KR101473671B1 - Method and apparatus for detection of phishing site by image comparison - Google Patents

Method and apparatus for detection of phishing site by image comparison Download PDF

Info

Publication number
KR101473671B1
KR101473671B1 KR1020130073106A KR20130073106A KR101473671B1 KR 101473671 B1 KR101473671 B1 KR 101473671B1 KR 1020130073106 A KR1020130073106 A KR 1020130073106A KR 20130073106 A KR20130073106 A KR 20130073106A KR 101473671 B1 KR101473671 B1 KR 101473671B1
Authority
KR
South Korea
Prior art keywords
site
phishing
information
comparison
detection
Prior art date
Application number
KR1020130073106A
Other languages
Korean (ko)
Inventor
문성건
김기영
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020130073106A priority Critical patent/KR101473671B1/en
Priority to PCT/KR2014/005469 priority patent/WO2014208937A1/en
Application granted granted Critical
Publication of KR101473671B1 publication Critical patent/KR101473671B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Information Transfer Between Computers (AREA)
  • Image Analysis (AREA)

Abstract

The present invention relates to a method and apparatus for detecting a phishing site by image comparison. According to an embodiment of the present invention, a method for detecting a phishing site comprises the steps of: loading phishing detection standard information for detecting a phishing site; extracting information on images to be compared from a site to be detected based on the phishing detection standard information; comparing the extracted information on images to be compared with information on reference images of a protection site included in the phishing detection standard information; and warning of the result of the phishing site detection when the site to be detected is determined as a suspicious phishing site depending on the result of the comparison. Therefore, a phishing site may be detected and access thereto may be prevented without cooperation with a host managing a site to be detected, and access to a phishing site may be detected or prevented even by independent processing of a communication terminal device using a site to be detected.

Description

이미지 비교를 통한 피싱 사이트 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTION OF PHISHING SITE BY IMAGE COMPARISON}[0001] METHOD AND APPARATUS FOR DETECTION OF PHISHING SITE BY IMAGE COMPARISON [

본 발명은 피싱(phishing) 사이트 탐지 방법 및 장치에 관한 것이다. 더 구체적으로는, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보하는 이미지 비교를 통한 피싱 사이트 탐지 장치 및 방법에 관한 것이다.
The present invention relates to a phishing site detection method and apparatus. More particularly, the present invention relates to an apparatus and a method for detecting a phishing site through image comparison in which a phishing site is identified and alerted based on image information extracted from a site to be detected.

최근에 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등의 모바일 운영체제를 적용하여 스마트 폰 기능을 수행하는 통신 단말 장치의 보급이 활성화되었다.Recently, the spread of communication terminal devices that perform smartphone functions by applying mobile operating systems such as Android, i-OS (Operating System) and Windows mobile has been activated.

이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 응용 프로그램(application)을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다.In the communication terminal apparatus using the mobile operating system, various application programs are executed based on the corresponding mobile operating system to provide various information processing services to the user.

그리고, 모바일 운영체제를 적용한 통신 단말 장치에는 응용 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여서 URL에 의거하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용자에게 제공한다.A communication terminal device to which a mobile operating system is applied is provided with a browser as an application program and executes the corresponding browser and accesses the Internet web site based on the URL to provide information of various web sites to the user.

이러한 모바일 운영체제를 적용한 통신 단말 장치는 응용 프로그램을 실행하여 문자메시지 수신, 멀티미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다.A communication terminal device using such a mobile operating system often tries to access a communication based on a URL that is entered when executing an application program to receive a text message, receive a multimedia message, receive an e-mail, or perform a content transaction.

하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다.However, since the communication connection based on the received URL does not confirm the harmfulness of the connection destination site, it may happen that the communication connection is intact to the harmful site such as the phishing site, the indecent site at home and abroad, and the gambling site.

이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트의 안내에 따라 비정상적인 송금이 이루어지는 금융 범죄가 발생된다.Especially, access to phishing sites leads to financial crime. For example, when the text message contains URL information that leads to access to a phishing site disguised as a financial institution, the communication terminal apparatus can be easily connected to the phishing site in accordance with the URL information. In accordance with the guidance of the phishing site, Financial crime occurs.

종래 기술에 따른 피싱 사이트 접속 방지방법을 살펴보면, 정상 사이트에 청각적인 멜로디와 시각적인 이미지를 결합한 개인화 멀티미디어 데이터가 송출되도록 하여, 피싱 사이트가 정상 사이트의 개인화 멀티미디어 데이터를 모방하지 못하도록 하고, 이를 통해 사용자가 정상 사이트와 피싱 사이트를 구분할 수 있도록 한다.According to a conventional method for preventing access to a phishing site, personalized multimedia data combining an auditory melody and a visual image is transmitted to a normal site, thereby preventing a phishing site from imitating personalized multimedia data of a normal site, Allows phishing sites to be distinguished from normal sites.

그러나, 이러한 종래 기술은 정상 사이트를 운용하는 사이트 운용 서버 등이 개인화 멀티미디어 데이터를 반드시 수신 및 재생하여야만 한다. 즉, 정상 사이트를 운용하는 주체와의 협업을 통해서만 피싱 사이트의 접속을 방지할 수 있는 문제점이 있었다. 따라서, 사이트를 이용하는 통신 단말 장치의 단독적인 처리로는 피싱 사이트의 접속을 탐지하거나 방지할 수가 없었다.
However, in the related art, a site management server or the like, which operates a normal site, must receive and reproduce personalized multimedia data. That is, there has been a problem that the connection of the phishing site can be prevented only through cooperation with the subject who operates the normal site. Therefore, the connection of the phishing site can not be detected or prevented by the single processing of the communication terminal apparatus using the site.

대한민국 등록특허공보 제1,134,115호, 등록일자 2012년 3월 30일.Korean Registered Patent Publication No. 1,134,115, registered on March 30, 2012.

본 발명의 실시예는, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보함으로써, 탐지 대상 사이트를 운용하는 주체와의 협업이 없어도 피싱 사이트를 탐지하거나 접속을 방지할 수 있도록 한다.According to the embodiment of the present invention, a phishing site is identified and alerted according to image information extracted from the site to be detected, so that the phishing site can be detected or the connection can be prevented even if there is no cooperation with a principal operating the site to be detected.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The problems to be solved by the present invention are not limited to those mentioned above, and another problem to be solved can be clearly understood by those skilled in the art from the following description.

본 발명의 일 관점에 따르면, 이미지 비교를 통한 피싱 사이트 탐지 방법은, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계와, 상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계와, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계와, 상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계를 포함할 수 있다.According to an aspect of the present invention, a method for detecting a phishing site through image comparison includes loading phishing detection criteria information for detecting a phishing site, comparing the phishing detection criterion information with the comparison target image information Comparing the extracted comparison image information with reference image information of a protection site included in the phishing detection criterion information, determining that the detection target site is a phishing concern site And alerting the phishing site detection result.

여기서, 접속 요청된 사이트의 접속 위치 정보를 획득하는 단계와, 기 저장된 탐지 기준 사이트 리스트를 로드하는 단계와, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 단계를 더 포함할 수 있다.The method includes the steps of: acquiring connection location information of a site requested to be connected; loading a pre-stored detection reference site list; determining the detection target site based on a result of comparing the connection location information and the detection reference site list The method comprising the steps of:

또한, 상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함할 수 있다.The phishing detection reference information may further include comparison method information between the reference image information and the comparison image information.

또한, 복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며, 상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함할 수 있다.The phishing detection reference information may include reference image information of the protection site and image extraction range information for extracting the comparison target image information. In addition, the plurality of protection sites may include the respective phishing detection reference information, can do.

또한, 상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며, 상기 추출하는 단계는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하고, 상기 비교하는 단계는, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.The phishing detection reference information may include a similarity reference value for identifying the phishing site, and the extracting step may be repeatedly performed within an image extraction range based on the image extraction range information, Extracting the image information, and comparing the plurality of comparison object image information with the reference image information according to the comparison method information, thereby calculating an error value over a plurality of times.

또한, 상기 경보하는 단계는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별할 수 있다.The warning step may identify the phishing site of concern based on the comparison result between the smallest error value among the calculated error values and the similarity reference value.

또한, 상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집할 수 있다.
In addition, the reference image information of the protection site can be extracted and collected in advance when the plurality of pages constituting the protection site are sequentially displayed on the same screen.

본 발명의 다른 관점에 따르면, 이미지 비교를 통한 피싱 사이트 탐지 장치는, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공하는 탐지 정보 제공부와, 상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 이미지 비교부와, 상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 피싱 경보부를 포함할 수 있다.According to another aspect of the present invention, there is provided an apparatus for detecting a phishing site through image comparison, comprising: detection information providing means for providing phishing detection reference information for detection of a phishing site; An image comparison unit for extracting target image information and comparing the extracted comparison image information with reference image information of a protection site included in the phishing detection reference information; And a phishing alarm unit that alerts the result of the phishing site detection if it is determined to be a site.

여기서, 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 대상 판별부를 더 포함할 수 있다.Here, an object discrimination unit for acquiring connection position information of a site requested to be connected, loading a pre-stored detection reference site list, and determining the detection target site according to a result of comparing the connection position information and the detection reference site list .

또한, 상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함할 수 있다.The phishing detection reference information may further include comparison method information between the reference image information and the comparison image information.

또한, 복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며, 상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함할 수 있다.The phishing detection reference information may include reference image information of the protection site and image extraction range information for extracting the comparison target image information. In addition, the plurality of protection sites may include the respective phishing detection reference information, can do.

또한, 상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며, 상기 이미지 비교부는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 상기 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하고, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.The phishing detection reference information may include a similarity reference value for identifying the phishing site, and the image comparison unit may repeatedly perform the extraction of the comparison target image within the image extraction range based on the image extraction range information Extracting a plurality of comparison object image information, and comparing the plurality of comparison object image information and the reference image information according to the comparison method information, thereby calculating an error value over a plurality of times.

또한, 상기 피싱 경보부는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별할 수 있다.In addition, the phishing warning unit can identify the phishing concern site according to a result of comparison between the smallest error value among the calculated error values and the similarity reference value.

또한, 상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집할 수 있다.
In addition, the reference image information of the protection site can be extracted and collected in advance when the plurality of pages constituting the protection site are sequentially displayed on the same screen.

본 발명의 실시예에 따르면, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보함으로써, 탐지 대상 사이트를 운용하는 주체와의 협업이 없어도 피싱 사이트를 탐지하거나 접속을 방지할 수 있도록 한다.According to the embodiment of the present invention, a phishing site is identified and alerted according to image information extracted from the site to be detected, so that phishing sites can be detected or connection can be prevented even if there is no cooperation with a principal operating the site to be detected .

따라서, 탐지 대상 사이트를 이용하는 통신 단말 장치의 단독적인 처리로도 피싱 사이트의 접속을 탐지하거나 방지할 수 있는 효과가 있다.
Therefore, there is an effect that the connection of the phishing site can be detected or prevented even by a single processing of the communication terminal apparatus using the detection target site.

도 1은 본 발명의 실시예에 따른 피싱 사이트 탐지 장치를 적용한 피싱 사이트 접속 방지 시스템의 네트워크 구성도이다.
도 2는 본 발명의 실시예에 따른 피싱 사이트 탐지 장치의 세부적인 블록 구성도이다.
도 3은 본 발명의 실시예에 따른 피싱 사이트 탐지 방법을 설명하기 위한 흐름도이다.
도 4a 내지 도 4d는 보호 사이트로부터 기준 이미지 정보를 추출하는 과정을 설명하기 위한 접속 화면의 예시도들이다.
도 5는 본 발명의 실시예에 따른 피싱 사이트 탐지 방법에 의하여 이미지를 비교할 구획을 구분하여 나타낸 접속 화면의 구획도이다.
도 6은 본 발명의 실시예에 따른 피싱 사이트 탐지 방법에 의하여 피싱 우려 사이트를 판별할 때에 이미지 비교의 결과값인 오차와 유사도 기준치를 비교하는 과정을 설명하기 위한 그래프이다.1 is a network configuration diagram of a phishing site access prevention system to which a phishing site detection apparatus according to an embodiment of the present invention is applied.
2 is a detailed block diagram of a phishing site detection apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of detecting a phishing site according to an embodiment of the present invention.
4A to 4D are exemplary views of a connection screen for explaining a process of extracting reference image information from a protection site.
FIG. 5 is a block diagram of a connection screen in which sections for comparing images are distinguished by a method of detecting a phishing site according to an embodiment of the present invention. FIG.
FIG. 6 is a graph illustrating a process of comparing an error, which is a result of image comparison, with a reference value of similarity when a phishing site is detected according to the method of detecting a phishing site according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. To fully disclose the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

도 1은 본 발명의 실시예에 따른 피싱 사이트 탐지 장치를 적용한 피싱 사이트 접속 방지 시스템의 네트워크 구성도이다.1 is a network configuration diagram of a phishing site access prevention system to which a phishing site detection apparatus according to an embodiment of the present invention is applied.

이에 나타낸 바와 같이 피싱 사이트 접속 방지 시스템은, 피싱 사이트 탐지 장치(100)를 탑재하는 통신 단말 장치(10), 통신망(20), 사이트 운용 서버(31, 33), 피싱 사이트 탐지 서버(200) 등을 포함한다.As shown in the figure, the phishing site access prevention system includes a communication terminal device 10, a communication network 20, site operation servers 31 and 33, a phishing site detection server 200, and the like, on which the phishing site detection device 100 is installed .

통신 단말 장치(10)는 안드로이드, i-OS, 윈도우 모바일 등의 모바일 운영체제가 탑재되어 통신망(20)을 통해 각종 사이트에 접속할 수 있는 스마트 기기이다. 예컨대, 스마트폰, 태블릿 PC 등으로 구현할 수 있다.The communication terminal device 10 is a smart device on which a mobile operating system such as Android, i-OS, and Windows mobile is installed and can access various sites through the communication network 20. [ For example, a smart phone, a tablet PC, or the like.

사이트 운용 서버(31, 33)는 통신망(20)을 통해 접속된 통신 단말 장치(10)에게 각종 정보 및 이미지를 제공할 수 있는 사이트를 운용하는 주체이다. 이러한 사이트 운용 서버(31, 33)가 악의적으로 운용될 경우에는 금융기관 등으로 위장한 피싱 사이트를 운용하여 통신 단말 장치(10)의 접속을 유도할 수 있다. 여기서, 사이트 운용 서버(31, 33)에 #1, #N을 병기한 것은 도시된 2개 이외에도 여러 개의 사이트 운용 서버들이 운용될 수 있음을 나타낸 것이다.The site management servers 31 and 33 are entities operating a site capable of providing various information and images to the communication terminal apparatus 10 connected via the communication network 20. [ When the site servers 31 and 33 are maliciously operated, a phishing site disguised as a financial institution may be operated to induce the connection of the communication terminal apparatus 10. [ Here, # 1 and #N are listed in the site management servers 31 and 33, which indicates that a plurality of site management servers other than the two shown can be operated.

피싱 사이트 탐지 장치(100)는 사이트 운용 서버(31, 33)에 의해 운용되는 탐지 대상 사이트로부터 추출한 비교 대상 이미지 정보와 기준 이미지 정보의 비교 결과에 따라 피싱 우려 사이트를 판별하여 경보한다. 이러한 피싱 사이트 탐지 장치(100)의 세부적인 구성요소에 대해서는 도 2를 참조하여 설명하기로 한다.The phishing site detection device 100 identifies and alerts the user of the site of phishing concern according to the result of comparison between the comparison image information extracted from the detection site operated by the site operation servers 31 and 33 and the reference image information. The detailed components of the phishing site detection apparatus 100 will be described with reference to FIG.

피싱 사이트 탐지 서버(200)는 사이트 운용 서버(31, 33) 또는 여타의 사이트 운용 서버에 의해 운용되는 사이트들 중에서 피싱 행위로부터 보호하고자 하는 보호 사이트를 대상으로 하여 피싱 탐지를 위해 이용하기 위한 기준 이미지 정보를 수집하며, 수집된 기준 이미지 정보를 통신 단말 장치(10)에 탑재된 피싱 사이트 탐지 장치(100)에게 제공한다.
The phishing site detection server 200 detects a phishing site from among the sites operated by the site operation servers 31 and 33 or other site operation servers, And provides the collected reference image information to the phishing site detection apparatus 100 mounted on the communication terminal apparatus 10. [

도 2는 본 발명의 실시예에 따른 피싱 사이트 탐지 장치의 세부적인 블록 구성도이다.2 is a detailed block diagram of a phishing site detection apparatus according to an embodiment of the present invention.

이에 나타낸 바와 같이 피싱 사이트 탐지 장치(100)는, 탐지 정보 제공부(110), 대상 판별부(120), 이미지 비교부(130), 피싱 경보부(140) 등을 포함한다.The phishing site detection apparatus 100 includes a detection information providing unit 110, an object determining unit 120, an image comparing unit 130, a phishing alarm unit 140, and the like.

탐지 정보 제공부(110)는 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공한다.The detection information providing unit 110 provides phishing detection reference information for detecting a phishing site.

대상 판별부(120)는 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별한다.The object determining unit 120 obtains connection location information of a site requested to be connected, loads a pre-stored detection reference site list, and determines a detection target site according to a result of comparing the connection location information and the detection reference site list.

이미지 비교부(130)는 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 비교 대상 이미지 정보와 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하여 오차 값을 산출한다.The image comparison unit 130 extracts the comparison object image information from the detection target site based on the phishing detection reference information, compares the extracted comparison image information with the reference image information of the protection site included in the phishing detection reference information, Lt; / RTI >

여기서, 복수의 보호 사이트는 각각 개별의 피싱 탐지 기준 정보를 가지며, 피싱 탐지 기준 정보는 탐지 대상 사이트의 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보, 기준 이미지 정보와 비교 대상 이미지 정보의 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 포함한다. 따라서, 이미지 비교부(130)는 기준 이미지 정보와 비교 대상 이미지 정보를 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 따라 비교하여 오차를 산출할 수 있다.Here, the plurality of protection sites each have individual phishing detection reference information, the phishing detection reference information includes image extraction range information for extracting comparison image information of the detection target site, a comparison method of reference image information and comparison image information Information, a similarity standard value for discrimination of phishing concern sites, and the like. Accordingly, the image comparing unit 130 may calculate the error by comparing the reference image information and the comparison image information according to the comparison scheme information included in the phishing detection reference information.

또한, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 비교 대상 이미지 정보를 추출할 수 있으며, 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 따라 복수의 비교 대상 이미지 정보와 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.In addition, the image comparing unit 130 may extract a plurality of comparison object image information by repeatedly extracting the comparison object image within the image extraction range based on the image extraction range information included in the phishing detection reference information, The plurality of comparison object image information and the reference image information may be compared according to the comparison method information included in the detection reference information, and the error value may be calculated over a plurality of times.

피싱 경보부(140)는 이미지 비교부(130)에 의한 이미지 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보한다. 이러한 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 오차와 피싱 탐지 기준 정보에 포함된 유사도 기준치의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다. 이러한 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 오차 값 중에서 가장 작은 최소 오차 값과 유사도 기준치와의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다.
The phishing warning unit 140 alerts the phishing site detection result if the detection target site is determined as a site of concern for phishing based on the result of the image comparison by the image comparison unit 130. [ The phishing warning unit 140 can identify a site of concern about phishing according to the result of comparison between the error calculated by the image comparing unit 130 and the similarity reference value included in the phishing detection reference information. The phishing alarm unit 140 can identify a site of concern about phishing according to the result of comparison between the smallest error value and the similarity reference value among the error values calculated by the image comparison unit 130.

도 3은 본 발명의 실시예에 따른 피싱 사이트 탐지 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of detecting a phishing site according to an embodiment of the present invention.

이에 나타낸 바와 같이 본 발명의 피싱 사이트 탐지 방법은, 피싱 행위로부터 보호하고자 하는 보호 사이트의 기준 이미지 정보를 수집하여 기준 이미지 정보, 탐지 대상 사이트의 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보, 기준 이미지 정보와 비교 대상 이미지 정보의 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 포함하는 피싱 탐지 기준 정보를 저장하는 단계(S301, S303)를 포함한다.As described above, the method of detecting a phishing site of the present invention collects reference image information of a protection site to be protected from phishing behavior and generates reference image information, image extraction range information for extracting comparison image information of the detection target site, (S301, S303) storing phishing detection reference information including comparison method information of image information and comparison image information, a similarity reference value for discrimination of a phishing concern site, and the like.

그리고, 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별하는 단계(S305 내지 S313)를 더 포함한다.(S305 to S313) of obtaining connection location information of a site requested to be connected, loading a pre-stored detection reference site list, and determining a detection target site according to a result of comparing the connection location information and the detection reference site list, .

아울러, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계(S315), 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계(S317), 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계(S319)를 더 포함한다.(S315) of loading phishing detection reference information for detecting a phishing site, extracting comparison image information from the detection target site based on the phishing detection reference information (S317), comparing the extracted information from the detection target site And comparing the target image information with the reference image information of the protection site included in the phishing detection reference information (S319).

또한, 비교 대상 이미지 정보와 기준 이미지 정보의 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계(S321 내지 S325)를 더 포함한다.The method further includes the step (S321 to S325) of alerting the detection result of the phishing site if the detection target site is determined to be a site of phishing concern according to the result of the comparison of the comparison image information and the reference image information.

본 발명의 실시예에 따른 피싱 사이트 탐지 방법은 도 1 내지 도 6를 참조하는 아래의 설명으로부터 충분히 이해할 수 있다.The method of detecting a phishing site according to an embodiment of the present invention can be fully understood from the following description with reference to Figs.

이하, 도 1 내지 도 6를 참조하여 본 발명의 실시예에 따른 피싱 사이트 탐지 장치가 피싱 사이트 접속 방지 시스템에서 피싱 우려 사이트를 판별하여 경보하는 과정에 대해 자세히 살펴보기로 한다.Hereinafter, a process of detecting and alarming a site of phishing concern in the phishing site access prevention system according to an embodiment of the present invention will be described in detail with reference to FIG. 1 to FIG.

먼저, 피싱 사이트 탐지 서버(200)는 피싱 행위로부터 보호하고자 하는 보호 사이트의 기준 이미지 정보를 수집한다. 이를 위해 피싱 사이트 탐지 서버(200)는 사이트 운용 서버(31, 33)나 여타의 사이트 운용 서버에 의해 운용되는 사이트들 중에서 피싱 행위로부터 보호하고자 하는 사이트에 접속하며, 해당 사이트를 구성하는 복수의 페이지를 열람한다. 그리고, 열람한 페이지들에 포함된 이미지들 중에서 각 페이지들에 모두 포함된 중첩 이미지 정보를 추출하며, 추출된 중첩 이미지 정보를 해당 사이트의 기준 이미지 정보로서 수집한다(S301).First, the phishing site detection server 200 collects reference image information of a protection site to be protected from phishing. To this end, the phishing site detection server 200 accesses a site to be protected from phishing behavior among the sites operated by the site operation servers 31 and 33 or other site operation servers, and accesses a plurality of pages . Then, the superimposed image information included in each page is extracted from the images included in the viewed pages, and the extracted superimposed image information is collected as reference image information of the corresponding site (S301).

도 4a 내지 도 4d를 참조하면, “http://shop.ahnlab.com”이 보호 사이트일 경우에 먼저 도 4a의 메인 페이지를 열람하고, 서브 페이지인 도 4b 및 도 4c도 순차적으로 열람한다. 그리고, 이러한 복수의 페이지들을 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보인 도 4d를 해당하는 보호 사이트의 기준 이미지 정보로서 수집한다. 통상적으로 대부분의 사이트들은 페이지마다 변하지 않고 중첩되는 위치에 로고 등과 같은 이미지 정보를 포함하며, 피싱 사이트는 이러한 이미지를 그대로 차용하여 사용자들로 하여금 정상 사이트로 착각하게끔 한다. 이에 착안하여, 본 발명의 실시예에서는 보호 사이트의 기준 이미지 정보를 수집하여 이를 피싱 우려 사이트를 탐지하는 데에 활용한다.Referring to Figs. 4A to 4D, when " http://shop.ahnlab.com " is a protection site, the main page of Fig. 4A is first browsed and the sub pages of Figs. 4B and 4C are sequentially browsed. When sequentially displaying the plurality of pages on the same screen, FIG. 4D, which is superimposed image information, is collected as reference image information of the corresponding protection site. Typically, most sites contain image information such as logos and the like in a position that does not change for each page, and the phishing site borrows the image as it is and makes the users mistaken as a normal site. Accordingly, in the embodiment of the present invention, the reference image information of the protection site is collected and utilized for detecting the site of concern about the phishing.

피싱 사이트 탐지 서버(200)가 보호 사이트의 기준 이미지 정보를 수집하여 통신 단말 장치(10)에게 제공하며, 통신 단말 장치(10)에 탑재된 피싱 사이트 탐지 장치(100)의 탐지 정보 제공부(110)는 기준 이미지 정보가 포함된 피싱 탐지 기준 정보를 저장한다(S303).The phishing site detection server 200 collects the reference image information of the protection site and provides the same to the communication terminal apparatus 10 and the detection information providing unit 110 of the phishing site detection apparatus 100 installed in the communication terminal apparatus 10 Stores the phishing detection reference information including the reference image information (S303).

여기서, 탐지 정보 제공부(110)에 의해 저장되는 피싱 탐지 기준 정보에는 탐지 대상 사이트의 이미지 추출 범위 정보, 이미지 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 더 포함한다. 이러한 피싱 탐지 기준 정보에 포함되는 개별의 정보들에 대해서는 아래의 적소에서 설명하기로 한다.Here, the phishing detection reference information stored by the detection information providing unit 110 further includes image extraction range information of the detection target site, image comparison scheme information, a similarity reference value for discrimination of a phishing concern site, and the like. The individual pieces of information included in the phishing detection reference information will be described below in the appropriate places.

그리고, 피싱 사이트 탐지 장치(100)는 피싱 사이트 탐지 서버(200)로부터 피싱 탐지 기준 정보를 제공받지 않고 처음부터 탐지 기준 정보를 사전 저장한 상태에서 운용되는 스탠드 얼론(standalone) 방식으로 동작할 수도 있다.The phishing site detection apparatus 100 may operate in a standalone manner in which phishing detection information is not provided from the phishing site detection server 200 and the detection reference information is stored in advance .

피싱 사이트 탐지 장치(100)에 의해 피싱 사이트 탐지(S305)가 시작된 상태에서 통신 단말 장치(10)에 의해 사이트 접속이 시도(S307)되면 피싱 사이트 탐지 장치(100)의 대상 판별부(120)가 접속 요청된 사이트의 접속 위치 정보를 획득하고(S309), 기 저장된 탐지 기준 사이트 리스트를 로드하며(S311), 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별한다(S313).When the phishing site detection apparatus 100 starts the phishing site detection (S305) and the site connection is attempted by the communication terminal apparatus 10 (S307), the object discrimination unit 120 of the phishing site detection apparatus 100 (S309), loads a pre-stored detection reference site list (S311), and determines a detection target site based on a result of comparing the connection location information and the detection reference site list (S313 ).

여기서, 탐지 기준 사이트 리스트에는 정상 사이트 또는 피싱 사이트의 접속 위치 정보가 포함될 수 있다. 예컨대, 이미 수행된 피싱 사이트 탐지 과정에 의해 정상 사이트로 판별되었거나 피싱 사이트로 판별된 사이트에 대해서는 또 다시 피싱 우려 사이트인지를 판별할 필요가 없다. 즉, 대상 판별부(120)는 탐지 기준 사이트 리스트에 포함되지 않은 접속 위치 정보를 가지는 사이트에 대해서만 탐지 대상 사이트로 판별할 수 있다. 여기서, 접속 위치 정보는 URL 정보 또는 이에 대응하는 IP 주소 정보를 이용할 수 있다.Here, the detection reference site list may include connection site information of a normal site or a phishing site. For example, it is not necessary to determine again whether the site is identified as a normal site or a phishing site by the already performed phishing site detection process. That is, the object determining unit 120 can determine only the site having the connection location information not included in the detection reference site list as the detection target site. Here, the connection location information may use URL information or IP address information corresponding thereto.

대상 판별부(120)에 의해 탐지 대상 사이트로 판별되면 피싱 사이트 탐지 장치(100)의 이미지 비교부(130)는 탐지 정보 제공부(110)로부터 피싱 탐지 기준 정보를 로드한다(S315).When the target discriminating unit 120 discriminates the site to be detected, the image comparing unit 130 of the phishing site detecting apparatus 100 loads the phishing detection criterion information from the detection information providing unit 110 at step S315.

이어서, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 따라 탐지 대상 사이트의 화면 중 소정의 위치에서 기준 이미지 정보와 동일한 크기의 비교 대상 이미지 정보를 추출하며(S317), 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 기준 이미지 정보를 비교하여 오차를 산출한다(S319). 이러한 이미지 정보 추출 및 오차 산출 과정은 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 내에서 반복적으로 수행된다. 예컨대, 설정된 개수의 픽셀 단위로 이미지 추출 위치를 변경하면서 기준 이미지 정보와 비교하여 오차를 산출할 수 있다. 그리고, 이미지 비교부(130)는 여러 회에 걸쳐서 산출한 오차 값 중에서 가장 작은 최소 오차 값을 피싱 경보부(140)에게 제공한다.Subsequently, the image comparing unit 130 extracts comparison target image information having the same size as the reference image information at a predetermined position on the screen of the detection target site according to the image extraction range information included in the phishing detection reference information (S317) The comparison target image information extracted from the detection target site is compared with the reference image information to calculate an error (S319). This image information extraction and error calculation process is repeatedly performed within the image extraction range included in the phishing detection reference information. For example, an error can be calculated by comparing the image extraction position with the reference image information while changing the image extraction position in units of a set number of pixels. The image comparator 130 provides the phishing alarm unit 140 with the smallest error value among the error values calculated several times.

이 때, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 의거하여 접속 화면의 특정 구획에서 이미지 비교를 위한 이미지 정보를 추출하기 때문에 접속 화면의 전체를 대상으로 할 때보다 더 신속하게 오차 산출 과정을 끝낼 수 있다. 예컨대, 도 5에 예시한 접속 화면(400)을 구성하는 복수의 화면 구획(401 내지 406) 중에서 화면 구획(401)이 이미지 추출 범위 정보로서 피싱 탐지 기준 정보에 포함되어 있으면 이미지 비교부(130)는 접속 화면(400)의 전체를 대상으로 하여 비교 대상 이미지 정보를 추출하지 않고, 접속 화면(400)의 화면 구획(401)만을 대상으로 하여 비교 대상 이미지 정보를 추출한다. 이에, 접속 화면(400)의 전체를 대상으로 하여 이미지 정보를 추출할 때와 비교하면 상대적으로 적은 연산 처리에 의해 더 빠른 시간 내에 이미지 정보 추출 및 비교 과정을 끝낼 수 있다.At this time, since the image comparing unit 130 extracts image information for image comparison from a specific segment of the connection screen based on the image extraction range information included in the phishing detection reference information, The error calculation process can be completed more quickly. For example, if the screen segment 401 is included in the phishing detection reference information as the image extraction range information among the plurality of screen segments 401 to 406 constituting the connection screen 400 illustrated in FIG. 5, Extracts the comparison object image information only for the screen segment 401 of the connection screen 400 without extracting the comparison object image information on the entire connection screen 400. [ Accordingly, the image information extraction and comparison process can be finished within a shorter time by relatively fewer calculation processes as compared with extracting the image information with respect to the entire connection screen 400.

아울러, 피싱 탐지 기준 정보에 포함된 비교 방식 정보는 이미지 비교부(130)가 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 기준 이미지 정보를 비교할 때에 이용하게 된다. 예컨대, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 의거하여 픽셀 단위의 색상 차이값을 합산하여 비교하는 방식으로 이미지를 비교하거나 가로축과 세로축의 색상 분포를 나타내는 히스토그램을 비교하는 방식으로 이미지를 비교할 수 있다(S321).In addition, the comparison method information included in the phishing detection reference information is used when the image comparing unit 130 compares the comparison target image information extracted from the detection target site with the reference image information. For example, the image comparing unit 130 compares the images by comparing the color difference values of the pixel units on the basis of the comparison scheme information included in the phishing detection reference information, and compares the histograms representing the color distributions of the horizontal axis and the vertical axis (S321). ≪ / RTI >

여기서, 이미지 비교부(130)는 이미지 비교 시간을 단축하기 위해 처음에는 기 설정된 복수의 픽셀 단위로 이미지 추출 위치를 변경하여 띄엄띄엄 기준 이미지 정보와의 오차를 계산하며, 오차 값이 기 설정된 값보다 낮은 영역에서만 한 픽셀 단위로 이미지 추출 위치를 변경하면서 기준 이미지 정보와의 오차를 계산할 수도 있다.Here, in order to shorten the image comparison time, the image comparator 130 first calculates an error with respect to the reference image information by changing the image extraction position in units of predetermined pixels, and when the error value is greater than a preset value It is also possible to calculate the error with respect to the reference image information while changing the image extraction position in units of one pixel only in the low region.

다음으로, 피싱 사이트 탐지 장치(100)의 피싱 경보부(140)는 이미지 비교부(130)에 의한 이미지 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트인지를 판별한다. 여기서, 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 최소 오차 값과 피싱 탐지 기준 정보에 포함된 유사도 기준치의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다.Next, the phishing warning unit 140 of the phishing site detection apparatus 100 determines whether the detection target site is a phishing site, based on the result of the image comparison by the image comparison unit 130. [ Here, the phishing alarm unit 140 can identify a site of concern about phishing according to the result of comparison between the minimum error value calculated by the image comparison unit 130 and the similarity reference value included in the phishing detection reference information.

예컨대, 도 6에 나타낸 그래프와 같이 탐지 대상 사이트인 A 사이트, B 사이트 및 C 사이트의 이미지 비교에 따라 산출된 최소 오차 값과 피싱 탐지 기준 정보에 기 설정된 유사도 기준치를 비교하며, 유사도 기준치보다 더 낮은 오차 값을 가지는 A 사이트를 피싱 우려 사이트로 판별할 수 있다(S323).For example, as shown in the graph of FIG. 6, the minimum error value calculated according to the image comparison of the A site, the B site, and the C site as the detection target sites is compared with the predetermined similarity reference value to the phishing detection reference information, A site having an error value can be identified as a site of phishing concern (S323).

아울러, 피싱 경보부(140)는 피싱 사이트 탐지 결과를 화면이나 음향 등을 통해 출력하여 사용자에게 경보하거나 통신 단말 장치(10)에게 전달하여 피싱 사이트 탐지 결과를 출력할 수 있도록 한다. 이에 따라, 통신 단말 장치(10)가 피싱 사이트에 접속하는 것을 방지할 수 있다(S325).In addition, the phishing alarm unit 140 outputs the detection result of the phishing site through a screen or sound to alert the user or the communication terminal apparatus 10 to output the result of the detection of the phishing site. Accordingly, it is possible to prevent the communication terminal apparatus 10 from accessing the phishing site (S325).

한편, 도 1 내지 도 3의 예시에서는 피싱 사이트 탐지 서버(200)가 보호 사이트를 대상으로 하여 기준 이미지 정보를 수집하여 통신 단말 장치(10)에게 제공하면 피싱 사이트 탐지 장치(100)가 피싱 우려 사이트를 직접 판별하여 경보하는 경우를 설명하였다. 이외에도, 피싱 사이트 탐지 장치(100)가 통신 단말 장치(10)에 의해 접속이 시도되는 탐지 대상 사이트의 접속 위치 정보를 획득하여 피싱 사이트 탐지 서버(200)에게 제공하면 피싱 사이트 탐지 서버(200)가 탐지 대상 사이트를 대상으로 하여 피싱 우려 사이트를 판별한 후에 그 판별 결과를 통신 단말 장치(10)에게 제공하도록 구현할 수도 있다.
1 to 3, when the phishing site detection server 200 collects reference image information for the protection site and provides the collected image information to the communication terminal apparatus 10, the phishing site detection apparatus 100 detects a site And the alarm is detected. In addition, when the phishing site detection device 100 obtains the connection location information of the detection target site to be accessed by the communication terminal device 10 and provides the information to the phishing site detection server 200, the phishing site detection server 200 It is also possible to provide the communication terminal apparatus 10 with a result of the determination after the phishing site is identified with respect to the site to be detected.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Each block of the accompanying block diagrams and combinations of steps of the flowchart may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory It is also possible for the instructions stored in the block diagram to produce a manufacturing item containing instruction means for performing the functions described in each block or flowchart of the block diagram. Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the processing equipment provide the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially concurrently, or the blocks or steps may sometimes be performed in reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

100 : 피싱 사이트 탐지 장치
110 : 탐지 정보 제공부
120 : 대상 판별부
130 : 이미지 비교부
140 : 피싱 경보부100: Phishing site detection device
110: Detection information providing service
120: object discrimination unit
130:
140: Phishing alarm

Claims (14)

피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계와,
상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계와,
추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계와,
상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계
를 포함하는 이미지 비교를 통한 피싱 사이트 탐지 방법.
Loading phishing detection criteria information for detection of a phishing site,
Extracting comparison target image information from a detection target site based on the phishing detection reference information,
Comparing the extracted comparison image information with reference image information of a protection site included in the phishing detection reference information,
If the detection site is determined to be a site of concern for phishing according to a result of the comparison,
A method for detecting a phishing site through image comparison comprising:
제 1 항에 있어서,
접속 요청된 사이트의 접속 위치 정보를 획득하는 단계와,
기 저장된 탐지 기준 사이트 리스트를 로드하는 단계와,
상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 단계
를 더 포함하는 이미지 비교를 통한 피싱 사이트 탐지 방법.
The method according to claim 1,
Acquiring connection location information of a site requested to be accessed;
Loading a pre-stored detection criteria site list,
Determining a site to be detected based on a result of comparing the connection location information and the detection reference site list
The method comprising the steps of:
제 1 항에 있어서,
상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함하는
이미지 비교를 통한 피싱 사이트 탐지 방법.
The method according to claim 1,
Wherein the phishing detection reference information further includes comparison method information between the reference image information and the comparison object image information
How to detect phishing sites through image comparison.
제 3 항에 있어서,
복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며,
상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함하는
이미지 비교를 통한 피싱 사이트 탐지 방법.
The method of claim 3,
Wherein the plurality of protection sites have respective phishing detection reference information,
Wherein the phishing detection reference information includes reference image information of the protection site and image extraction range information for extracting the comparison target image information
How to detect phishing sites through image comparison.
제 4 항에 있어서,
상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며,
상기 추출하는 단계는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하며,
상기 비교하는 단계는, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출하는
이미지 비교를 통한 피싱 사이트 탐지 방법.
 5. The method of claim 4,
Wherein the phishing detection reference information includes a similarity reference value for discriminating the phishing concern site,
Wherein the extracting step repeatedly performs the extraction within the image extraction range based on the image extraction range information to extract a plurality of the comparison object image information,
Wherein the comparison step compares the plurality of comparison object image information and the reference image information according to the comparison method information to calculate an error value over a plurality of times
How to detect phishing sites through image comparison.
제 5 항에 있어서,
상기 경보하는 단계는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별하는
이미지 비교를 통한 피싱 사이트 탐지 방법.
6. The method of claim 5,
The alarming step determines the phishing site of concern based on the comparison result between the smallest error value among the calculated error values and the similarity reference value
How to detect phishing sites through image comparison.
제 1 항에 있어서,
상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집하는
이미지 비교를 통한 피싱 사이트 탐지 방법.
The method according to claim 1,
The reference image information of the protection site is extracted and collected in advance when the plurality of pages constituting the protection site are sequentially displayed on the same screen
How to detect phishing sites through image comparison.
피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공하는 탐지 정보 제공부와,
상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 이미지 비교부와,
상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 피싱 경보부
를 포함하는 이미지 비교를 통한 피싱 사이트 탐지 장치.
A detection information providing unit for providing phishing detection reference information for detecting a phishing site,
An image comparison unit for extracting the comparison object image information from the detection target site based on the phishing detection reference information and comparing the extracted comparison image information with the reference image information of the protection site included in the phishing detection reference information,
A phishing warning unit for informing the result of the detection of the phishing site if the detection target site is determined as a site of concern about phishing according to a result of the comparison;
The phishing site detection device comprising:
제 8 항에 있어서,
접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 대상 판별부
를 더 포함하는 이미지 비교를 통한 피싱 사이트 탐지 장치.
9. The method of claim 8,
An object determination unit for obtaining the connection location information of the site requested to be connected, loading the pre-stored detection reference site list, and determining the detection target site according to a result of comparing the connection location information and the detection reference site list,
The phishing site detection device further comprising:
제 8 항에 있어서,
상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함하는
이미지 비교를 통한 피싱 사이트 탐지 장치.
9. The method of claim 8,
Wherein the phishing detection reference information further includes comparison method information between the reference image information and the comparison object image information
Phishing site detection through image comparison.
제 10 항에 있어서,
복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며,
상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함하는
이미지 비교를 통한 피싱 사이트 탐지 장치.
11. The method of claim 10,
Wherein the plurality of protection sites have respective phishing detection reference information,
Wherein the phishing detection reference information includes reference image information of the protection site and image extraction range information for extracting the comparison target image information
Phishing site detection through image comparison.
제 11 항에 있어서,
상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며,
상기 이미지 비교부는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 상기 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하며, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출하는
이미지 비교를 통한 피싱 사이트 탐지 장치.
 12. The method of claim 11,
Wherein the phishing detection reference information includes a similarity reference value for discriminating the phishing concern site,
Wherein the image comparison unit repeatedly extracts the comparison object image within an image extraction range by the image extraction range information to extract a plurality of the comparison object image information, The image information is compared with the reference image information to calculate an error value several times
Phishing site detection through image comparison.
제 12 항에 있어서,
상기 피싱 경보부는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별하는
이미지 비교를 통한 피싱 사이트 탐지 장치.
13. The method of claim 12,
The phishing warning unit discriminates the phishing site of concern based on a result of comparison between the smallest error value among the calculated error values and the similarity reference value
Phishing site detection through image comparison.
제 8 항에 있어서,
상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집하는
이미지 비교를 통한 피싱 사이트 탐지 장치.

 9. The method of claim 8,
The reference image information of the protection site is extracted and collected in advance when the plurality of pages constituting the protection site are sequentially displayed on the same screen
Phishing site detection through image comparison.

KR1020130073106A 2013-06-25 2013-06-25 Method and apparatus for detection of phishing site by image comparison KR101473671B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130073106A KR101473671B1 (en) 2013-06-25 2013-06-25 Method and apparatus for detection of phishing site by image comparison
PCT/KR2014/005469 WO2014208937A1 (en) 2013-06-25 2014-06-20 Phishing site detecting method using image comparison and apparatus therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130073106A KR101473671B1 (en) 2013-06-25 2013-06-25 Method and apparatus for detection of phishing site by image comparison

Publications (1)

Publication Number Publication Date
KR101473671B1 true KR101473671B1 (en) 2014-12-17

Family

ID=52142214

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130073106A KR101473671B1 (en) 2013-06-25 2013-06-25 Method and apparatus for detection of phishing site by image comparison

Country Status (2)

Country Link
KR (1) KR101473671B1 (en)
WO (1) WO2014208937A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101723646B1 (en) * 2015-12-31 2017-04-06 네이버 주식회사 Device and method for analyzing website, and computer program for executing the method
KR20220129776A (en) * 2021-03-17 2022-09-26 주식회사 에스투더블유 Method and system tracking abnormal transaction in e-commerce
KR20230075950A (en) * 2021-11-23 2023-05-31 (주)닥터소프트 Cloud service usage detection method based on image analysis and server performing the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805346B2 (en) * 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100844195B1 (en) * 2007-02-28 2008-07-04 (주)민인포 A user authentication method of having used graphic OTP
KR100956452B1 (en) * 2008-07-16 2010-05-06 인하대학교 산학협력단 A method for protecting from phishing attack
KR101000575B1 (en) * 2009-03-29 2010-12-14 인하대학교 산학협력단 Authentication protocol based on composed image

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101723646B1 (en) * 2015-12-31 2017-04-06 네이버 주식회사 Device and method for analyzing website, and computer program for executing the method
KR20220129776A (en) * 2021-03-17 2022-09-26 주식회사 에스투더블유 Method and system tracking abnormal transaction in e-commerce
KR102580011B1 (en) * 2021-03-17 2023-09-19 주식회사 에스투더블유 Method and system tracking abnormal transaction in e-commerce
KR20230075950A (en) * 2021-11-23 2023-05-31 (주)닥터소프트 Cloud service usage detection method based on image analysis and server performing the same
KR102561010B1 (en) * 2021-11-23 2023-07-28 (주)닥터소프트 Cloud service usage detection method based on image analysis and server performing the same

Also Published As

Publication number Publication date
WO2014208937A1 (en) 2014-12-31

Similar Documents

Publication Publication Date Title
US10484424B2 (en) Method and system for security protection of account information
JP6716559B2 (en) Method and apparatus for displaying information
US20210082279A1 (en) Method and device for updating online self-learning event detection model
US20160014148A1 (en) Web anomaly detection apparatus and method
US20150026813A1 (en) Method and system for detecting network link
CN111711617A (en) Method and device for detecting web crawler, electronic equipment and storage medium
KR101473671B1 (en) Method and apparatus for detection of phishing site by image comparison
CN104980404B (en) Method and system for protecting account information security
CN107948199B (en) Method and device for rapidly detecting terminal shared access
US9622048B2 (en) SNS based incident management
CN108920037B (en) Method and device for displaying virtual three-dimensional space of house
CN107357821B (en) System management method, device and storage medium
CN114205212A (en) Network security early warning method, device, equipment and readable storage medium
CN109271228A (en) Interface function recognition methods, device and the electronic equipment of application
CN106209918A (en) The method of a kind of internet security management and terminal
CN116707965A (en) Threat detection method and device, storage medium and electronic equipment
CN106789973B (en) Page security detection method and terminal equipment
WO2018210039A1 (en) Data processing method, data processing device, and storage medium
KR101206086B1 (en) Sytstem and method for protecting phishing by authenticaion of calling number
KR20180094731A (en) Apparatus and method for detecting screen recoding in mobile device
CN108243051A (en) Domain Hijacking protection processing method and device
CN107358117B (en) Switching method, electronic equipment and computer storage medium
CN104301300B (en) A kind of method, client and the system of detection phishing scam risk
KR101869264B1 (en) Apparatus and method for detecting phishing sites
CN107995167B (en) Equipment identification method and server

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171211

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181211

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 6