KR101542762B1 - 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법 - Google Patents

네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법 Download PDF

Info

Publication number
KR101542762B1
KR101542762B1 KR1020140000190A KR20140000190A KR101542762B1 KR 101542762 B1 KR101542762 B1 KR 101542762B1 KR 1020140000190 A KR1020140000190 A KR 1020140000190A KR 20140000190 A KR20140000190 A KR 20140000190A KR 101542762 B1 KR101542762 B1 KR 101542762B1
Authority
KR
South Korea
Prior art keywords
packet
list
site
host
browsing
Prior art date
Application number
KR1020140000190A
Other languages
English (en)
Other versions
KR20150080747A (ko
Inventor
백승태
심동석
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020140000190A priority Critical patent/KR101542762B1/ko
Publication of KR20150080747A publication Critical patent/KR20150080747A/ko
Application granted granted Critical
Publication of KR101542762B1 publication Critical patent/KR101542762B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 기반 세이프 브라우징 DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징 강제화 방법에 관한 것이다. 이를 위해 본 발명의 일실시예에 따른 네트워크 기반 세이프 브라우징 DB 생성 및 배포 방법은, 기배포된 유해사이트 차단 시스템을 통해 미리 설정된 주기로 인터넷 접속 상위 웹사이트 URL 목록을 수집하는 단계와, 클라이언트 허니팟 기반 시스템을 통해 수집된 웹사이트 URL이 악성코드 사이트 또는 피싱 사이트에 해당하는지 여부를 식별하는 단계와, 악성코드 사이트 또는 피싱 사이트로 식별된 웹사이트의 호스트 주소를 SHA256 해쉬값으로 변환하여 제1 리스트를 생성하는 단계와, 구글에서 제공하는 오픈 API를 이용하여 세이프 브라우징 호스트 주소에 대한 SHA256 해쉬값 목록인 제2 리스트를 다운로드하는 단계와, 제1 리스트 및 제2 리스트의 해쉬값을 취합하고, 중복된 해쉬값을 제거한 SHA256 해쉬값 파일을 기초로 배포용 파일을 생성하여 배포서버에 업로드하는 단계를 포함한다. 또한, 본 발명에 따른 세이프 브라우징 강제화 방법은 생성된 배포용 파일을 이용하여 사용자 컴퓨터에서 유해사이트로의 접속을 차단한다.

Description

네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법{NETWORK BASED SAFE-BROWSING DB GENERATING AND DISTRIBUTION METHOD AND SAFE-BROWSING METHOD}
본 발명은 네트워크 기반 세이프 브라우징 DB 생성 및 배포 방법, 세이프 브라우징 강제화 방법에 관한 것으로서, 더욱 상세하게는 운영체제 및 인터넷 브라우저의 종류에 관계없이 사용자 컴퓨터에서의 악성코드 배포 사이트 접속을 제한할 수 있는 세이프 브라우징 DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징 강제화 방법에 관한 것이다.
2010년 발생한 7.7 DDoS 공격과 2011년 발생한 3.4 DDoS 공격의 사례를 볼 때, DDoS 공격의 기반이 되는 좀비 PC는 악성코드를 배포하는 P2P 또는 웹하드 사이트 접속을 통해 해당 사이트를 이용했던 사용자들의 PC에 악성 코드에 의한 DDoS 공격 프로그램이 “Drive by Download” 방법에 의해 사용자의 동의 없이 자동 설치되어 대량 양산된 것으로 확인되었다. 좀비 PC가 된 후에는 일정 기간 후 DDoS 공격에 활용되어 특정 일시에 특정 사이트를 공격하게 되며, 공격이 끝난 후 해당 PC의 하드디스크를 삭제하는 등의 추가적인 피해도 발생시켰다. 이처럼 웹하드, P2P 등의 사이트는 악성코드 배포의 온상이 되고 있으며, 앞으로도 이러한 추세는 계속될 것이다.
P2P 및 웹하드 사이트가 DDoS 공격을 위한 좀비 PC 확대에 이용되는 이유는 많은 사용자가 이용하고 있는 반면, 해당 사이트의 보안 인프라가 취약하기 때문이라 할 수 있다.
한국의 초고속 인터넷 인프라가 세계 최고 수준으로 구축되어 있기에 다른 어떤 나라보다 영화, 음악 등의 대용량 파일이 손쉽게 배포 및 공유되고 있으며, 그 대표적인 수단이 바로 웹하드, P2P 사이트이며, 지난 3.4 DDoS 공격에서 수많은 좀비 PC를 양산시킨 악성코드의 배포지로 확인된 셰어박스(share box)는 하루에 방문자만 수만에서 수십만명에 이르는 웹하드 사이트였다.
네이버, 다음과 같은 포털 사이트는 P2P와 웹하드 사이트보다 방문자와 트래픽은 더 많지만, 음란물, 불법 저작권물이 게시되지 않도록 하는 데 많은 감시 및 관리를 하고 있으며 침해사고 대응에 대한 지속적인 투자와 전문성을 갖춘 관리 인력을 통해 시스템을 지속적으로 모니터링하고, 취약성을 조치함으로써 악성 코드에 있어서 안전할 수 있다.
하지만, 군소 웹하드와 P2P 사이트의 경우 저작권침해 등의 불법적인 성격도 또한 지니고 있어서 정부 법규제의 사각지대에 있으며, 일주일 사이에 전세계적으로 분포되어 있는 호스팅 서비스 서버를 기반으로 수십에서 수백 개의 생성, 폐쇄되는 사이트가 반복되고 있는 상황이다.
따라서, 지속적으로 신규 생성되는 웹하드와 P2P 사이트 등을 추적 및 분석해서 이를 기존 유해사이트 차단 시스템 등에 지속적으로 실시간 반영하여 해당 사이트로의 접속을 유효 적절히 통제해주지 않는다면, 추가적인 DDoS 공격과 그로 인한 피해는 계속해서 발생될 것임이 자명하다. 게다가, 좀비 PC로 감염된 PC가 특정 기업이나 기관의 내부 업무용 PC일 경우에는 직접적인 업무 손실 및 유형 자산의 손실과 더불어서 해당 기업 및 기관의 대외 이미지 하락에 의한 브랜드 가치 하락을 통해 예측할 수 없는 부가적인 손실을 불러올 수도 있음을 감안할 때, 내부적으로 좀비 PC가 발생하지 않도록 기업과 기관은 최선의 투자와 관심을 가져야 하는 상황에 직면에 있다.
현재 방화벽과 IPS(Intrusion Prevention System) 및 Anti-DDoS 등의 네트워크 보안 장비들은 모두 DDoS 공격 발생 시 내부 시스템을 보호하기 위한 기술에 집중하고 있는 상황이며, NAC(Network Access Control) 장비의 경우, 내부에 악성코드에 감염된 좀비 PC에서 비정상적으로 과도한 트래픽을 발생시키는 것을 탐지하여 네트워크를 차단하는 기술 개발에 치중하고 있는 상황임을 고려할 때, 좀비 PC의 생성을 원천적으로 방지 및 예방하기 위한 기술 개발은 미진하다고 할 수 있다.
바이러스 백신의 경우에는 최근의 3.4 DDoS 공격에 사용된 좀비 PC에 설치된 프로그램과 같이 정상적인 프로그램을 가장하는 경우 이를 탐지할 수 없는 한계가 존재하므로 인해 좀비 PC 예방에는 아직까지 큰 효용이 없다고 할 수 있다. 일부 방화벽과 IPS의 경우 수동적인 방식에 의한 악성코드 배포 페이지 URL 등록 및 차단 기능을 제공하고 있으나, 본래의 네트워크 보안 기능의 성능 저하 유발로 인해 활용도가 떨어지며, 전술한 바와 같이 지속적으로 생성과 폐쇄가 반복되는 P2P 및 웹하드 사이트에 대해 지속적인 추적 및 분석을 통한 실시간 반영이 이루어지지 않으므로 사실상 악성코드 배포 방지를 통한 좀비 PC 예방을 위한 기능으로는 무용하다고 할 수 있다.
따라서, 방화벽과 IPS 및 Anti-DDoS 등과 같은 기존 네트워크 보안 장비와 더불어 원천적으로 좀비 PC의 생성을 방지하기 위한 기술이 병행되어야 추가적인 DDoS 공격을 예방하거나, 공격으로 인한 피해를 최소화할 수 있을 것으로 보인다.
또한, 2013. 11. 25. 자로 언론매체 데일리시큐는 “주요 언론사, P2P, 기업, 학교 등 악성코드 유포 확산” 이라는 제목으로 주요 사이트를 통해 수십여 종의 악성코드 감염 사례가 있음을 발표하였다. 상기 기사 내용에서 관계자는 주요 사이트들에 대한 악성코드 감염시도는 근래 1~2년 이내에 발생된 가장 큰 규모를 가져 매우 이례적인 위험 상황이라고 지적하였다.
한편, 구글에서 제공하는 세이프 브라우징 서비스는 구글의 자체 인프라를 이용하여 전세계 수십억 개의 URL을 검사하여 안전하지 않은 웹사이트를 식별하고, 식별된 웹사이트 정보를 IE(Internet Explorer)를 제외한 구글의 크롬(Chrome), 모질라의 파이어폭스(Firefox), 애플의 사파리(Safari) 웹 브라우저에서 공유하도록 함으로써 웹브라우저를 통해 안전하지 않은 웹사이트 접속 시 웹 브라우저에 경고를 표시해 줌으로써 사용자가 접속하려는 웹사이트의 안정성에 대해 확인하여 주의를 갖도록 해주며, 이를 통해 사용자의 의도치 않은 악성코드 사이트(즉, 사용자의 컴퓨터에 악성 소프트웨어를 설치하는 코드 또는 실행 파일이 포함된 사이트) 또는 피싱 사이트(즉, 합법적인 사이트를 가정하여 사용자 인터넷 뱅킹 계정 정보 등을 입력하도록 하는 사이트) 접속을 가시적으로 억제할 수 있도록 한다.
하지만, 전자정부 웹사이트, 대법원, 특허청 등의 공공 행정 웹사이트 그리고 인터넷 뱅킹 웹사이트 등 국내 대부분의 웹사이트의 경우 아직 Active-X를 이용한 부수적인 서비스를 위한 웹어플리케이션 이슈 등으로 인해 국내 대부분의 기업, 기관 등에서의 이용자는 대부분 불가피하게 인터넷 익스플로러(IE) 웹브라우저를 사용할 수 밖에 없는 관계로 구글의 세이프 브라우징을 모든 이용자에게 강제화하여 적용하는 것은 한계가 있을 수 밖에 없다.
아울러, 구글이 전세계 10억명 정도의 크롬(Chrome) 이용자를 통해 수집되는 수십억 개의 URL 검사를 통해 악성코드 사이트나 피싱 사이트를 식별한다고는 하지만, 전술한 바와 같은 국내 특수한 여건의 제약 사항으로 인해 국내 악성코드 사이트나 피싱 사이트에 대한 식별 및 업데이트는 제한적이거나 식별까지 소요되는 시간이 1일~7일 정도 소요됨으로써 인해 그 실효성이 매우 낮은 단점을 가지고 있다.
KR 10-1275708 B1
본 발명은 전술한 바와 같은 문제점을 해결하기 위해 안출된 것으로, 운영체제 및 인터넷 브라우저의 종류에 관계없이 사용자 컴퓨터에서의 악성코드 배포 사이트 접속을 제한할 수 있는 세이프 브라우징 DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징 강제화 방법을 제공함에 그 목적이 있다.
이를 위해 본 발명의 일실시예에 따른 세이프 브라우징 DB 생성 및 배포 방법은, 기배포된 유해사이트 차단 시스템을 통해 미리 설정된 주기로 인터넷 접속 상위 웹사이트 URL 목록을 수집하는 단계와; 클라이언트 허니팟(Honey-pot) 기반 시스템을 통해 상기 수집된 웹사이트 URL이 악성코드 사이트 또는 피싱 사이트에 해당하는지 여부를 식별하는 단계와; 악성코드 사이트 또는 피싱 사이트로 식별된 웹사이트의 호스트(HOST) 주소를 SHA256 해쉬값으로 변환하여 제1 리스트를 생성하는 단계와; 구글에서 제공하는 오픈 API를 이용하여 세이프 브라우징 호스트(HOST) 주소에 대한 SHA256 해쉬값 목록인 제2 리스트를 다운로드하는 단계와; 상기 제1 리스트 및 상기 제2 리스트의 해쉬값을 취합하고, 중복된 해쉬값을 제거한 SHA256 해쉬값 파일을 기초로 배포용 파일을 생성하여 배포서버에 업로드하는 단계를 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 세이프 브라우징 강제화 방법은, 배포서버로부터 상기 방법으로 생성된 상기 배포용 파일을 다운로드하는 제1 단계와; 네트워크 상에서 사용자 컴퓨터에서 인터넷으로 전송되는 인터넷 패킷을 추출한 후 HTTP 또는 HTTPS 패킷을 선별하는 제2 단계와; 상기 선별된 HTTP 또는 HTTPS 패킷을 선별하는 제2 단계와; 상기 선별된 HTTP 또는 HTTPS 패킷으로부터 호스트(HOST) 주소를 추출하고, 이를 SHA256 해쉬값으로 변환하는 제3 단계와; 상기 변환된 SHA256 해쉬값과 상기 배포용 파일에 포함된 SHA256 해쉬값을 비교하여 적어도 하나 이상의 일치하는 값이 존재하는 경우, 상기 HTTP 또는 HTTPS 연결을 강제로 종료시키는 제4 단계를 포함할 수 있다.
상기 제4 단계는 RST(Reset) 패킷을 임의로 생성하고, 생성된 상기 RST 패킷을 목적지(Destination) IP 주소로 전송하는 단계를 포함할 수 있다.
추출된 인터넷 패킷이 HTTP 패킷인 경우, 상기 제3 단계는, 상기 HTTP 패킷의 헤더 부분에서 호스트(HOST) 주소값을 추출하는 단계를 포함할 수 있다.
상기 제4 단계는, 세이프 브라우징 안내 메시지를 상기 사용자 컴퓨터에 표시하기 위한 HTML 코드가 포함된 데이터 패킷을 임의로 생성하고, 생성된 상기 데이터 패킷을 목적지(Destination) IP 주소로 전송하는 단계를 포함할 수 있다.
추출된 인터넷 패킷이 HTTPS 패킷인 경우, 상기 제3 단계는, SSL/TLS 핸드-쉐이킹(Hand-Shaking) 과정 중 상기 사용자 컴퓨터에서 서버로 송신하는 “Client Hello” 메시지 패킷을 선별하는 단계와; 상기 선별된 “Client Hello” 메시지 패킷의 SSL/TLS 헤더부의 확장(Extension) 필드 항목 중 “Server_name” 필드의 값으로부터 호스트(HOST) 주소를 추출하는 단계를 포함할 수 있다.
본 발명에 따른 네트워크 기반 세이프 브라우징 DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징 강제화 방법에 의하면, 운영체제 및 인터넷 브라우저의 종류에 관계없이 사용자 컴퓨터에서의 악성코드 배포 사이트 또는 피싱 사이트 접속을 제한할 수 있다.
도 1은 URL 수집 및 배포 서버를 이용한 본 발명의 일실시예에 따른 세이프 브라우징 DB 생성 및 배포 방법을 설명하는 개념도이다.
도 2는 도 1의 방법에 의해 생성된 세이프 브라우징 DB를 이용한 유해사이트 차단 시스템의 동작을 설명하는 개략 구성도이다.
도 3은 URL 수집 및 배포 서버가 세이프 브라우징 DB를 생성 및 배포하는 방법을 설명하는 개략 순서도이다.
도 4는 유해사이트 차단 시스템의 세이프 브라우징 DB의 업데이트 방법을 설명하는 순서도이다.
도 5는 유해사이트 차단 시스템의 세이프 브라우징 강제화 방법을 설명하는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공하는 것이다.
본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 “포함한다(comprise)” 및/또는 “포함하는(comprising)”은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및/또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다. 본 명세서에서 사용되는 바와 같이, 용어 “및/또는”은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역 및/또는 부위들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들 및/또는 부위들은 이들 용어에 의해 한정되어서는 안됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역 또는 부위를 다른 부재, 영역 또는 부위와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역 또는 부위는 본 발명의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역 또는 부위를 지칭할 수 있다.
이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다. 도면들에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 발명의 실시예는 본 명세서에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면, 제조상 초래되는 형상의 변화를 포함하여야 한다.
도 1은 URL 수집 및 배포 서버를 이용한 본 발명의 일실시예에 따른 세이프 브라우징 DB 생성 및 배포 방법을 설명하는 개념도이다.
도 1를 참조하면, URL 수집 및 배포 서버(100) 는 인터넷을 통하여 기업의 n개의 유해사이트 차단 시스템(10_1 내지 10_n) 및 기관의 유해사이트 차단 시스템(20_1 내지 20_n)과 연결되어 구성된다.
URL 수집 및 배포 서버(100)는 인터넷을 통하여 기업 및 기관의 유해사이트 차단 시스템으로부터 URL 목록을 수집하고, 세이프 브라우징 DB를 생성하여 다시 인터넷을 통하여 기업 및 기관의 유해사이트 차단 시스템으로 전송하는 역할을 한다.
구체적으로, URL 수집 및 배포 서버(100)는 국내 사용자 상위 접속 호스트 주소 수집부(120)와, 구글 세이프 브라우징 호스트 주소 목록 수집부(140)와, 배포용 세이프 브라우징 호스트 주소 목록 파일 생성부(160)와, 배포용 세이프 브라우징 호스트 주소 목록 파일 저장부(180)를 포함하여 구성된다.
국내 사용자 상위 접속 호스트 주소 수집부(120)는 기업 및 기관이 기배포된 유해사이트 차단 시스템으로부터 매 시간 단위로 국내 인터넷 접속 상위 웹사이트 URL 목록을 수집하는 역할을 한다. 여기서, 편의상 국내 인터넷 사이트로 제한하였지만, 필요에 따라서 국내 또는 국외의 특정 지역으로 한정할 수도 있음은 물론이다.
구글 세이프 브라우징 호스트 주소 목록 수집부(140)는 구글에서 제공하는 오픈 API를 통해(구글의 배포서버(30)를 통해) 세이프 브라우징 호스트 주소에 대한 SHA256 해쉬값 목록을 다운로드 하는 역할을 한다. 여기서, 세이프 브라우징 호스트 주소는 악성코드 사이트 또는 피싱 사이트 등의 유해사이트에 대한 호스트 주소를 의미한다.
배포용 세이프 브라우징 호스트 주소 목록 파일 생성부(160)는 국내 사용자 상위 접속 호스트 주소 수집부(120)에서 수집된 웹사이트의 URL에 대해 클라이언트 허니팟(Honey-pot) 기반 전문가 시스템을 통해 악성코드 사이트 및 피싱 사이트 여부를 식별하고, 식별된 웹사이트의 호스트 주소를 SHA256 해쉬값으로 변환하여 제1 리스트를 생성한다.
또한, 배포용 세이프 브라우징 호스트 주소 목록 파일 생성부(160)는 구글 세이트 브라우징 호스트 주소 목록 수집부(160)는 구글 세이트 브라우징 호스트 주소 목록 수집부(140)에서 다운로드된 SHA256 해쉬값 목록(즉, 제2 리스트)과 제1 리스트 값을 취합하여 중복된 값을 제거하고 최종 배포용 SHA256 해쉬값 목록을 생성한다.
배포용 세이프 브라우징 호스트 주소 목록 파일 생성부(160)는 생성된 배포용 SHA256 해쉬값 목록 파일을 배포용 세이프 브라우징 호스트 주소 목록 파일 저장부(180)에 저장하고, 기업 및 기업의 유해사이트 차단 시스템으로부터 요청이 있는 경우 세이프 브라우징 호스트 주소 목록 파일을 배포한다.
도 2는 도 1의 방법에 의해 생성된 세이프 브라우징 DB를 이용한 유해사이트 차단 시스템의 동작을 설명하는 개략 구성도이다.
즉, 도 2의 유해사이트 차단 시스템(200)은 기존의 기업 또는 기관에 설치된 유해 사이트 차단 서버에 해당하는 것이며, 편의상 도 1과 달리 도면부호 200을 붙여 설명한다.
유해사이트 차단 시스템(200)은 패킷 유입 및 분배부(210)와, 세이프 브라우징 엔진부(220)와, 세이프 브라우징 호스트 주소 목록 파일 저장부(230)와, 유해사이트 차단 엔진부(240)와, 유해사이트 차단용 URL DB(250)를 포함하여 구성된다.
네트워크 스위치 또는 패킷 미러링 디바이스(50)는 사용자 컴퓨터에서 인터넷을 통해 나가는 패킷을 인라인 또는 미러링 방식으로 유해사이트 차단 시스템(200)으로 전달하는 역할을 한다.
패킷 유입 및 분배부(210)는 네트워크 스위치 또는 패킷 미러링 디바이스(50)로부터 패킷을 수신하고, 세이프 브라우징 엔진부(200) 및 유해사이트 차단 엔진부(240)로 패킷을 분배한다.
세이프 브라우징 엔진부(220)는 수집 및 배포 서버(100)에 세이프 브라우징 호스트 주소 목록 파일의 업데이트 여부를 질의하고, 업데이트가 필요한 경우 수집 및 배포 서버(100)로부터 세이프 브라우징 주소 목록 파일을 수신하여 세이프 브라우징 호스트 주소 목록 파일 저장부(230)에 저장하는 역할을 한다.
유해사이트 차단 엔진부(240)는 기존의 유해사이트 차단 시스템(200)에 기설치된 구성요소로서 유해사이트 차단용 URL DB(250)에 저장된 주소 데이터를 기반으로 사용자 컴퓨터의 유해사이트 접속을 차단하는 역할을 한다.
본 발명은 기존의 유해사이트 차단 시스템(200)에 세이프 브라우징 엔진부(200) 및 세이프 브라우징 호스트 주소 목록 파일 저장부(230)를 추가로 구비하고, 세이프 브라우징 호스트 주소 목록 파일 저장부(230)는 URL 수집 및 배포 서버로부터 수신된 배포용 SHA256 파일 목록을 저장함을 특징으로 한다.
도 3은 URL 수집 및 배포 서버가 세이프 브라우징 DB를 생성 및 배포하는 방법을 설명하는 개략 순서도이다.
먼저, URL 수집 및 배포 서버(100)는 인터넷 접속 상위 웹사이트 URL 목록을 수집한다(S310). 이때, 인터넷 접속 상위 웹사이트 URL 목록은 기배포된 기업 또는 기관의 유해사이트 차단 시스템으로부터 획득할 수 있다.
다음 수집된 URL 목록으로부터 악성코드 사이트 또는 피싱 사이트를 식별하고(S320), 식별된 주소를 SHA256 해쉬화하여 제1 리스트를 생성한다(S330).
한편, 오픈 API 를 통하여 구글 세이프 브라우징 DB를 다운로드하고(S340). 다운로드된 DB에서 SHA256 해쉬 목록을 추출하여 제2 리스트를 생성한다(S350).
다음 제1 리스트 및 제2 리스트를 취합하고, 중복제거를 수행한 다음 배포용 파일을 생성하고(S360), 생성된 배포용 파일을 배포 서버에 업로드한다(S370)
도 4는 유해사이트 차단 시스템의 세이프 브라우징 DB의 업데이트 방법을 설명하는 순서도이다.
기업 및 기관에 기배포된 유해사이트 차단 시스템은 URL 수집 및 배포 서버(100)에 질의하여 업데이트가 필요한지 질의한다(S410).
업데이트가 필요하다 응답을 수신하면, 배포용 파일을 다운로드 받고(S420), 기존에 저장되어 있는 파일을 삭제하고, 다운로드된 파일로 교체하고(S430), 메모리를 초기화한 후 리로드(Reload)한다(S440).
도 5는 유해사이트 차단 시스템의 세이프 브라우징 강제화 방법을 설명하는 순서도이다.
유해사이트 차단 시스템(200)은 사용자 PC에서 인터넷으로 전송되는 인터넷 패킷을 인라인 또는 미러링 방식으로 수신하고(S510), 수신된 패킷이 HTTP 인지 또는 HTTPS(HTTP over SSL/TLS)인지 판단한다(S520).
수신된 패킷이 HTTP 패킷인 경우에는 HTTP 패킷의 헤더 부분에서 호스트 주소값을 추출하고, 이를 SHA256 해쉬값으로 변환한다(S530).
다음, 변환된 SHA256 해쉬값을 세이프 브라우징 DB 호스트 주소 해쉬값 목록과 비교하고(S540), 적어도 하나 이상의 일치하는 값이 있는지를 판단한다(S550).
만약, 적어도 하나 이상의 일치하는 값이 있을 경우 근원지(Source) IP 주소(사용자 PC)에서 목적지 IP 주소(웹서버)로 송신하는 Reset 패킷과 동일한 세션 Reset 패킷 (TCP/IP Flag : “RST”)을 자체적으로 임의 생성하여 이를 목적지 IP 주소로 전송함으로써 해당 HTTP 연결을 강제로 종료시킨다(S560).
이때, 이와 동시에 목적지 IP 주소에서 송신한 정상적인 응답 패킷 형태로 사용자 화면에 보여줄 세이프 브라우징 안내메시지를 표시하기 위한 HTML 코드가 포함된 데이터 패킷 (TCP/IP Flag : “RST”)를 자체적으로 임의 생성하여 이를 목적지 IP 주소로 전송함으로써 사용자의 웹 브라우저의 화면상에는 도 6과 같은 세이프 브라우징 안내 메시지를 표시하도록 할 수 있다.
단계 S520에서 수신된 패킷이 HTTPS 패킷인 경우에는 해당 패킷이 SSL/TLS Hand-Shaking 과정 중 클라이언트에서 서버로 송신하는 “Client Hello” 메시지 패킷인지를 판단한다(s570).
만약, 패킷이 “Client Hello” 패킷인 경우에는 SSL/TLS 헤더부의 확장(Extension) 필부 항목 중 “Server_name” 필드의 값으로부터 호스트 주소를 추출하여 이를 SHA256 해쉬값을 생성하고(S580), 단계 540으로 진입한다.
만약, 해당 패킷이 “Client Hello” 패킷이 아닌 경우에는 단계 590으로 가서 해당 패킷을 폐기한다(S590).
이상 도면을 참조하여 본 발명의 실시 형태에 대하여 설명하였다. 하지만, 이는 단지 본 발명을 설명하기 위한 목적에서 기술된 것이고 본 발명의 내용을 이에 한정하거나 제한하기 위하여 기술된 것은 아니다. 그러므로, 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예를 실시하는 것이 가능할 것이다, 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사항에 의해 정해져야 할 것이다.
100: URL 수집 및 배포 서버
120: 국내 사용자 상위 접속 호스트 주소 수집부
140: 구글 세이프 브라우징 호스트 주소 목록 수집부
160: 배포용 세이프 브라우징 호스트 주소 목록 파일 생성부
180: 배포용 세이프 브라우징 호스트 주소 목록 파일 저장부
200: 유해사이트 차단 시스템(서버)
210: 패킷 유입 및 분배부
220: 세이프 브라우징 엔진부
230: 세이프 브라우징 호스트 주소 목록 파일 저장부
240: 유해사이트 차단 엔진부
250: 유해사이트 차단용 URL 데이터베이스(DB)

Claims (6)

  1. 기업 또는 기관에 설치된 유해사이트 차단 시스템으로부터 미리 설정된 주기로 인터넷 접속 상위 웹사이트 URL 목록을 수집하는 단계;
    클라이언트 허니팟(Honey-pot) 기반 시스템을 통해 상기 수집된 웹사이트 URL이 악성코드 사이트 또는 피싱 사이트에 해당하는지 여부를 식별하는 단계;
    악성코드 사이트 또는 피싱 사이트로 식별된 웹사이트의 호스트(HOST) 주소를 SHA256 해쉬값으로 변환하여 제1 리스트를 생성하는 단계;
    구글에서 제공하는 오픈 API를 이용하여 세이프 브라우징 호스트(HOST) 주소에 대한 SHA256 해쉬값 목록인 제2 리스트를 다운로드하는 단계;
    상기 제1 리스트 및 상기 제2 리스트의 해쉬값을 취합하고, 중복된 해쉬값을 제거한 SHA256 해쉬값 파일을 기초로 배포용 파일을 생성하여 배포서버에 업로드하는 단계; 및
    상기 배포서버를 통하여 상기 유해사이트 차단 시스템에 상기 배포용 파일을 배포하는 단계를 포함하는 네트워크 기반 세이프 브라우징 DB 생성 및 배포 방법.
  2. 유해사이트 차단 시스템에서 수행되는 세이프 브라우징 강제화 방법으로서,
    상기 배포서버로부터 제1항의 방법으로 생성된 상기 배포용 파일을 다운로드하는 제1 단계;
    네트워크 상에서 사용자 컴퓨터에서 인터넷으로 전송되는 인터넷 패킷을 추출한 후 HTTP 또는 HTTPS 패킷을 선별하는 제2 단계;
    상기 선별된 HTTP 또는 HTTPS 패킷으로부터 호스트(HOST) 주소를 추출하고, 이를 SHA256 해쉬값으로 변환하는 제3 단계; 및
    상기 변환된 SHA256 해쉬값과 상기 배포용 파일에 포함된 SHA256 해쉬값을 비교하여 적어도 하나 이상의 일치하는 값이 존재하는 경우, 상기 HTTP 또는 HTTPS 연결을 강제로 종료시키는 제4단계를 포함하는 세이프 브라우징 강제화 방법.
  3. 제2항에 있어서,
    상기 제4 단계는 RST(Reset) 패킷을 임의로 생성하고, 생성된 상기 RST 패킷을 목적지(Destination) IP 주소로 전송하는 단계를 포함하는 것을 특징으로 하는 세이프 브라우징 강제화 방법.
  4. 제2항에 있어서,
    추출된 인터넷 패킷이 HTTP 패킷인 경우,
    상기 제3 단계는, 상기 HTTP 패킷의 헤더 부분에서 호스트(HOST) 주소값을 추출하는 단계를 포함하는 것을 특징으로 하는 세이프 브라우징 강제화 방법.
  5. 제3항에 있어서,
    상기 제4 단계는, 세이프 브라우징 안내 메시지를 상기 사용자 컴퓨터에 표시하기 위한 HTML 코드가 포함된 데이터 패킷을 임의로 생성하고, 생성된 상기 데이터 패킷을 목적지(Destination) IP 주소로 전송하는 단계를 포함하는 것을 특징으로 하는 세이프 브라우징 강제화 방법.
  6. 제2항에 있어서,
    추출된 인터넷 패킷이 HTTPS 패킷인 경우, 상기 제3 단계는,
    SSL/TLS 핸드-쉐이킹(Hand-Shaking) 과정 중 상기 사용자 컴퓨터에서 서버로 송신하는 “Client Hello” 메시지 패킷을 선별하는 단계; 및
    상기 선별된 “Client Hello” 메시지 패킷의 SSL/TLS 헤더부의 확장(Extension) 필드 항목 중 “Server_name” 필드의 값으로부터 호스트(HOST) 주소를 추출하는 단계를 포함하는 것을 특징으로 하는 세이프 브라우징 강제화 방법.
KR1020140000190A 2014-01-02 2014-01-02 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법 KR101542762B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140000190A KR101542762B1 (ko) 2014-01-02 2014-01-02 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140000190A KR101542762B1 (ko) 2014-01-02 2014-01-02 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법

Publications (2)

Publication Number Publication Date
KR20150080747A KR20150080747A (ko) 2015-07-10
KR101542762B1 true KR101542762B1 (ko) 2015-08-12

Family

ID=53792572

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140000190A KR101542762B1 (ko) 2014-01-02 2014-01-02 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법

Country Status (1)

Country Link
KR (1) KR101542762B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190079129A (ko) 2017-12-27 2019-07-05 동국대학교 산학협력단 무선 공유기 및 이를 이용한 사용자별 선별적 웹사이트 접속 차단 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10048878B2 (en) 2015-06-08 2018-08-14 Samsung Electronics Co., Ltd. Nonvolatile memory module and storage system having the same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100780393B1 (ko) 2006-05-10 2007-11-28 (주)소만사 유소년 인터넷 접속 서비스 제어 방법 및 이를 실현시키기위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체
KR101275708B1 (ko) 2011-12-20 2013-06-17 (주)소만사 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100780393B1 (ko) 2006-05-10 2007-11-28 (주)소만사 유소년 인터넷 접속 서비스 제어 방법 및 이를 실현시키기위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체
KR101275708B1 (ko) 2011-12-20 2013-06-17 (주)소만사 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190079129A (ko) 2017-12-27 2019-07-05 동국대학교 산학협력단 무선 공유기 및 이를 이용한 사용자별 선별적 웹사이트 접속 차단 방법

Also Published As

Publication number Publication date
KR20150080747A (ko) 2015-07-10

Similar Documents

Publication Publication Date Title
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
CN108259449B (zh) 一种防御apt攻击的方法和系统
Sigler Crypto-jacking: how cyber-criminals are exploiting the crypto-currency boom
Pimenta Rodrigues et al. Cybersecurity and network forensics: Analysis of malicious traffic towards a honeynet with deep packet inspection
Alani Big data in cybersecurity: a survey of applications and future trends
WO2014150659A1 (en) Stateless web content anti-automation
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的系统和方法
CN104967628B (zh) 一种保护web应用安全的诱骗方法
JP5813810B2 (ja) ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
Verma et al. Cyber security: A review of cyber crimes, security challenges and measures to control
Alrwais et al. Catching predators at watering holes: finding and understanding strategically compromised websites
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
Huber et al. Tor HTTP usage and information leakage
KR101542762B1 (ko) 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법
Liu et al. A research and analysis method of open source threat intelligence data
Ruiz et al. The leakage of passwords from home banking sites: A threat to global cyber security?
Wardman et al. A practical analysis of the rise in mobile phishing
Avdoshin et al. Deep web users deanonimization system
US9160765B1 (en) Method for securing endpoints from onslaught of network attacks
Agbefu et al. Domain information based blacklisting method for the detection of malicious webpages
Yunus et al. Ransomware: stages, detection and evasion
Albalawi et al. The Reality of Internet Infrastructure and Services Defacement: A Second Look at Characterizing Web-Based Vulnerabilities
Yang et al. Network forensics in the era of artificial intelligence
Dutta et al. Introduction to digital forensics
KR101267953B1 (ko) P2P 및 웹하드 사이트 모니터링을 통한 악성코드 배포방지 장치 및 DDoS 예방 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180730

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 5