KR101400680B1 - 악성코드 자동 수집 시스템 - Google Patents

악성코드 자동 수집 시스템 Download PDF

Info

Publication number
KR101400680B1
KR101400680B1 KR20130025911A KR20130025911A KR101400680B1 KR 101400680 B1 KR101400680 B1 KR 101400680B1 KR 20130025911 A KR20130025911 A KR 20130025911A KR 20130025911 A KR20130025911 A KR 20130025911A KR 101400680 B1 KR101400680 B1 KR 101400680B1
Authority
KR
South Korea
Prior art keywords
virtual machine
malicious code
web site
evidence
website
Prior art date
Application number
KR20130025911A
Other languages
English (en)
Inventor
임태희
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR20130025911A priority Critical patent/KR101400680B1/ko
Priority to US14/144,383 priority patent/US9450980B2/en
Application granted granted Critical
Publication of KR101400680B1 publication Critical patent/KR101400680B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 네트워크 보안 기술에 있어서, 특히 웹 사이트에서 악성코드를 유포하는 행위를 자동으로 탐지하고 수집하는 시스템에 관한 것으로, 탐지 대상의 웹사이트 정보를 저장하는 제1데이터베이스와, 상기 제1데이터베이스로부터 읽어 들인 상기 웹사이트 정보를 전송하는 가상머신 컨트롤러와, 상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 해당 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제1가상머신과, 상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 상기 제1가상머신과 동일한 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제2가상머신과, 상기 제1가상머신과 상기 제2가상머신에 의해 수집된 상기 악성코드 및 증거를 저장하는 제2데이터베이스를 포함하여 구성되는 것이 특징인 발명이다.

Description

악성코드 자동 수집 시스템{System of automatically collecting malignant code}
본 발명은 네트워크 보안 기술에 관한 것으로, 특히 웹 사이트에서 악성코드를 유포하는 행위를 자동으로 탐지하고 수집하는 시스템에 관한 것이다.
악성코드란, 사용자의 의사와 이익에 반해 시스템을 파괴하거나 또는 정보를 유츨하는 등 악의적인 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다.
이러한 악성코드는 하루에도 셀 수없이 제작되고 있으며, 주로 웹 사이트를 통해서 유포되고 있다. 또한 악성코드는 여러 가지 방법으로 백신을 우회하고 백신 테스트를 거쳐서 세상에 나오므로, 악성코드의 설치 및 실행을 탐지하는데 어려움이 많다.
특히 접속한 웹 사이트의 취약한 보안으로 인해 웹 사이트에 악성코드를 숨겨놓고 접속 시에 사용자들에게 유포시키는 공격적인 특성을 갖는 악성코드인 익스플로잇 코드(Exploit code)의 경우는 자바스크립트(JavaScript)로 작성된 경우가 많고, 보통 코드 난독화(obfuscation)을 통해 코드를 읽기 어렵게 만들어 놓은 경우가 많다. 심지어 사용자가 해당 웹 사이트를 방문할 때마다 동적으로 변경되는 속성을 갖기도 한다. 이와 같은 익스플로잇 코드는 백신에서 탐지하기 위한 패턴화 작업을 어렵게 만들며 특히, 동적으로 자동 변경되는 코드는 백신에서 탐지를 하지 못하는 경우가 대부분이다.
악성코드에 대응하기 위한 방법으로는 최신 악성코드에 대한 빠른 정보 수집에 있지만 신속하게 샘플이 수집되지 않는다면 백신으로도 악성코드의 설치 및 실행을 미리 탐지하기란 쉽지 않다.
현재 대부분의 정보보안 업체에서는 유관기관과 정보를 공유하거나 사용자의 신고 등 주로 수동적인 방법으로 정보를 수집하고 있어서 악성코드의 발생에 빠르게 대처할 수 없는 실정이다.
본 발명의 목적은 상기한 점을 감안하여 안출한 것으로, 특히 웹 사이트를 통해 유포되는 익스플로잇 코드와 악성코드를 자동 수집하는데 적당한 악성코드 자동 수집 시스템을 제공하는 데 있다.
본 발명의 다른 목적은, 능동적인 방법으로 사용자들이 방문하는 웹 사이트를 수시로 체크하여 유포되는 악성코드를 빠르게 수집함으로써 악성코드에 대한 대응시간을 최소한으로 단축하는데 적당한 악성코드 자동 수집 시스템을 제공하는 데 있다.
본 발명의 또다른 목적은, 가상머신 환경에서 웹 브라우저를 이용하여 웹 사이트를 자동 방문하면서 익스플로잇 코드와 악성코드에 의해서 자동으로 다운로드되고 실행되는 악성 파일과 네트워크 패킷 등의 증거를 수집하는 데 적당한 악성코드 자동 수집 시스템을 제공하는 데 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 악성코드 자동 수집 시스템의 특징은, 탐지 대상의 웹사이트 정보를 저장하는 제1데이터베이스와, 상기 제1데이터베이스로부터 읽어 들인 상기 웹사이트 정보를 전송하는 가상머신 컨트롤러와, 상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 해당 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제1가상머신과, 상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 상기 제1가상머신과 동일한 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제2가상머신과, 상기 제1가상머신과 상기 제2가상머신에 의해 수집된 상기 악성코드 및 증거를 저장하는 제2데이터베이스를 포함하여 구성되는 것이다.
바람직하게, 상기 가상머신 컨트롤러는 상기 제1가상머신이 대기 상태일 때, 상기 웹사이트 정보를 상기 제1가상머신으로 전송하고, 상기 제2가상머신이 대기 상태일 때, 상기 웹사이트 정보를 상기 제2가상머신으로 전송할 수 있다.
바람직하게, 상기 가상머신 컨트롤러는 상기 제1가상머신과 상기 제2가상머신이 모두 대기 상태일 때, 상기 웹사이트 정보를 상기 제1가상머신과 상기 제2가상머신에 동시에 전송할 수 있다.
바람직하게, 상기 제1가상머신과 상기 제2가상머신은 서로 다른 보안레벨이 설정될 수 있다.
보다 바람직하게, 상기 제2가상머신은 최신 보안패치가 설치된 최고 보안레벨이 설정될 수 있다.
바람직하게, 상기 제2데이터베이스에 저장되는 웹사이트 별 악성코드 및 증거에 대해 사용자의 확인을 위한 사용자인터페이스를 제공하는 관리서버를 더 포함할 수 있다.
보다 바람직하게, 상기 관리서버는 상기 제2가상머신에 최신 보안레벨을 갖는 보안패치를 자동으로 설치 및 업데이트해주기 위한 보안 지원 인터페이스를 더 구비할 수 있다.
보다 바람직하게, 상기 관리서버는 상기 제1가상머신에 설정된 보안레벨과 상기 제2가상머신에 설정된 상기 최신 보안레벨의 차이에 따른 최신 악성코드 및 증거를 판별하고, 상기 최신 악성코드 및 증거를 상기 제1가상머신에 설정된 보안레벨에 기반하여 수집된 악성코드 및 증거와 구분하여 저장할 수 잇다.
바람직하게, 상기 제1가상머신과 상기 제2가상머신은 상기 비정상적 이벤트 발생에 따라 생성되는 실행 파일 및 네트워크 패킷을 상기 악성코드 및 증거로서 수집할 수 있다.
바람직하게, 상기 제1가상머신과 상기 제2가상머신은 상기 웹사이트로 접속하기 이전에, 상기 웹사이트로 과거에 접속한 시에 생성된 과거 접속 이력과 해당 과거 데이터를 삭제하는 초기화를 실시할 수 있다.
본 발명에 따르면 다음과 같은 효과가 있다.
첫째, 웹 사이트를 통해 유포되는 익스플로잇 코드와 악성코드를 자동 수집할 수 있다.
둘째, 능동적인 방법으로 사용자들이 방문하는 웹 사이트를 수시로 체크하여 유포되는 악성코드를 빠르게 수집하기 때문에, 악성코드에 대한 대응시간을 최소한으로 단축할 수 있다.
셋째, 가상머신 환경에서 웹 브라우저를 이용하여 웹 사이트를 자동 방문하면서 익스플로잇 코드와 악성코드에 의해서 자동으로 다운로드되고 실행되는 악성 파일과 네트워크 패킷 등의 증거를 수집할 수 있다.
넷째, 보안 레벨이 서로 다른 가상머신 환경을 통해 즉, 최신 보안 패치를 사용하는 가상머신 환경을 추가로 적용하여 익스플로잇 코드와 악성코드에 관한 정보를 수집하기 때문에, 최신 익스플로잇 코드와 악성코드에 관한 정보를 구분하여 수집할 수 있다. 그에 따라, 악성코드의 발생에 신속하게 대처할 수 있다.
다섯째, 본 발명에서는 주기적으로 웹사이트를 접속하여 모니터링하는 능동적인 방식을 적용하여 악성코드와 그의 증거를 수집하기 때문에, 악성코드가 유포되는 최초(근원지) 파일을 수집하여 대응 할 수 있다. 특히, 코드 생성 시마다 형태를 변화시키는 다형성 코드의 탐지에 용이하다.
도 1은 본 발명에 따른 악성코드 자동 수집 시스템의 구성을 나타낸 다이어그램; 그리고
도 2는 본 발명에 따른 악성코드 자동 수집 절차를 나타낸 플로우챠트이다.
본 발명의 다른 목적, 특징 및 이점들은 첨부한 도면을 참조한 실시 예들의 상세한 설명을 통해 명백해질 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예의 구성과 그 작용을 설명하며, 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시 예로서 설명되는 것이며, 이것에 의해서 상기한 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 악성코드 자동 수집 시스템의 바람직한 실시 예를 자세히 설명한다.
도 1은 본 발명에 따른 악성코드 자동 수집 시스템의 구성을 나타낸 다이어그램이다.
도 1을 참조하면, 본 발명의 시스템은, 가상머신 컨트롤러(110), 제1 및 2 가상머신(120,130), 그리고 제1 및 2 데이터베이스(200,210)으로 구성된다.
가상머신 컨트롤러(110)은 제1데이터베이스(200)로부터 탐지 대상의 웹사이트 정보를 읽어 들이고, 해당 웹사이트 정보를 제1 및 2 가상머신(120,130)으로 전송한다.
제1가상머신(120)은 가상머신 컨트롤러(110)로부터 수신한 상기 웹사이트 정보를 사용하여 해당 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집한다.
제2가상머신(130)은 가상머신 컨트롤러(110)로부터 수신한 상기 웹사이트 정보를 사용하여 상기 제1가상머신(120)과 동일한 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집한다.
상기에서 제1가상머신(120)과 제2가상머신(130)이 탐지 대상 웹사이트에 접속하는 주기는 일 단위 또는 시간 단위 등 시스템에 따라 다양하게 구현될 수 있다.
상기 제1 및 2 가상머신(120,130)은 특정 프로그램을 실행하는 컴퓨터를 가상으로 구현하는 소프트웨어이며, 일예로 VMware일 수 있다.
가상머신 컨트롤러(110)는 제1가상머신(120)과 제2가상머신(130)의 상태정보를 주기적으로 체크한다.
가상머신 컨트롤러(110)는 제1가상머신(120)의 상태정보를 체크하여, 제1가상머신(120)이 대기 상태일 때, 상기 읽어 들인 웹사이트 정보를 제1가상머신(120)으로 전송한다.
또한, 가상머신 컨트롤러(110)는 제2가상머신(130)의 상태정보를 체크하여, 제2가상머신(130)이 대기 상태일 때, 상기 읽어 들인 웹사이트 정보를 제2가상머신(130)으로 전송한다.
보다 바람직하게는, 가상머신 컨트롤러(110)는 상기 제1가상머신(120)과 상기 제2가상머신(130)의 상태정보를 체크하여 제1 및 2 가상머신(120,130)이 모두 대기 상태일 때, 상기 웹사이트 정보를 상기 제1가상머신(120)과 상기 제2가상머신(130)에 동시에 전송한다.
상기 대기 상태는 후술되는 초기화된 상태이다. 즉, 탐지 대상인 웹사이트에 접속하기 이전에 그 동일한 웹사이트로 과거에 접속한 시에 생성된 과거 접속 이력과 해당 과거 데이터를 삭제하는 초기화를 실시한 상태이다.
상기 제1가상머신(120)과 상기 제2가상머신(130)은 서로 다른 보안레벨이 설정된다.
상기 제1가상머신(120)과 상기 제2가상머신(130)에 서로 다른 보안레벨을 설정하는 예들을 설명한다.
일 예로, 제2가상머신(130)은 최신 보안패치가 설치된 최고 보안레벨이 설정된다. 이에 반하여 제1가상머신(120)은 최신 보안패치가 아닌 하위 버전의 보안패치가 설치된 하위 보안레벨이 설정된다.
다른 예로, 제2가상머신(130)은 최신 보안패치가 설치된 최고 보안레벨이 설정된다. 이에 반하여 제1가상머신(120)은 보안패치가 설치되지 않은 최하위 보안레벨이 설정된다.
상기한 보안레벨의 설정은 제1 및 2 가상머신(120,130)에 구비되는 프로그램에 대해 보안패치가 구축되어 있는지의 여부에 따라 정해진다. 여기서, 적용되는 프로그램으로는 웹 브라우저와 같은 웹사이트 접속 프로그램일 수 있으며, 자바(Java)나 플래시 플레이어(Flash player)나 어도브 리더(Adobe reader) 등의 플러그인 프로그램일 수 있다.
예를 들어, 제1가상머신(120)에는 웹 브라우저로서 인터넷 익스플로러(IE) 버선8이 설치되고, 플러그임 프로그램에 보안패치가 적용되지 않은 취약한 보안레벨이 설정된다. 반면에, 제2가상머신(130)에는 웹 브라우저로서 인터넷 익스플로러(IE) 버선9인 상위 버전이 설치되고, 플러그임 프로그램에 최신 보안패치가 적용된 최신 보안레벨이 설정된다.
상기 제1가상머신(120)와 상기 제2가상머신(130)은 자신에게 설정된 보안레벨에 기반하여 비정상적 이벤트가 발생함에 따라 생성되는 실행 파일 및 네트워크 패킷을 상기 악성코드 및 증거로서 수집한다.
그리고, 상기 제1가상머신(120)과 상기 제2가상머신(130)은, 악성코드와 그의 증거를 수집하기 이전에 특히, 탐지 대상 웹사이트로 접속하기 이전에 초기화를 진행한다. 즉, 금번 탐지 대상인 웹사이트 이전에 그 동일한 웹사이트로 과거에 접속한 시에 생성된 과거 접속 이력과 해당 과거 데이터를 삭제하는 초기화를 실시한다. 예로써, 과거 접속 이력과 해당 과거 데이터로서 웹사이트 방문 시에 생성되는 임시 파일이나 열람한 웹페이지 목록이나 쿠키 정보 등을 모두 삭제한다.
한편, 본 발명의 시스템은 상기 제1가상머신(120)과 상기 제2가상머신(130)의 보안레벨의 설정에 관여하는 관리서버(300)를 더 구비할 수 있다.
상기 관리서버(300)는 제1 및 2 가상머신(120,130)과의 실시간 통신 인터페이스를 통해 제1 및 2 가상머신(120,130)의 보안레벨을 모니터링하고, 모니터링 결과에 따라 제1 및 2 가상머신(120,130)의 보안레벨을 설정한다.
특히, 상기 관리서버(300)는 제2가상머신(130)이 최신 보안레벨을 유지하도록, 제2가상머신(130)의 보안레벨 상태를 모니터링하면서 그 제2가상머신(130)에 최신 보안레벨을 갖는 보안패치를 자동으로 설치 및 업데이트해주기 위한 보안 지원 인터페이스를 더 구비한다.
또한, 상기 관리서버(300)에 구비되는 보안 지원 인터페이스는 제1가상머신(120)이 제2가상머신(130)에 비해 보다 하위의 보안레벨을 갖는 보안패치를 자동으로 설치 및 업데이트 해준다. 그러나, 본 발명에서 보안 지원 인터페이스는 제1가상머신(120)이 최하위 보안레벨을 유지하도록 보안패치의 설치 및 업데이트를 수행하지 않을 수 있다.
제1데이터베이스(200)는 탐지 대상의 웹사이트 정보를 저장한다. 여기서, 웹사이트 정보는 URL(Uniform Resource Locator)이나 IP(Internet protocol) 정보를 포함하는 식별정보인 것이 바람직하며, 일반적으로 웹사이트 주소로 이해될 수 있다.
제2데이터베이스(210)는 상기 제1가상머신(120)과 상기 제2가상머신(130)에 의해 수집된 상기 악성코드 및 증거를 저장한다. 상기 언급된 증거로는 악성코드를 유포하는 웹사이트 주소와, 해당 악성코드 및 그 악성코드의 실행에 따라 생성되는 파일 및 네트워크 패킷 등을 포함한다.
한편, 관리서버(300)는 상기 제2데이터베이스(210)에 저장되는 웹사이트 별 악성코드 및 증거에 대해 사용자의 확인을 위한 사용자인터페이스를 제공할 수 있다. 관리서버(300)는 그 사용자인터페이스를 통해 특정 웹사이트의 악성코드 및 증거에 대한 요청이 있는 경우에, 해당 정보를 제2데이터베이스(210)에서 읽어 들여 사용자인터페이스를 통해 출력한다.
또한, 관리서버(300)는 상기 제1가상머신(120)에 설정된 보안레벨과 상기 제2가상머신(130)에 설정된 상기 최신 보안레벨의 차이에 따라 수집되는 악성코드 및 증거 중에서 최신 악성코드 및 증거를 판별한다. 그리고, 상기 최신 악성코드 및 증거를 상기 제1가상머신(120)에 설정된 보안레벨에 기반하여 수집된 악성코드 및 증거와 구분하여 제2데이터베이스(210)에 저장할 수 있다.
도 2는 본 발명에 따른 악성코드 자동 수집 절차를 나타낸 플로우챠트로, 제1가상머신(120)과 제2가상머신(130)이 악성코드와 그의 증거를 수집하는 과정이다.
도 2를 참조하면, 제1가상머신(120)과 제2가상머신(130)은 이전 웹사이트 접속에 따라 생성된 임시 파일이나 웹페이지 목록이나 쿠키 정보 등의 과거 접속 이력과 해당 과거 데이터를 삭제하는 초기화를 실시한다(S10).
초기화 이후에, 제1가상머신(120)과 제2가상머신(130)은 가상머신 컨트롤러(110)에서 제공한 웹사이트 정보를 사용하여 해당 웹사이트에 접속한다(S20).
웹사이트에 접속한 제1가상머신(120)과 제2가상머신(130)은 시스템의 변화를 감지하기 위해 해당 웹사이트로 접속에 따른 파일의 생성과 삭제와 실행 등의 이벤트를 모니터링한다(S30).
제1가상머신(120)과 제2가상머신(130)은 상기한 시스템의 변화를 감지하기 위한 모니터링을 진행하면서, 가상머신 컨트롤러(110)에서 제공하는 웹사이트 정보에 기반하여 적어도 하나의 웹사이트를 순차적으로 접속한다.
상기한 웹사이트 접속 과정에서, 제1가상머신(120)과 제2가상머신(130)은 웹사이트 접속을 위한 웹사이트 접속 프로그램(즉, 웹 브라우저) 이외에 다른 실행 파일이 실행되는지의 비정상적 이벤트 발생을 모니터링한다(S40). 여기서, 웹사이트 접속 과정에서 웹사이트 접속을 위한 웹사이트 접속 프로그램 이외에 다른 실행 파일이 실행되지 않는 것으로 판단되면, 제1가상머신(120)과 제2가상머신(130)은 금번 웹사이트 접속에 따라 생성되는 파일을 삭제하기 위해 전술된 초기화를 실시하고 대기 상태가 된다.
반면에, 웹사이트 접속 과정에서 웹사이트 접속을 위한 웹사이트 접속 프로그램 이외에 다른 실행 파일이 실행되는 비정상적 이벤트가 발생되면, 제1가상머신(120)과 제2가상머신(130)은 그 실행 파일을 악성코드로 판단하고 해당하는 실행 파일을 실행을 차단한다(S50). 여기서 악성코드는 Drive-by-download 타입 악성코드일 수 있다. Drive-by-download 타입 악성코드는 웹 브라우저 프로그램의 버그를 악용하여 악성코드를 실행시키고, 웹 브라우저의 충돌을 유발시켜 몰래 데이터를 읽어 오는 등의 공격자가 원하는 작업을 웹 브라우저에서 수행하도록 제작된 코드 타입이다.
이어, 제1가상머신(120)과 제2가상머신(130)은 시스템 변화를 감지하기 위해 실행 중이던 모든 프로그램들 즉, 웹사이트 접속 프로그램이나 플러그인 프로그램을 종료시킨다(S60).
마지막으로, 웹사이트 접속 과정에서 웹사이트 접속을 위한 웹사이트 접속 프로그램 이외에 실행되었던 실행 파일에 의해 생성된 파일과 네트워크 패킷 등을 악성코드에 대한 증거로서 수집하며, 그 수집된 정보를 제2데이터베이스로 전송한다(S70). 이때, 제1가상머신(120)과 제2가상머신(130)은 접속한 웹사이트 정보를 수집된 정보와 함께 전송하는 것이 바람직하다.
이와 같이, 본 발명에서는 웹사이트 접속 목록에 기반하여 웹사이트에 주기적으로 접속하면서, 접속 시마다 이전 과거 접속에 따라 생성된 데이터들을 삭제한다.
한편, 관리서버(300)는 제1가상머신(120)과 제2가상머신(130)의 보안레벨 차이에 따라 최신 악성모드와 그의 증거를 제2데이터베이스(210)에서 구분하여 관리한다.
또한, 전술된 비정상적 이벤트 발생은 행위기반 탐지 기법을 사용하여 탐지한다.
지금까지 본 발명의 바람직한 실시 예에 대해 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성을 벗어나지 않는 범위 내에서 변형된 형태로 구현할 수 있을 것이다.
그러므로 여기서 설명한 본 발명의 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 상술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 한다.
110: 가상머신 컨트롤러
120: 제1가상머신
130: 제2가상머신
200: 제1데이터베이스
210: 제2데이터베이스
300: 관리서버

Claims (10)

  1. 탐지 대상의 웹사이트 정보를 저장하는 제1데이터베이스;
    상기 제1데이터베이스로부터 읽어 들인 상기 웹사이트 정보를 전송하는 가상머신 컨트롤러;
    상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 해당 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제1가상머신;
    상기 가상머신 컨트롤러로부터 수신한 상기 웹사이트 정보를 사용하여 상기 제1가상머신과 동일한 웹사이트에 주기적으로 접속하고, 상기 웹사이트로 접속 시에 비정상적 이벤트 발생에 따른 악성코드 및 증거를 수집하는 제2가상머신;
    상기 제1가상머신과 상기 제2가상머신에 의해 수집된 상기 악성코드 및 증거를 저장하는 제2데이터베이스를 포함하여 구성되는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  2. 제 1 항에 있어서,
    상기 가상머신 컨트롤러는,
    상기 제1가상머신이 대기 상태일 때, 상기 웹사이트 정보를 상기 제1가상머신으로 전송하고,
    상기 제2가상머신이 대기 상태일 때, 상기 웹사이트 정보를 상기 제2가상머신으로 전송하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  3. 제 1 항에 있어서,
    상기 가상머신 컨트롤러는,
    상기 제1가상머신과 상기 제2가상머신이 모두 대기 상태일 때, 상기 웹사이트 정보를 상기 제1가상머신과 상기 제2가상머신에 동시에 전송하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  4. 제 1 항에 있어서,
    상기 제1가상머신과 상기 제2가상머신은 서로 다른 보안레벨이 설정되는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  5. 제 4 항에 있어서,
    상기 제2가상머신은 최신 보안패치가 설치된 최고 보안레벨이 설정되는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  6. 제 1 항에 있어서,
    상기 제2데이터베이스에 저장되는 웹사이트 별 악성코드 및 증거에 대해 사용자의 확인을 위한 사용자인터페이스를 제공하는 관리서버를 더 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  7. 제 6 항에 있어서,
    상기 관리서버는,
    상기 제2가상머신에 최신 보안레벨을 갖는 보안패치를 자동으로 설치 및 업데이트해주기 위한 보안 지원 인터페이스를 더 구비하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  8. 제 7 항에 있어서,
    상기 관리서버는,
    상기 제1가상머신에 설정된 보안레벨과 상기 제2가상머신에 설정된 상기 최신 보안레벨의 차이에 따른 최신 악성코드 및 증거를 판별하고, 상기 최신 악성코드 및 증거를 상기 제1가상머신에 설정된 보안레벨에 기반하여 수집된 악성코드 및 증거와 구분하여 저장하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  9. 제 1 항에 있어서,
    상기 제1가상머신과 상기 제2가상머신은,
    상기 비정상적 이벤트 발생에 따라 생성되는 실행 파일 및 네트워크 패킷을 상기 악성코드 및 증거로서 수집하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
  10. 제 1 항에 있어서,
    상기 제1가상머신과 상기 제2가상머신은,
    상기 웹사이트로 접속하기 이전에, 상기 웹사이트로 과거에 접속한 시에 생성된 과거 접속 이력과 해당 과거 데이터를 삭제하는 초기화를 실시하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
KR20130025911A 2013-03-12 2013-03-12 악성코드 자동 수집 시스템 KR101400680B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20130025911A KR101400680B1 (ko) 2013-03-12 2013-03-12 악성코드 자동 수집 시스템
US14/144,383 US9450980B2 (en) 2013-03-12 2013-12-30 Automatic malignant code collecting system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130025911A KR101400680B1 (ko) 2013-03-12 2013-03-12 악성코드 자동 수집 시스템

Publications (1)

Publication Number Publication Date
KR101400680B1 true KR101400680B1 (ko) 2014-05-29

Family

ID=50895598

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130025911A KR101400680B1 (ko) 2013-03-12 2013-03-12 악성코드 자동 수집 시스템

Country Status (2)

Country Link
US (1) US9450980B2 (ko)
KR (1) KR101400680B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101567967B1 (ko) 2015-05-15 2015-11-11 주식회사 블랙포트시큐리티 악성코드 유포지 실시간 탐지/수집 장치 및 방법
KR101619256B1 (ko) * 2015-11-03 2016-05-10 한국인터넷진흥원 Html5 기반의 악성 스크립트 행위 정보 수집 시스템 및 방법
KR101725395B1 (ko) * 2015-11-03 2017-04-26 한국인터넷진흥원 Html5 기반의 악성 스크립트 행위 정보 분석 시스템 및 방법
KR102222804B1 (ko) 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580242A (zh) * 2015-01-22 2015-04-29 杭州安存网络科技有限公司 网页证据保全方法及装置
RU2610254C2 (ru) * 2015-06-30 2017-02-08 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения измененных веб-страниц
US10075456B1 (en) * 2016-03-04 2018-09-11 Symantec Corporation Systems and methods for detecting exploit-kit landing pages
CN110555179A (zh) * 2019-09-05 2019-12-10 厦门市美亚柏科信息股份有限公司 一种动态网站脚本取证方法、终端设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100070623A (ko) * 2008-12-18 2010-06-28 한국인터넷진흥원 봇 수집ㆍ분석시스템 및 그 방법
KR20120070014A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법
KR20120070025A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8832836B2 (en) * 2010-12-30 2014-09-09 Verisign, Inc. Systems and methods for malware detection and scanning
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8966573B2 (en) * 2012-07-20 2015-02-24 Ca, Inc. Self-generation of virtual machine security clusters

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100070623A (ko) * 2008-12-18 2010-06-28 한국인터넷진흥원 봇 수집ㆍ분석시스템 및 그 방법
KR20120070014A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 하이 인터액션 클라이언트 허니팟 시스템 및 그 운용방법
KR20120070025A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101567967B1 (ko) 2015-05-15 2015-11-11 주식회사 블랙포트시큐리티 악성코드 유포지 실시간 탐지/수집 장치 및 방법
KR101619256B1 (ko) * 2015-11-03 2016-05-10 한국인터넷진흥원 Html5 기반의 악성 스크립트 행위 정보 수집 시스템 및 방법
KR101725395B1 (ko) * 2015-11-03 2017-04-26 한국인터넷진흥원 Html5 기반의 악성 스크립트 행위 정보 분석 시스템 및 방법
WO2017078222A1 (en) * 2015-11-03 2017-05-11 Korea Internet & Security Agency System and method for collecting malicious script behavior information based on html5
KR102222804B1 (ko) 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법

Also Published As

Publication number Publication date
US9450980B2 (en) 2016-09-20
US20140283084A1 (en) 2014-09-18

Similar Documents

Publication Publication Date Title
KR101400680B1 (ko) 악성코드 자동 수집 시스템
US11798028B2 (en) Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit
KR101547999B1 (ko) 악성링크 자동 탐지 장치 및 방법
US9531734B2 (en) Method and apparatus for intercepting or cleaning-up plugins
US20110191664A1 (en) Systems for and methods for detecting url web tracking and consumer opt-out cookies
KR101899589B1 (ko) 안전 소프트웨어 인증 시스템 및 방법
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
WO2014145805A1 (en) System and method employing structured intelligence to verify and contain threats at endpoints
CN107896219B (zh) 一种网站脆弱性的检测方法、系统及相关装置
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
CN103562928A (zh) 用于阻挡使用跟踪的方法和装置
CN107682361B (zh) 网站漏洞扫描方法、装置、计算机设备及存储介质
CN105631312B (zh) 恶意程序的处理方法及系统
CN112703496B (zh) 关于恶意浏览器插件对应用用户的基于内容策略的通知
CN109446801B (zh) 检测模拟器访问的方法、装置、服务器及存储介质
CN111079138A (zh) 异常访问检测方法、装置、电子设备及可读存储介质
US20130074160A1 (en) Method of controlling information processing system, computer-readable recording medium storing program for controlling apparatus
CN105210076A (zh) 弹性、可恢复的动态设备识别
JP5752642B2 (ja) 監視装置および監視方法
CN112600797A (zh) 异常访问行为的检测方法、装置、电子设备及存储介质
CN109309664B (zh) 一种浏览器指纹探测行为监测方法
KR20120124638A (ko) 행위 기반의 악성코드 탐지 시스템 및 악성코드 탐지 방법
CN107766068B (zh) 应用系统补丁安装方法、装置、计算机设备和存储介质
CN103561076A (zh) 一种基于云的网页挂马实时防护方法及系统
KR101781780B1 (ko) 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170427

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180523

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190522

Year of fee payment: 6