KR101541158B1 - 홈페이지 위변조 탐지 장치 및 방법 - Google Patents

홈페이지 위변조 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101541158B1
KR101541158B1 KR1020130140034A KR20130140034A KR101541158B1 KR 101541158 B1 KR101541158 B1 KR 101541158B1 KR 1020130140034 A KR1020130140034 A KR 1020130140034A KR 20130140034 A KR20130140034 A KR 20130140034A KR 101541158 B1 KR101541158 B1 KR 101541158B1
Authority
KR
South Korea
Prior art keywords
homepage
character string
string
modulation
image shot
Prior art date
Application number
KR1020130140034A
Other languages
English (en)
Other versions
KR20150058613A (ko
Inventor
이택규
김근용
이석원
최명렬
오형근
손기욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130140034A priority Critical patent/KR101541158B1/ko
Priority to US14/467,677 priority patent/US9323987B2/en
Publication of KR20150058613A publication Critical patent/KR20150058613A/ko
Application granted granted Critical
Publication of KR101541158B1 publication Critical patent/KR101541158B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/40Document-oriented image-based pattern recognition
    • G06V30/41Analysis of document content
    • G06V30/416Extracting the logical structure, e.g. chapters, sections or page numbers; Identifying elements of the document, e.g. authors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition
    • G06V30/14Image acquisition
    • G06V30/148Segmentation of character regions
    • G06V30/153Segmentation of character regions using recognition of characters or words
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition
    • G06V30/26Techniques for post-processing, e.g. correcting the recognition result
    • G06V30/262Techniques for post-processing, e.g. correcting the recognition result using context analysis, e.g. lexical, syntactic or semantic context
    • G06V30/268Lexical context
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Multimedia (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Image Analysis (AREA)

Abstract

대상 웹사이트 화면에 대해 지속적으로 이미지샷과 OCR(Optical Character Recognition) 방법을 통해 문자열을 추출하는 방식과 키워드 비교를 통해 홈페이지 위변조 행위를 판단할 수 있는 홈페이지 위변조 탐지 장치 및 방법을 제시한다.
제시된 장치는 접근한 홈페이지의 전체 화면에 대한 홈페이지 이미지샷을 생성하는 홈페이지 이미지샷 생성 모듈, 홈페이지 이미지샷에서 OCR기법을 이용하여 문자열을 추출하는 문자열 추출 모듈, 추출한 문자열에 대하여 홈페이지 위변조 판단을 위한 문자열을 근거로 정상 문자열인지 아니면 변조 문자열인지를 비교하는 문자열 비교 모듈, 문자열 비교 모듈의 비교 결과를 근거로 해당 홈페이지에 대한 위변조 판단을 행하는 홈페이지 변조판단 모듈, 및 홈페이지 변조판단 모듈의 판단 결과를 근거로 홈페이지 이미지샷에서 추출한 문자열을 학습하여 정상 문자열 또는 변조 문자열로 분류하는 문자열 학습 모듈을 포함한다.

Description

홈페이지 위변조 탐지 장치 및 방법{Homepage modulation detection apparatus and method}
본 발명은 홈페이지 위변조 탐지 장치 및 방법에 관한 것으로, 보다 상세하게는 웹사이트 해킹을 통해 홈페이지를 위변조시키는 행위를 신속하고 정확하게 탐지하도록 하는 홈페이지 위변조 탐지 장치 및 방법에 관한 것이다.
웹사이트 해킹을 통해 홈페이지를 불법으로 위변조하는 행위를 탐지하는 기술은 대상 홈페이지가 사용자 및 관리자의 게시판 글 작성 및 관리자의 자료 업데이트 등 홈페이지의 정상적인 동적 변화에도 위변조로 식별하는 오탐(False Positive alarm)이 자주 발생하는 문제점이 있다.
종래기술로는 해킹을 통한 홈페이지 위변조를 탐지하기 위해 주기적으로 홈페이지를 구성하는 소스코드(html)를 크롤링(crawling)하여 바로 직전에 수집된 홈페이지 소스(html)와 문자 코드를 비교하여 홈페이지 소스 코드의 변경 정도를 백분율 값의 변경율로 표시하고, 홈페이지 소스코드 변경율에 따라 홈페이지 위변조로 식별하였다. 그러나, 정상 사용자에 의한 홈페이지 게시판의 글 입력이나 이미지 파일 업로드로 인해 홈페이지 소스코드(html) 변경율이 증가하며, 또한 홈페이지 위변조를 식별할 수 있는 변경율 값이 모호함으로 정확하게 홈페이지 위변조를 탐지할 수 없다는 단점이 존재한다.
또한, 종래기술 중에 이미지 분석 기법에서 마스킹 기법을 사용한 기술을 적용하여 동적인 영역과 정적인 영역을 지속적으로 학습하고 분석하며 분석결과를 바탕으로 홈페이지 변조 여부를 판단하는 기술이 있다. 그러나, 해당 기술은 해킹에 의해 홈페이지의 전체 변조가 아닌 일부분 영역에 대한 변조, 즉 동적인 영역에 속한 부분만 변조가 이뤄진 경우에는 탐지하지 못하는 단점이 존재한다. 이러한 동적 영역에 대한 부분 변조는 최근 국가 및 공공기관의 홈페이지 위변조에도 사용될 정도로 지능적이고 현재 기술로는 자동 탐지가 어려운 방법이다.
관련 선행기술로는, 운영중인 웹사이트의 변조 여부를 탐지하기 위해 탐지원의 PC에 변조탐지시스템을 설치하여 지속적으로 대상 웹사이트를 모니터링함으로써 대상 웹사이트의 변조 여부를 판단하는 내용이 대한민국등록특허 제0867306호(이미지 분석기법을 이용한 홈페이지 변조점검 시스템 및 방법)에 개시되었다.
상술한 대한민국등록특허 제0867306호의 발명은, 홈페이지를 이미지 분석기법을 사용하여 전방향 마스킹 분석과 역방향 마스킹 분석 기법을 통해 웹페이지의 정적 영역과 사용자에 의해 자주 변경되는 동적 영역을 구분한다. 웹페이지의 정적 영역과 동적 영역으로 구분되는 위치를 나타내는 마스킹 지수를 통해 홈페이지 변조 여부를 판단한다. 따라서, 홈페이지의 정적, 동적 영역의 마스킹 지수 기준치를 넘는 위변조에 대해서만 탐지가 가능하다. 즉, 홈페이지의 작은 이미지 파일 변조와 같은 부분 영역 변조에 대해서 탐지가 어려울 수 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 대상 웹사이트 화면에 대해 지속적으로 이미지샷과 OCR(Optical Character Recognition) 방법을 통해 문자열을 추출하는 방식과 키워드 비교를 통해 홈페이지 위변조 행위를 판단할 수 있는 홈페이지 위변조 탐지 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 홈페이지 위변조 탐지 장치는, 접근한 홈페이지의 전체 화면에 대한 홈페이지 이미지샷을 생성하는 홈페이지 이미지샷 생성 모듈; 상기 홈페이지 이미지샷에서 OCR기법을 이용하여 문자열을 추출하는 문자열 추출 모듈; 상기 추출한 문자열에 대하여 홈페이지 위변조 판단을 위한 문자열을 근거로 정상 문자열인지 아니면 변조 문자열인지를 비교하는 문자열 비교 모듈; 상기 문자열 비교 모듈의 비교 결과를 근거로 해당 홈페이지에 대한 위변조 판단을 행하는 홈페이지 변조판단 모듈; 및 상기 홈페이지 변조판단 모듈의 판단 결과를 근거로 상기 홈페이지 이미지샷에서 추출한 문자열을 학습하여 상기 정상 문자열 또는 상기 변조 문자열로 분류하는 문자열 학습 모듈;을 포함한다.
바람직하게, 상기 문자열 비교 모듈은, 상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 정상 판단기준이 되는 문자열과 비교하는 정상 문자열 비교 모듈; 및 상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 변조 판단기준이 되는 문자열과 비교하는 변조 문자열 비교 모듈;을 포함할 수 있다.
바람직하게, 상기 홈페이지 변조판단 모듈은, 상기 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준이 되는 문자열간의 일치 여부에 따라 해당 홈페이지의 위변조를 판단할 수 있고, 상기 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준이 되는 문자열간에 일치하는 비율이 높을 경우 해당 홈페이지를 정상 상태로 판정할 수 있다.
바람직하게, 정상 판단기준이 되는 상기 정상 문자열이 기저장되고, 학습을 통해 수집되는 정상 판단기준의 문자열을 상기 정상 문자열로 저장하는 정상 판단 문자열 관리 DB; 및 변조 판단기준이 되는 상기 변조 문자열이 기저장되고, 학습을 통해 수집되는 변조 판단기준의 문자열을 상기 변조 문자열로 저장하는 변조 판단 문자열 관리 DB;를 추가로 포함하여도 된다.
바람직하게, 상기 문자열 비교 모듈은 상기 정상 판단 문자열 관리 DB에서 호출한 정상 문자열을 기존 홈페이지에서 지속적으로 탐지된 문자열, 문자열의 중복횟수, 사용자 지정 단어의 가중치를 반영한 비교 순서로 정렬하여 이용할 수 있다.
바람직하게, 상기 문자열 비교 모듈은 상기 변조 판단 문자열 관리 DB에서 호출한 변조 문자열을 홈페이지 위변조 사고의 중요도 및 파급력, 홈페이지 위변조 대상, 특정 목적 및 조직적인 행위 여부, 다른 홈페이지 위변조에 사용되는 문자열과 중복 횟수, 사용자의 관심 문자열을 반영한 비교 순서로 정렬하여 이용할 수 있다.
바람직하게, 상기 문자열 학습 모듈은 상기 홈페이지 변조판단 모듈에 의해 홈페이지 위변조 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 변조 문자열로 등록하고, 사용자에 의해 정의된 문자열의 중요도에 따라 가중치를 상기 등록한 변조 문자열에 부여할 수 있다.
바람직하게, 상기 문자열 학습 모듈은 상기 홈페이지 변조판단 모듈에 의해 홈페이지 정상 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 문자열로 등록하고, 이전의 이미지샷에서 추출한 문자열과 중복적으로 발생하는 문자열에 대해 가중치를 부여할 수 있다.
한편, 본 발명의 바람직한 실시양태에 따른 홈페이지 위변조 탐지 방법은, 홈페이지 이미지샷 생성 모듈이, 접근한 홈페이지의 전체 화면에 대한 홈페이지 이미지샷을 생성하는 단계; 문자열 추출 모듈이, 상기 홈페이지 이미지샷을 생성하는 단계에 의한 홈페이지 이미지샷에서 OCR기법을 이용하여 문자열을 추출하는 단계; 문자열 비교 모듈이, 상기 문자열을 추출하는 단계에 의해 추출한 문자열에 대하여 홈페이지 위변조 판단을 위한 문자열을 근거로 정상 문자열인지 아니면 변조 문자열인지를 비교하는 단계; 홈페이지 변조판단 모듈이, 상기 비교하는 단계에 의한 비교 결과를 근거로 해당 홈페이지에 대한 위변조 판단을 행하는 단계; 및 문자열 학습 모듈이, 상기 홈페이지에 대한 위변조 판단을 행하는 단계의 판단 결과를 근거로 상기 홈페이지 이미지샷에서 추출한 문자열을 학습하여 상기 정상 문자열 또는 상기 변조 문자열로 분류하는 단계;를 포함한다.
바람직하게, 상기 비교하는 단계는, 상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 정상 판단기준이 되는 문자열과 비교하는 단계; 및 상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 변조 판단기준이 되는 문자열과 비교하는 단계;를 포함할 수 있다.
바람직하게, 상기 홈페이지에 대한 위변조 판단을 행하는 단계는, 상기 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준이 되는 문자열간의 일치 여부에 따라 해당 홈페이지의 위변조를 판단하는 단계; 및 상기 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준이 되는 문자열간에 일치하는 비율이 높을 경우 해당 홈페이지를 정상 상태로 판정하는 단계;를 포함할 수 있다.
바람직하게, 상기 분류하는 단계는, 상기 홈페이지에 대한 위변조 판단을 행하는 단계에 의해 홈페이지 위변조 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 변조 문자열로 등록하는 단계; 및 사용자에 의해 정의된 문자열의 중요도에 따라 가중치를 상기 등록한 변조 문자열에 부여하는 단계;를 포함할 수 있다.
바람직하게, 상기 분류하는 단계는, 상기 홈페이지에 대한 위변조 판단을 행하는 단계에 의해 홈페이지 정상 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 문자열로 등록하는 단계; 및 이전의 이미지샷에서 추출한 문자열과 중복적으로 발생하는 문자열에 대해 가중치를 부여하는 단계;를 포함할 수 있다.
이러한 구성의 본 발명에 따르면, 홈페이지의 이미지샷 기법과 홈페이지 이미지샷에 대한 OCR 인식 방법을 이용하여 홈페이지 변조 탐지를 수행함으로써 홈페이지 화면 전체에 대한 위변조 행위 뿐만 아니라 기존의 홈페이지 소스(html) 비교 또는 이미지 마스킹 기법으로 탐지하기 어려운 홈페이지 부분 화면에 대한 위변조 행위까지 모두 신속하고 정확하게 탐지할 수 있다.
도 1은 본 발명의 실시예에 따른 홈페이지 위변조 탐지 장치의 구성을 나타낸 블록도이다.
도 2는 본 발명의 실시예에 따른 홈페이지 위변조 탐지 방법을 설명하기 위한 플로우차트이다.
도 3은 본 발명의 실시예에서 홈페이지 위변조 탐지를 위한 문자열 비교 절차를 상세히 설명하기 위한 플로우차트이다.
도 4는 본 발명의 실시예에서 홈페이지 위변조 탐지에 활용되는 문자열 학습 절차를 상세히 설명하기 위한 플로우차트이다.
본 발명은 웹사이트 해킹에 의한 홈페이지 위변조를 즉각적으로 탐지하기 위하여 홈페이지에 접근하여 홈페이지 화면을 이미지 형태로 저장(Image Shot)하고, 저장된 이미지를 OCR(Optical Character Recognition) 방법을 통해 이미지샷에 존재하는 문자열을 추출하여, 변조에 자주 사용되는 문자열과 비교하여 홈페이지 위변조 행위를 신속하고 정확하게 식별함을 특징으로 한다.
그에 따라, 이하의 본 발명의 명세서에서는 해킹에 의한 홈페이지 위변조 탐지율을 높이기 위해 홈페이지 이미지샷 저장 방법과 이미지샷에 존재하는 문자를 인식하는 OCR 기법을 통해 추출된 문자열을 홈페이지 위변조에 빈번하게 사용되는 키워드와 비교하는 방식으로 해킹에 의한 홈페이지 위변조 식별을 자동화함으로써 탐지시간 단축 및 정탐율(Ture Positive alarm)을 높일 수 있는 방법에 대해 주로 설명한다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 홈페이지 위변조 탐지 장치의 구성을 나타낸 블록도이다.
도 1에 도시된 장치는, 홈페이지 접근 모듈(10), 홈페이지 이미지샷 생성 모듈(12), 문자열 추출 모듈(14), 문자열 비교 모듈(16), 정상 문자열 비교 모듈(18), 변조 문자열 비교 모듈(20), 변조 판단 문자열 관리 DB(22), 정상 판단 문자열 관리 DB(24), 홈페이지 변조판단 모듈(26), 문자열 학습 모듈(28), 및 변조 알람 및 이력 관리 모듈(30)을 포함한다.
홈페이지 접근 모듈(10)은 홈페이지 위변조 모니터링 대상 웹사이트를 일정 주기 또는 비정기 주기로 순차적으로 접속하는 기능을 수행한다.
홈페이지 이미지샷 생성 모듈(12)은 홈페이지 접근 모듈(10)이 접근한 홈페이지의 전체화면을 캡쳐하여 이미지 파일 형태의 홈페이지 이미지샷을 생성한다.
문자열 추출 모듈(14)은 홈페이지 이미지샷 생성 모듈(12)에서 생성한 홈페이지 이미지샷으로부터 OCR 기법을 이용하여 문자열을 인식한 후 추출한다.
문자열 비교 모듈(16)은 문자열 추출 모듈(14)에서 추출한 문자열과 홈페이지 위변조 판단을 위해 관리 및 저장되고 있는 문자열을 서로 비교한다.
정상 문자열 비교 모듈(18)은 홈페이지 위변조 감시 대상 웹사이트의 모니터링을 통해 수집되는 정상 상태를 식별할 수 있는 문자열과 문자열 추출 모듈(14)에서 추출한 현재 홈페이지 이미지샷에서의 문자열을 서로 비교한다.
변조 문자열 비교 모듈(20)은 기존 홈페이지 해킹 이력 정보 또는 홈페이지 해킹을 당한 화면 정보를 제공하는 웹사이트로부터 추출한 악성(변조) 문자열 또는 사용자가 직접 입력한 키워드와 문자열 추출 모듈(14)에서 추출한 현재 홈페이지 이미지샷에서의 문자열을 서로 비교한다.
도 1에서는 문자열 비교 모듈(16), 정상 문자열 비교 모듈(18), 및 변조 문자열 비교 모듈(20)을 각각 독립된 모듈로 표시하였으나, 정상 문자열 비교 모듈(18) 및 변조 문자열 비교 모듈(20)이 문자열 비교 모듈(16)에 포함되는 것으로 하여도 무방하다.
변조 판단 문자열 관리 DB(22)는 홈페이지 이미지샷에서 추출한 변조 문자열을 수집하고, 문자열 학습 모듈(28)에 의해 학습된 신규의 변조 문자열을 저장한다. 여기서, 변조 문자열은 변조 판단기준이 되는 문자열이 되므로, 변조 판단 문자열이라고 하여도 무방하다.
정상 판단 문자열 관리 DB(24)는 홈페이지 이미지샷에서 추출한 정상 문자열을 수집하고, 문자열 학습 모듈(28)에 의해 학습된 신규의 정상 문자열을 저장한다. 여기서, 정상 문자열은 정상 판단기준이 되는 문자열이 되므로, 정상 판단 문자열이라고 하여도 무방하다.
홈페이지 변조판단 모듈(26)은 홈페이지 이미지샷에서 추출된 문자열과 정상 문자열 및 변조 문자열의 비교 결과를 종합하여 홈페이지 변조 여부를 판단한다.
문자열 학습 모듈(28)은 홈페이지 변조판단 모듈(26)의 판단 결과를 근거로 홈페이지 이미지샷에서 추출한 문자열을 학습하여 정상 문자열 또는 변조 문자열로 분류한다. 바람직하게, 문자열 학습 모듈(28)은 홈페이지 위변조 감시 대상 웹사이트 모니터링을 통해 수집된 문자열 중 일상적으로 자주 사용되는 정상 문자열을 학습함으로써 홈페이지 정상 판단 정보를 수집할 수 있다. 또한, 문자열 학습 모듈(28)은 해킹을 통한 홈페이지 위변조에 사용된 이미지 정보를 제공하는 웹사이트로부터 추출한 변조 문자열을 학습함으로써 홈페이지 위변조 판단 정보를 수집할 수 있다.
변조 알람 및 이력 관리 모듈(30)은 홈페이지 변조판단 모듈(26)의 판단 결과에 따라 사용자 인터페이스(GUI)를 이용하여 홈페이지 위변조 결과에 대한 알람 및 이력 관리 현황을 표출한다. 즉, 홈페이지 이미지샷에서 추출된 문자열과 키워드(즉, 변조(악성) 문자열)가 일치하는 경우 홈페이지가 변조된 것으로 판단되므로, 변조 알람 및 이력 관리 모듈(30)은 이를 사용자에게 알람으로 알려준다. 또한, 변조 알람 및 이력 관리 모듈(30)은 변조 점검 이력 DB(도시 생략)에 지속적으로 분석결과를 저장하여 이력 조회 기능도 지원한다. 상술한 변조 점검 이력 DB를 도 1에 도시하지 않았지만, 변조 점검 이력 DB가 변조 알람 및 이력 관리 모듈(30)에 포함된 것으로 이해하거나 변조 점검 이력 DB와 변조 알람 및 이력 관리 모듈(30)이 서로 연결된 것으로 이해하면 된다.
상술한 구성에 따르면, 홈페이지 등록,수정,삭제 관리를 수행하는 사용자 인터페이스(GUI)를 통해 복수개의 홈페이지 위변조 모니터링 대상 사이트를 등록하면 입력된 정보를 기반으로 홈페이지 접근 모듈(10)을 통해 각각의 홈페이지에 대해 일정 주기 또는 비정기 주기를 가지고 순차적으로 접속한다. 홈페이지 이미지샷 생성 모듈(12)을 통해 모니터링 대상 홈페이지 화면을 캡쳐하여 저장 이미지 크기, 이미지 확장자 등을 선택하여 이미지 파일을 생성한다. 홈페이지 화면 이미지는 OCR 기법을 이용한 문자열 추출 모듈(14)을 통해서 이미지 화면에 존재하는 모든 문자열을 추출하여 문자열 비교 모듈(16)에게로 전달된다. 문자열 비교 모듈(16)에서는 홈페이지 이미지샷에서 추출한 문자열을 통해 홈페이지의 위변조 여부를 판단하기 위해 정상 문자열 비교 모듈(18)과 변조 문자열 비교 모듈(20)의 비교 결과값을 종합하여 홈페이지 변조판단 모듈(26)에게로 전달한다. 여기서, 정상 문자열 비교 모듈(18)은 정상 판단 문자열 관리 DB(24)내의 정상 판단기준이 되는 문자열을 호출하여 홈페이지 이미지샷에서 추출한 문자열과 비교를 수행한다. 이와 동일한 방식으로 변조 문자열 비교 모듈(20)도 변조 판단 문자열 관리 DB(22)내의 변조 판단기준이 되는 문자열을 호출하여 홈페이지 이미지샷에서 추출한 문자와 비교를 수행한다. 홈페이지 변조판단 모듈(26)은 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준 문자열 및 정상 판단기준 문자열간의 일치 여부를 기준으로 홈페이지 위변조 여부를 판단한다. 변조 판단기준 문자열의 경우 단 1개라도 일치하는 단어가 탐지될 경우 홈페이지 위변조로 판정한다. 정상 판단기준 문자열의 경우 기존에 지속적으로 중복 탐지 이력이 있는 문자열이 재탐지되더라도 홈페이지 정상 상태로 판정한다. 홈페이지 변조판단 모듈(26)은 홈페이지 위변조 여부 판단이 완료되면 문자열 학습 모듈(28)로 판단 결과와 홈페이지 이미지샷에서 추출한 문자열을 전달한다. 문자열 학습 모듈(28)은 정상 문자열과 변조 문자열을 각각 분류하여 정상 판단 문자열 관리 DB(24)와 변조 판단 문자열 관리 DB(22)에 저장한다. 최종적으로 홈페이지 위변조 판단 결과에 따라 변조 알람 및 이력 관리 모듈(30)은 사용자 인터페이스(GUI)를 이용하여 홈페이지 위변조 결과에 대한 알람 및 이력 관리 현황을 표출한다.
도 2는 본 발명의 실시예에 따른 홈페이지 위변조 탐지 방법을 설명하기 위한 플로우차트이다.
먼저, 홈페이지 접근 모듈(10)이 홈페이지 등록,수정,삭제 관리를 수행하는 사용자 인터페이스(GUI)를 통해 기 등록된 복수개의 홈페이지 위변조 모니터링 대상 사이트를 근거로 각각의 홈페이지에 주기적 또는 비주기적으로 접근한다(S10).
홈페이지 이미지샷 생성 모듈(12)은 해당 홈페이지 접근을 통해 홈페이지 이미지샷을 생성한다(S12)
문자열 추출 모듈(14)은 홈페이지 이미지샷 생성 모듈(12)에 의해 생성된 홈페이지 이미지샷으로부터 OCR 기법을 사용하여 이미지샷 내에 삽입된 문자열을 추출한다(S14).
만약, 문자열 추출 모듈(14)에 의해 추출되는 문자열이 있는 경우(S16에서 "Yes") 해당 문자열을 문자열 비교 모듈(16)에게로 전달하고, 반대로 추출되는 문자열이 없는 경우 해당 홈페이지 이미지샷에 대한 분석을 종료한다.
문자열 비교 모듈(16)은 문자열 추출 모듈(14)에서 제공되는 홈페이지 이미지샷으로부터 추출된 문자열과 홈페이지 위변조 여부를 판단하기 위해, 사전에 입력된 문자열 또는 문자열 학습 모듈(28)에 의해 수집된 변조 판단 기준 문자열과의 일치 여부를 비교한다(S18).
홈페이지 변조판단 모듈(26)은 홈페이지 이미지샷에서 추출된 문자열과 변조 판단 기준 문자열간의 일치 여부에 따라 홈페이지 위변조 판단을 수행한다(S20). 홈페이지 위변조 판단 여부에 따라 홈페이지 변조 알람 및 변조 문자열 학습 수행 절차와 정상 문자열 검증 및 학습 절차를 수행한다.
만약, 홈페이지 변조판단 모듈(26)에 의해 홈페이지가 위변조된 것으로 판단된 경우에는, 문자열 학습 모듈(28)은 해당 홈페이지 이미지샷에서 추출된 모든 문자열을 변조 판단기준 문자열로 지정하여 변조 판단 문자열 관리 DB(22)에 저장하고(S22), 홈페이지 위변조 알람을 발생한다.
그에 따라, 변조 알람 및 이력 관리 모듈(30)은 홈페이지가 위변조된 것으로 판정된 경우 위변조 확인 및 이력 관리 GUI를 통해 홈페이지 변조 알람을 출력하고(S24), 홈페이지 위변조 이력을 조회할 수 있도록 변조 점검 이력을 저장한다(S26).
이와 반대로, 홈페이지 변조판단 모듈(26)에 의해 홈페이지가 정상인 것으로 판단된 경우에는, 문자열 학습 모듈(28)은 해당 홈페이지 이미지샷에서 추출된 모든 문자열에 대해 정상 판단기준 문자열과 비교하여 신규 탐지된 문자열에 대해서 정상 문자열인지를 홈페이지 이미지샷 및 추출 문자열을 표출하는 GUI를 통해 정상 유무를 검증하고(S28), 정상 판단기준 문자열로 지정하여 정상 판단 문자열 관리 DB(24)에 저장하고 홈페이지 위변조 판단 절차를 종료한다(S30). 상기 홈페이지가 정상인 것으로 판단하는 동작에 대해 다시 설명하면 다음과 같다. 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준이 되는 문자열(즉, 해당 홈페이지가 정상 상태일 때 주기적인 홈페이지 이미지샷에서 추출한 중복적으로 발생한 문자열(특히, 중복도가 높은 문자열을 말함))간에 일치하는 비율이 높을 경우(일치하는 비율은 주기적인 문자열 비교를 통해 일치하는 문자열 수의 평균값을 구함) 홈페이지를 정상 상태로 판정할 수 있다. 여기서, 일치하는 비율이 높을 경우라는 것은 임계치를 미리 설정해 둔 후에 일치하는 비율이 기설정된 임계치보다 높을 경우를 의미할 수 있다. 임계치는 가변설정이 가능하다. 즉, 주기적으로 홈페이지 접근을 통해 홈페이지 이미지샷을 만들고 OCR 기법으로 모든 문자열을 수집하여 문자열별로 중복여부를 체크 및 누적하고, 매번 홈페이지 이미지샷에서 문자열을 수집할 때 중복적으로 발생하는 문자열 수를 홈페이지 접근 횟수로 나누어 문자열 중복율을 구한다. 그리고, 홈페이지에서 추출한 문자열과 비교하여 중복 발생한 문자열이 평균값(기준값)을 초과하여 주로 발생하던 문자열들이 탐지되면 정상으로 판정한다.
도 3은 본 발명의 실시예에서 홈페이지 위변조 탐지를 위한 문자열 비교 절차를 상세히 설명하기 위한 플로우차트이다. 이하의 문자열 비교 절차는 문자열 비교 모듈(16)이 동작 주체가 되어 행하는 것으로 이해하면 된다.
문자열 비교 모듈(16)은 홈페이지 이미지샷에서 OCR 기법을 사용하여 추출한 문자열을 입력받게 되면(S40), 먼저 변조 문자열 비교 모듈(20)을 통해 변조 판단 문자열 관리 DB(22)에서 홈페이지 위변조 판단 기준이 되는 기존 해킹에 의해 홈페이지 위변조에 사용된 이력이 있는 문자열 및 위변조 판단 기준이 되는 문자열을 호출한다(S42).
문자열 비교 모듈(16)은 그 호출한 문자열(즉, 변조 판단기준이 되는 문자열(변조 문자열))을 중요도 기준의 비교 순서로 정렬한다. 예를 들어, 문자열 비교 모듈(16)은 호출한 변조 판단기준 문자열을 홈페이지 위변조 사고의 중요도 및 파급력, 홈페이지 위변조 대상, 특정 목적 및 조직적인 행위 여부, 다른 홈페이지 위변조에 사용되는 문자열과 중복 횟수, 사용자의 관심 문자열 등을 반영하여 비교 순서를 정렬한다(S44).
상술한 S42 및 S44에서는 변조 판단기준 문자열을 호출한 후에 이를 정렬하는 것으로 하였으나, 변조 판단기준 문자열이 홈페이지 위변조 사고의 중요도 및 파급력, 홈페이지 위변조 대상, 특정 목적 및 조직적인 행위 여부, 다른 홈페이지 위변조에 사용되는 문자열과 중복 횟수, 사용자의 관심 문자열 등을 반영한 비교 순서로 변조 판단 문자열 관리 DB(22)내에 미리 정렬되어 저장되고, 문자열 비교 모듈(16)이 중요도가 반영된 비교 순서로 미리 정렬된 변조 판단기준의 문자열을 순서대로 호출하여도 된다.
이후, 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준 문자열간의 동일 문자열 비교 수행을 통해 동일한 단어가 1개 이상 탐지되면 홈페이지 위변조 상태로 인지하고, 일치하는 단어가 없는 경우 정상 판단 문자열 비교 단계로 절차를 수행한다(S46).
만약, S46에서 변조 판단기준 문자열과 일치하는 단어가 탐지되면 홈페이지 위변조 상태로 판단하고, 홈페이지 이미지샷에서 OCR 기법을 사용하여 추출한 모든 문자열을 홈페이지 변조판단 모듈(26)을 통해 문자열 학습 모듈(28)에 변조 판단기준 문자열로 등록 요청을 수행한다. 동시에 변조 알람 및 이력 관리 모듈(30)에 홈페이지 위변조 상태를 전달한다(S48).
그리고, 홈페이지 위변조를 판단할 수 있는 문자열이 탐지되면 해당 홈페이지 이미지샷에서 추출한 모든 문자열을 변조 판단기준 문자열로 등록하여 변조 판단 문자열 관리 DB(22)에 저장하기 위해 홈페이지 변조판단 모듈(26)을 통해 문자열 학습 모듈(28)에게 변조 문자열 학습을 요청한다(S50).
만약, 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준 문자열간의 동일 문자열을 비교하여 일치하는 문자열이 없을 경우, 홈페이지 정상여부 확인을 위해 정상 문자열 비교 모듈(18)을 통해 정상 판단 문자열 관리 DB(24)내 정상 판단기준 문자열을 호출한다(S52).
문자열 비교 모듈(16)은 그 호출한 문자열(즉, 정상 판단기준 문자열(정상 문자열))을 가중치 기준의 비교 순서로 정렬한다. 예를 들어, 문자열 비교 모듈(16)은 홈페이지 정상 여부 판단을 위해 호출된 정상 판단기준 문자열을 기존 홈페이지에서 지속적으로 탐지된 문자열, 문자열의 중복횟수, 사용자 지정 단어 등의 가중치를 반영한 비교 순서로 정렬한다(S54).
상술한 S52 및 S54에서는 정상 판단기준 문자열을 호출한 후에 이를 정렬하는 것으로 하였으나, 정상 판단기준 문자열이 기존 홈페이지에서 지속적으로 탐지된 문자열, 문자열의 중복횟수, 사용자 지정 단어 등의 가중치를 반영한 비교 순서로 정상 판단 문자열 관리 DB(24)내에 미리 정렬되어 저장되고, 문자열 비교 모듈(16)이 가중치가 반영된 비교 순서로 미리 정렬된 정상 판단기준의 문자열을 순서대로 호출하여도 된다.
이후, 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준 문자열간의 동일 문자열 비교를 행한다(S56).
S56에서의 비교를 통해 동일한 단어가 복수개 또는 중복적으로 다수 탐지되면 홈페이지 정상 상태로 인지하고(S58), 정상 판단기준 문자열을 학습하는 단계의 절차를 수행한다(S60).
한편, S56에서의 비교를 통해 일치하는 단어가 없는 경우 즉, 홈페이지에서 추출한 문자열과 정상 판단기준 문자열간의 동일 문자열 비교 결과 동일 문자열이 없을 경우(홈페이지에서 추출한 문자열이 변조 판단기준 문자열과 정상 판단기준 문자열과 모두 일치하는 경우가 없으면) 수동으로 홈페이지 문자열 변조 여부를 분석하여 문자열의 악성 유무 판단 및 학습 요청을 수행한다(S62).
도 4는 본 발명의 실시예에서 홈페이지 위변조 탐지에 활용되는 문자열 학습 절차를 상세히 설명하기 위한 플로우차트이다. 이하의 문자열 학습 절차는 문자열 학습 모듈(28)이 동작 주체가 되어 행하는 것으로 이해하면 된다.
홈페이지 위변조 판단 모듈(26)이 문자열 비교 모듈(16)로부터 문자열 비교 수행 결과값을 입력받아 홈페이지 위변조 여부를 판단하게 되는데, 문자열 학습 모듈(28)은 홈페이지 위변조 판단 모듈(26)로부터 홈페이지 위변조 판단 결과를 입력받는다(S70).
이후, 문자열 학습 모듈(28)은 홈페이지 위변조 여부를 구분하고(S72), 그 결과에 따라 이하의 홈페이지 위변조 상태와 홈페이지 정상 상태에 대한 별도의 문자열 학습 및 저장·관리를 수행한다. 다시 말해서, 문자열 학습 모듈(28)은 기존 홈페이지 해킹 이력 정보라던지 해킹당한 정보를 제공하는 웹사이트 또는 사용자가 직접 입력한 키워드를 통해 변조 판단 문자열로 저장 및 학습을 수행한다.
만약, 홈페이지 위변조 상태로 판단되면, 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 변조 판단기준 문자열로 등록하고(S74), 사용자에 의해 정의된 문자열의 중요도에 따라 가중치를 부여하여(S76), 최종적으로 변조 판단 문자열 관리 DB(22)에 저장하여 관리한다(S78). 여기서, 문자열의 중요도에 따른 가중치는 기존 해킹사고에 활용된 정보 및 해커 관련 정보, 국내외 사이버테러 정보, 홈페이지 위변조 공격 대상 사이트의 중요성 등을 수치화하여 점수로 문자열의 가중치를 부여할 수 있다.
반대로, 홈페이지 정상 상태로 판단되면, 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 판단기준 문자열로 등록하고(S80), 이전의 홈페이지 이미지샷에서 추출한 문자열과 중복적으로 발생하는 문자열에 대해 가중치를 부여하여(S82), 최종적으로 정상 판단 문자열 관리 DB(24)에 저장하여 관리한다(S84). 여기서, 문자열의 중복성에 따른 가중치는 모니터링 대상 홈페이지에서 주기적으로 이미지샷을 찍고 문자열을 추출 저장할 때 문자열이 중복적으로 발생할 때마다 점수를 부여하여 문자열의 가중치를 부여할 수 있다. 문자열의 중복성에 대한 가중치 점수는 향후 홈페이지 이미지샷에서 추출한 문자열이 정상적으로 자주 사용하는 문자열임을 식별하는데 사용한다.
상술한 바와 같이, 본 발명은 홈페이지 위변조 모니터링을 수행하는 대상 웹사이트를 주기적으로 접근하여 홈페이지 화면을 이미지파일 형태의 이미지샷(Image shot)으로 저장하고, 저장된 이미지샷을 OCR(Optical Character Recognition) 방법을 통해 이미지샷에 존재하는 문자를 추출하여 홈페이지 위변조를 식별하기 위한 문자열 비교 모듈(16)과 홈페이지 변조판단 모듈(26)을 통해 홈페이지 위변조 행위를 탐지할 수 있다. 이를 위해 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 판단기준 문자열(White List) 비교와 변조 판단기준 문자열(Black List) 비교를 수행하여 홈페이지 위변조 여부를 판단한다. 정상상태의 대상 홈페이지 이미지샷에서 OCR 기법을 통해 추출한 문자열을 정상 판단기준 문자열로서 저장 및 학습을 통해 관리하고, 홈페이지 변조를 당한 홈페이지 화면을 제공하는 웹사이트(Zone-H 등)에 올라온 이미지로부터 OCR 기법을 이용해 추출한 문자열을 변조 판단기준 문자열로서 저장 및 관리한다.
결국, 본 발명은 홈페이지 이미지샷을 생성하여 OCR(Optical Character Recognition) 방법을 통해 이미지샷에 존재하는 문자를 추출하여 사용자 정의 또는 문자열 학습에 의해 정의된 키워드와 비교함으로써 홈페이지 변조 행위를 식별할 수 있다. 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준 문자열 및 정상 판단기준 문자열간의 일치 여부를 기준으로 홈페이지 위변조 여부를 판단한다. 홈페이지 위변조 상태와 정상 상태에서 추출된 문자열은 사고 이력, 사용자 중요도 설정에 의해 문자열의 가중치를 부여하여 학습을 수행한다. 본 발명에서는 홈페이지 이미지샷에서 추출한 문자열에 대한 비교 수행으로 홈페이지내 부분적인 위변조도 정확하게 탐지할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 홈페이지 접근 모듈 12 : 홈페이지 이미지샷 생성 모듈
14 : 문자열 추출 모듈 16 : 문자열 비교 모듈
18 : 정상 문자열 비교 모듈 20 : 변조 문자열 비교 모듈
22 : 변조 판단 문자열 관리 DB 24 : 정상 판단 문자열 관리 DB
26 : 홈페이지 변조판단 모듈 28 : 문자열 학습 모듈
30 : 변조 알람 및 이력 관리 모듈

Claims (13)

  1. 접근한 홈페이지의 전체 화면에 대한 홈페이지 이미지샷을 생성하는 홈페이지 이미지샷 생성 모듈;
    상기 홈페이지 이미지샷에서 OCR기법을 이용하여 문자열을 추출하는 문자열 추출 모듈;
    상기 추출한 문자열에 대하여 홈페이지 위변조 판단을 위한 문자열을 근거로 정상 문자열인지 아니면 변조 문자열인지를 비교하는 문자열 비교 모듈;
    상기 문자열 비교 모듈의 비교 결과를 근거로 해당 홈페이지에 대한 위변조 판단을 행하는 홈페이지 변조판단 모듈; 및
    상기 홈페이지 변조판단 모듈의 판단 결과를 근거로 상기 홈페이지 이미지샷에서 추출한 문자열을 학습하여 상기 정상 문자열 또는 상기 변조 문자열로 분류하는 문자열 학습 모듈;을 포함하고,
    상기 홈페이지 변조판단 모듈은, 상기 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준이 되는 문자열간의 일치 여부에 따라 해당 홈페이지의 위변조를 판단하고, 상기 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준이 되는 문자열간에 일치하는 비율이 높을 경우 해당 홈페이지를 정상 상태로 판정하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  2. 청구항 1에 있어서,
    상기 문자열 비교 모듈은,
    상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 정상 판단기준이 되는 문자열과 비교하는 정상 문자열 비교 모듈; 및
    상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 변조 판단기준이 되는 문자열과 비교하는 변조 문자열 비교 모듈;을 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  3. 삭제
  4. 청구항 1에 있어서,
    정상 판단기준이 되는 상기 정상 문자열이 기저장되고, 학습을 통해 수집되는 정상 판단기준의 문자열을 상기 정상 문자열로 저장하는 정상 판단 문자열 관리 DB; 및
    변조 판단기준이 되는 상기 변조 문자열이 기저장되고, 학습을 통해 수집되는 변조 판단기준의 문자열을 상기 변조 문자열로 저장하는 변조 판단 문자열 관리 DB;를 추가로 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  5. 청구항 4에 있어서,
    상기 문자열 비교 모듈은 상기 정상 판단 문자열 관리 DB에서 호출한 정상 문자열을 기존 홈페이지에서 지속적으로 탐지된 문자열, 문자열의 중복횟수, 사용자 지정 단어의 가중치를 반영한 비교 순서로 정렬하여 이용하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  6. 청구항 4에 있어서,
    상기 문자열 비교 모듈은 상기 변조 판단 문자열 관리 DB에서 호출한 변조 문자열을 홈페이지 위변조 사고의 중요도 및 파급력, 홈페이지 위변조 대상, 특정 목적 및 조직적인 행위 여부, 다른 홈페이지 위변조에 사용되는 문자열과 중복 횟수, 사용자의 관심 문자열을 반영한 비교 순서로 정렬하여 이용하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  7. 청구항 1에 있어서,
    상기 문자열 학습 모듈은 상기 홈페이지 변조판단 모듈에 의해 홈페이지 위변조 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 변조 문자열로 등록하고, 사용자에 의해 정의된 문자열의 중요도에 따라 가중치를 상기 등록한 변조 문자열에 부여하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  8. 청구항 1에 있어서,
    상기 문자열 학습 모듈은 상기 홈페이지 변조판단 모듈에 의해 홈페이지 정상 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 문자열로 등록하고, 이전의 이미지샷에서 추출한 문자열과 중복적으로 발생하는 문자열에 대해 가중치를 부여하는 것을 특징으로 하는 홈페이지 위변조 탐지 장치.
  9. 홈페이지 이미지샷 생성 모듈이, 접근한 홈페이지의 전체 화면에 대한 홈페이지 이미지샷을 생성하는 단계;
    문자열 추출 모듈이, 상기 홈페이지 이미지샷을 생성하는 단계에 의한 홈페이지 이미지샷에서 OCR기법을 이용하여 문자열을 추출하는 단계;
    문자열 비교 모듈이, 상기 문자열을 추출하는 단계에 의해 추출한 문자열에 대하여 홈페이지 위변조 판단을 위한 문자열을 근거로 정상 문자열인지 아니면 변조 문자열인지를 비교하는 단계;
    홈페이지 변조판단 모듈이, 상기 비교하는 단계에 의한 비교 결과를 근거로 해당 홈페이지에 대한 위변조 판단을 행하는 단계; 및
    문자열 학습 모듈이, 상기 홈페이지에 대한 위변조 판단을 행하는 단계의 판단 결과를 근거로 상기 홈페이지 이미지샷에서 추출한 문자열을 학습하여 상기 정상 문자열 또는 상기 변조 문자열로 분류하는 단계;를 포함하고,
    상기 홈페이지에 대한 위변조 판단을 행하는 단계는, 상기 홈페이지 이미지샷에서 추출한 문자열과 변조 판단기준이 되는 문자열간의 일치 여부에 따라 해당 홈페이지의 위변조를 판단하는 단계; 및 상기 홈페이지 이미지샷에서 추출한 문자열과 정상 판단기준이 되는 문자열간에 일치하는 비율이 높을 경우 해당 홈페이지를 정상 상태로 판정하는 단계;를 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 방법.
  10. 청구항 9에 있어서,
    상기 비교하는 단계는,
    상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 정상 판단기준이 되는 문자열과 비교하는 단계; 및
    상기 홈페이지 이미지샷에서 추출한 문자열을 상기 홈페이지 위변조 판단을 위한 문자열중에서 변조 판단기준이 되는 문자열과 비교하는 단계;를 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 방법.
  11. 삭제
  12. 청구항 9에 있어서,
    상기 분류하는 단계는,
    상기 홈페이지에 대한 위변조 판단을 행하는 단계에 의해 홈페이지 위변조 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 변조 문자열로 등록하는 단계; 및
    사용자에 의해 정의된 문자열의 중요도에 따라 가중치를 상기 등록한 변조 문자열에 부여하는 단계;를 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 방법.
  13. 청구항 9에 있어서,
    상기 분류하는 단계는,
    상기 홈페이지에 대한 위변조 판단을 행하는 단계에 의해 홈페이지 정상 상태로 판단됨에 따라 해당 홈페이지 이미지샷에서 OCR 기법으로 추출한 문자열을 정상 문자열로 등록하는 단계; 및
    이전의 이미지샷에서 추출한 문자열과 중복적으로 발생하는 문자열에 대해 가중치를 부여하는 단계;를 포함하는 것을 특징으로 하는 홈페이지 위변조 탐지 방법.
KR1020130140034A 2013-11-18 2013-11-18 홈페이지 위변조 탐지 장치 및 방법 KR101541158B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130140034A KR101541158B1 (ko) 2013-11-18 2013-11-18 홈페이지 위변조 탐지 장치 및 방법
US14/467,677 US9323987B2 (en) 2013-11-18 2014-08-25 Apparatus and method for detecting forgery/falsification of homepage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130140034A KR101541158B1 (ko) 2013-11-18 2013-11-18 홈페이지 위변조 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150058613A KR20150058613A (ko) 2015-05-29
KR101541158B1 true KR101541158B1 (ko) 2015-08-04

Family

ID=53173374

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130140034A KR101541158B1 (ko) 2013-11-18 2013-11-18 홈페이지 위변조 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US9323987B2 (ko)
KR (1) KR101541158B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878244B (zh) * 2016-07-11 2020-04-28 阿里巴巴集团控股有限公司 一种真实性证明信息提供方法及装置
KR101899049B1 (ko) 2017-08-23 2018-09-14 (주)에프원시큐리티 웹사이트 위변조 탐지 방법 및 웹사이트 위변조 관리 시스템
KR102260335B1 (ko) * 2019-10-16 2021-06-03 한국생산기술연구원 인공지능 기반 이미지 변조 분류 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100867306B1 (ko) * 2007-05-31 2008-11-06 (주)위너다임 이미지 분석기법을 이용한 홈페이지 변조점검 시스템 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080046738A1 (en) * 2006-08-04 2008-02-21 Yahoo! Inc. Anti-phishing agent
KR20080048159A (ko) 2006-11-28 2008-06-02 주식회사 마크애니 전자문서 자동 위변조 검증 시스템
US8205255B2 (en) * 2007-05-14 2012-06-19 Cisco Technology, Inc. Anti-content spoofing (ACS)
US8806622B2 (en) * 2008-04-21 2014-08-12 Sentrybay Limited Fraudulent page detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100867306B1 (ko) * 2007-05-31 2008-11-06 (주)위너다임 이미지 분석기법을 이용한 홈페이지 변조점검 시스템 및 방법

Also Published As

Publication number Publication date
US20150139539A1 (en) 2015-05-21
US9323987B2 (en) 2016-04-26
KR20150058613A (ko) 2015-05-29

Similar Documents

Publication Publication Date Title
CN110233849B (zh) 网络安全态势分析的方法及系统
CN102647421B (zh) 基于行为特征的web后门检测方法和装置
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
Pusara et al. User re-authentication via mouse movements
KR101767454B1 (ko) 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치
KR101743269B1 (ko) 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
CN110602029B (zh) 一种用于识别网络攻击的方法和系统
CN113688042B (zh) 测试场景的确定方法、装置、电子设备及可读存储介质
CN109063456B (zh) 图像型验证码的安全性检测方法及系统
CN101751535A (zh) 通过应用程序数据访问分类进行的数据损失保护
CN106209862A (zh) 一种盗号防御实现方法及装置
CN105989268A (zh) 一种人机识别的安全访问方法和系统
CN110493181B (zh) 用户行为检测方法、装置、计算机设备及存储介质
CN108337255B (zh) 一种基于web自动化测试和宽度学习的钓鱼网站检测方法
CN113132311B (zh) 异常访问检测方法、装置和设备
CN103927483A (zh) 用于检测恶意程序的判定模型及恶意程序的检测方法
CN107256357A (zh) 基于深度学习的安卓恶意应用的检测和分析方法
CN111259219A (zh) 恶意网页识别模型、识别模型建立方法、识别方法及系统
KR101541158B1 (ko) 홈페이지 위변조 탐지 장치 및 방법
CN109543408A (zh) 一种恶意软件识别方法和系统
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN112948897B (zh) 一种基于drae与svm相结合的网页防篡改检测方法
CN117527369A (zh) 基于哈希函数的安卓恶意攻击监测方法及系统
CN111797904A (zh) 网页页面特征的篡改检测方法及装置
CN111475380B (zh) 一种日志分析方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 5