 접속 실패 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 접속 시도 일시 등이 기록될 수 있다.
상기 DB 관리부(120)는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리한다. 예컨대, 정보 수집 스크립트(300)에 의해 탐지 대상 서버(200)로부터 최초 정보 수집시, 상기 DB 관리부(120)가 해당 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 탐지 대상 서버(200)로부터 수신하여 데이터베이스에 저장함으로써 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 웹쉘 탐지/대응 시스템(100)에 등록되도록 구현될 수 있다.
상기 정보 분석부(130)는 상기 스크립트 연동부(110)에 의해 연동된 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.
이 때, 상기 무결성 해시정보 및 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 현재 해시정보가 탐지 대상 서버의 암호화 개인키(Private Key) 등과 같은 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일을 특정의 해시함수(Hash Function)의 시드값으로 하여 산출된 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.
즉, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보와 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 서로 상이한 탐지 대상 서버의 웹페이지 구성 컨텐츠들은 변조된 컨텐츠들이므로, 상기 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠를 검색할 수 있다.
예컨대, 탐지 대상 서버의 웹페이지 구성 컨텐츠의 무결성 해시정보와 현재 해시정보에 포함된 탐지 대상 서버 식별정보가 상이하거나, 웹페이지 구성 컨텐츠 파일의 해시값이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth)가 상이하거나, 웹페이지 구성 컨텐츠 파일명이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로명이 상이하거나, 웹페이지 구성 컨텐츠 파일의 실행권한이 상이하거나, 웹페이지 구성 컨텐츠 파일의 최종수정일이 상이하거나, 웹페이지 구성 컨텐츠 파일의 등록일이 상이하다고 판단될 경우, 상기 정보 분석부(130)가 해당 웹페이지 구성 컨텐츠를 변조된 것으로 판단할 수 있다.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하여 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하도록 구현될 수 있다.
변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석이 필요하다.
이를 위해 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하면, 정보 수집 스크립트(300)는 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 검색해 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신한다.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.
예컨대, 웹쉘 탐지/대응 시스템(100)이 미리 웹쉘 특징 패턴(Webshell Signature Pattern)들을 데이터베이스에 저장하고, 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일이 데이터베이스에 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)을 포함하고 있는지 검사하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.
한편, 발명의 부가적인 양상에 따르면, 상기 웹쉘 탐지/대응 시스템(100)이 대응 관리부(140)를 더 포함할 수 있다. 상기 대응 관리부(140)는 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행한다.
예컨대, 상기 대응 관리부(140)가 탐지 대상 서버 담당자의 e-메일 또는 SMS 등을 통해 해당 탐지 대상 서버가 웹쉘에 감염된 웹페이지 구성 컨텐츠 파일명, 웹쉘 식별정보 등을 포함하는 웹쉘 감염 리포트를 전송하여 해당 탐지 대상 서버가 웹쉘에 감염되었음을 통보하도록 구현될 수 있다.
한편, 발명의 부가적인 양상에 따르면, 상기 대응 관리부(140)가 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하도록 구현될 수 있다.
그러면, 상기 DB 관리부(120)가 상기 대응 관리부(140)로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신한다.
즉, 이 실시예는 변조된 웹페이지 구성 컨텐츠가 웹쉘에 감염되지 않고 정당하게 변조된 경우, 변조된 웹페이지 구성 컨텐츠의 무결성 해시정보가 변경되므로, 이 변경된 웹페이지 구성 컨텐츠의 무결성 해시정보를 해당 웹페이지 구성 컨텐츠의 새로운 무결성 해시정보로 갱신하기 위한 실시예이다.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 수집 스크립트(300)가 변조된 웹페이지 구성 컨텐츠 파일을 인코딩(Encoding)하여 전송하고, 이를 수신한 웹쉘 탐지/대응 시스템(100)의 정보 분석부(130)가 인코딩된 변조된 웹페이지 구성 컨텐츠 파일을 디코딩(Decoding)하여 웹쉘 감염 여부를 분석하도록 구현될 수도 있다.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석 수행 결과로서, 웹쉘(Webshell) 탐지 로그를 저장하도록 구현될 수도 있다. 웹쉘 탐지 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 분석 일시 등이 기록될 수 있다.
한편, 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템(100)의 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130) 및 대응 관리부(140)가 물리적 또는 논리적으로 하나의 서버 개체로 구현될 수도 있고, 또는 그 각각이 물리적 또는 논리적으로 분산되는 복수의 서버 개체들로 구현될 수도 있다.
따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하다.
도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다. 도 3 에 도시한 바와 같이, 정보 수집 스크립트(300)는 장치 연동부(310)와, 해시정보 처리부(320)와, 파일 처리부(330)를 포함하여 이루어진다.
상기 장치 연동부(310)는 웹쉘 탐지/대응 시스템(100)과 연동된다. 예컨대, 상기 장치 연동부(310)가 웹쉘 탐지/대응 시스템(100)으로부터의 요청에 따라, 주기적 또는 비주기적으로 웹쉘 탐지/대응 시스템(100)과 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)과 연동되도록 구현될 수 있다.
소켓(Socket) 통신은 네트워크로 연결되어 있는 두 컴퓨터의 통신 접점에 위치하는 통신 객체인 소켓(Socket)을 생성하고, 이 소켓을 통해서 서로 데이터를 교환하는 방식으로, 한쪽에서 보낸 신호를 다른 쪽에서 받으면 연결이 성립되고, 그 후 데이터를 주고 받으며, 신뢰성이 보장되는 IP 프로토콜의 TCP 패킷 또는 신뢰성이 보장되지 않는 IP 프로토콜의 UDP 패킷을 이용해 데이터를 주고받을 수 있다.
상기 해시정보 처리부(320)는 탐지 대상 서버(200)의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송한다.
예컨대, 현재 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.
상기 해시정보 처리부(320)는 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일들에 대한 해시값, 저장된 경로 깊이(Depth), 파일명, 경로명, 실행권한, 최종수정일, 등록일을 파악하고, 이에 해당 탐지 대상 서버의 식별정보를 추가하여 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각에 대한 현재 해시정보를 생성한다.
이 때, 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 최초로 생성된 경우, 이 최초 생성된 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 될 수 있다.
상기 파일 처리부(330)는 상기 장치 연동부(310)에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버(200)의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송한다.
위에서 설명했듯이, 웹쉘 탐지/대응 시스템(100)에 의해 변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석이 필요하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청한다.
그러면, 정보 수집 스크립트(300)의 파일 처리부(330)가 탐지 대상 서버(200)의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송한다. 그러면, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석을 수행한다.
이상에서 설명한 바와 같은 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 절차를 도 4 를 참조하여 알아본다. 도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다.
설명에 앞서, 탐지 대상 서버의 웹페이지 홈 경로내에 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트가 삽입되고, 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보 및 웹쉘 특징 패턴(Webshell Signature Pattern)들이 미리 웹쉘 탐지/대응 시스템에 저장되었다 가정한다.
먼저, 단계 410에서 웹쉘 탐지/대응 시스템이 주기적 또는 비주기적으로 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와 연동된다. 웹쉘 탐지/대응 시스템의 정보 수집 스크립트 연동과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.
상기 단계 410에 의해 웹쉘 탐지/대응 시스템과 정보 수집 스크립트간이 연동되면, 단계 420에서 웹쉘 탐지/대응 시스템이 정보 수집 스크립트를 통해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보를 수신한다. 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보 생성 및 전송과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.
상기 단계 420에 의해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 수신되면, 단계 430에서 웹쉘 탐지/대응 시스템이 수신된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다. 변조된 웹페이지 구성 컨텐츠 검색과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.
상기 단계 430에 의해 변조된 웹페이지 구성 컨텐츠 파일이 검색되면, 단계 440에서 웹쉘 탐지/대응 시스템이 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 수신한다.
변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 정보 수집 스크립트가 탐지 대상 서버의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하고, 웹쉘 탐지/대응 시스템이 이를 수신한다.
변조된 웹페이지 구성 컨텐츠 파일을 수신한 웹쉘 탐지/대응 시스템은 단계 450에서 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석을 수행한다.
이 때, 변조된 웹페이지 구성 컨텐츠 파일이 미리 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)들을 포함하는지 검색함에 의해 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지 판단할 수 있다.
만약, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우에는, 단계 460에서 웹쉘 탐지/대응 시스템이 해당 탐지 대상 서버 담당자에게 경고를 수행한다. 웹쉘(Webshell)에 감염시 경고를 수행하는 것과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.
한편, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우에는, 단계 470에서 웹쉘 탐지/대응 시스템이 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 수행한다. 웹페이지 구성 컨텐츠의 무결성 해시정보 업데이트와 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.
따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
본 발명은 웹쉘(Webshell) 탐지 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.
100 : 웹쉘 탐지/대응 시스템 110 : 스크립트 연동부
120 : DB 관리부 130 : 정보 분석부
140 : 대응 관리부 200 : 탐지 대상 서버
300 : 정보 수집 스크립트 310 : 장치 연동부
320 : 해시정보 처리부 330 : 파일 처리부

Claims (10)

  1. 탐지 대상 서버의 웹페이지 홈 경로내에 컴파일된 이진 바이너리 파일 형태가 아니라 스크립트 파일 형태로 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와의 연동을 처리하는 스크립트 연동부와;
    탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와;
    상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를;
    포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  2. 제 1 항에 있어서,
    상기 정보 분석부가:
    변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  3. 제 2 항에 있어서,
    상기 정보 분석부가:
    탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  4. 제 3 항에 있어서,
    상기 웹쉘 탐지/대응 시스템이:
    상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를;
    더 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  5. 제 4 항에 있어서,
    상기 대응 관리부가:
    상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  6. 제 5 항에 있어서,
    상기 DB 관리부가:
    상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  7. 제 1 항에 있어서,
    상기 스크립트 연동부가:
    탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  8. 제 7 항에 있어서,
    상기 스크립트 연동부가:
    상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  9. 제 1 항 내지 제 8 항 중의 어느 한 항에 있어서,
    상기 해시정보가:
    탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
  10. 제 1 항 내지 제 8 항 중의 어느 한 항에 있어서,
    상기 정보 수집 스크립트가:
    웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와;
    탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와;
    상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를;
    포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.
KR1020130009330A 2013-01-28 2013-01-28 웹쉘 탐지/대응 시스템 KR101291782B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020130009330A KR101291782B1 (ko) 2013-01-28 2013-01-28 웹쉘 탐지/대응 시스템
CN201310080172.XA CN103973664A (zh) 2013-01-28 2013-03-13 网络木马后门探测/应对系统
US13/845,360 US8832834B2 (en) 2013-01-28 2013-03-18 Webshell detection and response system
JP2013060408A JP5410626B1 (ja) 2013-01-28 2013-03-22 ウェブシェル検知/対応システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130009330A KR101291782B1 (ko) 2013-01-28 2013-01-28 웹쉘 탐지/대응 시스템

Publications (1)

Publication Number Publication Date
KR101291782B1 true KR101291782B1 (ko) 2013-07-31

Family

ID=48998343

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130009330A KR101291782B1 (ko) 2013-01-28 2013-01-28 웹쉘 탐지/대응 시스템

Country Status (4)

Country Link
US (1) US8832834B2 (ko)
JP (1) JP5410626B1 (ko)
KR (1) KR101291782B1 (ko)
CN (1) CN103973664A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105100065A (zh) * 2015-06-26 2015-11-25 北京奇虎科技有限公司 基于云的webshell攻击检测方法、装置及网关
KR20160000358A (ko) 2014-06-24 2016-01-04 에스케이인포섹(주) 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법
KR101865378B1 (ko) * 2018-01-31 2018-06-07 주식회사 에프원시큐리티 웹 쉘 탐지 시스템
KR20190048606A (ko) * 2017-10-31 2019-05-09 대한민국(국방부 공군참모총장) 실시간 웹공격 탐지방법
CN110162973A (zh) * 2019-05-24 2019-08-23 新华三信息安全技术有限公司 一种Webshell文件检测方法及装置

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394176B (zh) * 2014-12-17 2018-05-08 中国人民解放军国防科学技术大学 一种基于强制访问控制机制的webshell防范方法
CN105989284B (zh) * 2015-02-10 2019-01-11 阿里巴巴集团控股有限公司 网页入侵脚本特征的识别方法及设备
CN104796426B (zh) * 2015-04-29 2018-04-27 上海络安信息技术有限公司 网页后门的检测方法
CN106301974A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 一种网站后门检测方法和装置
KR101650445B1 (ko) * 2015-12-11 2016-08-23 주식회사 윈스 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
CN106911686B (zh) * 2017-02-20 2020-07-07 杭州迪普科技股份有限公司 WebShell检测方法及装置
CN107196929A (zh) * 2017-05-11 2017-09-22 国网山东省电力公司信息通信公司 适用于高频次网络攻防环境下的智能防护方法及其系统
CN107566371B (zh) * 2017-09-05 2020-08-18 成都知道创宇信息技术有限公司 一种面向海量日志的WebShell挖掘方法
CN107612925A (zh) * 2017-10-12 2018-01-19 成都知道创宇信息技术有限公司 一种基于访问行为特征的WebShell挖掘方法
CN107911355B (zh) * 2017-11-07 2020-05-01 杭州安恒信息技术股份有限公司 一种基于攻击链的网站后门利用事件识别方法
CN108040036A (zh) * 2017-11-22 2018-05-15 江苏翼企云通信科技有限公司 一种行业云Webshell安全防护方法
JP6867552B2 (ja) * 2018-05-21 2021-04-28 日本電信電話株式会社 判定方法、判定装置および判定プログラム
CN109040071B (zh) * 2018-08-06 2021-02-09 杭州安恒信息技术股份有限公司 一种web后门攻击事件的确认方法
CN110798439B (zh) * 2018-09-04 2022-04-19 国家计算机网络与信息安全管理中心 主动探测物联网僵尸网络木马的方法、设备及存储介质
CN110427755A (zh) * 2018-10-16 2019-11-08 新华三信息安全技术有限公司 一种识别脚本文件的方法及装置
EP3903197A4 (en) 2018-12-27 2022-08-03 Citrix Systems, Inc. WEB PRODUCT DEVELOPMENT SYSTEMS AND METHODS
CN109743311B (zh) * 2018-12-28 2021-10-22 绿盟科技集团股份有限公司 一种WebShell检测方法、装置及存储介质
KR102382889B1 (ko) * 2019-11-28 2022-04-05 네이버클라우드 주식회사 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
WO2021223177A1 (zh) * 2020-05-07 2021-11-11 深圳市欢太科技有限公司 异常文件检测方法及相关产品
CN113806742A (zh) * 2020-06-15 2021-12-17 中国电信股份有限公司 WebShell检测装置、WebShell检测方法及计算机可读存储介质
US10933251B1 (en) 2020-06-17 2021-03-02 Jonathan M Borkum System for noninvasive pulsed magnetic induction heating of acupoints for the neurorehabilitation of stroke and brain injury, and for the prevention and treatment of dementia, age-related cognitive decline, and depression
CN112118089B (zh) * 2020-09-18 2021-04-30 广州锦行网络科技有限公司 一种webshell监控方法及系统
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN113225357B (zh) * 2021-07-08 2021-09-17 北京搜狐新媒体信息技术有限公司 一种网页后门的取证方法和相关装置
CN115174197B (zh) * 2022-07-01 2024-03-29 阿里云计算有限公司 webshell文件的检测方法、系统、电子设备及计算机存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169490A (ja) * 2008-01-11 2009-07-30 Fuji Xerox Co Ltd ユーザ属性情報管理プログラム、ユーザ属性情報確認プログラム、ユーザ属性情報管理装置、ユーザ属性情報確認装置及びユーザ属性情報管理システム
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법
KR20130008119A (ko) * 2011-07-11 2013-01-22 주식회사 잉카인터넷 파일 변조 검출방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331374A (ja) * 2000-05-24 2001-11-30 Ntt Comware Corp ホームページ改ざん検出方法および装置
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
KR100968126B1 (ko) * 2008-02-15 2010-07-06 한국인터넷진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
CN101626368A (zh) * 2008-07-11 2010-01-13 中联绿盟信息技术(北京)有限公司 一种防止网页被篡改的设备、方法和系统
KR101138988B1 (ko) * 2009-10-26 2012-04-25 미라클워터 주식회사 자연친화적으로 설계된 초기우수 처리장치
CN102546576B (zh) * 2010-12-31 2015-11-18 北京启明星辰信息技术股份有限公司 一种网页挂马检测和防护方法、系统及相应代码提取方法
CN102546253A (zh) * 2012-01-05 2012-07-04 中国联合网络通信集团有限公司 网页防篡改方法、系统和管理服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169490A (ja) * 2008-01-11 2009-07-30 Fuji Xerox Co Ltd ユーザ属性情報管理プログラム、ユーザ属性情報確認プログラム、ユーザ属性情報管理装置、ユーザ属性情報確認装置及びユーザ属性情報管理システム
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법
KR20130008119A (ko) * 2011-07-11 2013-01-22 주식회사 잉카인터넷 파일 변조 검출방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160000358A (ko) 2014-06-24 2016-01-04 에스케이인포섹(주) 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법
CN105100065A (zh) * 2015-06-26 2015-11-25 北京奇虎科技有限公司 基于云的webshell攻击检测方法、装置及网关
CN105100065B (zh) * 2015-06-26 2018-03-16 北京奇安信科技有限公司 基于云的webshell攻击检测方法、装置及网关
KR20190048606A (ko) * 2017-10-31 2019-05-09 대한민국(국방부 공군참모총장) 실시간 웹공격 탐지방법
KR102092411B1 (ko) * 2017-10-31 2020-03-23 대한민국 실시간 웹공격 탐지방법
KR101865378B1 (ko) * 2018-01-31 2018-06-07 주식회사 에프원시큐리티 웹 쉘 탐지 시스템
CN110162973A (zh) * 2019-05-24 2019-08-23 新华三信息安全技术有限公司 一种Webshell文件检测方法及装置
CN110162973B (zh) * 2019-05-24 2021-04-09 新华三信息安全技术有限公司 一种Webshell文件检测方法及装置

Also Published As

Publication number Publication date
JP5410626B1 (ja) 2014-02-05
US8832834B2 (en) 2014-09-09
US20140215619A1 (en) 2014-07-31
JP2014146307A (ja) 2014-08-14
CN103973664A (zh) 2014-08-06

Similar Documents

Publication Publication Date Title
KR101291782B1 (ko) 웹쉘 탐지/대응 시스템
US11089046B2 (en) Systems and methods for identifying and mapping sensitive data on an enterprise
US11489855B2 (en) System and method of adding tags for use in detecting computer attacks
US8850585B2 (en) Systems and methods for automated malware artifact retrieval and analysis
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US9300682B2 (en) Composite analysis of executable content across enterprise network
CN112637220B (zh) 一种工控系统安全防护方法及装置
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
US20060272008A1 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
US11336676B2 (en) Centralized trust authority for web application components
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的系统和方法
WO2013130867A1 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
CN101908116B (zh) 一种计算机防护系统及方法
Ko et al. Management platform of threats information in IoT environment
Andriatsimandefitra et al. Detection and identification of android malware based on information flow monitoring
CN111510463A (zh) 异常行为识别系统
CN114024773B (zh) 一种webshell文件检测方法及系统
CN113726790A (zh) 网络攻击源的识别和封堵方法、系统、装置及介质
CN113595981B (zh) 上传文件威胁检测方法及装置、计算机可读存储介质
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
KR20130116418A (ko) Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
Kolokotronis et al. Cyber-trust: The shield for IoT cyber-attacks
US20210209240A1 (en) Information processing device, information processing method, information processing program, and information processing system

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160705

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180702

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190626

Year of fee payment: 7