KR101428725B1 - 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 - Google Patents

하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR101428725B1
KR101428725B1 KR1020120124597A KR20120124597A KR101428725B1 KR 101428725 B1 KR101428725 B1 KR 101428725B1 KR 1020120124597 A KR1020120124597 A KR 1020120124597A KR 20120124597 A KR20120124597 A KR 20120124597A KR 101428725 B1 KR101428725 B1 KR 101428725B1
Authority
KR
South Korea
Prior art keywords
url
sub
check
malicious
web page
Prior art date
Application number
KR1020120124597A
Other languages
English (en)
Other versions
KR20140058057A (ko
Inventor
이태진
김지상
강홍구
이창용
김병익
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020120124597A priority Critical patent/KR101428725B1/ko
Publication of KR20140058057A publication Critical patent/KR20140058057A/ko
Application granted granted Critical
Publication of KR101428725B1 publication Critical patent/KR101428725B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법에 관한 것으로, 본 발명은 관리 서버로부터 점검대상 웹주소(URL)를 수신하고, 상기 점검대상 URL의 웹페이지를 크롤링하여 하위 URL을 추출하여 수집하며 상기 크롤링을 통해 수집된 하위 URL의 웹페이지 소스를 분석하여 상기 하위 URL에 대한 악성행위 가능여부를 검사하고, 그 검사결과에 따라 상기 하위 URL을 악성코드 은닉이 의심되는 악성의심 URL로 선정한다.

Description

하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법{A System and a Method for Finding Malicious Code Hidden Websites by Checking Sub-URLs}
본 발명은 악성코드 탐지방법에 관한 것으로, 더욱 상세하게는 점검대상 웹주소의 웹페이지 소스 분석을 통해 웹페이지에 연결된 하위 웹주소의 웹페이지를 점검하여 악성코드가 은닉되어 있는 웹사이트를 탐지하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법에 관한 것이다.
정보통신기술의 발전과 더불어 휴대단말기 보급으로 인해 많은 사람들이 시공간의 제한없이 인터넷을 사용할 수 있게 되었지만 인터넷을 통한 개인정보 유출, DDoS(Distributed Denial of Service) 공격, 사이버 테러, 신상털기 등 심각한 사회적 문제를 야기하고도 있다. 인터넷 서핑을 통해 다양한 정보를 얻고 있는 동안 자신의 개인정보가 유출될 수 있으며 특정 기관에 DDoS 공격을 할 수도 있다. 사용자가 인터넷 서핑을 하고 있는 동안 사용자 컴퓨터로 악성코드가 설치되고 다양한 불법적인 일들이 자동으로 이루어지고 있다. 이러한 악성코드 유포를 막기 위해 종래에는 해킹이나 스팸 메일 등을 통해 유포되는 악성코드를 수동적으로 수집하는 서버기반 허니팟 및 실제 웹사이트를 방문하며 유포되는 악성코드를 수집하는 클라이언트 허니팟과 같은 방어 기술이 제공되고 있다.
하지만, 악성코드를 실제 유포하는 사이트들은 사용자의 입력이나 웹 검색 등을 통해 수집된 URL(uniform resource locator)들이 아니다. 대부분의 악성코드 유포 사이트는 해커의 해킹을 통해 별도의 서버로 구성되어 있으며 해킹된 서버의 URL을 웹 검색 결과 URL 내부에 숨겨두고 있다. 따라서, 종래의 방어기술은 악성코드 유포 URL들의 정보를 점검대상 URL에서 직접 확인할 수 있지만 대부분 점검대상 URL의 분석을 통해 정확한 악성코드 URL을 탐지할 수 없다.
본 발명은 상기한 종래기술의 문제점들을 해결하기 위하여 안출된 것으로, 점검대상 웹주소의 웹페이지 소스 분석을 통해 웹페이지에 연결된 하위 웹주소의 웹페이지를 점검하여 악성코드가 은닉되어 있는 웹사이트를 탐지하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법을 제공하는데 목적이 있다.
본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법은 관리 서버로부터 점검대상 웹주소(URL)를 수신하는 단계와, 상기 점검대상 URL의 웹페이지를 크롤링하여 하위 URL을 추출하여 수집하는 단계와, 상기 크롤링을 통해 수집된 하위 URL의 웹페이지 소스를 분석하여 상기 하위 URL에 대한 악성행위 가능여부를 검사하는 단계와, 상기 하위 URL의 악성행위 가능여부 검사결과에 따라 상기 하위 URL을 악성코드 은닉이 의심되는 악성의심 URL로 선정하는 단계를 포함하는 것에 특징이 있다.
또한, 상기 점검대상 URL 수신 단계는 관리 서버로부터 데이터베이스 접근정보를 수신하는 단계와, 상기 접근정보를 이용하여 상기 관리 서버의 데이터베이스에 접속하는 단계와, 상기 데이터베이스로부터 상기 점검대상 URL을 다운로드하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 하위 URL 수집 단계는 상기 점검대상 URL의 웹페이지 내에 링크된 하위 URL을 추출하는 것을 특징으로 한다.
또한, 상기 하위 URL 수집 단계는 상기 관리 서버의 하위 URL 수집 정책정보에 따라 깊이별 하위 URL을 수집하는 것을 특징으로 한다.
또한, 상기 하위 URL 수집 단계는 자바스크립트 파일 및 CSS(Cascading Style Sheet) 파일 내부에 존재하는 URL을 수집하는 것을 특징으로 한다.
또한, 상기 하위 URL의 악성행위 가능여부 검사 단계는 상기 하위 URL의 웹페이지의 파일구조를 확인하여 MZ(Mark Zbikowsky)로 시작하는 실행파일이거나 PE(portable executable) 파일인지를 점검하는 단계와, 상기 하위 URL의 웹페이지 내에 숨겨진 영역이 존재하는지를 점검하는 단계와, 상기 하위 URL의 웹페이지 내 난독화 스크립트의 존재여부를 점검하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법은 상기 악성의심 URL로 선정된 하위 URL을 상기 관리 서버로 전송하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법은 상기 관리 서버가 상기 악성의심 URL로 선정된 하위 URL에 대해 방문 점검을 수행하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템은 점검대상 웹주소(URL)을 수집하여 관리하는 관리 서버와, 상기 관리 서버로부터 점검대상 URL을 수신하고 상기 점검대상 URL의 웹페이지를 크롤링하여 해당 웹페이지로부터 하위 URL를 추출하며 그 추출된 하위 URL의 웹페이지 소스 분석을 통해 악성행위 가능여부를 점검하여 그 점검결과에 근거하여 상기 하위 URL을 악성의심 URL로 선정하는 웹주소 필터링 서버를 포함하는 것을 특징으로 한다.
또한, 상기 웹주소 필터링 서버는 상기 관리 서버의 데이터베이스에 접근하여 점검대상 URL을 수집하는 점검대상 웹주소 수신모듈과, 상기 점검대상 URL의 웹페이지와 연결된 깊이별 하위 URL을 수집하는 하위 웹주소 수집모듈과, 상기 하위 URL의 웹페이지에 대해 파일구조 점검 및 숨겨진 영역 점검, 난독화 점검을 수행하여 악성의심 URL를 선별하는 점검 모듈과, 상기 점검모듈로부터 출력되는 상기 하위 URL에 대한 점검결과를 전송하는 결과 전송 모듈을 포함하는 것을 특징으로 한다.
또한, 상기 하위 웹주소 수집모듈은 자바스크립트 파일 및 CSS(Cascading Style Sheet) 파일 내부에 존재하는 URL을 수집하는 것을 특징으로 한다.
또한, 상기 하위 웹주소 수집모듈은 상기 점검대상 URL의 웹페이지에서 a href 태그 및 src 태그, URL 태그에 포함되어 있는 URL을 수집하는 것을 특징으로 한다.
또한, 상기 점검 모듈은 상기 파일구조 점검 및 숨겨진 영역 점검, 난독화 점검의 점검결과들 중 어느 하나의 점검결과가 악성의심이면 해당 하위 URL을 악성의심 URL로 선정하는 것을 특징으로 한다.
본 발명은 점검대상 웹주소의 웹페이지에 연결된 하위 웹주소를 추출하고 그 추출된 하위 웹주소의 웹페이지 소스를 점검하여 악성코드가 은닉되어 있는 웹사이트를 탐지할 수 있다. 다시 말해서, 본 발명은 웹페이지 소스 분석을 통해 점검대상 웹주소의 웹페이지에 존재하는 하위 페이지의 웹주소를 수집하여 점검하므로 종래 시스템에 비해 짧은 시간에 하위 웹주소를 점검할 수 있다.
도 1은 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템을 도시한 블록구성도.
도 2는 도 1에 도시된 웹주소 필터링 서버의 구성을 도시한 블록도.
도 3은 본 발명과 관련된 웹페이지 소스 분석을 통한 하위 웹주소 추출 결과를 도시한 예시도.
도 4는 본 발명과 관련된 HTTP 응답 헤더 정보를 도시한 예시도.
도 5는 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법을 도시한 흐름도.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 실시예들을 상세하게 설명한다.
도 1은 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템을 도시한 블록구성도이고, 도 2는 도 1에 도시된 웹주소 필터링 서버의 구성을 도시한 블록도이며, 도 3은 본 발명과 관련된 웹페이지 소스 분석을 통한 하위 웹주소 추출 결과를 도시한 예시도이고, 도 4는 본 발명과 관련된 HTTP 응답 헤더 정보를 도시한 예시도이다.
도면을 참조하면, 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템은 관리 서버(100)와 하나 이상의 웹주소 필터링 서버(200)를 포함한다.
관리 서버(100)는 악성코드 자동 수집을 위한 점검대상 웹주소(seed URL)를 수집하고, 검사 결과 기준 변경 및 수집 시스템 관리를 위한 사용자 인터페이스를 제공하며 악성코드 은닉 사이트 탐지 시스템의 전반적인 운영에 관련된 정보 통합 및 관리를 수행한다.
관리 서버(100)는 점검대상 웹주소(URL) 및 하위 웹주소(sub-URL)가 저장되는 수집 웹주소 데이터베이스(DB)(110)와 점검대상 URL 및 하위 URL에 대한 점검결과가 저장되는 점검결과 데이터베이스(DB)(120)를 포함한다.
관리 서버(100)는 웹주소 필터링 서버(200)가 데이터베이스(DB)(110, 120)에 접근하는데 필요한 접근정보를 전송한다. 여기서, 접근정보는 관리 서버 주소(IP), DB 접근 포트(port), DB 접근 아이디 및 비밀번호, URL 필터링 대상을 확인할 수 있는 DB 테이블명 등을 포함한다.
또한, 관리 서버(100)는 하위 URL 점검에 대한 점검 정책정보를 웹주소 필터링 서버(200)로 전송한다. 여기서, 점검 정책정보는 하위 URL 점검 기능 활성/비활성, 하위 URL 점검 깊이(depth) 정보, 점검대상 URL 정보 등을 포함한다. 상기 점검 정책정보는 관리자에 의해 설정되는 것으로, 관리자는 관리 웹페이지에서 하위 URL 점검 기능의 사용여부를 설정할 수 있다.
관리 서버(100)는 다수의 웹주소 필터링 서버(200)가 동일한 URL을 점검하는 것을 막기 위해 접근하는 웹주소 필터링 서버(200)의 개수를 제한할 수 있다. 그리고, 관리 서버(100)는 URL 수집 시 DB(110)에 URL 세트(set) 기준으로 웹주소 필터링 서버(200)가 가져갈 수 있도록 관리하며, 별도의 테이블을 작성하거나 스케쥴링을 사용하여 특정 URL이 동시에 중복 점검되지 않도록 한다.
웹주소 필터링 서버(200)는 점검대상 웹주소 수신모듈(210), 하위 웹주소 수집모듈(220), 점검 모듈(230), 결과 전송 모듈(240)를 포함한다.
점검대상 웹주소 수신모듈(210)은 상기 관리 서버(100)로부터 DB(110, 120) 접근을 위한 접근정보를 수신한다. 그리고, 점검대상 웹주소 수신모듈(210)은 DB(110) 접근을 통해 현재 웹주소 필터링 대기 중인 웹주소를 수집하며 우선 순위를 기준으로 웹주소를 수집한다.
하위 웹주소 수집모듈(220)은 점검대상 웹주소 수신모듈(210)을 통해 수신한 점검대상 URL의 웹페이지를 크롤링하여 웹페이지 소스 중 링크(link)가 존재하는 부분을 추출한다. 여기서, 링크 부분은 스크립트(script)의 src 부분, A href의 URL, URL 태그(tag)에 포함되어 있는 URL, img의 src 부분 등을 포함한다. 이와 같이, 웹페이지 소스 분석을 통해 하위 URL을 수집하는 경우 사용자의 행위가 필요한 링크 클릭이나 페이지 이동에 사용되는 하위 페이지도 점검할 수 있다.
하위 웹주소 수집모듈(220)은 점검대상 URL과 연결되어 있는 깊이(depth)별 하위 URL을 추출한다(도 3 참조). 따라서, 본 발명은 점검대상 웹주소 외에 점검대상 웹주소와 연결되어 있는 모든 웹주소에 대한 깊이별 악성행위 여부를 점검할 수 있다.
또한, 하위 웹주소 수집모듈(220)은 관리 서버(100)로부터 전송되는 하위 URL 수집정책의 깊이 정보에 따라 하위 URL 수집 깊이를 조절한다.
하위 웹주소 수집모듈(220)은 네트워크 트래픽 분석을 통해 방문으로 인해 생성되는 웹주소를 수집할 수 있다. 예를 들어, Document.write(), Eval() 등의 함수를 통해 생성되는 코드들은 실제 웹페이지 방문을 통해 확인할 수 있다.
하위 웹주소 수집모듈(220)은 웹 페이지를 방문할 때 생성되는 HTTP 요청(Request)와 HTTP 응답(Response)의 헤더(Header) 부분(도 4 참조)을 분석하여 하위 URL을 수집한다. HTTP 응답의 경유지 URL(Referer URL) 정보와 요청 URL(GET URL) 정보를 이용하여 두 URL 간의 선/후 관계를 확인할 수 있다. 경유지 URL은 요청 URL 이전에 방문한 웹사이트 정보이며 요청 URL이 경유지 URL의 하위 URL이 된다.
점검 모듈(230)은 웹페이지 소스 점검을 통해 실제 방문할 가치가 있는 악성의심 URL들을 필터링한다. 본 발명에서는 악성행위가 의심되는 URL을 필터링하기 위하여 실제로 악성코드를 유포하는 사이트들(blacklist URL)을 분석하여 가장 많이 사용되는 요소들을 추출하고, 그 추출된 요소들을 정규화하여 악성행위를 탐지하도록 하였다.
점검 모듈(230)은 숨겨진 영역(hidden area) 점검부(231), 난독화 점검부(232), 파일구조 점검부(233)를 포함한다.
숨겨진 영역 점검부(231)는 점검 모듈(230)은 하위 웹주소 수집모듈(220)에 의해 수집된 하위 URL의 웹페이지 소스를 분석하여 해당 웹페이지 내에 숨겨진 영역이 존재하는지를 확인한다. 여기서, 숨겨진 영역은 웹사이트 방문 시 사용자의 브라우저에서는 보이지 않지만 실제로 네트워크 행위가 발생하여 악성코드를 다운로드하는데 악용되는 Hidden Iframe 및 Hidden Frameset을 말한다.
난독화 점검부(232)는 본 출원인에 의해 기출원되어 선등록된 등록특허 제1060639호의 난독화 탐지 알고리즘을 이용하여 웹페이지 소스가 사람이 해석 불가능하게 암호화되어 있는 난독화 스크립트 존재 여부를 검사한다. 난독화 점검부(232)는 문자열의 길이가 200이상일 경우 난독화 되었다고 판단하고, 문자열에 HTTP 문자열이 포함된 경우는 예외처리한다. 또한, 난독화 점검부(232)는 특정 특수문자의 발생 엔트로피(entropy)가 자바스크립트 전체 블록 엔트로피보다 큰 경우 또는 특정 함수 이름, 변수명이 자바 스크립트 전체 블록 엔트로피의 1/2보다 작을 경우 난독화되었다고 판단한다. 난독화 점검부(232)는 자바스크립트의 평균 엔트로피 > (변수명 + 함수명 엔트로피)이면 난독화되었다고 판단한다.
파일구조 점검부(233)는 직접 파일을 다운로드하여 그 다운로드된 파일의 구조를 검사한다. 그리고, 파일구조 점검부(233)는 상기 다운로드된 파일이 MZ(Mark Zbikowsky)로 시작하는 실행파일이거나 PE(Portable Executable) 파일 구조인 경우 해당 파일을 악성의심 파일로 선정한다.
점검 모듈(230)은 숨겨진 영역 점검부(231), 난독화 점검부(232), 파일 구조 점검부(233)로부터 출력되는 점검결과들 중 적어도 하나의 점검결과가 악성의심인 경우 해당 URL을 악성코드 은닉이 의심되는 악성의심 URL로 선정한다.
결과 전송 모듈(240)은 점검 모듈(230)에서 URL 단위로 점검한 결과를 관리 서버(100)의 점검결과 DB(120)에 접속하여 직접 입력한다. 이때, 결과 전송 모듈(240)은 크롤링 URL의 필터링 점검값, 필터링 결과 악성의심 판단값, 깊이에 따른 하위 URL 리스트 등을 점검결과 DB(120)의 각 테이블에 기록한다.
또한, 결과 전송 모듈(240)은 하위 URL 리스트의 경우 크롤링 URL과의 연결 관계 및 점검대상 URL과의 연결 관계를 DB 쿼리를 통해 확인할 수 있어야 한다.
도 5는 본 발명에 따른 하위 웹주소 점검을 통한 악성코드 탐지방법을 도시한 흐름도이다.
먼저, 웹주소 필터링 서버(200)의 점검대상 웹주소 수신모듈(210)은 관리 서버(100)의 수집 URL DB(110)에 접근하여 하나 이상의 점검대상 URL을 수신한다(S11). 이때, 점검대상 웹주소 수신모듈(210)은 관리 서버(100)로부터 수집 URL DB(110)에 대한 접근정보를 제공받고, 그 제공받은 접근정보를 이용하여 수집 URL DB(110)에 접속한다. 그리고, 점검대상 웹주소 수신모듈(210)은 수집 URL DB(110)에서 점검대상 URL 리스트를 다운로드한다. 여기서, 관리 서버(100)로부터 전송받는 점검대상 URL의 개수는 관리 서버(100)에 의해 제한된다.
웹주소 필터링 서버(200)의 하위 웹주소 수집모듈(220)은 점검대상 URL 수신모듈(210)을 통해 수신된 하나 이상의 점검대상 URL(최상위 URL)의 웹페이지를 크롤링하여 점검대상 URL의 웹페이지에 링크된 하나 이상의 하위 URL을 추출하여 수집한다(S12). 상기 하위 웹주소 수집모듈(220)은 웹 크롤링을 통해 점검대상 URL의 웹페이지에 링크된 하위 URL뿐만 아니라 자바스크립트(JS) 파일 및 CSS(Cascading Style Sheet) 파일을 수집한다. 그리고, 하위 웹주소 수집모듈(220)은 자바스크립트 파일 및 CSS 파일이 수집되면 자바스크립트 파일 및 CSS 파일 내부에 존재하는 URL들을 수집한다. 여기서, 하위 웹주소 수집모듈(220)은 관리 서버(100)로부터 전송받은 하위 URL 수집 정책정보에 근거하여 점검대상 URL(depth 0)을 기준으로 소정 깊이까지의 하위 URL(depth n)를 수집한다.
점검모듈(230)은 하위 웹주소 수집모듈(220)로부터 하위 URL을 제공받고, 그 제공받은 하위 URL의 웹페이지 소스를 분석하여 해당 하위 URL의 악성행위 가능여부를 검사한다(S13). 여기서, 점검모듈(230)은 숨겨진 영역 점검부(231)을 통해 하위 URL의 웹페이지 내에 숨겨진 영역이 존재하는지를 검사하고(S131), 난독화 점검부(232)를 통해 하위 URL의 웹페이지 내에 난독화 스크립트가 존재하는지를 검사한다(S132). 또한, 점검모듈(230)의 파일구조 점검부(233)는 직접 다운로드한 파일의 구조를 검사하여 해당 파일이 MZ로 시작하는 실행파일인지 또는 PE 파일인지를 확인한다(S133). 상기 숨겨진 영역 점검부(231), 난독화 점검부(232), 파일구조 점검부(233)는 병렬로 동시에 점검을 수행할 수도 있다.
점검모듈(230)은 하위 URL의 웹페이지 소스 분석에 따라 해당 하위 URL을 악성의심 URL로 선정한다(S14). 여기서, 점검모듈(230)은 숨겨진 영역 점검부(231), 난독화 점검부(232), 파일구조 점검부(233)의 점검결과들 중 어느 하나의 점검결과가 악성의심인 경우 하위 URL이 악성코드 은닉 가능성이 있는 악성의심 URL로 선정한다.
그리고, 점검모듈(230)은 하위 URL에 대한 점검결과를 결과 전송 모듈(240)을 통해 관리 서버(100)로 전송한다. 여기서, 결과 전송 모듈(240)은 관리 서버(100)로부터 점검결과 DB(120)에 대한 접근정보를 제공받아 점검결과 DB(120)에 접근하고, 점검결과 DB(120)에 점검결과를 기록한다. 여기서, 점검결과는 하위 URL별 점검결과 및 악성의심 URL과 같은 정보를 포함한다.
이후, 관리 서버(100)는 상기 악성의심 URL에 대해서만 직접 접속하여 악성코드 은닉여부를 검사하는 방문 점검을 수행한다.
100: 관리 서버
200: 웹주소 필터링 서버
210: 점검대상 웹주소 수신모듈
220: 하위 웹주소 수집모듈
230: 점검 모듈
240: 결과 전송 모듈

Claims (13)

  1. 관리 서버로부터 점검대상 웹주소(URL)를 수신하는 단계와,
    상기 점검대상 URL의 웹페이지를 크롤링하여 하위 URL을 추출하여 수집하는 단계와,
    상기 크롤링을 통해 수집된 하위 URL의 웹페이지 소스를 분석하여 상기 하위 URL에 대한 악성행위 가능여부를 검사하는 단계와,
    상기 하위 URL의 악성행위 가능여부 검사결과에 따라 상기 하위 URL을 악성코드 은닉이 의심되는 악성의심 URL로 선정하는 단계를 포함하여 이루어지며,
    상기 하위 URL의 악성행위 가능여부 검사 단계는,
    상기 하위 URL의 웹페이지의 파일구조를 확인하여 MZ(Mark Zbikowsky)로 시작하는 실행파일이거나 PE(portable executable) 파일인지를 점검하는 단계와,
    상기 하위 URL의 웹페이지 내에 숨겨진 영역이 존재하는지를 점검하는 단계와,
    상기 하위 URL의 웹페이지 내 난독화 스크립트의 존재여부를 점검하는 단계를 포함하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  2. 제1항에 있어서,
    상기 점검대상 URL 수신 단계는,
    관리 서버로부터 데이터베이스 접근정보를 수신하는 단계와,
    상기 접근정보를 이용하여 상기 관리 서버의 데이터베이스에 접속하는 단계와,
    상기 데이터베이스로부터 상기 점검대상 URL을 다운로드하는 단계를 포함하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  3. 제1항에 있어서,
    상기 하위 URL 수집 단계는,
    상기 점검대상 URL의 웹페이지 내에 링크된 하위 URL을 추출하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  4. 제1항에 있어서,
    상기 하위 URL 수집 단계는,
    상기 관리 서버의 하위 URL 수집 정책정보에 따라 깊이별 하위 URL을 수집하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  5. 제1항에 있어서,
    상기 하위 URL 수집 단계는,
    자바스크립트 파일 및 CSS(Cascading Style Sheet) 파일 내부에 존재하는 URL을 수집하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  6. 삭제
  7. 제1항에 있어서,
    상기 악성의심 URL로 선정된 하위 URL을 상기 관리 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  8. 제7항에 있어서,
    상기 관리 서버가 상기 악성의심 URL로 선정된 하위 URL에 대해 방문 점검을 수행하는 단계를 더 포함하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 방법.
  9. 점검대상 웹주소(URL)을 수집하여 관리하는 관리 서버와,
    상기 관리 서버로부터 점검대상 URL을 수신하고 상기 점검대상 URL의 웹페이지를 크롤링하여 해당 웹페이지로부터 하위 URL를 추출하며 그 추출된 하위 URL의 웹페이지 소스 분석을 통해 악성행위 가능여부를 점검하여 그 점검결과에 근거하여 상기 하위 URL을 악성의심 URL로 선정하는 웹주소 필터링 서버를 포함하여 구성되며,
    상기 웹주소 필터링 서버는,
    상기 관리 서버의 데이터베이스에 접근하여 점검대상 URL을 수집하는 점검대상 웹주소 수신모듈과,
    상기 점검대상 URL의 웹페이지와 연결된 깊이별 하위 URL을 수집하는 하위 웹주소 수집모듈과,
    상기 하위 URL의 웹페이지에 대해 파일구조 점검 및 숨겨진 영역 점검, 난독화 점검을 수행하여 악성의심 URL를 선별하는 점검 모듈과,
    상기 점검모듈로부터 출력되는 상기 하위 URL에 대한 점검결과를 전송하는 결과 전송 모듈을 포함하여 구성되며,
    상기 점검 모듈은,
    상기 파일구조 점검 및 숨겨진 영역 점검, 난독화 점검의 점검결과들 중 어느 하나의 점검결과가 악성의심이면 해당 하위 URL을 악성의심 URL로 선정하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템.
  10. 삭제
  11. 제9항에 있어서,
    상기 하위 웹주소 수집모듈은,
    자바스크립트 파일 및 CSS(Cascading Style Sheet) 파일 내부에 존재하는 URL을 수집하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템.
  12. 제9항에 있어서,
    상기 하위 웹주소 수집모듈은,
    상기 점검대상 URL의 웹페이지에서 a href 태그 및 src 태그, URL 태그에 포함되어 있는 URL을 수집하는 것을 특징으로 하는 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템.
  13. 삭제
KR1020120124597A 2012-11-06 2012-11-06 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 KR101428725B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120124597A KR101428725B1 (ko) 2012-11-06 2012-11-06 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120124597A KR101428725B1 (ko) 2012-11-06 2012-11-06 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20140058057A KR20140058057A (ko) 2014-05-14
KR101428725B1 true KR101428725B1 (ko) 2014-08-12

Family

ID=50888539

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120124597A KR101428725B1 (ko) 2012-11-06 2012-11-06 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101428725B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101639869B1 (ko) * 2014-08-04 2016-07-14 (주)엔토빌소프트 악성코드 유포 네트워크 탐지 프로그램
KR101602480B1 (ko) * 2014-09-04 2016-03-15 숭실대학교산학협력단 불법 사이트 차단 시스템 및 방법, 이를 수행하기 위한 기록매체
KR20190106044A (ko) * 2018-03-07 2019-09-18 삼성전자주식회사 웹 페이지의 표시 방법 및 전자 장치
KR102079970B1 (ko) * 2019-04-30 2020-04-07 (주)에스투더블유랩 지식 그래프를 이용하여 사이버 시큐리티를 제공하는 방법, 장치 및 컴퓨터 프로그램

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070186285A1 (en) * 2000-11-28 2007-08-09 Hurst Dennis W Webcrawl internet security analysis and process
KR20110095534A (ko) * 2010-02-19 2011-08-25 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템
KR20120070019A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070186285A1 (en) * 2000-11-28 2007-08-09 Hurst Dennis W Webcrawl internet security analysis and process
KR20110095534A (ko) * 2010-02-19 2011-08-25 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템
KR20120070019A (ko) * 2010-12-21 2012-06-29 한국인터넷진흥원 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법

Also Published As

Publication number Publication date
KR20140058057A (ko) 2014-05-14

Similar Documents

Publication Publication Date Title
US10826872B2 (en) Security policy for browser extensions
US11245662B2 (en) Registering for internet-based proxy services
US20220035930A1 (en) System and method for identifying network security threats and assessing network security
US10498761B2 (en) Method for identifying phishing websites and hindering associated activity
Maggi et al. Two years of short urls internet measurement: security threats and countermeasures
Krishnamurthy et al. Measuring privacy loss and the impact of privacy protection in web browsing
US10033746B2 (en) Detecting unauthorised changes to website content
Akiyama et al. Analyzing the ecosystem of malicious URL redirection through longitudinal observation from honeypots
Chaabane et al. Big friend is watching you: Analyzing online social networks tracking capabilities
KR101070184B1 (ko) 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
US20080222299A1 (en) Method for preventing session token theft
US20130007882A1 (en) Methods of detecting and removing bidirectional network traffic malware
US20130007870A1 (en) Systems for bi-directional network traffic malware detection and removal
Castelluccia et al. Private information disclosure from web searches
WO2015200308A1 (en) Entity group behavior profiling
Malandrino et al. Privacy leakage on the Web: Diffusion and countermeasures
WO2016025081A1 (en) Collaborative and adaptive threat intelligence for computer security
CA2656571A1 (en) System and method of analyzing web content
Bujlow et al. Web tracking: Mechanisms, implications, and defenses
AU2007273019A1 (en) System and method for analyzing web content
US20100306184A1 (en) Method and device for processing webpage data
Akiyama et al. HoneyCirculator: distributing credential honeytoken for introspection of web-based attack cycle
CN101895516A (zh) 一种跨站脚本攻击源的定位方法及装置
KR101428725B1 (ko) 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법
WO2018031062A1 (en) Malware detection and prevention system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170807

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180807

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190723

Year of fee payment: 6