KR101428721B1 - Method and system for detecting malicious traffic by analyzing traffic - Google Patents

Method and system for detecting malicious traffic by analyzing traffic Download PDF

Info

Publication number
KR101428721B1
KR101428721B1 KR1020130072104A KR20130072104A KR101428721B1 KR 101428721 B1 KR101428721 B1 KR 101428721B1 KR 1020130072104 A KR1020130072104 A KR 1020130072104A KR 20130072104 A KR20130072104 A KR 20130072104A KR 101428721 B1 KR101428721 B1 KR 101428721B1
Authority
KR
South Korea
Prior art keywords
traffic
information
collected
session
url
Prior art date
Application number
KR1020130072104A
Other languages
Korean (ko)
Inventor
김병익
강홍구
이창용
이태진
김지상
한영일
손경호
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130072104A priority Critical patent/KR101428721B1/en
Application granted granted Critical
Publication of KR101428721B1 publication Critical patent/KR101428721B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

The present invention relates to a method and system to detect malicious traffic by analyzing traffic. The present invention collects the traffic transmitted and received between an external network and an internal network; obtains time information to collect the content information if there is content information by checking whether there is content information after extracting the traffic information, the content information, and session information about the corresponding traffic by analyzing the collected traffic; sets a web address as a check object by extracting the web address (URL) from the traffic information and the content information of the traffic collected within a check period based on the collected time information; and determines the malicious traffic by checking the URLs set as the check object.

Description

트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템{METHOD AND SYSTEM FOR DETECTING MALICIOUS TRAFFIC BY ANALYZING TRAFFIC}[0001] METHOD AND SYSTEM FOR DETECTING MALICIOUS TRAFFIC BY ANALYZING TRAFFIC [0002]

본 발명은 트래픽 분석을 통해 악성 트래픽(URL)로 의심되는 URL만을 점검대상으로 선별하여 악성 URL을 탐지하는 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템에 관한 것이다.The present invention relates to a malicious traffic detection method and system for detecting a malicious URL by selecting only a suspicious URL as a malicious traffic (URL) through a traffic analysis.

일반적으로, 악성코드 감염의 대부분은 웹서핑 및 SNS(social networking service) 등을 이용할 때 사용자가 인지하지 못한 상태로 감염된다. 예를 들어, 악성코드가 은닉된 웹사이트를 방문하므로, 악성코드에 감염된다.In general, most malicious code infections are infected by the user when the user is using web surfing and social networking service (SNS). For example, malicious code visits a compromised Web site, which infects malicious code.

종래에 악성 URL(uniform resource locator) 점검기술은 점검대상 URL이 입력되면, 해당 URL에 대한 악성코드 감염여부 및 감염경로, 악성코드 등을 자동으로 탐지하여 그 탐지결과를 출력한다.Conventionally, when malicious URL (uniform resource locator) checking technology is inputted, malicious code infection, infection path, malicious code and the like are automatically detected for the URL to be inspected, and the detection result is output.

조직망 내 사용자 단말기의 악성코드 감염을 막기 위해서는 조직 내부에서 접근하는 모든 URL에 대해 점검이 필요하나, 사용자 단말기가 1개의 URL 방문 시 수십 ~ 수백 개의 URL 방문이 이루어진다. 종래에는 악성코드를 유포하는 악성 URL 탐지하기 위해서 가상머신을 이용하여 사용자 단말기가 특정 웹페이지에 접속할 때마다 해당 페이지 및 그에 링크된 웹페이지 등에 직접 방문하여 악성여부를 검사하므로, 악성 URL 탐지에 많은 시간이 소요되어 빠른 대응이 어려운 문제점이 있다.In order to prevent the malicious code infection of the user terminal in the network, it is necessary to check all the URLs accessed within the organization, but when the user terminal visits one URL, several tens to several hundred URL visits are made. Conventionally, every time a user terminal accesses a specific web page by using a virtual machine to detect a malicious URL that distributes malicious code, the malicious URL is visited by directly visiting a corresponding page and a web page linked thereto, There is a problem that it takes time and it is difficult to respond quickly.

즉, 종래기술에 따르면 외부망과 내부망(조직망) 사이에 송수신되는 모든 URL에 대해 점검을 수행하므로, 악성 URL을 탐지하는데 많은 자원과 시간이 소요되므로 빠른 진단이 어려워 점검 속도를 저하시킨다.That is, according to the related art, since all the URLs transmitted / received between the external network and the internal network (the network) are checked, it takes a lot of resources and time to detect malicious URLs, which makes it difficult to quickly diagnose and deteriorate the inspection speed.

본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하고, 그 수집된 트래픽을 분석하여 악성 URL(웹주소)로 의심되는 URL만을 점검대상으로 선별하여 점검하므로 신속하게 악성 URL을 탐지할 수 있는 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problems of the prior art, and it is an object of the present invention to collect all traffic transmitted and received between an external network and an internal network, analyze the collected traffic, The present invention aims to provide a method and system for detecting malicious traffic through traffic analysis capable of detecting malicious URLs quickly.

상기한 과제를 달성하기 위해, 본 발명에 따른 트래픽 분석을 통한 악성 트래픽 탐지 방법은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대한 분석을 통해 해당 트래픽에 대한 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와, 상기 콘텐츠 정보의 존재여부를 확인하는 단계와, 상기 콘텐츠 정보가 존재하면 상기 콘텐츠 정보가 수집된 시간 정보를 획득하는 단계와, 상기 수집된 시간 정보를 기준으로 점검 기간 내 수집된 트래픽의 콘텐츠 정보 및 트래픽 정보로부터 웹주소(이하, ‘URL’라 함)을 추출하여 점검대상으로 설정하는 단계와, 상기 점검대상으로 설정된 URL들을 점검하여 악성 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a malicious traffic detection method using traffic analysis, comprising: collecting all traffic transmitted / received between an external network and an internal network; analyzing the collected traffic; The method comprising the steps of: extracting session information, content information, and traffic information for the content information; checking whether the content information exists; acquiring time information when the content information is collected; Extracting a web address (hereinafter, referred to as URL) from content information and traffic information of traffic collected in the check period based on time information and setting the URL as a check target; And judging whether or not it is possible.

또한, 본 발명에 따른 트래픽 분석을 통한 악성 트래픽 탐지 시스템은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 트래픽 수집장치와, 상기 수집된 트래픽을 분석하여 악성으로 의심되는 웹주소(이하, URL)를 선별하여 점검하는 분석서버를 포함하며, 상기 분석서버는, 상기 트래픽 수집장치로부터 전송되는 상기 수집된 트래픽을 수신하는 통신부와, 상기 수집된 트래픽으로부터 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하는 정보수집부와, 상기 콘텐츠 정보의 존재여부를 확인하고, 그 확인결과 상기 콘텐츠 정보가 존재하면 해당 정보가 수집된 시간 정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 웹주소(이하, ‘URL’라 함)을 점검대상으로 설정하는 점검대상 선별부와, 상기 점검대상으로 설정된 URL들을 점검하여 해당 URL의 악성여부를 판단하는 점검부를 포함하는 것을 특징으로 한다.The malicious traffic detection system according to the present invention includes a traffic collecting device for collecting all traffic transmitted and received between an external network and an internal network, And an analysis server for selecting and analyzing URLs of the collected traffic, wherein the analysis server comprises: a communication unit for receiving the collected traffic transmitted from the traffic collecting apparatus; and a traffic information collecting unit for collecting session information, (Hereinafter, referred to as " Web address ") existing in the traffic collected within the inspection period based on the time information on which the information is collected when the content information exists, Quot; URL ") as an object to be checked, and a URL selection unit It characterized in that it comprises a check to determine whether a malicious party URL.

본 발명은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하여 분석하고, 이러한 트래픽 분석을 통해 수집된 트래픽들 중 악성 URL(웹주소)로 의심되는 URL만을 점검대상으로 선별하므로 점검대상을 효과적으로 줄일 수 있다.The present invention collects and analyzes all traffic transmitted and received between an external network and an internal network, selects only URLs suspected to be malicious URLs (web addresses) among the traffic collected through the traffic analysis, Can be reduced.

따라서, 본 발명은 신속하게 악성 URL을 탐지할 수 있으며, 조직망 내 단말기 및 서버 등에서 악성코드를 다운로드하는지를 실시간으로 확인할 수 있다.Accordingly, the present invention can quickly detect a malicious URL, and can confirm in real time whether malicious code is downloaded from a terminal, a server, or the like in a network.

또한, 본 발명은 내부 인입 트래픽이 아닌 외부로 나가는 트래픽을 대상으로 점검하여 웹 서버에 접속한 사람이 악성코드를 받아가는지 점검할 수 있어, 웹 서버의 악용을 탐지할 수 있다.Also, according to the present invention, it is possible to check whether a person who accesses a web server receives a malicious code by checking the outgoing traffic, not the internal incoming traffic, and detect abuse of the web server.

도 1은 본 발명의 일 실시예와 관련된 트래픽 분석을 통한 악성 URL 탐지 시스템을 도시한 구성도.
도 2는 도 1에 도시된 분석서버의 구성을 도시한 블록도.
도 3은 본 발명의 일 실시 예에 따른 세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도.
도 4는 본 발명의 다른 실시 예에 따른 비세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도.
도 5는 본 발명과 관련된 트래픽 분석을 통한 악성 URL 탐지 방법을 도시한 흐름도.1 is a block diagram illustrating a malicious URL detection system through traffic analysis in accordance with an embodiment of the present invention;
FIG. 2 is a block diagram showing the configuration of the analysis server shown in FIG. 1. FIG.
3 is a flowchart illustrating a process of collecting traffic information in a session mode according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process of collecting traffic information in a non-session mode according to another embodiment of the present invention. FIG.
5 is a flowchart illustrating a malicious URL detection method through traffic analysis related to the present invention.

이하, 본 발명의 실시 예를 첨부된 도면들을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 외부망과 내부망(조직망) 사이에 송수신되는 트래픽을 모니터링하여 악성행위를 행할 가능성이 있는 트래픽으로 의심이 되는 트래픽을 선별하여 해당 트래픽에 대해서만 악성 여부를 점검한다.
The present invention monitors traffic transmitted / received between an external network and an internal network (network) to select suspicious traffic as traffic that is likely to cause malicious action, and checks only the corresponding traffic for maliciousness.

도 1은 본 발명의 일 실시예와 관련된 트래픽 분석을 통한 악성 URL 탐지 시스템을 도시한 구성도이고, 도 2는 도 1에 도시된 분석서버의 구성을 도시한 블록도이다.FIG. 1 is a block diagram showing a malicious URL detection system through traffic analysis according to an embodiment of the present invention, and FIG. 2 is a block diagram showing the configuration of the analysis server shown in FIG.

도 1에 도시된 바와 같이, 본 발명과 관련된 트래픽 분석을 통한 점검대상 선별 시스템은 트래픽 수집장치(100), 분석서버(200), 데이터베이스(database, DB)(300)를 포함한다.As shown in FIG. 1, the inspection object sorting system through traffic analysis related to the present invention includes a traffic collecting apparatus 100, an analysis server 200, and a database (DB) 300.

트래픽 수집장치(100)는 외부망(10)과 내부망(20) 사이에 설치되어 외부망(10)과 내부망(20) 사이에 송수신되는 모든 트래픽을 수집(tapping)한다. 즉, 트래픽 수집장치(100)는 외부망(10)에서 내부망(20)으로 유입되는 트래픽 및 내부망(20)에서 외부망(10)으로 유출되는 트래픽을 수집한다.The traffic collecting apparatus 100 is installed between the external network 10 and the internal network 20 and collects all traffic transmitted and received between the external network 10 and the internal network 20. That is, the traffic collecting apparatus 100 collects the traffic flowing into the internal network 20 from the external network 10 and the traffic flowing into the external network 10 from the internal network 20.

또한, 트래픽 수집장치(100)는 탭장비(TAP)로 구현되며, 유무선통신을 통해 수집한 트래픽을 후술하는 분석서버(200)로 전달한다.Also, the traffic collecting apparatus 100 is implemented as a tap apparatus (TAP), and transmits traffic collected through wired / wireless communication to an analyzing server 200 to be described later.

분석서버(200)는 트래픽 수집장치(100)에 의해 수집된 트래픽을 분석하여 점검대상을 선별한다. 분석서버(200)는 도 2에 도시된 바와 같이 통신부(210), 정보수집부(220), 점검대상 선별부(230), 점검부(240)를 포함한다.The analysis server 200 analyzes traffic collected by the traffic collecting apparatus 100 to select objects to be checked. 2, the analysis server 200 includes a communication unit 210, an information collecting unit 220, a check target sorting unit 230, and an inspection unit 240. [

통신부(210)는 트래픽 수집장치(100)와의 통신을 수행하며, 상기 트래픽 수집장치(100)로부터 전달되는 수집 트래픽을 수신한다. 통신부(210)는 와이브로(WiBro), 와이파이(Wi-Fi), 랜(Local Area Network, LAN) 등으로 구현될 수 있다.The communication unit 210 performs communication with the traffic collecting apparatus 100 and receives collected traffic transmitted from the traffic collecting apparatus 100. The communication unit 210 may be implemented as a WiBro, a Wi-Fi, a Local Area Network (LAN), or the like.

정보수집부(220)는 수집 트래픽을 분석하여 해당 트래픽에 대한 정보를 수집한다. 이때, 정보수집부(220)는 수집 트래픽이 전송 제어 프로토콜(transmission control protocol, 이하, ‘TCP’라 함) 트래픽 또는 하이퍼텍스트 전송 프로토콜(hyper text transfer protocol, 이하, ‘HTTP’라 함) 트래픽인 경우에 트래픽 분석을 통해 해당 트래픽에 대한 정보(data)를 수집한다.The information collecting unit 220 analyzes the collected traffic and collects information on the corresponding traffic. At this time, the information collecting unit 220 collects the collected traffic as a transmission control protocol (hereinafter, referred to as 'TCP') traffic or a hyper text transfer protocol (hereinafter referred to as 'HTTP' And collects information on the traffic through the traffic analysis.

정보수집부(220)는 세션 모드(session mode) 또는 비세션 모드(non-session mode)로 동작한다.The information collecting unit 220 operates in a session mode or a non-session mode.

먼저, 세션 모드에서 정보수집부(220)의 동작을 설명한다.First, the operation of the information collecting unit 220 in the session mode will be described.

정보수집부(220)는 수집된 트래픽(수집 트래픽)이 TCP 세션을 설정(형성)한 후 최초로 발생하는 HTTP 요청 트래픽이면 해당 트래픽으로부터 설정된 TCP 세션에 대한 세션 정보를 추출한다. 여기서, 세션 정보는 목적지 주소(Destination IP) 및 목적지 포트(Destination Port), 트래픽 수집 시간(time)을 포함한다. 상기 목적지 포트는 세션을 맺을 때 사용한 포트 정보이다.The information collecting unit 220 extracts the session information for the TCP session set from the traffic when the collected traffic (collected traffic) is HTTP request traffic generated for the first time after establishing (forming) the TCP session. Here, the session information includes a destination address (Destination IP), a destination port (Port), and a traffic collection time (time). The destination port is the port information used when establishing the session.

정보수집부(220)는 수집된 트래픽이 HTTP 응답 트래픽이면 해당 트래픽에 포함된 콘텐츠(파일 타입)가 실행 가능 파일인지를 확인한다. 다시 말해서, 정보수집부(220)는 HTTP 응답 트래픽에 포함된 콘텐츠 타입(content type)이 실행 파일(예: EXE 파일 및 DLL 파일 등)인지를 확인한다.If the collected traffic is HTTP response traffic, the information collecting unit 220 confirms whether the content (file type) included in the traffic is an executable file. In other words, the information collecting unit 220 confirms whether the content type included in the HTTP response traffic is an executable file (e.g., an EXE file and a DLL file).

정보수집부(220)는 콘텐츠 타입이 실행 파일이면 해당 트래픽으로부터 콘텐츠 정보를 추출한다. 상기 콘텐츠 정보는 발신지 주소(source IP), 목적지 주소, URL(Uniform Resource Locator), 파일, 트래픽 수집 시간을 포함한다.The information collection unit 220 extracts content information from the traffic if the content type is an executable file. The content information includes a source IP address, a destination address, a URL (Uniform Resource Locator), a file, and a traffic collection time.

정보수집부(220)는 HTTP 요청 트래픽이 GET 요청 방식이면, 해당 트래픽 내 이전 방문지 정보의 존재여부를 확인하여 이전 방문지 정보가 존재하면 해당 트래픽의 정보와 함께 이전 방문지 정보를 수집한다. 이때, 정보수집부(220)는 수집 트래픽에 포함된 이전 방문지 정보 및 발신지 주소, 목적지 주소, 발신지 포트, 트래픽 수집 시간 정보를 트래픽 정보로 수집한다.If the HTTP request traffic is a GET request type, the information collecting unit 220 checks whether previous visit information exists in the corresponding traffic, and collects previous visit information together with information of the corresponding traffic when previous visit information exists. At this time, the information collection unit 220 collects previous visit information, source address, destination address, source port, and traffic collection time information included in the collected traffic as traffic information.

한편, 정보수집부(220)는 수집 트래픽에 이전 방문지 정보가 존재하지 않으면 이전 방문지 정보를 제외한 해당 트래픽의 정보를 수집한다. 즉, 정보수집부(220)는 호스트(HOST), GET URL, 발신지 주소, 목적지 주소, 발신지 포트, 트래픽 수집 시간을 트래픽 정보로 수집한다.Meanwhile, the information collecting unit 220 collects the information of the corresponding traffic excluding the previous visit information if the previous visit information does not exist in the collected traffic. That is, the information collecting unit 220 collects the HOST, the GET URL, the source address, the destination address, the source port, and the traffic collection time as traffic information.

정보수집부(220)는 세션이 종료되면 세션 DB(310)에 저장된 목적지 포트를 통해 송수신된 콘텐츠의 정보가 콘텐츠 DB(320)에 존재하면, 그 목적지 포트 정보(포트 번호)와 함께 콘텐츠 DB(320) 및 트래픽 DB(330)에 저장된 콘텐츠 정보 및 트래픽 정보를 결과 DB(340)에 저장한다. 다시 말해서, 정보수집부(220)는 세션이 형성되면 그 형성된 세션을 통해 전송되는 트래픽을 분석하여 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하고 세션이 종료되면 콘텐츠 DB(320)에 콘텐츠 정보의 존재여부를 확인하여 콘텐츠 정보가 존재하면 수집된 정보를 신규 결과 데이터로 결과 DB(340)에 저장한다.The information collecting unit 220 collects information of contents transmitted and received through the destination port stored in the session DB 310 in the content DB 320 together with the destination port information (port number) 320 and the traffic DB 330 in the result DB 340. The content database 340 stores the content information and the traffic information. In other words, when the session is formed, the information collection unit 220 analyzes the traffic transmitted through the formed session to collect the session information, the content information, and the traffic information, and when the session ends, the presence of the content information in the content DB 320 And stores the collected information in the result DB 340 as new result data if the content information exists.

그리고, 정보수집부(220)는 세션 DB(310)의 목적지 포트를 통해 송수신된 콘텐츠 정보가 콘텐츠 DB(320)에 존재하지 않으면 세션 DB(310), 콘텐츠 DB(320), 트래픽 DB(330)에 저장된 데이터를 삭제한다.When the contents information transmitted through the destination port of the session DB 310 does not exist in the contents DB 320, the information collecting unit 220 transmits the session DB 310, the contents DB 320, the traffic DB 330, Lt; / RTI >

다음으로, 비세션 모드인 경우, 정보수집부(220)는 수집된 트래픽이 HTTP 요청 트래픽이면, 해당 트래픽으로부터 트래픽 정보를 추출하여 트래픽 DB(330)에 저장한다. 여기서, 트래픽 정보는 발신지 주소, 목적지 주소, 이전 방문지 주소, GET URL, 호스트(host), 트래픽 수집 시간 등을 포함한다.Next, in the non-session mode, if the collected traffic is an HTTP request traffic, the information collection unit 220 extracts traffic information from the corresponding traffic and stores the extracted traffic information in the traffic DB 330. Here, the traffic information includes a source address, a destination address, a previous visit address, a GET URL, a host, and a traffic collection time.

또한, 정보수집부(220)는 수집된 트래픽이 HTTP 응답 트래픽이면, 그 트래픽의 콘텐츠 타입(파일 타입)이 실행 파일인지를 확인하여 그 콘텐츠 타입이 실행 파일이면 발신지 주소, 목적지 주소, URL, 파일(콘텐츠), 트래픽 수집 시간을 트래픽 정보로 트래픽 DB(330)에 저장한다.If the collected traffic is an HTTP response traffic, the information collecting unit 220 checks whether the content type (file type) of the traffic is an execution file. If the collected content is an execution file, the information collecting unit 220 extracts a source address, (Contents) and the traffic collection time in the traffic DB 330 as traffic information.

점검대상 선별부(230)는 결과 DB(340)에 신규 결과 데이터가 저장되면, 그 신규 결과 데이터가 실행 가능한 콘텐츠인지를 확인한다. 즉, 점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일인지를 확인한다. 그리고, 점검대상 선별부(230)는 신규 결과 데이터가 실행 가능한 콘텐츠이면 신규 결과 데이터의 세션과 동일한 세션에서 점검 기간 내에 존재하는 URL 목록들을 점검대상으로 설정한다.When the new result data is stored in the result DB 340, the check target sorting unit 230 confirms whether the new result data is executable. That is, the check target sorting unit 230 confirms whether the content type of the new result data is an execution file. If the new result data is executable, the check target sorting unit 230 sets URL lists that exist within the check period in the same session as the session of the new result data as the check targets.

다시 말해서, 점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일이면 결과 DB(340)에서 해당 신규 결과 데이터가 수집된 시간 정보를 획득한다. 그리고, 점검대상 선별부(230)는 그 획득된 수집 시간 정보를 기준으로 사용자에 의해 기설정된 점검 기간에 수집된 URL을 점검대상 목록에 추가한다. 예를 들어, 점검대상 선별부(230)는 신규 결과 데이터가 수집된 시간을 기준으로 10분 전부터 10분 후까지 사이에 신규 결과 데이터를 수집한 동일한 세션에서 수집된 트래픽에 존재하는 URL을 추출하여 점검대상으로 설정한다.In other words, if the content type of the new result data is an execution file, the check target sorting unit 230 acquires the time information in which the new result data is collected in the result DB 340. Then, the check target sorting unit 230 adds the collected URL to the check target list based on the acquired collected time information. For example, the check target sorting unit 230 extracts a URL existing in the traffic collected in the same session in which new result data is collected between 10 minutes and 10 minutes after the collected new result data is collected Set it as a check target.

점검부(240)는 점검대상 선별부(230)에 의해 점검대상으로 설정된 URL에 대해 악성 URL인지를 점검한다. 다시 말해서, 점검부(240)는 점검대상 목록에 포함된 URL에 대해 악성코드 감염 여부 또는 악성코드 유포지로 의심되는지 등을 검사하여 악성 URL 여부를 점검한다.The checking unit 240 checks whether or not the URL set as the inspection target is the malicious URL by the inspection target sorting unit 230. In other words, the checking unit 240 checks whether the URL included in the check target list is malicious code or whether it is suspected to be malicious code, and checks whether the URL is malicious URL.

데이터베이스(이하, ‘DB’라 함)(300)는 세션 정보가 저장되는 세션 DB(310), 콘텐츠 정보가 저장되는 콘텐츠 DB(320), 트래픽 정보가 저장되는 트래픽 DB(330), 결과 DB(340)를 포함한다.The DB 300 stores a session DB 310 for storing session information, a contents DB 320 for storing contents information, a traffic DB 330 for storing traffic information, a result database DB 330, 340).

DB(300)는 점검부(240)에 의해 악성 URL로 판단된 URL이 저장되는 블랙리스트 DB(미도시)를 더 포함할 수 있다. 블랙리스트 DB(미도시)에 저장된 악성 URL 목록을 기반으로 조직망 내 단말기가 악성 URL 접속을 시도하는 경우 해당 URL 접속을 차단하도록 구현할 수도 있다.
The DB 300 may further include a blacklist DB (not shown) in which the URL determined by the checking unit 240 as a malicious URL is stored. The malicious URL list stored in the blacklist DB (not shown) may be used to block access to the malicious URL when the terminal in the network attempts to access the malicious URL.

도 3은 본 발명의 일 실시 예에 따른 세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of collecting traffic information in a session mode according to an embodiment of the present invention.

도 3에 도시된 바에 따르면, 분석서버(200)는 트래픽 수집장치(100)을 통해 외부망(10)과 내부망(20) 사이에 송수신되는 모든 트래픽을 수집한다(S101). 이때, 분석서버(200)의 통신부(210)는 트래픽 수집장치(100)로부터 전송되는 수집 트래픽을 수신하고, 정보수집부(220)는 그 수신된 수집 트래픽이 사용하는 프로토콜이 TCP 또는 HTTP 인지를 확인한다.3, the analysis server 200 collects all traffic transmitted and received between the external network 10 and the internal network 20 through the traffic collecting apparatus 100 (S101). At this time, the communication unit 210 of the analysis server 200 receives the collection traffic transmitted from the traffic collection apparatus 100, and the information collection unit 220 determines whether the protocol used by the received collection traffic is TCP or HTTP Check.

상기 수집 트래픽인 TCP 트래픽 또는 HTTP 트래픽으로 확인되면 정보수집부(220)는 세션 종료 여부를 확인한다(S102).If it is confirmed that the collected traffic is TCP traffic or HTTP traffic, the information collecting unit 220 confirms whether the session is terminated (S102).

정보수집부(220)는 세션 종료가 아니면 세션 형성 여부를 확인한다(S103).If the session is not terminated, the information collection unit 220 checks whether a session is established (S103).

세션이 생성된 경우, 정보수집부(220)는 세션에 대한 세션 정보를 세션 DB(310)에 저장한다(S104). 여기서, 세션 정보는 목적지 포트(DST Port), 목적지 주소(DST IP), 시간정보를 포함한다.When the session is created, the information collection unit 220 stores the session information for the session in the session DB 310 (S104). Here, the session information includes a destination port (DST Port), a destination address (DST IP), and time information.

상기 단계(S103)에서 세션이 생성되지 않은 경우 정보수집부(220)는 수집 트래픽이 HTTP 요청인지를 확인한다(S114).If a session is not created in step S103, the information collecting unit 220 confirms whether the collected traffic is an HTTP request (S114).

상기 수집 트래픽이 HTTP 요청이 아니면, 정보수집부(220)는 콘텐츠(데이터 형태)가 가능한 파일인지를 확인한다(S115). 다시 말해서, 정보수집부(220)는 수집 트래픽이 HTTP 응답이면 그 HTTP 응답의 콘텐츠 타입이 실행 가능 파일이면 해당 콘텐츠 정보를 콘텐츠 DB(320)에 저장한다. 상기 콘텐츠 정보는 발신지 주소(Source IP), 목적지 주소(Destination IP), URL, 시간, 콘텐츠, 목적지 포트(Destination Port)를 포함한다.If the collected traffic is not an HTTP request, the information collecting unit 220 confirms whether the content (data type) is a file capable of receiving (S115). In other words, if the collected traffic is an HTTP response, the information collecting unit 220 stores the corresponding content information in the contents DB 320 if the content type of the HTTP response is an executable file. The content information includes a source IP address, a destination IP address, a URL, a time, a content, and a destination port.

상기 단계(S114)에서, 정보수집부(220)는 수집 트래픽이 HTTP 요청이면, HTTP 요청 방식이 GET 요청인지를 확인한다(S124).In step S114, if the collected traffic is an HTTP request, the information collecting unit 220 determines whether the HTTP request method is a GET request (S124).

상기 HTTP 요청 방식이 GET 요청이면, 정보수집부(220)는 이전 방문지 정보가 존재하는지를 확인한다(S125).If the HTTP request method is a GET request, the information collecting unit 220 checks whether previous visit information exists (S125).

상기 이전 방문지 정보가 존재하면 정보수집부(220)는 이전 방문지 정보가 포함된 트래픽 정보를 트래픽 DB(330)에 저장한다(S126). 이때, 정보수집부(220)는 이전 방문지 URL, 발신지 주소, 목적지 주소, 발신지 포트(세션 정보), 시간정보를 트래픽 DB(330)에 저장한다.If the previous visit information exists, the information collecting unit 220 stores the traffic information including the previous visit information in the traffic DB 330 (S126). At this time, the information collection unit 220 stores the previous visit URL, the source address, the destination address, the source port (session information), and the time information in the traffic DB 330.

한편, 상기 단계(S125)에서 상기 이전 방문지 정보가 존재하지 않으면, 정보수집부(220)는 트래픽 정보를 트래픽 DB(330)에 저장한다(S127). 여기서, 트래픽 정보는 호스트(HOST), GET URL, 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.If the previous visited place information does not exist in the step S125, the information collecting unit 220 stores the traffic information in the traffic DB 330 (S127). Here, the traffic information includes a host (HOST), a GET URL, a source address, a destination address, a source port, and a time.

한편, 상기 단계(S102)에서 세션이 종료되지 않으면, 정보수집부(220)는 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하는지를 콘텐츠 DB(320)에서 확인한다(S133).If the session is not terminated in step S102, the information collecting unit 220 confirms whether the content received in the destination port stored in the session DB 310 exists in the content DB 320 (S133).

상기 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하면 정보수집부(220)는 세션 DB(310)의 목적지 포트 번호와 함께 콘텐츠 DB(320) 및 트래픽 DB(330)에 각각 저장된 콘텐츠 정보와 트래픽 정보를 결과 DB(340)에 저장한다(S134).The information collecting unit 220 collects the contents stored in the contents DB 320 and the contents of the traffic DB 330 together with the destination port number of the session DB 310, And stores information and traffic information in the result DB 340 (S134).

상기 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하지 않으면, 정보수집부(220)는 세션 DB(310)의 목적지 포트 번호와 함께 세션 DB(310), 콘텐츠 DB(320), 트래픽 DB(330)에 저장된 정보를 삭제한다(S135).
If there is no content received at the destination port stored in the session DB 310, the information collecting unit 220 stores the session DB 310, the content DB 320, The information stored in the DB 330 is deleted (S135).

도 4는 본 발명의 다른 실시 예에 따른 비세션(non-session) 모드에서 트래픽 정보 수집 과정을 도시한 흐름도이다.4 is a flowchart illustrating a process of collecting traffic information in a non-session mode according to another embodiment of the present invention.

도 4에 도시된 바와 같이, 분석서버(200)의 정보수집부(220)는 통신부(210)를 통해 트래픽 수집장치(100)로부터 전송되는 수집 트래픽을 수신한다. 이때, 정보수집부(220)는 수신된 수집 트래픽이 TCP 트래픽 또는 HTTP 트래픽인지를 확인한다(S201).4, the information collecting unit 220 of the analysis server 200 receives the collected traffic transmitted from the traffic collecting apparatus 100 through the communication unit 210. [ At this time, the information collecting unit 220 confirms whether the received collected traffic is TCP traffic or HTTP traffic (S201).

상기 수집 트래픽이 TCP 트래픽 또는 HTTP 트래픽이면 정보수집부(220)는 상기 수집 트래픽이 HTTP 요청인지를 확인한다(S202).If the collected traffic is a TCP traffic or an HTTP traffic, the information collecting unit 220 determines whether the collected traffic is an HTTP request (S202).

상기 수집 트래픽이 HTTP 요청이 아니면 정보수집부(220)는 수집 트래픽의 콘텐츠 타입이 실행 가능 파일인지를 확인한다(S203).If the collected traffic is not an HTTP request, the information collecting unit 220 determines whether the content type of the collected traffic is an executable file (S203).

정보수집부(220)는 콘텐츠 타입이 실행 가능 파일(실행 파일)이면 해당 콘텐츠에 대한 정보를 콘텐츠 DB(320)에 저장한다(S204). 이때, 정보수집부(220)는 발신지 주소, 목적지 주소, URL, 시간, 콘텐츠, 목적지 포트를 콘텐츠 정보로 콘텐츠 DB(320)에 저장한다.If the content type is an executable file (executable file), the information collection unit 220 stores information about the content in the content DB 320 (S204). At this time, the information collection unit 220 stores the source address, the destination address, the URL, the time, the content, and the destination port in the content DB 320 as content information.

다시 말해서, 정보수집부(220)는 HTTP 응답 트래픽 중 콘텐츠 타입이 실행 파일이면 발신지 주소, 목적지 수고, 시간, URL, 파일 정보를 수집한다.In other words, the information collecting unit 220 collects the source address, destination time, time, URL, and file information if the content type of the HTTP response traffic is an executable file.

상기 콘텐츠 정보를 콘텐츠 DB(320)에 삽입할 때, 정보수집부(220)는 콘텐츠 DB(320) 및 트래픽 DB(330)의 데이터를 결과 DB(340)에 저장한다(S205).When inserting the content information into the content DB 320, the information collecting unit 220 stores the data of the content DB 320 and the traffic DB 330 in the result DB 340 (S205).

또한, 정보수집부(220)는 콘텐츠 DB(320) 및 트래픽 DB(330)에 수집된 정보(데이터)가 일정 시간 경과하면 콘텐츠 DB(320) 및 트래픽 DB(330)를 초기화한다(S206).The information collecting unit 220 initializes the contents DB 320 and the traffic DB 330 when the collected information (data) in the contents DB 320 and the traffic DB 330 elapses (S206).

한편, 상기 단계(S202)에서 수집 트래픽이 HTTP 요청 트래픽이면 정보수집부(220)는 HTTP 요청 방식이 GET 요청인지를 확인한다(S213).If the collected traffic is HTTP request traffic in step S202, the information collecting unit 220 determines whether the HTTP request method is a GET request (S213).

상기 HTTP 요청 방식이 GET 요청이면 정보수집부(220)는 수집 트래픽에 이전 방문지 정보가 존재하는지를 확인한다(S214).If the HTTP request method is a GET request, the information collection unit 220 checks whether previous visit information exists in the collected traffic (S214).

상기 이전 방문지 정보가 존재하면 정보수집부(220)는 이전 방문지 정보를 포함한 수집 트래픽 정보를 트래픽 DB(330)에 저장한다(S215). 이때, 수집 트래픽에 대한 정보는 이전 방문지 주소(referer URL), 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.If the previous visit information exists, the information collecting unit 220 stores the collected traffic information including the previous visit information in the traffic DB 330 (S215). At this time, the information about the collected traffic includes a previous destination address, a source address, a destination address, a source port, and a time.

한편, 상기 단계(S214)에서 수집 트래픽에 이전 방문지 정보가 존재하지 않으면, 정보수집부(220)는 해당 수집 트래픽에 대한 정보를 트래픽 DB(330)에 저장한다(S215). 이때, 트래픽 정보는 호스트, GET URL(콘텐츠를 다운로드한 주소), 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.
Meanwhile, if there is no previous visited information in the collected traffic in step S214, the information collecting unit 220 stores information on the collected traffic in the traffic DB 330 (S215). The traffic information includes the host, the GET URL (the address from which the content was downloaded), the source address, the destination address, the source port, and the time.

도 5는 본 발명과 관련된 트래픽 분석을 통한 악성 URL 탐지 방법을 도시한 흐름도이다.5 is a flowchart illustrating a malicious URL detection method through traffic analysis related to the present invention.

도 5에 따르면, 점검대상 선별부(230)는 결과 DB(340)에 신규 결과 데이터가 존재하는지를 확인한다(S301).Referring to FIG. 5, the check target sorting unit 230 checks whether new result data exists in the result DB 340 (S301).

점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일인지를 확인한다(S302). 즉, 점검대상 선별부(230)는 신규 결과 데이터가 EXE 파일 또는 DLL 파일인지를 확인한다.The check target sorting unit 230 confirms whether the content type of the new result data is an execution file (S302). That is, the check target sorting unit 230 confirms whether the new result data is an EXE file or a DLL file.

상기 신규 결과 데이터의 콘텐츠 타입이 실행 파일이면, 점검대상 선별부(230)는 결과 DB(340)에서 해당 신규 결과 데이터가 수집된 시간정보를 획득한다(S303).If the content type of the new result data is an execution file, the check target sorting unit 230 obtains the time information of the new result data collected in the result DB 340 (S303).

점검대상 선별부(230)는 획득 시간정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 URL을 점검대상 목록으로 설정한다(S304). 점검대상 선별부(230)는 상기 신규 결과 데이터와 동일한 세션 또는 발신지 주소에서 점검 기간 내 송신되는 트래픽에 포함된 URL을 결과 DB(340)로부터 검색하여 점검대상으로 설정한다.The check target sorting unit 230 sets a URL existing in the traffic collected within the check period as the check target list based on the acquisition time information (S304). The check target sorting unit 230 searches the result DB 340 for a URL included in the traffic transmitted within the check period from the same session or source address as the new result data and sets the search target.

점검대상 선별부(230)는 설정된 점검대상 목록을 점검부(240)로 전달하고, 점검부(240)는 점검대상 목록에 포함된 URL에 대하여 악성코드 유포여부를 점검한다(S305).The inspection target sorting unit 230 delivers the set inspection target list to the inspection unit 240, and the inspection unit 240 checks whether the malicious code is distributed to the URL included in the inspection target list (S305).

100: 트래픽 수집장치
200: 분석서버
210: 통신부
220: 정보수집부
230: 점검대상 선별부
240: 점검부
300: 데이터베이스100: Traffic collecting device
200: Analysis server
210:
220: Information collecting section
230: check target sorting unit
240:
300: Database

Claims (7)

외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 단계와,
상기 수집된 트래픽에 대한 분석을 통해 해당 트래픽에 대한 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,
상기 콘텐츠 정보의 존재여부를 확인하는 단계와,
상기 콘텐츠 정보가 존재하면 상기 콘텐츠 정보가 수집된 시간 정보를 획득하는 단계와,
상기 수집된 시간 정보를 기준으로 점검 기간 내 수집된 트래픽의 콘텐츠 정보 및 트래픽 정보로부터 웹주소(이하, ‘URL’라 함)을 추출하여 점검대상으로 설정하는 단계와,
상기 점검대상으로 설정된 URL들을 점검하여 악성 여부를 판단하는 단계를 포함하여 이루어지며,
상기 정보추출 단계는,
상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하는 단계와,
상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽 이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,
상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.Collecting all traffic transmitted and received between the external network and the internal network,
Extracting session information, content information, and traffic information for the traffic through analysis of the collected traffic;
Confirming whether or not the content information exists;
Acquiring time information in which the content information is collected if the content information exists;
Extracting a web address (hereinafter referred to as URL) from content information and traffic information of traffic collected in the inspection period based on the collected time information, and setting the URL as a check target;
Checking URLs set as objects to be checked and determining whether the URLs are malicious,
In the information extracting step,
Confirming whether the collected traffic is a transmission control protocol (hereinafter referred to as TCP) traffic or a hypertext transmission protocol (hereinafter referred to as HTTP) traffic;
If the collected traffic is a TCP traffic or an HTTP traffic, checking the session state and extracting the session information, the content information, and the traffic information from the corresponding traffic through a traffic analysis if the session is not terminated;
And checking whether content information transmitted through the terminated session exists if the session state is the end of the session. 삭제delete 제1항에 있어서, 상기 정보추출 단계는,
상기 해당 세션을 통해 전송된 콘텐츠 정보가 존재하면 상기 세션 정보의 목적지 포트 정보와 함께 기수집된 콘텐츠 정보 및 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The information processing method according to claim 1,
And storing the collected content information and traffic information together with the destination port information of the session information if the content information transmitted through the corresponding session is present. 제1항에 있어서, 상기 세션 정보는,
세션 형성 후 최초로 발생되는 HTTP 요청 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The method of claim 1,
And extracting from the HTTP request traffic generated for the first time after the session is formed. 제1항에 있어서, 상기 콘텐츠 정보는,
상기 수집된 트래픽 중 HTTP 응답 트래픽이며 그 트래픽의 콘텐츠 타입이 실행 파일인 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The information processing apparatus according to claim 1,
Wherein the HTTP response traffic of the collected traffic and the content type of the traffic are extracted from traffic that is an executable file. 제1항에 있어서, 상기 트래픽 정보는,
상기 수집된 트래픽의 HTTP 요청 방식이 겟(GET) 요청인 트래픽으로부터 추출하는 HTTP 요청 정보인 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.2. The method of claim 1,
And the HTTP request method of the collected traffic is HTTP request information extracted from traffic that is a get (GET) request. 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 트래픽 수집장치와,
상기 수집된 트래픽을 분석하여 악성으로 의심되는 웹주소(이하, URL)를 선별하여 점검하는 분석서버를 포함하며,
상기 분석서버는,
상기 트래픽 수집장치로부터 전송되는 상기 수집된 트래픽을 수신하는 통신부와,
상기 수집된 트래픽으로부터 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하는 정보수집부와,
상기 콘텐츠 정보의 존재여부를 확인하고, 그 확인결과 상기 콘텐츠 정보가 존재하면 해당 정보가 수집된 시간 정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 웹주소(이하, ‘URL’라 함)을 점검대상으로 설정하는 점검대상 선별부와,
상기 점검대상으로 설정된 URL들을 점검하여 해당 URL의 악성여부를 판단하는 점검부를 포함하여 구성되며,
상기 정보 수집부는,
상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하고,
상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하며,
상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 시스템.A traffic collecting device for collecting all traffic transmitted and received between the external network and the internal network,
And an analysis server for analyzing the collected traffic and selecting and checking a web address (hereinafter, URL) suspected of maliciousness,
The analysis server,
A communication unit for receiving the collected traffic transmitted from the traffic collection device;
An information collecting unit for collecting session information, content information and traffic information from the collected traffic;
(Hereinafter referred to as " URL ") existing in the traffic collected in the inspection period on the basis of the collected time information when the content information exists, A check target sorting unit to be set as a check target,
And an inspection unit for checking the URL set as the inspection object and judging whether the URL is malicious or not,
The information collecting unit,
Checks whether the collected traffic is a transmission control protocol (hereinafter referred to as TCP) traffic or a hypertext transmission protocol (hereinafter referred to as HTTP) traffic,
If the collected traffic is a TCP traffic or an HTTP traffic, the session state is checked. If the collected traffic is not a session end, the session information, the content information, and the traffic information are extracted from the corresponding traffic through traffic analysis,
If the session state is a session end, checking whether content information transmitted through a session that has been terminated exists.
KR1020130072104A 2013-06-24 2013-06-24 Method and system for detecting malicious traffic by analyzing traffic KR101428721B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130072104A KR101428721B1 (en) 2013-06-24 2013-06-24 Method and system for detecting malicious traffic by analyzing traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130072104A KR101428721B1 (en) 2013-06-24 2013-06-24 Method and system for detecting malicious traffic by analyzing traffic

Publications (1)

Publication Number Publication Date
KR101428721B1 true KR101428721B1 (en) 2014-08-12

Family

ID=51750059

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130072104A KR101428721B1 (en) 2013-06-24 2013-06-24 Method and system for detecting malicious traffic by analyzing traffic

Country Status (1)

Country Link
KR (1) KR101428721B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180101868A (en) 2017-03-06 2018-09-14 한국전자통신연구원 Apparatus and method for detecting of suspected malignant information
CN117579507A (en) * 2024-01-17 2024-02-20 云筑信息科技(成都)有限公司 Method for automatically extracting recording flow

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100612452B1 (en) * 2004-11-08 2006-08-16 삼성전자주식회사 Apparatus and Method for Detecting Malicious Code

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100612452B1 (en) * 2004-11-08 2006-08-16 삼성전자주식회사 Apparatus and Method for Detecting Malicious Code

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180101868A (en) 2017-03-06 2018-09-14 한국전자통신연구원 Apparatus and method for detecting of suspected malignant information
CN117579507A (en) * 2024-01-17 2024-02-20 云筑信息科技(成都)有限公司 Method for automatically extracting recording flow

Similar Documents

Publication Publication Date Title
CN109951500B (en) Network attack detection method and device
EP2408166B1 (en) Filtering method, system and network device therefor
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
US9215242B2 (en) Methods and systems for preventing unauthorized acquisition of user information
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
CN109039987A (en) A kind of user account login method, device, electronic equipment and storage medium
EP2634989A1 (en) Mobile terminal to detect network attack and method thereof
KR101623068B1 (en) System for collecting and analyzing traffic on network
CN103685294A (en) Method and device for identifying attack sources of denial of service attack
CN113518077A (en) Malicious web crawler detection method, device, equipment and storage medium
JP2018026747A (en) Aggression detection device, aggression detection system and aggression detection method
CN109660552A (en) A kind of Web defence method combining address jump and WAF technology
KR101535529B1 (en) Method for collecting the suspicious file and trace information to analysis the ATP attack
KR101487476B1 (en) Method and apparatus to detect malicious domain
KR101428721B1 (en) Method and system for detecting malicious traffic by analyzing traffic
KR101087291B1 (en) A method for identifying whole terminals using internet and a system thereof
KR101518470B1 (en) Method for detecting a number of the devices of a plurality of client terminals selected by a web server from the internet request traffics sharing the public IP address and System for detecting selectively the same
KR101398740B1 (en) System, method and computer readable recording medium for detecting a malicious domain
WO2013014033A1 (en) Method and device for detecting mobile phone virus
Takata et al. Analysis of redirection caused by web-based malware
US20180020012A1 (en) Malware analysis system, malware analysis method, and malware analysis program
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
KR20150026187A (en) System and Method for dropper distinction
KR101518469B1 (en) Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same
US9049170B2 (en) Building filter through utilization of automated generation of regular expression

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170807

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180807

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190723

Year of fee payment: 6