KR101503456B1 - Terminal device and control method thereof - Google Patents

Terminal device and control method thereof Download PDF

Info

Publication number
KR101503456B1
KR101503456B1 KR1020130027836A KR20130027836A KR101503456B1 KR 101503456 B1 KR101503456 B1 KR 101503456B1 KR 1020130027836 A KR1020130027836 A KR 1020130027836A KR 20130027836 A KR20130027836 A KR 20130027836A KR 101503456 B1 KR101503456 B1 KR 101503456B1
Authority
KR
South Korea
Prior art keywords
service page
attack
service
page
obfuscation
Prior art date
Application number
KR1020130027836A
Other languages
Korean (ko)
Other versions
KR20140113013A (en
Inventor
이민정
박종희
홍승균
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020130027836A priority Critical patent/KR101503456B1/en
Publication of KR20140113013A publication Critical patent/KR20140113013A/en
Application granted granted Critical
Publication of KR101503456B1 publication Critical patent/KR101503456B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box

Abstract

본 발명은, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능하여, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법을 개시하고 있다.Since the malicious attack is determined based on the result of monitoring the webkit engine, the present invention can precisely detect not only a web browser but also a malicious attack targeting a web application, obfuscated malicious attack and HTML5 , And discloses an operation method of a terminal device and a terminal device having a security technology suitable for a mobile environment while solving the limitations of existing security technology, as well as detecting various malicious attacks.

Description

단말장치 및 단말장치의 동작 방법{TERMINAL DEVICE AND CONTROL METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a terminal device and a terminal device,

본 발명은 단말장치 및 단말장치의 동작 방법에 관한 것으로, 더욱 상세하게는, 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하는 보안기술로서 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법에 관한 것이다.The present invention relates to a method of operating a terminal device and a terminal device, and more particularly, to a security technique corresponding to a hacking technology targeting a client web browser, And a method of operating the terminal device.

클라이언트 웹 브라우저를 대상으로 하는 해킹 기술은 웹 브라우저를 통한 인터넷 접속이 활성화된 시기에 대거 등장하였으며, 최근 해킹 기술은 취약한 웹 페이지에 공격코드를 삽입하여 클라이언트 웹 브라우저로 하여금 공격코드를 수행하도록 하는 교차 스크립트 공격 기술로 발전하게 되었다. Hacking technology targeting client web browsers has appeared at a time when Internet access through a web browser has been activated. Recently, hacking techniques have been used to insert attack codes into vulnerable web pages, It was developed as a script attack technology.

이에, 이러한 해킹 기술에 대응하기 위한 보안기술로서, 기존에는 웹 어플리케이션의 취약점을 분석하여 공격자로부터 시도될 공격을 미연에 방지하는 보안기술1, 웹 서버를 보호하는 방화벽 보안기술2, 서버와 클라이언트 간의 게이트웨이를 통한 보안 보안기술3, 클라이언트에 보안을 적용하여 악의적인 웹 서버 응답으로부터 클라이언트를 보호하는 보안기술4 등 다양한 보안기술이 제안되었다. As a security technique for coping with such a hacking technique, there has been proposed a security technology 1 for analyzing a vulnerability of a web application and preventing an attack to be attempted from an attacker, a firewall security technology 2 for protecting a web server, Various security technologies such as security security technology through gateway, security technology for protecting client against malicious web server response by applying security to client, and the like have been proposed.

하지만, 전술한 보안기술1의 경우 개발자의 수작업이 요구되며 이는 결국 모든 취약점을 커버할 수 없는 한계를 가지며, 보안기술2 및 보안기술3의 경우 공격코드가 변형되거나 또는 난독화 되는 경우에는 탐지가 불가능한 기술적 한계를 가지며, 마지막으로 보안기술4의 경우 과거 HTML4 를 기반으로 하는 공격코드만 탐지할 수 있다는 기술적 한계를 갖는다.However, in the case of the security technology 1 described above, the manual operation of the developer is required, which can not cover all the vulnerabilities. In the case of the security technologies 2 and 3, if the attack code is transformed or obfuscated, Finally, security technology 4 has a technical limitation in that it can only detect attack codes based on HTML4 in the past.

또한, 전술한 기존의 보안기술은 PC 클라이언트를 대상으로 제안된 보안기술로서, 모바일 클라이언트에 적용하기에는 무리가 있다. In addition, the existing security technology described above is a security technology proposed for a PC client, and it is difficult to apply it to a mobile client.

이에, 본 발명에서는, 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하기 위한 보안기술로서, 전술한 바와 같은 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 제안하고자 한다.Accordingly, the present invention proposes a security technology suitable for a mobile environment while solving the limitations of the existing security technology as a security technology for coping with a hacking technology targeting a client web browser.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하는 보안기술로서 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide a security technology corresponding to a hacking technology for a client web browser, And a method of operating a terminal device and a terminal device having security technology.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 단말장치는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링부; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부; 및 상기 난독화판단부 및 상기 공격판단부의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부를 포함한다.To achieve the above object, according to a first aspect of the present invention, there is provided a terminal apparatus comprising: an engine monitoring unit monitoring a communication service engine for requesting and obtaining a service page to be accessed; An obfuscation determination unit for determining whether the service page is obfuscated based on a result of monitoring the communication service engine; An attack determiner for determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page based on a result of monitoring the communication service engine; And a connection control unit for determining whether to block access to the service page according to the determination result of the obfuscation determination unit and the attack determination unit.

바람직하게는, 상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함할 수 있다. Preferably, the communication service engine may include a webkit engine that is invoked by execution of a web browser or web application installed in the terminal device, and requests and obtains the service page.

바람직하게는, 상기 엔진모니터링부는, 상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다. Preferably, the engine monitoring unit monitors the communication service engine to monitor at least one of a connection address of the service page, a request for requesting the service page, and a response message including the service page, As a result.

바람직하게는, 상기 난독화판단부는, 상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단할 수 있다. Preferably, the obfuscation determination unit may determine that the script code of the service page included in the response sentence is encoded with a specific code used for obfuscation, the script code of the service page includes an obfuscation suspect code, The service page may determine that the service page is obfuscated by using the obfuscation suspicion script function or if it is confirmed that the byte per script line of the service page is more than the obfuscation byte.

바람직하게는, 상기 공격판단부는, 상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단할 수 있다. Preferably, the attack determiner uses the attack pattern information for at least one malicious attack based on a specific programming language constituting the service page to request the service page or obtain the service page It is possible to judge whether or not a malicious attack is included in the process.

바람직하게는, 상기 공격판단부는, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. Preferably, the attack determining unit determines that a malicious attack is included in the process of requesting the service page when the malicious attack according to the attack address information or the connection address information of the service page is confirmed, If a malicious attack based on the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced by the service page or the response sentence included in the response sentence, it is determined that the malicious attack is included in the process of acquiring the service page can do.

바람직하게는, 상기 접속제어부는, 상기 난독화판단부에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단부에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단할 수 있다.Preferably, the connection control unit includes a malicious attack in the process of requesting the service page from the obfuscation determination unit or in the process of acquiring the service page by the attack determination unit The access to the service page can be blocked.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 단말장치의 동작 방법은, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링단계; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단단계; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단단계; 및 상기 난독화판단단계 및 상기 공격판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어단계를 포함한다.According to a second aspect of the present invention, there is provided an operation method of a terminal device, the method comprising: monitoring an engine of a communication service for requesting and obtaining a service page to be accessed; An obfuscation determination step of determining whether the service page is obfuscated based on a result of monitoring the communication service engine; An attack determining step of determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page based on a result of monitoring the communication service engine; And an access control step of determining whether to block access to the service page according to the obfuscation determination step and the determination result of the attack determination step.

바람직하게는, 상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함할 수 있다. Preferably, the communication service engine may include a webkit engine that is invoked by execution of a web browser or web application installed in the terminal device, and requests and obtains the service page.

바람직하게는, 상기 엔진모니터링단계는, 상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다. Preferably, the engine monitoring step monitors at least one of the connection address information of the service page, the request message requesting the service page, and the response message obtained including the service page, Can be obtained as a monitoring result.

바람직하게는, 상기 난독화판단단계는, 상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단할 수 있다. Preferably, the obfuscation determination step may be performed such that the script code of the service page included in the response sentence is encoded into a specific code used for obfuscation, the script code of the service page includes an obfuscation suspect code, The service page may determine that the service page is obfuscated if the obfuscation script function is used in the service page or if it is confirmed that the byte per script line of the service page is more than the obfuscation byte.

바람직하게는, 상기 공격판단단계는, 상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고, 상기 공격패턴정보를 이용하여, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. Preferably, the attack determining step determines whether or not the attack information of at least one malicious attack based on the access address information of the service page or the attack information of the service page Wherein the service page judging unit judges that a malicious attack is included in the process of requesting the service page when the malicious attack according to the attack pattern information is confirmed and judges that the malicious attack is included in the service page or the response sentence included in the response sentence If the malicious attack according to the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced, the malicious attack may be included in the process of acquiring the service page.

바람직하게는, 상기 접속제어단계는, 상기 난독화판단단계에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단단계에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단할 수 있다.Preferably, the access control step further includes a step of determining whether the service page is obfuscated in the obfuscation determination step, a malicious attack in the process of requesting the service page in the attack determination step or in the process of acquiring the service page If it is determined to be included, the access to the service page may be blocked.

이에, 본 발명의 단말장치 및 단말장치의 동작 방법에 의하면, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능하여, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다.Thus, according to the operation method of the terminal device and the terminal device of the present invention, it is determined whether or not a malicious attack is based on the result of monitoring the Webkit engine, so that not only a web browser but also a malicious attack targeting a web application can be precisely detected It is possible to detect an obfuscated malicious attack and various malicious attacks based on HTML5, and it is possible to provide a security technology suitable for a mobile environment while solving the limitations of the existing security technology.

도 1은 본 발명의 바람직한 실시예에 따른 단말장치를 포함하는 통신 시스템을 나타내는 구성도이다.
도 2는 본 발명의 바람직한 실시예에 따른 단말장치의 구성을 나타내는 블록도이다.
도 3 내지 도 5는 본 발명의 바람직한 실시예에 따른 단말장치의 동작 방법을 나타내는 동작 흐름도이다. 1 is a configuration diagram illustrating a communication system including a terminal device according to a preferred embodiment of the present invention.
2 is a block diagram showing a configuration of a terminal device according to a preferred embodiment of the present invention.
3 to 5 are operational flowcharts illustrating a method of operating a terminal according to a preferred embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 바람직한 실시예에 따른 단말장치를 포함한 통신 시스템을 도시한 도면이다.1 is a diagram illustrating a communication system including a terminal apparatus according to a preferred embodiment of the present invention.

도 1에 도시된 바와 같이 통신 시스템은, 본 발명에 따른 단말장치(100), 단말장치(100)로 통신서비스를 제공하는 서비스서버(200)를 포함할 수 있다. As shown in FIG. 1, the communication system may include a terminal device 100 according to the present invention, and a service server 200 that provides a communication service to the terminal device 100.

단말장치(100)는, 인터넷을 통해 제공되는 통신서비스를 이용할 수 있는 단말로서, 단말장치(100)에는 통신서비스를 이용하기 위한 클라이언트로서 웹 브라우저가 탑재될 수 있으며 또는 웹 브라우저 외에 웹 뷰로 구현되는 웹 어플리케이션이 탑재될 수 있다. The terminal device 100 is a terminal capable of using a communication service provided over the Internet. The terminal device 100 may be equipped with a web browser as a client for using a communication service, or may be implemented as a web view in addition to a web browser Web applications can be loaded.

이러한 단말장치(100)는, 이동전화단말, 스마트폰 등 모바일 장치인 것이 바람직하다. 이에, 단말장치(100)에 탑재된 웹 브라우저 및 웹 어플리케이션 역시 모바일 환경 예컨대 메모리용량 및 배터리 등의 환경에 적합하게 개발된 형태를 가지며, 단말장치(100)에는 이러한 웹 브라우저 및 웹 어플리케이션의 실행과 연동하여 통신서비스를 이용하기 위한 실질적인 동작(예 : 서비스페이지 요청, 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)를 기초로 서비스페이지 구성, 서비스페이지 표시 등)을 수행하는 웹킷엔진이 탑재된다.Such a terminal device 100 is preferably a mobile device such as a mobile phone terminal or a smart phone. The web browser and the web application installed in the terminal device 100 are also developed in an environment suitable for a mobile environment such as a memory capacity and a battery. (E.g., service page configuration, service page display, etc. based on the information of the acquired service page (e.g., script of the service page, resource, etc.)), The engine is mounted.

이에, 단말장치(100)에서는, 웹 브라우저 또는 웹 어플리케이션이 실행되면 웹킷엔진이 호출되고, 실행된 웹 브라우저 또는 웹 어플리케이션과 웹킷엔진의 연동에 따라 인터넷을 통해 서비스서버(200)에 접속하여 서비스페이지를 요청하고 이에 서비스서버(200)로부터 획득된 서비스페이지를 표시할 수 있다. In the terminal device 100, when a web browser or a web application is executed, a webkit engine is invoked. When the web browser or the web application is interworked with the web-browser engine, the terminal device 100 accesses the service server 200 via the Internet, And display the service page obtained from the service server 200. [

서비스서버(200)는, 인터넷을 통해 접속되는 단말에 통신서비스를 제공하는 서버이다.The service server 200 is a server that provides a communication service to a terminal connected via the Internet.

예를 들어, 서비스서버(200)가 제공하는 통신서비스가 포털서비스인 경우를 설명하면, 단말장치(100)는, 실행된 웹 브라우저 또는 웹 어플리케이션과 웹킷엔진의 연동에 따라, 인터넷을 통해 서비스서버(200)에 접속하여 서비스페이지로서 메인웹페이지를 요청하고 이에 서비스서버(200)로부터 획득된 메인웹페이지를 표시하며, 메인웹페이지 내 특정 항목(예 : 기사1)이 선택되면 서비스페이지로서 특정 항목(예 : 기사1)의 내용이 실린 서브웹페이지를 요청하고 이에 서비스서버(200)로부터 획득된 서브웹페이지를 표시하는 등, 서비스서버(200)에서 제공하는 포털서비스를 이용할 수 있다. For example, in the case where the communication service provided by the service server 200 is a portal service, the terminal device 100 transmits, via the Internet, A main web page obtained from the service server 200 is displayed as a service page, and when a specific item (e.g., article 1) in the main web page is selected as a service page, A portal service provided by the service server 200 may be used, such as requesting a subweb page containing contents of an item (e.g., article 1) and displaying a subweb page obtained from the service server 200.

최근에는, 서비스페이지를 구성하는 프로그래밍 언어가 HTML4 에서 보다 다양한 신규 기술이 적용된 HTML5로 진화하였으며, 단말장치(100)에 탑재된 웹 브라우저 또는 웹 어플리케이션 역시 HTML5를 지원하도록 진화하였다.Recently, a programming language constituting a service page has evolved into HTML5 to which a variety of new technologies have been applied in HTML4, and a web browser or a web application installed in the terminal device 100 has also evolved to support HTML5.

한편, 기존에 존재하는 해킹 기술로서 대표적으로는 취약한 서비스페이지에 공격코드를 삽입하여 클라이언트(즉, 웹 브라우저 또는 웹 어플리케이션)로 하여금 공격코드를 수행하도록 하는 교차 스크립트 공격 기술이 있다. 이러한 교차 스크립트 공격 기술 역시, 과거 HTML4 에서 HTML5 를 기반으로 하는 공격으로 진화하였다.On the other hand, existing hacking techniques include cross-script attack techniques in which a client (that is, a web browser or a web application) inserts an attack code into a vulnerable service page to execute an attack code. This cross-scripting attack technology has also evolved from HTML4 to HTML5-based attacks in the past.

그리고, 기존에는 해킹 기술에 대응하기 위한 보안기술로서, 웹 어플리케이션의 취약점을 분석하여 공격자로부터 시도될 공격을 미연에 방지하는 보안기술1, 웹 서버를 보호하는 방화벽 보안기술2, 서비스서버(200)와 클라이언트 간의 게이트웨이를 통한 보안 보안기술3, 클라이언트에 보안을 적용하여 서비스서버(200)로부터의 악의적인 응답으로부터 클라이언트를 보호하는 보안기술4 등 다양한 보안기술이 존재한다.As a security technique for responding to a hacking technique, a security technology 1 for analyzing a vulnerability of a web application to prevent an attack to be attempted from an attacker, a firewall security technology 2 for protecting a web server, a service server 200, And a security technology 4 for protecting a client from a malicious response from the service server 200 by applying security to the client.

하지만, 전술한 보안기술1의 경우 개발자의 수작업이 요구되며 이는 결국 모든 취약점을 커버할 수 없는 한계를 가지며, 보안기술2 및 보안기술3의 경우 공격코드가 변형되거나 또는 난독화 되는 경우에는 탐지가 불가능한 기술적 한계를 가진다. 또한, 보안기술4의 경우 과거 HTML4 를 기반으로 하는 공격코드만 탐지할 수 있다는 기술적 한계를 갖는다.However, in the case of the security technology 1 described above, the manual operation of the developer is required, which can not cover all the vulnerabilities. In the case of the security technologies 2 and 3, if the attack code is transformed or obfuscated, It has an impossible technical limit. In addition, security technology 4 has a technical limitation in that it can only detect attack codes based on HTML4 in the past.

이에, 본 발명에 따른 단말장치(100)는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진(웹킷엔진)을 모니터링하고, 통신서비스엔진(웹킷엔진)을 모니터링한 결과를 기초로 상기 서비스페이지가 난독화되었는지 여부를 판단하고, 한편으로는 통신서비스엔진(웹킷엔진)을 모니터링한 결과를 기초로 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하여, 난독화 여부 판단 결과 및 악의적 공격 포함 여부 판단 결과에 따라서 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 보안기술을 구비한다.Accordingly, the terminal device 100 according to the present invention monitors a communication service engine (WebKit engine) for requesting and obtaining a service page to be accessed, and based on the result of monitoring the communication service engine (WebKit engine) It is determined whether or not the page is obfuscated. On the other hand, whether the malicious attack is included in the process of requesting the service page or the process of acquiring the service page based on the result of monitoring the communication service engine (Webkit engine) And determines whether to block access to the service page according to the result of the obfuscation determination and the malicious attack inclusion determination result.

이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 단말장치를 구체적으로 설명하도록 한다. Hereinafter, a terminal device according to a preferred embodiment of the present invention will be described in detail with reference to FIG.

본 발명에 따른 단말장치(100)는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진(110)을 모니터링하는 엔진모니터링부(120)와, 통신서비스엔진(110)을 모니터링한 결과를 기초로 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부(130)와, 통신서비스엔진(110)을 모니터링한 결과를 기초로 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부(140)와, 난독화판단부(130) 및 공격판단부(140)의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부(150)을 포함한다. The terminal device 100 according to the present invention includes an engine monitoring unit 120 that monitors a communication service engine 110 that requests and obtains a service page to be accessed, An obfuscation determination unit 130 for determining whether the service page is obfuscated, a process for requesting the service page based on a result of monitoring the communication service engine 110, or a process for acquiring the service page An attack determination unit 140 for determining whether a malicious attack is included or not based on the result of the determination by the obfuscation determination unit 130 and the attack determination unit 140, (150).

통신서비스엔진(110)은, 단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행과 연동하여 통신서비스를 이용하기 위한 실질적인 동작(예 : 서비스페이지 요청, 획득한 서비스페이지의 위한 정보(예 : 서비스페이지의 스크립트, 리소스 등) 기초로 서비스페이지 구성, 서비스페이지 표시 등)을 수행하는 웹킷엔진을 포함할 수 있다. The communication service engine 110 performs a practical operation (for example, a request for a service page, a request for acquiring a service page, etc.) in cooperation with the execution of a web browser (not shown) and a web application (not shown) A service page display, a service page display, etc.) based on information for a service page (e.g., script, resource, etc. of the service page).

즉, 통신서비스엔진(110)은, 단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 의해 호출되어, 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 따라 접속 시도되는 서비스페이지를 서비스서버(200)로 요청하여 획득하고, 후술할 접속제어부(150)에서 금번 획득한 서비스페이지에 대한 접속이 허용되면 서비스페이지를 표시할 수 있다.That is, the communication service engine 110 is called by execution of a web browser (not shown) and a web application (not shown) mounted on the terminal device 100, and is called a web browser (not shown) The service page can be displayed by requesting the service page to be accessed according to the execution of the service server 200 and acquiring the service page obtained by the connection control unit 150 which will be described later.

엔진모니터링부(120)는, 전술한 통신서비스엔진(110)을 실시간으로 모니터링한다. The engine monitoring unit 120 monitors the above-described communication service engine 110 in real time.

구체적으로는, 엔진모니터링부(120)는, 통신서비스엔진(110)을 실시간으로 모니터링하여, 서비스페이지로의 접속 시도 시마다, 접속 시도되는 서비스페이지의 접속주소정보, 서비스페이지를 요청하는 요청문 및 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.Specifically, the engine monitoring unit 120 monitors the communication service engine 110 in real time, and upon each connection attempt to the service page, a request for requesting connection address information and a service page of a service page to be accessed, At least one of the response sentences obtained including the service page can be obtained as the monitoring result.

즉, 통신서비스엔진(110)은 접속주소정보를 기초로 접속 시도되는 서비스페이지(예 : 포털서비스의 메인웹페이지, 또는 서브웹페이지 등)를 요청하는 요청문을 서비스서버(200)로 전송하고 이에 대응하여 회신되는 응답문을 획득할 수 있고, 이에 엔진모니터링부(120)는, 통신서비스엔진(110)을 실시간으로 모니터링하여 접속 시도되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 모니터링 결과로서 획득할 수 있다.That is, the communication service engine 110 transmits to the service server 200 a request message for requesting a service page (for example, a main web page or a sub web page of the portal service) to be accessed based on the connection address information The engine monitoring unit 120 monitors the communication service engine 110 in real time and monitors the connection address information, the request message, and the response message of the service page to be accessed As a result.

여기서, 엔진모니터링부(120)는, 통신서비스엔진(110)이 접속 시도되는 서비스페이지를 요청하고 획득하기 위한 동작을 수행하는 과정에서 이용하는 웹킷라이브러리를 실시간으로 후킹함으로써, 전술한 통신서비스엔진(110)을 모니터링한 결과를 획득할 수 있다.Here, the engine monitoring unit 120 hooks in real time the WebKit library used in the process of requesting and obtaining the service page to which the communication service engine 110 is attempting to connect, ) Can be obtained.

여기서 요청문은, 서비스페이지를 요청하기 위해 서비스서버(200)로 전송되는 HTTP 기반 정보이며, 응답문은, 전술의 요청문에 대응하여 서비스서버(200)로부터 회신되는 HTTP 기반 정보로서 요청한 서비스페이지를 구성하기 위한 정보(예 : 서비스페이지의 스크립트, 리소스 등)를 포함할 수 있다.Here, the request statement is HTTP-based information transmitted to the service server 200 in order to request the service page, and the response sentence is the HTTP-based information returned from the service server 200 in response to the above- (E.g., script, resource, etc., of the service page) for constructing the service page.

난독화판단부(130)는, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 실시간으로 판단한다. Based on the result of monitoring the communication service engine 110 in real time, the obfuscation judgment unit 130 judges in real time whether or not the service page to be accessed this time is obfuscated.

보다 구체적으로 설명하면, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다. More specifically, the obfuscation judgment unit 130 judges whether or not the script code of the service page included in the response sentence is encoded into a specific code used for obfuscation, the obfuscation suspect code is included in the script code of the service page , If the service page uses the obfuscation script function, or if it is confirmed that the byte per script line of the service page is more than the obfuscated byte, it can be determined that the service page to be accessed this time is obfuscated.

예를 들면, 난독화판단부(130)는, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문 중에서 응답문을 확인한다.For example, the obfuscation determination unit 130 checks the response message among the connection address information, the request message, and the response message of the service page obtained as a result of monitoring the communication service engine 110.

그리고, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되었는지 여부를 확인한다. Then, the obfuscation judgment unit 130 checks whether the script code of the service page included in the response sentence is encoded with the specific code used for obfuscation.

여기서, 난독화에는 이용되는 특정 코드는, 16진수 코드일 수 있다. 즉, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 이용되는 코드는 16진수 코드이므로, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드 즉 16진수 코드로 인코딩 되었는지 여부를 확인하는 것이다.Here, the specific code used for obfuscation may be a hexadecimal code. That is, since the code mainly used in obfuscating the script of the service page is a hexadecimal code, the obfuscation judgment unit 130 judges whether the script code of the service page included in the response sentence is a specific code It is to check whether it is encoded in hex code.

또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는지 여부를 확인한다. 여기서, 난독화 의심 코드란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 생성되는 코드로서 기 지정될 수 있다. Also, the obfuscation determination unit 130 checks whether or not the obfuscation doubt code is included in the script code of the service page included in the response sentence. Here, the obfuscation suspicious code can be preliminarily designated as a code mainly generated in the process of obfuscating the script of the service page.

또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는지 여부를 확인한다. 여기서, 난독화 의심 스크립트 함수란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 사용되는 함수로서 기 지정될 수 있다.Also, the obfuscation determination unit 130 checks whether or not the obfuscation suspicious script function is used in the service page included in the response statement. Here, the obfuscation suspect script function can be predefined as a function mainly used in obfuscating a script of a service page.

또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인지 여부를 확인한다. Also, the obfuscation judgment unit 130 checks whether or not the byte per script line of the service page included in the response sentence is more than the obfuscation doubt byte.

여기서, 난독화 의심바이트는, 256바이트일 수 있다. 즉, 정상적인 서비스페이지 내에서 스크립트의 한 라인이 256바이트 이상으로 이루어진 경우가 없고, 서비스페이지의 스크립트를 난독화하는 과정에서 스크립트의 한 라인이 256바이트 이상으로 넘어가는 경우가 발생하기 때문에, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 즉 256바이트 이상인지 여부를 확인하는 것이다.Here, the obfuscation suspect byte may be 256 bytes. In other words, there is no case where one line of a script in a normal service page is made up of 256 bytes or more, and in the process of obfuscating a script of a service page, a line of a script may be over 256 bytes, The determination unit 130 determines whether the byte per script line of the service page included in the response sentence is more than the obfuscated byte, that is, 256 bytes or more.

이에, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되거나, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다. Thus, the obfuscation judgment unit 130 judges whether the script code of the service page included in the response sentence is encoded with a specific code (for example, a hexadecimal code) used for obfuscation, Or if it is determined that the service page is using the obfuscation script function or if the number of bytes per script line in the service page is more than the obfuscated byte (for example, 256 bytes) It can be judged that it is changed.

보다 구체적인 실시예에 따르면, 난독화판단부(130)는, 먼저 1차적으로 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되고, 서비스페이지의 스크립트 코드에 난독화 의심 코드도 포함되고, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것 역시 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.According to a more specific embodiment, the obfuscation determiner 130 firstly encodes the script code of the service page included in the response sentence into a specific code (e.g., a hexadecimal code) used for obfuscation, If the script code of the page also includes the obfuscation code, and if it is confirmed that the obfuscation script function is used in the service page, it can be judged that the service page to be accessed this time is obfuscated.

이에, 난독화판단부(130)는, 전술한 1차적인 판단 결과 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되지 않으면, 2차적으로 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.If it is not determined that the service page to be accessed at this time is obfuscated as a result of the primary determination, the obfuscation determination unit 130 first determines whether the service page included in the response message contains bytes Is determined to be more than the obfuscation suspect byte (e.g., 256 bytes), it can be determined that the service page to be accessed this time is obfuscated.

여기서, 난독화판단부(130)는, 전술과 같이 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되더라도, 난독화된 서비스페이지가 웹 브라우저의 기존 구문 분석 과정을 거쳐 난독 해제된다면, 금번 접속 시도되는 서비스페이지가 난독화되지 않은 것으로 최종 판단하는 것도 가능할 것이다. Here, if the obfuscated service page is obfuscated through the existing parsing process of the web browser, even if it is determined that the service page to be currently accessed is obfuscated as described above, It is also possible to make a final determination that the service page is not obfuscated.

한편, 난독화판단부(130)는, 금번 접속 시도되는 서비스페이지가 접속된 적이 없는 새로운 서비스페이지인 경우에만, 전술한 바와 같이 서비스페이지가 난독화되었는지 여부를 판단하는 것이 바람직하다. On the other hand, the obfuscation judgment unit 130 preferably judges whether or not the service page is obfuscated as described above only when the service page to be accessed this time is a new service page to which the service page has not been connected.

예컨대, 단말장치(100)에서 메인웹페이지에 접속하고 메인웹페이지 내 특정 항목(예 : 기사1)이 선택되어 특정 항목(예 : 기사1)의 내용이 실린 서브웹페이지에 접속한 후 다시 메인웹페이지에 접속하는 경우라면, 난독화판단부(130)는, 접속 시도되는 메인웹페이지에 대해서는 전술한 바와 같이 메인웹페이지가 난독화되었는지 여부를 판단하고, 이후 접속 시도되는 서브웹페이지에 대해서는 전술한 바와 같이 메인웹페이지가 난독화되었는지 여부를 판단하지만, 이후에 다시 접속 시도되는 메인웹페이지에 대해서는 난독화 여부를 판단하지 않는 것이 바람직하다. For example, when the terminal device 100 accesses the main web page, and a specific item (e.g., article 1) in the main web page is selected to access a sub web page containing the contents of a specific item (e.g., article 1) In the case of accessing a web page, the obfuscation determination unit 130 determines whether or not the main web page is obfuscated with respect to the main web page to which connection is attempted, It is preferable to determine whether the main web page has been obfuscated as described above, but not to determine whether the main web page is obfuscated after the connection is attempted again.

공격판단부(140)는, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 실시간으로 판단한다. The attack determining unit 140 determines in real time whether a malicious attack is included in the process of requesting a service page or acquiring a service page based on a result of monitoring the communication service engine 110 in real time.

이러한 공격판단부(140)는, 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 것이 바람직하다. 여기서, 특정 프로그래밍 언어는, HTML5인 것이 바람직하다.The attack determining unit 140 determines whether a malicious attack occurs in the process of requesting a service page or in the process of obtaining a service page by using attack pattern information for at least one malicious attack based on a specific programming language constituting a service page It is preferable to determine whether or not an attack is included. Here, the specific programming language is preferably HTML5.

즉, 공격패턴정보는, HTML5를 기반으로 하는 악의적 공격에 대한 공격패턴, HTML5를 기반으로 하는 교차 스크립트 공격 기술에 대한 분석을 통해 수집된 악의적 스크립트 패턴 또는 악의적 페이로드 패턴 등을 포함하는 정보이다.That is, the attack pattern information is information including an attack pattern against a malicious attack based on HTML5, a malicious script pattern collected through analysis of a cross-script attack technique based on HTML5, or a malicious payload pattern.

이러한 공격패턴정보는, 단말장치(100) 내부에 기 보유되거나, 또는 단말장치(100) 외부의 별도 장치(미도시)에 보유될 수 있다. Such attack pattern information may be retained in the terminal device 100 or held in a separate device (not shown) outside the terminal device 100. [

이에 공격판단부(140)는, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단할 때, 단말장치(100) 내부에 기 보유된 공격패턴정보를 이용할 수 있고, 또는 외부의 별도 장치(미도시)와 연동하여 공격패턴정보를 이용할 수도 있다. The attack determining unit 140 can use the previously stored attack pattern information in the terminal device 100 when determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page Alternatively, attack pattern information may be used in conjunction with an external device (not shown).

이하에서 공격판단부(140)의 판단과정을 보다 구체적으로 설명하면, 공격판단부(140)는 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 확인한다. Hereinafter, the determination process of the attack determiner 140 will be described in more detail. The attack determiner 140 determines whether or not the access address information, the request message, and the response message of the service page obtained as a result of monitoring the communication service engine 110 .

그리고, 공격판단부(140)는, 전술한 공격패턴정보를 이용하여, 서비스페이지의 접속주소정보, 요청문 및 응답문을 기초로 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단한다.The attack determining unit 140 determines whether or not a malicious attack occurs in the process of requesting the service page based on the connection address information of the service page, the request statement and the response statement, or the process of acquiring the service page, Is included.

서비스페이지를 요청하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 보다 구체적으로는, 공격판단부(140)는, 확인한 서비스페이지의 접속주소정보 또는 요청문에서 전술의 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. More specifically, the attack determining unit 140 determines whether or not a malicious attack is included in the process of requesting a service page. The attack determining unit 140 determines whether the malicious attack is included in the access address information of the service page, If the attack is confirmed, it can be determined that a malicious attack is included in the process of requesting the service page to be accessed this time.

예컨대, 공격판단부(140)는, 확인한 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 요청문이 GET method일 경우, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.For example, the attack determining unit 140 determines whether a malicious attack, that is, a malicious script pattern or a malicious payload pattern, exists according to the attack pattern information within the connection address information (e.g., URL, URI) of the identified service page. More specifically, when the request is a GET method, the attack determining unit 140 determines whether a malicious script pattern or a malicious payload according to the attack pattern information within the connection address information (e.g., URL, URI) It is preferable to confirm whether or not the pattern exists.

이에, 공격판단부(140)는, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.If the malicious script pattern or the malicious payload pattern according to the attack pattern information is found in the connection address information (e.g., URL, URI) of the service page, the attack determiner 140 requests the service page It can be judged that a malicious attack is involved.

또한, 공격판단부(140)는, 확인한 요청문 내에서 전술의 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 요청문이 POST method일 경우, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.In addition, the attack determining unit 140 determines whether a malicious attack, that is, a malicious script pattern or a malicious payload pattern, exists according to the attack pattern information in the confirmed request statement. More specifically, when the request is a POST method, the attack determining unit 140 may check whether a malicious script pattern or a malicious payload pattern exists according to attack pattern information in a request message.

이에, 공격판단부(140)는, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. If the malicious script pattern or the malicious payload pattern according to the attack pattern information is confirmed in the request statement, the attack determining unit 140 determines that the malicious attack is included in the process of requesting the service page to be accessed this time .

또한, 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 구체적으로 설명하면, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지 또는 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. In addition, the process of determining whether a malicious attack is included in the process of acquiring a service page will be described in detail. Then, the attack determining unit 140 determines whether or not the malicious attack is included in the service page If the malicious attack according to the attack pattern information is confirmed in the reconnection address information, it can be determined that the malicious attack is included in the process of acquiring the service page to be accessed this time.

예컨대, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다.For example, the attack determining unit 140 determines whether a malicious attack according to the attack pattern information, that is, a malicious script pattern or a malicious payload pattern, exists in the service page included in the confirmed response sentence.

이때, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지, 즉 난독화판단부(130)에서 난독화되지 않은 것으로 판단한 서비스페이지 또는 전술한 바와 같이 웹 브라우저의 기존 구문 분석 과정을 거쳐 난독 해제된 서비스페이지를 대상으로, 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인할 수 있다. At this time, the attack determining unit 140 determines whether the service page included in the response sentence is the obsolete service page or the service page determined to be obfuscated by the obfuscation determining unit 130, or the existing parsing process of the web browser It is possible to confirm whether or not a malicious attack according to the attack pattern information, that is, a malicious script pattern or a malicious payload pattern, exists in the obfuscated service page.

특히, 공격판단부(140)는, 전술의 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는 것으로 확인되었다면, 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 응답문에 포함되는 서비스페이지 내에도 존재하는지 여부를 확인하는 것이 바람직하다.In particular, if it is determined that the malicious script pattern or the malicious payload pattern according to the attack pattern information exists in the request statement, the attack determining unit 140 determines whether the malicious script pattern or the malicious payload pattern confirmed in the request statement is a response It is desirable to confirm whether or not the service page exists in the service page included in the statement.

이에, 공격판단부(140)는 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 또는 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 역시 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.If the malicious script pattern or the malicious payload pattern according to the attack pattern information is identified in the service page included in the response sentence or the malicious script pattern or the malicious payload pattern checked in the request statement If it is confirmed, it can be determined that a malicious attack is included in the process of acquiring the service page to be accessed this time.

또한, 공격판단부(140)는, 확인한 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 응답문이 재접속을 유도하는 응답문일 경우, 응답문 내에 포함된 재접속주소정보(예 : URL)에 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.Also, the attack determining unit 140 determines whether a malicious attack according to the attack pattern information, that is, a malicious script pattern or a malicious payload pattern, exists in the reconnection address information from which the reconnection is induced by the confirmed response statement. More specifically, in the case where the response sentence confirmed this time is a response sentence inducing reconnection, the attack determining unit 140 may determine whether the malicious script pattern according to the attack pattern information or the malicious script pattern corresponding to the attack pattern information (e.g., URL) It is desirable to check whether a payload pattern exists.

이에, 공격판단부(140)는, 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.If the malicious script pattern or the malicious payload pattern according to the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced by the response sentence, the attack determining unit 140 obtains the service page It can be judged that a malicious attack is included.

접속제어부(150)는, 난독화판단부(130) 및 공격판단부(140)의 판단 결과에 따라, 금번 접속 시도되는 서비스페이지에 대한 접속 차단 여부를 결정한다.The access control unit 150 determines whether to block access to the service page to be accessed in accordance with the determination result of the obfuscation determination unit 130 and the attack determination unit 140.

즉, 접속제어부(150)는, 난독화판단부(130)에서 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 공격판단부(140)에서 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다. That is, the connection control unit 150 determines whether the service page to be accessed at this time is obfuscated by the obfuscation determination unit 130 or requests a service page to be accessed at this time by the attack determination unit 140 If it is determined that the malicious attack is included in the process, the access to the service page to be accessed this time can be blocked.

보다 구체적으로는, 접속제어부(150)는, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 통신서비스엔진(110)에서 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하지 못하도록 하거나, 악의적 공격이 확인된 리소스를 수행하지 못하도록 하는 등의 방식으로 통신서비스엔진(110)에서 응답문에 포함된 서비스페이지 일부 또는 전체를 표시하지 못하도록 함으로써, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다.More specifically, when it is determined that the service page to be accessed this time is obfuscated or a malicious attack is included in the process of requesting or obtaining the service page to be accessed this time, The service engine 110 can prevent the service engine 110 from configuring the service page with the information of the obtained service page (e.g., script, resource, etc. of the service page) or preventing the malicious attack from being performed, The engine 110 can not display a part or all of the service pages included in the response sentence, thereby blocking access to the service page to be accessed this time.

그리고, 접속제어부(150)는, 서비스페이지에 대한 접속을 차단함과 함께, 이를 경고하는 경고정보를 출력하여 단말장치(100)의 사용자로 하여금 인지하도록 할 수 있다.Then, the connection control unit 150 may block the connection to the service page, and may output warning information warning the user of the terminal 100 to recognize the connection.

더불어, 접속제어부(150)는, 사용자가 접속 차단 사실을 확인할 수 있도록 차단로그를 별도 파일에 기록하고, 향후 통계데이터로 활용할 수 있도록 사용자의 동의 하에 별도의 관리서버(미도시)로 제공할 수도 있다. In addition, the connection control unit 150 may record the blocking log in a separate file so that the user can confirm that the connection is disconnected, and may provide the user with a separate management server (not shown) have.

한편, 접속제어부(150)는, 금번 접속 시도되는 서비스페이지가 난독화되지 않고 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되지 않는 것으로 확인되면, 금번 접속 시도되는 서비스페이지에 대한 접속을 허용할 수 있다. 이에, 통신서비스엔진(110)은, 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하여 정상적으로 표시할 수 있다. On the other hand, if it is determined that the service page to be accessed is not obfuscated and the malicious attack is not included in the process of requesting or obtaining the service page, the connection control unit 150 determines that the connection to the service page . ≪ / RTI > Accordingly, the communication service engine 110 can normally display the service page with the information of the obtained service page (e.g., script, resource, etc. of the service page).

여기서, 본 발명의 전술한 엔진모니터링부(120), 난독화판단부(130), 공격판단부(140), 접속제어부(150)는 하나의 모듈(180)로 구현될 수 있으며, 본 발명의 모듈(180)은 전술에서 언급한 웹킷 라이브러리 내에 탑재되는 구성일 수도 있다. Here, the engine monitoring unit 120, the obfuscation determination unit 130, the attack determination unit 140, and the connection control unit 150 of the present invention may be implemented as one module 180, The module 180 may be a configuration that is installed in the Webkit library mentioned above.

그리고, 본 발명의 모듈(180)은, 웹킷 라이브러리의 소스 코드를 수정함으로써 전술의 엔진모니터링부(120)에서 수행하는 동작(통신서비스엔진(110) 모니터링)을 실현할 수 있다면, 전술과 같은 엔진모니터링부(120)를 포함하지 않는 것도 가능할 것이다.If the module 180 of the present invention can realize the operation (monitoring of the communication service engine 110) performed by the engine monitoring unit 120 described above by modifying the source code of the WebKit library, It is also possible that it does not include the part 120.

이상에서 설명한 바와 같이 본 발명에 따른 단말장치는, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능한 보안기술을 구비할 수 있다. As described above, since the terminal device according to the present invention judges whether a malicious attack is based on the result of monitoring the webkit engine, it can precisely detect not only a web browser but also a malicious attack targeting a web application, It can be equipped with a security technology that can detect an obfuscated malicious attack and various malicious attacks based on HTML5.

이에, 본 발명에 따른 단말장치는, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다. Accordingly, the terminal device according to the present invention has an effect of providing a security technology suitable for a mobile environment while solving the limitations of the existing security technology.

이하에서는, 도 3 내지 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 단말장치의 동작 방법의 동작 흐름을 설명하도록 한다.Hereinafter, an operational flow of a method of operating a terminal according to a preferred embodiment of the present invention will be described with reference to FIG. 3 to FIG.

먼저, 도 3을 참조하여 본 발명에 따른 단말장치의 동작 방법을 전체적으로 설명하도록 한다. First, an operation method of a terminal device according to the present invention will be described with reference to FIG.

단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 의해 통신서비스엔진(110) 즉 웹킷엔진이 호출되고(S100), 이에 통신서비스엔진(110)은 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 따라 접속 시도되는 서비스페이지를 서비스서버(200)로 요청하여 획득할 것이다.The communication service engine 110 or the webkit engine is called by executing a web browser (not shown) and a web application (not shown) mounted on the terminal device 100 (S100) A service page to be accessed according to the execution of a browser (not shown) and a web application (not shown) is requested to the service server 200 and acquired.

이 과정에서, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한다(S110). In this process, the operation method of the terminal device according to the present invention monitors the communication service engine 110 in real time (S110).

구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링하여, 서비스페이지로의 접속 시도 시마다, 접속 시도되는 서비스페이지의 접속주소정보, 서비스페이지를 요청하는 요청문 및 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.Specifically, the operating method of the terminal device according to the present invention monitors the communication service engine 110 in real time and requests access address information and a service page of a service page to be accessed every time a service page access attempt is made At least one of a request statement and a response statement obtained including a service page can be obtained as the monitoring result.

즉 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)이 접속 시도되는 서비스페이지를 요청하고 획득하기 위한 동작을 수행하는 과정에서 이용하는 웹킷라이브러리를 실시간으로 후킹함으로써, 전술한 통신서비스엔진(110)을 모니터링한 결과를 획득할 수 있다.That is, the operating method of the terminal device according to the present invention is a method for operating the terminal device by hooking the Webkit library used in the process of requesting and acquiring the service page to be tried by the communication service engine 110 in real time, (110). ≪ / RTI >

그리고 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 실시간으로 판단한다(S120). The operation method of the terminal apparatus according to the present invention determines whether the service page to be accessed is obfuscated in real time based on the result of monitoring the communication service engine 110 in real time (S120).

또한, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 실시간으로 판단한다(S130).In addition, the method of operating a terminal according to the present invention may include determining whether a malicious attack is included in a process of requesting a service page or acquiring a service page based on a result of monitoring the communication service engine 110 in real time It is determined in real time (S130).

이에, 본 발명에 따른 단말장치의 동작 방법은, S120단계의 판단 결과 및 S130단계의 판단 결과에 따라, 금번 접속 시도되는 서비스페이지에 대한 접속 차단 여부를 결정한다.The operation method of the terminal according to the present invention determines whether to block access to the service page to be accessed in accordance with the determination result of step S120 and the determination result of step S130.

즉, 본 발명에 따른 단말장치의 동작 방법은, S120단계에서 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, S130단계에서 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면(S140 Yes), 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다(S150). That is, in the operation method of the terminal apparatus according to the present invention, if it is determined that the service page to be accessed this time is obfuscated in step S120, or a malicious attack If it is determined that the service page is included (Yes in S140), the connection to the service page to be accessed this time can be blocked (S150).

보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 통신서비스엔진(110)에서 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하지 못하도록 하거나, 악의적 공격이 확인된 리소스를 수행하지 못하도록 하는 등의 방식으로 통신서비스엔진(110)에서 응답문에 포함된 서비스페이지 일부 또는 전체를 표시하지 못하도록 함으로써, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다.More specifically, the method of operation of the terminal device according to the present invention is characterized in that malicious attack is included in the process of requesting or obtaining a service page to be accessed this time, It is possible to prevent the communication service engine 110 from configuring the service page with the information of the service page acquired this time (for example, a script of the service page, a resource, etc.), or preventing the malicious attack from being performed The communication service engine 110 can not display a part or all of the service pages included in the response sentence, thereby blocking access to the service page to be accessed this time.

그리고, 본 발명에 따른 단말장치의 동작 방법은, 서비스페이지에 대한 접속을 차단함과 함께, 이를 경고하는 경고정보를 출력하여 단말장치(100)의 사용자로 하여금 인지하도록 할 수 있다.The operation method of the terminal device according to the present invention can block the connection to the service page and output the warning information to alert the user of the terminal device 100.

더불어, 본 발명에 따른 단말장치의 동작 방법은, 사용자가 접속 차단 사실을 확인할 수 있도록 차단로그를 별도 파일에 기록하고, 향후 통계데이터로 활용할 수 있도록 사용자의 동의 하에 별도의 관리서버(미도시)로 제공할 수도 있다. In addition, the operation method of the terminal device according to the present invention records a blocking log in a separate file so that the user can confirm that the connection has been blocked, and a separate management server (not shown) .

한편, 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되지 않고 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되지 않는 것으로 확인되면(S140 No), 금번 접속 시도되는 서비스페이지에 대한 접속을 허용할 수 있다(S160). 이에, 본 발명에 따른 단말장치의 통신서비스엔진(110)은, 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하여 정상적으로 표시할 수 있다. Meanwhile, if it is confirmed that the malicious attack is not included in the process of requesting or obtaining the service page without the oblivious service page being accessed (No in S140), the operation method of the terminal device according to the present invention The connection to the service page to be accessed may be allowed (S160). Accordingly, the communication service engine 110 of the terminal device according to the present invention can normally display the service page with the information of the obtained service page (e.g., script, resource, etc. of the service page).

이하에서는, 도4를 참조하여, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 판단하는 S120단계를 보다 구체적으로 설명하도록 한다. Hereinafter, with reference to FIG. 4, step S120 of determining whether or not the service page to be accessed at this time is obfuscated will be described in more detail.

먼저, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문 중에서 응답문을 확인한다(S121).First, the operation method of the terminal apparatus according to the present invention checks the response message among the connection address information, the request message and the response message of the service page obtained as a result of monitoring the communication service engine 110 (S121).

그리고 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되었는지 여부를 확인한다(S123). In the operation method of the terminal apparatus according to the present invention, it is checked whether the script code of the service page included in the response sentence is encoded with the specific code used for obfuscation (S123).

여기서, 난독화에는 이용되는 특정 코드는, 16진수 코드일 수 있다. 즉, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 이용되는 코드는 16진수 코드이므로, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드 즉 16진수 코드로 인코딩 되었는지 여부를 확인하는 것이다.Here, the specific code used for obfuscation may be a hexadecimal code. That is, since the code mainly used in obfuscation of the script of the service page is a hexadecimal code, the operation method of the terminal device according to the present invention is such that the script code of the service page included in the response sentence is a specific Code, that is, whether it is encoded in hex code.

이에, 서비스페이지의 스크립트 코드가 특정 코드 즉 16진수 코드로 인코딩 되었다고 판단되면(S123 Yes), 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는지 여부를 확인한다(S124). 여기서, 난독화 의심 코드란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 생성되는 코드로서 기 지정될 수 있다. Accordingly, if it is determined that the script code of the service page is encoded into the specific code, that is, the hexadecimal code (Yes in S123), the operation method of the terminal device according to the present invention is characterized in that the script code of the service page included in the response sentence includes an obfuscation suspect code Is included (S124). Here, the obfuscation suspicious code can be preliminarily designated as a code mainly generated in the process of obfuscating the script of the service page.

이에, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는 것으로 판단되면(S124 Yes), 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는지 여부를 확인한다(S125). 여기서, 난독화 의심 스크립트 함수란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 사용되는 함수로서 기 지정될 수 있다.If it is determined that the script code of the service page includes the obfuscation suspicious code (Yes in S124), the operation method of the terminal device according to the present invention determines whether the service page included in the response statement uses the obfuscation suspect script function (S125). Here, the obfuscation suspect script function can be predefined as a function mainly used in obfuscating a script of a service page.

이에, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것으로 확인되면(S125 Yes), 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다(S127).Accordingly, if it is confirmed that the service page uses the obfuscation suspicious script function (Yes in S125), the operation method of the terminal according to the present invention can determine that the service page to be accessed this time is obfuscated (S127).

즉, 본 발명에 따른 단말장치의 동작 방법은, 먼저 1차적으로 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되고, 서비스페이지의 스크립트 코드에 난독화 의심 코드도 포함되고, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것 역시 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단하는 것이다.That is, in the operation method of the terminal device according to the present invention, first, the script code of the service page included in the response sentence is encoded into a specific code (for example, a hexadecimal code) used for obfuscation, If the code also contains an obfuscation suspicion code, and the use of the obfuscation script function in the service page is also confirmed, it is determined that the service page to be accessed this time is obfuscated.

한편, 본 발명에 따른 단말장치의 동작 방법은, 전술한 1차적인 판단 결과 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되지 않으면, 2차적으로 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인지 여부를 확인한다(S126). If it is not determined that the service page to be accessed is obfuscated as a result of the primary determination, the operation method of the terminal device according to the present invention may include a script line of a service page included in the response message, It is checked whether or not this byte is more than the doubt byte (S126).

여기서, 난독화 의심바이트는, 256바이트일 수 있다. 즉, 정상적인 서비스페이지 내에서 스크립트의 한 라인이 256바이트 이상으로 이루어진 경우가 없고, 서비스페이지의 스크립트를 난독화하는 과정에서 스크립트의 한 라인이 256바이트 이상으로 넘어가는 경우가 발생하기 때문에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 즉 256바이트 이상인지 여부를 확인하는 것이다.Here, the obfuscation suspect byte may be 256 bytes. That is, there is no case where one line of the script in the normal service page is made up of 256 bytes or more, and in the process of obfuscating the script of the service page, a line of the script may be over 256 bytes. Is to check whether the byte per script line of the service page included in the response sentence is an obfuscated byte, that is, 256 bytes or more.

이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면(S126 Yes), 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다(S127).If it is confirmed that the number of bytes per script line of the service page included in the response message is more than the obfuscation byte (for example, 256 bytes) (Yes in S126), the operation method of the terminal apparatus according to the present invention It can be determined that the attempted service page is obfuscated (S127).

여기서, 본 발명에 따른 단말장치의 동작 방법은, 전술과 같이 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되더라도, 서비스페이지가 웹 브라우저의 기존 구문 분석 과정을 거쳐 난독 해제된다면, 금번 접속 시도되는 서비스페이지가 난독화되지 않은 것으로 최종 판단하는 것도 가능할 것이다. Herein, even if it is determined that the service page to be accessed is obfuscated as described above, if the service page is obfuscated through the existing parsing process of the web browser, the operation method of the terminal device according to the present invention It is also possible to make a final determination that the page is not obfuscated.

더불어, 이하에서는 도5를 참조하여, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 S130단계를 보다 구체적으로 설명하도록 한다.In addition, referring to FIG. 5, step S130 for determining whether a malicious attack is included in the process of requesting a service page or acquiring a service page will be described in more detail.

본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 확인한다(S131). The operation method of the terminal apparatus according to the present invention checks the connection address information, the request message and the response message of the service page obtained as a result of monitoring the communication service engine 110 (S131).

그리고, 본 발명에 따른 단말장치의 동작 방법은, 전술한 공격패턴정보를 이용하여, 서비스페이지의 접속주소정보, 요청문 및 응답문을 기초로 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단한다.A method of operating a terminal device according to the present invention includes the steps of requesting a service page based on connection address information of a service page, a request statement and a response statement using the above-described attack pattern information, Whether or not a malicious attack is included.

서비스페이지를 요청하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 확인한 서비스페이지의 접속주소정보 또는 요청문에서 전술의 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. More specifically, a method of determining whether a malicious attack is included in the process of requesting a service page, the method of operating a terminal according to the present invention includes: , It can be determined that the malicious attack is included in the process of requesting the service page to be accessed this time.

예컨대, 본 발명에 따른 단말장치의 동작 방법은, 확인한 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다(S132). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 요청문이 GET method일 경우, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.For example, the operation method of the terminal device according to the present invention checks whether there is a malicious attack according to the attack pattern information, that is, a malicious script pattern or a malicious payload pattern, in connection address information (URL, URI, for example) (S132). More specifically, the method of operation of the terminal device according to the present invention is a method of operating a terminal device, in the case where the request is a GET method, a malicious script pattern according to attack pattern information within connection address information (e.g., URL, URI) It is desirable to check whether a malicious payload pattern exists.

이에, 본 발명에 따른 단말장치의 동작 방법은, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S132 Yes), 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136).If the malicious script pattern or the malicious payload pattern according to the attack pattern information is confirmed within the connection address information (URL, URI) of the service page (Yes at S132), the operation method of the terminal device according to the present invention It can be determined that a malicious attack is included in the process of requesting a service page to be accessed (S136).

또한, 본 발명에 따른 단말장치의 동작 방법은, 확인한 요청문 내에서 전술의 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다(S133). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 요청문이 POST method일 경우, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.In addition, the method of operation of the terminal device according to the present invention checks whether a malicious attack, that is, a malicious script pattern or a malicious payload pattern, exists according to the attack pattern information in the confirmed request statement (S133). More specifically, in a method of operating a terminal device according to the present invention, it is preferable to check whether a malicious script pattern or a malicious payload pattern according to attack pattern information exists in a request message, when the request is a POST method Do.

이에, 본 발명에 따른 단말장치의 동작 방법은, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S133 Yes), 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136). If the malicious script pattern or the malicious payload pattern according to the attack pattern information is confirmed in the request message (Yes in S133), the operation method of the terminal device according to the present invention is such that the malicious script pattern or malicious payload pattern It can be determined that the attack is included (S136).

또한, 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 구체적으로 설명하면, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지 또는 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다. A method for determining whether or not a malicious attack is included in the process of acquiring a service page will be described in detail. A method of operating a terminal device according to the present invention includes reconnecting The malicious attack according to the attack pattern information is confirmed in the derived reconnection address information, it can be determined that the malicious attack is included in the process of acquiring the service page to be accessed this time.

예컨대, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다(S134).For example, in the operation method of the terminal device according to the present invention, whether a malicious attack according to attack pattern information, that is, a malicious script pattern or a malicious payload pattern, exists in a service page included in the confirmed response sentence (S134).

이때, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지, 즉 난독화되지 않은 것으로 판단한 서비스페이지 또는 전술한 바와 같이 웹 브라우저의 기존 구문 분석 과정을 거쳐 난독 해제된 서비스페이지를 대상으로, 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인할 수 있다. In this case, the operation method of the terminal device according to the present invention may include a service page included in the confirmed response message, that is, a service page determined to be not obfuscated, or a service page It is possible to confirm whether a malicious attack according to attack pattern information, that is, a malicious script pattern or a malicious payload pattern exists.

특히, 본 발명에 따른 단말장치의 동작 방법은, 전술의 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는 것으로 확인되었다면, 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 응답문에 포함되는 서비스페이지 내에도 존재하는지 여부를 확인하는 것이 바람직하다.In particular, if it is determined that the malicious script pattern or the malicious payload pattern according to the attack pattern information exists in the above-mentioned request statement, the operation method of the terminal device according to the present invention may include a malicious script pattern or malicious payload It is desirable to check whether the pattern is also present in the service page included in the response sentence.

이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되거나 또는 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 역시 확인되면(S134 Yes), 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136).Accordingly, a method of operating a terminal device according to the present invention is characterized in that a malicious script pattern or a malicious payload pattern according to attack pattern information is confirmed in a service page included in a response statement, or a malicious script pattern or malicious payload If the pattern is also confirmed (Yes in S134), it can be determined that a malicious attack is included in the process of acquiring the service page to be accessed this time (S136).

또한, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다(S135). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 응답문이 재접속을 유도하는 응답문일 경우, 응답문 내에 포함된 재접속주소정보(예 : URL)에 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.In addition, the operation method of the terminal device according to the present invention checks whether a malicious attack according to attack pattern information, that is, a malicious script pattern or a malicious payload pattern, exists in the reconnection address information in which reconnection is induced by the confirmed response message S135). More specifically, the method of operation of the terminal device according to the present invention is characterized in that when the response sentence confirmed this time is a response sentence inducing reconnection, a malicious script corresponding to the attack pattern information in the reconnection address information (e.g. URL) It is desirable to check whether a pattern or a malicious payload pattern exists.

이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S135 Yes), 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S126).If the malicious script pattern or the malicious payload pattern according to the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced by the response message (Yes in S135), the operation method of the terminal apparatus according to the present invention It can be determined that a malicious attack is included in the process of acquiring the service page (S126).

이상에서 설명한 바와 같이 본 발명에 따른 단말장치의 동작 방법은, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능한 보안기술을 구비할 수 있다. As described above, the operation method of the terminal device according to the present invention determines whether a malicious attack is based on the result of monitoring the WebKit engine, so that it can accurately detect malicious attacks targeting web applications as well as web browsers It can also be equipped with security technology that can detect malicious attacks, obfuscated malicious attacks, and various malicious attacks based on HTML5.

이에, 본 발명에 따른 단말장치의 동작 방법은, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다.Accordingly, the operation method of the terminal device according to the present invention has the effect of providing a security technology suitable for the mobile environment while solving the limitations of the existing security technology.

본 발명의 일실시예에 따른 단말장치의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.A method of operating a terminal according to an exemplary embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

본 발명에 따른 단말장치 및 단말장치의 동작 방법에 따르면, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 제안할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the operation method of the terminal device and the terminal device according to the present invention, since it is possible to propose a security technology suitable for a mobile environment while solving the limitations of the existing security technology, The present invention is not limited to the use of the present invention, but merely has a possibility of commercialization or operation of the applied device, and is practically usable since it is practically possible to carry out clearly.

100 : 단말장치 200 : 서비스서버
110 : 통신서비스엔진 120 : 엔진모니터링부
130 : 난독화판단부 140 : 공격판단부
150 : 접속제어부100: terminal device 200: service server
110: communication service engine 120: engine monitoring unit
130: obfuscation judgment unit 140: attack judgment unit
150:

Claims (14)

서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링부;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부; 및
상기 난독화판단부 및 상기 공격판단부의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부를 포함하며,
상기 접속제어부는,
상기 난독화판단부에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단부에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.An engine monitoring unit for monitoring a communication service engine to obtain a service page request;
An obfuscation determination unit for determining whether the service page is obfuscated based on a result of monitoring the communication service engine;
An attack determiner for determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page based on a result of monitoring the communication service engine; And
And a connection control unit for determining whether to block access to the service page according to the determination result of the obfuscation determination unit and the attack determination unit,
The connection control unit,
If the obfuscation determination unit determines that the service page is obfuscated or that the attack determination unit includes the malicious attack in the process of requesting the service page or acquiring the service page, Wherein the terminal device is connected to the terminal device. 제 1 항에 있어서,
상기 통신서비스엔진은,
상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.The method according to claim 1,
The communication service engine comprising:
And a webkit engine that is called by execution of a web browser or a web application installed in the terminal device and requests the service page to acquire the service page. 제 1 항에 있어서,
상기 엔진모니터링부는,
상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.The method according to claim 1,
The engine monitoring unit,
And monitors the communication service engine to acquire at least one of connection address information of the service page, a request for requesting the service page, and a response message including the service page, as the monitoring result A terminal device having an environment security technology. 제 3 항에 있어서,
상기 난독화판단부는,
상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단하는 것으로 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.The method of claim 3,
The obfuscation determination unit may determine,
The script code of the service page included in the response sentence is encoded into a specific code used for obfuscation, or the script code of the service page includes an obfuscation doubt code, or the service page uses the obfuscation script function And determining that the service page is obfuscated if it is confirmed that the service page has a byte per line of script of the service page that is more than the obfuscation byte. 제 3 항에 있어서,
상기 공격판단부는,
상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.The method of claim 3,
The attack determining unit may determine,
A malicious attack is included in the process of requesting the service page or in the process of acquiring the service page by using attack pattern information for at least one malicious attack based on a specific programming language constituting the service page The terminal device comprising: a security device for managing security of the mobile environment; 제 5 항에 있어서,
상기 공격판단부는,
상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고,
상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치.6. The method of claim 5,
The attack determining unit may determine,
If it is determined that a malicious attack is included in the access page address information of the service page or the malicious attack according to the attack pattern information in the request,
If a malicious attack based on the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced by the service page or the response sentence included in the response sentence, it is determined that the malicious attack is included in the process of acquiring the service page Wherein the terminal device is a mobile terminal. 삭제delete 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링단계;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단단계;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단단계; 및
상기 난독화판단단계 및 상기 공격판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어단계를 포함하며,
상기 접속제어단계는,
상기 난독화판단단계에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단단계에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치의 동작 방법. An engine monitoring step of monitoring a communication service engine for requesting and obtaining a service page to be accessed;
An obfuscation determination step of determining whether the service page is obfuscated based on a result of monitoring the communication service engine;
An attack determining step of determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page based on a result of monitoring the communication service engine; And
And an access control step of determining whether to block access to the service page according to the determination result of the obfuscation determination step and the attack determination step,
Wherein the connection control step comprises:
If it is determined that the service page is obfuscated in the obfuscation determination step or a malicious attack is included in the process of requesting the service page or acquiring the service page in the attack determination step, And disconnecting the connection of the mobile terminal to the mobile terminal. 제 8 항에 있어서,
상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치의 동작 방법.9. The method of claim 8,
Wherein the communication service engine includes a webkit engine that is called by execution of a web browser or a web application installed in the terminal device to request and obtain the service page, Method of operation of the device. 제 8 항에 있어서,
상기 엔진모니터링단계는,
상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치의 동작 방법.9. The method of claim 8,
Wherein the engine monitoring step comprises:
And monitors the communication service engine to acquire at least one of connection address information of the service page, a request for requesting the service page, and a response message including the service page, as the monitoring result A method of operating a terminal device having an environment security technology. 제 10 항에 있어서,
상기 난독화판단단계는,
상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단하는 것으로 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치의 동작 방법.11. The method of claim 10,
In the obfuscation determination step,
The script code of the service page included in the response sentence is encoded into a specific code used for obfuscation, or the script code of the service page includes an obfuscation doubt code, or the service page uses the obfuscation script function And determining that the service page is obfuscated if it is confirmed that the service page has a number of bytes per script line of the service page or more than the doubt byte of the obfuscation. 제 10 항에 있어서,
상기 공격판단단계는,
상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고,
상기 공격패턴정보를 이용하여, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단하는 것을 특징으로 하는 모바일 환경의 보안기술을 구비한 단말장치의 동작 방법.11. The method of claim 10,
The attack determining step may include:
If malicious attack based on the attack address information in the request message or the connection address information of the service page is detected using attack pattern information for at least one malicious attack based on a specific programming language constituting the service page , It is determined that a malicious attack is included in the process of requesting the service page,
If the malicious attack according to the attack pattern information is confirmed in the reconnection address information in which the reconnection is induced by the service page or the response sentence included in the response sentence using the attack pattern information, And the malicious attack is included in the malicious attack. 삭제delete 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 단계;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 단계;
상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 단계; 및
상기 난독화판단단계 및 상기 공격 포함 여부 판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 단계를 수행하는 명령어를 포함하며,
상기 접속 차단 여부 결정단계는,
상기 난독화판단단계에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격 포함 여부 판단단계에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단하는 것을 특징으로 하는 모바일 환경의 보안기술 관련 컴퓨터 판독 가능 매체.Monitoring a communication service engine for requesting and obtaining a service page to be accessed;
Determining whether the service page is obfuscated based on a result of monitoring the communication service engine;
Determining whether a malicious attack is included in the process of requesting the service page or acquiring the service page based on a result of monitoring the communication service engine; And
And determining whether to block access to the service page according to the determination result of the obfuscation determination step and the attack inclusion determination step,
The method of claim 1,
If it is determined that the service page is obfuscated in the obfuscation determination step or a malicious attack is included in the process of requesting the service page or the process of acquiring the service page in the step of determining whether or not the service page is obfuscated, And blocking access to the page. ≪ RTI ID = 0.0 > [0002] < / RTI >
KR1020130027836A 2013-03-15 2013-03-15 Terminal device and control method thereof KR101503456B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130027836A KR101503456B1 (en) 2013-03-15 2013-03-15 Terminal device and control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130027836A KR101503456B1 (en) 2013-03-15 2013-03-15 Terminal device and control method thereof

Publications (2)

Publication Number Publication Date
KR20140113013A KR20140113013A (en) 2014-09-24
KR101503456B1 true KR101503456B1 (en) 2015-03-24

Family

ID=51757694

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130027836A KR101503456B1 (en) 2013-03-15 2013-03-15 Terminal device and control method thereof

Country Status (1)

Country Link
KR (1) KR101503456B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101650316B1 (en) * 2015-01-21 2016-08-23 한국인터넷진흥원 Apparatus and method for collecting and analysing HTML5 documents based a distributed parallel processing
KR101672791B1 (en) * 2015-10-26 2016-11-07 고려대학교 산학협력단 Method and system for detection of vulnerability on html5 mobile web application
KR102203200B1 (en) * 2019-05-13 2021-01-14 고려대학교 산학협력단 Apparatus for deobfuscation and method for the same

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090150999A1 (en) 2007-12-05 2009-06-11 International Business Machines Corporation System, method and program product for detecting computer attacks
KR20100010749A (en) * 2008-07-23 2010-02-02 한국전자통신연구원 Apparatus and method for detecting obfuscated web page
KR20110108491A (en) * 2010-03-29 2011-10-06 한국전자통신연구원 System for detecting malicious script and method for detecting malicious script using the same
KR20130018492A (en) * 2011-08-03 2013-02-25 삼성전자주식회사 Method and apparatus of sandboxing technology for webruntime system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090150999A1 (en) 2007-12-05 2009-06-11 International Business Machines Corporation System, method and program product for detecting computer attacks
KR20100010749A (en) * 2008-07-23 2010-02-02 한국전자통신연구원 Apparatus and method for detecting obfuscated web page
KR20110108491A (en) * 2010-03-29 2011-10-06 한국전자통신연구원 System for detecting malicious script and method for detecting malicious script using the same
KR20130018492A (en) * 2011-08-03 2013-02-25 삼성전자주식회사 Method and apparatus of sandboxing technology for webruntime system

Also Published As

Publication number Publication date
KR20140113013A (en) 2014-09-24

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
US8353036B2 (en) Method and system for protecting cross-domain interaction of a web application on an unmodified browser
JP4912400B2 (en) Immunization from known vulnerabilities in HTML browsers and extensions
CN108881211B (en) Illegal external connection detection method and device
CA2946695C (en) Fraud detection network system and fraud detection method
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
US20120216133A1 (en) Secure cloud computing system and method
KR20180120157A (en) Data set extraction based pattern matching
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP2015511338A (en) Method and system for ensuring the reliability of IP data provided by a service provider
CN107347057B (en) Intrusion detection method, detection rule generation method, device and system
US20080281921A1 (en) Systems and methods for inter-domain messaging
CN112703496B (en) Content policy based notification to application users regarding malicious browser plug-ins
WO2014078441A2 (en) Cross-site request forgery protection
CN109361574B (en) JavaScript script-based NAT detection method, system, medium and equipment
CN103701816A (en) Scanning method and scanning device of server executing DOS (Denial Of service)
KR101487476B1 (en) Method and apparatus to detect malicious domain
KR101503456B1 (en) Terminal device and control method thereof
US9380067B2 (en) IPS detection processing method, network security device, and system
CN103561076A (en) Webpage trojan-linking real-time protection method and system based on cloud
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR101754195B1 (en) Method for security enhancement based on multi log gathering server
KR20080070793A (en) Method of anti-pharming

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191216

Year of fee payment: 6