KR101585139B1 - 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 - Google Patents

정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 Download PDF

Info

Publication number
KR101585139B1
KR101585139B1 KR1020140077642A KR20140077642A KR101585139B1 KR 101585139 B1 KR101585139 B1 KR 101585139B1 KR 1020140077642 A KR1020140077642 A KR 1020140077642A KR 20140077642 A KR20140077642 A KR 20140077642A KR 101585139 B1 KR101585139 B1 KR 101585139B1
Authority
KR
South Korea
Prior art keywords
pattern
noon
webshell
classification
web
Prior art date
Application number
KR1020140077642A
Other languages
English (en)
Other versions
KR20160000358A (ko
Inventor
조래현
천종현
최준승
Original Assignee
에스케이인포섹(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이인포섹(주) filed Critical 에스케이인포섹(주)
Priority to KR1020140077642A priority Critical patent/KR101585139B1/ko
Publication of KR20160000358A publication Critical patent/KR20160000358A/ko
Application granted granted Critical
Publication of KR101585139B1 publication Critical patent/KR101585139B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
    • G06F9/45512Command shells

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법에 관한 것으로, 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있도록 한 것이다.

Description

정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법{Webshell detection apparatus having a fuction of analyzing whether webshell detection is correct or not, and method for analyzing whether webshell detection is correct or not thereof}
본 발명은 웹쉘 탐지 기술에 관련한 것으로, 특히 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법에 관한 것이다.
본원발명 출원인에 의해 선출원된 대한민국 등록특허 제10-1291782호(2013. 07. 25) '웹쉘 탐지/대응 시스템'에서 웹쉘 탐지 기술을 제안하고 있다. 본 발명자는 웹쉘 탐지 후, 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있는 웹쉘 탐지 정오탐 분석 기술에 대한 연구를 하게 되었다.
대한민국 등록특허 제10-1291782호(2013. 07. 25)
본 발명은 상기한 취지하에 발명된 것으로, 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법을 제공함을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 정오탐 분석 기능을 구비한 웹쉘 탐지 장치가 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지하는 웹쉘 분석기와; 상기 웹쉘 분석기에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석하는 정오탐 분석기를; 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기가 탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기가 웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기가 복수의 웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱들에 대한 논리합을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기가 탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴이 존재할 경우, 해당 미분류 패턴을 수동 분류 패턴으로 지정하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 정오탐 분석 기능을 구비한 웹쉘 탐지 장치가 수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가하는 패턴 커스터마이징부를; 더 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 정오탐 분석 기능을 구비한 웹쉘 탐지 장치가 웹쉘 분류별 분류패턴 매칭 조건에 자동 분류 패턴으로 추가되는 미분류 패턴을 추가하는 매칭 조건 갱신부를; 더 포함하는 것을 특징으로 한다.
본 발명의 또 다른 양상에 따르면, 웹쉘 탐지 장치의 정오탐 분석 방법이 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지하는 웹쉘 분석단계와; 상기 웹쉘 분석단계에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석하는 정오탐 분석단계를; 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 정오탐 분석단계에서 탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하고, 탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴이 존재할 경우 해당 미분류 패턴을 수동 분류 패턴으로 지정하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지 장치의 정오탐 분석 방법이 수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가하는 패턴 커스터마이징단계를; 더 포함하는 것을 특징으로 한다.
본 발명은 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있는 효과가 있다.
또한, 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 통해 웹쉘을 정확하게 분류할 수 있어, 분류된 웹쉘에 대한 신뢰성 있는 정보 제공이 가능한 효과가 있다.
도 1 은 본 발명에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치의 일 실시예의 구성을 도시한 블럭도이다.
도 2 는 본 발명에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치의 정오탐 분석 방법의 일 실시예를 도시한 흐름도이다.
도 3 은 분류패턴 매칭 조건의 일 예를 도시한 도면이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
웹쉘(Webshell)은 공격자가 원격에서 침입 대상 서버에 명령을 수행할 수 있도록 작성한 asp, php, jsp, cgi 파일 등의 웹 스크립트(Web Script) 파일을 말한다. 공격자는 웹쉘을 이용해 침입 대상 서버의 관리자 권한을 획득한 후, 침입 대상 서버의 웹페이지 소스 코드 열람, 침입 대상 서버내의 컨텐츠 등의 자료 유출, 백도어 프로그램 설치 등의 다양한 공격을 할 수 있다.
도 1 은 본 발명에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치의 일 실시예의 구성을 도시한 블럭도이다. 이 실시예에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치(100)는 위와 같은 웹쉘을 탐지하는 장치로, 도 1 에 도시한 바와 같이 웹쉘 분석기(110)와, 정오탐 분석기(120)를 포함한다.
상기 웹쉘 분석기(110)는 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지한다. 이 때, 웹쉘 징후 패턴들이 미리 정의되어 웹쉘 징후 패턴 DB(200)에 저장될 수 있다.
예컨대, 상기 웹쉘 분석기(110)가 탐지 대상 서버(도면 도시 생략)로부터 웹페이지 구성 컨텐츠 파일을 주기적 또는 비주기적으로 획득하고, 웹쉘 징후 패턴 DB(200)에 저장된 웹쉘 징후 패턴들을 참조하여 해당 웹 페이지 구성 컨텐츠 파일에 웹쉘 징후 패턴(Webshell Signature Pattern)이 포함되어 있는지 판단함으로써 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지하도록 구현될 수 있다.
한편, 상기 웹쉘 분석기(110)가 웹쉘 징후 패턴 DB(200)에는 저장되지 않았으나, 웹쉘 징후 패턴 DB(200)에 저장된 웹쉘 징후 패턴들과 유사한 양상을 보이는 변종된 패턴들을 웹쉘 징후 패턴으로 더 탐지하도록 구현될 수 있다.
상기 정오탐 분석기(120)는 상기 웹쉘 분석기(120)에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석한다. 즉, 정오탐 분석기(120)는 웹 페이지 구성 컨텐츠 파일에 웹쉘 징후 패턴이 포함된 경우, 웹쉘 징후 패턴이 웹쉘이 맞는지 또는 웹쉘이 아닌데 웹쉘로 잘못 판단되었는지 또는 아직까지 발견된적 없는 패턴인지 분석한다. 이와 같이 구현함에 의해 본 발명은 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있게 된다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기(120)가 탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하도록 구현될 수 있다. 상기 자동 분류 패턴들은 자동 분류 패턴 DB(300)에 미리 저장될 수 있다.
예를 들면, 상기 웹쉘 분석기(110)에 의해 웹페이지 구성 컨텐츠 파일 A로부터 탐지된 웹쉘 징후 패턴들이 a1, b3, c4, d1이고, 자동 분류 패턴 a1, b3, c4, d1을 가진 분류군이 웹쉘 w1이라면, 상기 정오탐 분석기(120)가 웹페이지 구성 컨텐츠 파일 A에 w1 분류군의 웹쉘이 감염되어 있음을 정탐하였다고 판단한다.
예를 들면, 상기 웹쉘 분석기(110)에 의해 웹페이지 구성 컨텐츠 파일 B로부터 탐지된 웹쉘 징후 패턴들이 a1, b2, c2, d1이고, 자동 분류 패턴 a1, b2, c2, d1을 가진 분류군이 정상 n2라면, 상기 정오탐 분석기(120)가 웹페이지 구성 컨텐츠 파일 B에 웹쉘이 감염되지 않았으나, 오탐하였다고 판단한다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기(120)가 웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하도록 구현될 수 있다. 웹쉘 분류별 분류패턴 매칭 조건은 매칭 조건 DB(400)에 정의될 수 있다.
예를 들면, 웹쉘 w1에 대한 분류패턴 매칭 조건이 자동 분류 패턴들 a1, b3, c4, d1을 포함하는 것이고, 웹페이지 구성 컨텐츠 파일 A로부터 탐지된 웹쉘 징후 패턴들이 a1, b3, c4, d1이라면, (a1 ∧ b3 ∧ c4 ∧ d1) = 1 이 되므로, 웹페이지 구성 컨텐츠 파일 A에 w1 분류군의 웹쉘이 감염되어 있음을 정탐하였다고 판단한다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기(120)가 복수의 웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱들에 대한 논리합을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하도록 구현될 수 있다.
예를 들면, 웹쉘 w3에 대한 분류패턴 매칭 조건 #1이 자동 분류 패턴들 a1, b3, c3, d2을 포함하는 것이고, 매칭 조건 #2가 자동 분류 패턴들 a2, b2, c4, d1을 포함하는 것이고, 웹페이지 구성 컨텐츠 파일 C로부터 탐지된 웹쉘 징후 패턴들이 a1, b3, c3, d2, a2, b2, c4, d1이라면, (a1 ∧ b3 ∧ c3 ∧ d2) ∨ (a2 ∧ b2 ∧ c4 ∧ d1) = 1이 되므로, 웹페이지 구성 컨텐츠 파일 C에 w3 분류군의 웹쉘이 감염되어 있음을 정탐하였다고 판단한다.
도 3 은 분류패턴 매칭 조건의 일 예를 도시한 도면이다. 도 3 에서 자동 분류 패턴 FA1와 FA2가 탐지(FA1 ∧ FA2 = 1)되면 해당 파일은 spellchecker.php이고, spellchecker.php는 정상 파일이므로, 오탐되었다 판단된다.
한편, FA1와 FA2가 탐지되지 않고 TB1, TB2 및 TB3가 탐지((FA1 ∧ FA2) ∨ (TB1 ∧ TB2 ∧ TB3) = 1)되면, 해당 파일은 aspxspy.aspx이고, aspxspy.aspx는 웹쉘 파일이므로, 정탐되었다 판단된다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석기(120)가 탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴(변종된 패턴)이 존재할 경우, 해당 미분류 패턴을 수동 분류 패턴으로 지정하도록 구현될 수 있다. 수동 분류 패턴으로 지정된 미분류 패턴은 수동 분석을 통해 웹쉘인지 아닌지에 대한 판단이 이루어지게 된다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석 기능을 구비한 웹쉘 탐지 장치(100)가 패턴 커스터마이징부(130)를 더 포함할 수 있다. 상기 패턴 커스터마이징부(130)는 수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가한다.
즉, 수동 분류 패턴으로 지정된 미분류 패턴은 수동 분석을 통해 웹쉘인지 아닌지에 대한 판단이 이루어지게 되고, 미분류 패턴이 웹쉘이라 판단되면 패턴 커스터마이징부(130)를 통해 해당 미분류 패턴을 자동 분류 패턴 DB(300) 및 웹쉘 징후 패턴 DB(200)에 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가한다.
한편, 발명의 부가적인 양상에 따르면, 상기 정오탐 분석 기능을 구비한 웹쉘 탐지 장치(100)가 매칭 조건 갱신부(140)를 더 포함할 수 있다. 상기 매칭 조건 갱신부(140)는 웹쉘 분류별 분류패턴 매칭 조건에 자동 분류 패턴으로 추가되는 미분류 패턴을 추가한다.
즉, 웹쉘이라 판단된 미분류 패턴이 자동 분류 패턴으로 추가되면, 정확한 정오탐 분석을 위해서는 웹쉘 분류별 분류패턴 매칭 조건도 변경되어야 한다. 상기 매칭 조건 갱신부(140)는 매칭 조건 DB(400)에 정의된 웹쉘 분류별 분류패턴 매칭 조건에 웹쉘이라 판단된 미분류 패턴을 추가하여 웹쉘 분류별 분류패턴 매칭 조건을 갱신한다.
이와 같이 구현함에 의해, 본 발명은 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있고, 나아가 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 통해 웹쉘을 정확하게 분류할 수 있어, 분류된 웹쉘에 대한 신뢰성 있는 웹쉘 상세 정보와 같은 추가 정보 제공이 가능하다.
이상에서 설명한 바와 같은 본 발명에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치의 정오탐 분석 동작을 도 2 를 통해 알아본다. 도 2 는 본 발명에 따른 정오탐 분석 기능을 구비한 웹쉘 탐지 장치의 정오탐 분석 방법의 일 실시예를 도시한 흐름도이다.
먼저, 웹쉘 분석단계(510)에서 웹쉘 탐지 장치가 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지한다. 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴 탐지와 관련해서는 기 설명하였으므로, 이에 대한 중복 설명은 생략한다.
그 다음, 정오탐 분석단계(520)에서 웹쉘 탐지 장치가 상기 웹쉘 분석단계(510)에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석한다. 예컨대, 상기 정오탐 분석단계(520)에서 탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하고, 탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴이 존재할 경우 해당 미분류 패턴을 수동 분류 패턴으로 지정하도록 구현될 수 있다. 웹쉘 징후 패턴 분류 및 미분류 패턴의 수동 분류 패턴 지정과 관련해서는 기 설명하였으므로, 이에 대한 중복 설명은 생략한다.
한편, 패턴 커스터마이징단계(530)에서 웹쉘 탐지 장치가 수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가한다. 자동 분류 패턴 및 웹쉘 징후 패턴 추가와 관련해서는 기 설명하였으므로, 이에 대한 중복 설명은 생략한다.
이와 같이 구현함에 의해, 본 발명은 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 수행함으로써 웹쉘 탐지의 신뢰성을 보장할 수 있고, 나아가 웹쉘 탐지가 정확한지 아닌지에 대한 정오탐 판단을 통해 웹쉘을 정확하게 분류할 수 있어, 분류된 웹쉘에 대한 신뢰성 있는 추가 정보 제공이 가능하므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
본 발명은 웹쉘 탐지 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.
100 : 웹쉘 탐지 장치
110 : 웹쉘 분석기
120 : 정오탐 분석기
130 : 패턴 커스터마이징부
140 : 매칭 조건 갱신부
200 : 웹쉘 징후 패턴 DB
300 : 자동 분류 패턴 DB
400 : 매칭 조건 DB

Claims (10)

  1. 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지하는 웹쉘 분석기와;
    미리 저장된 자동 분류 패턴들의 논리 연산을 이용해 상기 웹쉘 분석기에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석하는 정오탐 분석기를;
    포함하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  2. 제 1 항에 있어서,
    상기 정오탐 분석기가:
    탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  3. 제 2 항에 있어서,
    상기 정오탐 분석기가:
    웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  4. 제 3 항에 있어서,
    상기 정오탐 분석기가:
    복수의 웹쉘 분류별 분류패턴 매칭 조건에 포함되는 자동 분류 패턴들의 논리곱들에 대한 논리합을 이용해 웹쉘 징후 패턴에 대한 정오탐을 판단하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  5. 제 3 항에 있어서,
    상기 정오탐 분석기가:
    탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴이 존재할 경우, 해당 미분류 패턴을 수동 분류 패턴으로 지정하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  6. 제 5 항에 있어서,
    상기 정오탐 분석 기능을 구비한 웹쉘 탐지 장치가:
    수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가하는 패턴 커스터마이징부를;
    더 포함하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  7. 제 6 항에 있어서,
    상기 정오탐 분석 기능을 구비한 웹쉘 탐지 장치가:
    웹쉘 분류별 분류패턴 매칭 조건에 자동 분류 패턴으로 추가되는 미분류 패턴을 추가하는 매칭 조건 갱신부를;
    더 포함하는 정오탐 분석 기능을 구비한 웹쉘 탐지 장치.
  8. 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 징후 패턴(Webshell Signature Pattern)을 탐지하는 웹쉘 분석단계와;
    미리 저장된 자동 분류 패턴들의 논리 연산을 이용해 상기 웹쉘 분석단계에 의해 탐지된 웹쉘 징후 패턴에 대한 정오탐을 분석하는 정오탐 분석단계를;
    포함하는 웹쉘 탐지 장치의 정오탐 분석 방법.
  9. 제 8 항에 있어서,
    상기 정오탐 분석단계에서:
    탐지된 웹쉘 징후 패턴을 다수의 자동 분류 패턴들과 비교하고, 매칭되는 자동 분류 패턴들에 따라 탐지된 웹쉘 징후 패턴을 특정 분류군으로 분류하고, 탐지된 웹쉘 징후 패턴이 자동 분류 패턴들과 매칭되지 않는 적어도 하나의 미분류 패턴이 존재할 경우 해당 미분류 패턴을 수동 분류 패턴으로 지정하는 웹쉘 탐지 장치의 정오탐 분석 방법.
  10. 제 9 항에 있어서,
    웹쉘 탐지 장치의 정오탐 분석 방법이:
    수동 분류 패턴으로 지정된 미분류 패턴에 대한 분석 결과에 따라, 해당 미분류 패턴을 자동 분류 패턴 및 웹쉘 징후 패턴으로 추가하는 패턴 커스터마이징단계를;
    더 포함하는 웹쉘 탐지 장치의 정오탐 분석 방법.
KR1020140077642A 2014-06-24 2014-06-24 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 KR101585139B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140077642A KR101585139B1 (ko) 2014-06-24 2014-06-24 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140077642A KR101585139B1 (ko) 2014-06-24 2014-06-24 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법

Publications (2)

Publication Number Publication Date
KR20160000358A KR20160000358A (ko) 2016-01-04
KR101585139B1 true KR101585139B1 (ko) 2016-01-13

Family

ID=55164266

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140077642A KR101585139B1 (ko) 2014-06-24 2014-06-24 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법

Country Status (1)

Country Link
KR (1) KR101585139B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985061A (zh) * 2018-07-05 2018-12-11 北京大学 一种基于模型融合的webshell检测方法
KR20220084867A (ko) 2020-12-14 2022-06-21 한전케이디엔주식회사 머신러닝 기반 사이버 공격 패킷 데이터의 정오탐을 판별하고 무결성을 검증하는 시스템 및 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107888554B (zh) * 2016-09-30 2020-09-01 腾讯科技(深圳)有限公司 服务器攻击的检测方法和装置
CN112118089B (zh) * 2020-09-18 2021-04-30 广州锦行网络科技有限公司 一种webshell监控方法及系统
CN113239352B (zh) * 2021-04-06 2022-05-17 中国科学院信息工程研究所 一种Webshell检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101291782B1 (ko) 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985061A (zh) * 2018-07-05 2018-12-11 北京大学 一种基于模型融合的webshell检测方法
KR20220084867A (ko) 2020-12-14 2022-06-21 한전케이디엔주식회사 머신러닝 기반 사이버 공격 패킷 데이터의 정오탐을 판별하고 무결성을 검증하는 시스템 및 방법

Also Published As

Publication number Publication date
KR20160000358A (ko) 2016-01-04

Similar Documents

Publication Publication Date Title
KR101585139B1 (ko) 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법
US10210332B2 (en) Identifying an evasive malicious object based on a behavior delta
Gandotra et al. Zero-day malware detection
US9781144B1 (en) Determining duplicate objects for malware analysis using environmental/context information
KR100942798B1 (ko) 악성코드 탐지장치 및 방법
US20150256552A1 (en) Imalicious code detection apparatus and method
KR101966514B1 (ko) 소프트웨어 정의 네트워크에서의 악성 프로그램 탐지 장치, 방법 및 컴퓨터 프로그램
KR100786725B1 (ko) 악성코드 분석 시스템 및 방법
WO2017086837A1 (ru) Способ обнаружения вредоносных программ и элементов
US20120159625A1 (en) Malicious code detection and classification system using string comparison and method thereof
KR101383010B1 (ko) 안드로이드 운영체제에서 apk 파일의 시그니처 추출 방법, 그리고 이를 위한 컴퓨터로 판독가능한 기록매체
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
US10158653B1 (en) Artificial intelligence with cyber security
CN106845223B (zh) 用于检测恶意代码的方法和装置
KR20160082644A (ko) 코드 블록 구분을 통한 악성 코드 탐지 방법 및 장치
US11669779B2 (en) Prudent ensemble models in machine learning with high precision for use in network security
US20190180032A1 (en) Classification apparatus, classification method, and classification program
CN104751056A (zh) 一种基于攻击库的漏洞验证系统与方法
CN107103237A (zh) 一种恶意文件的检测方法及装置
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR20150124020A (ko) 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템
KR20160100887A (ko) 코드 블록 비교를 통한 악성 코드 탐지 방법
CN105791250B (zh) 应用程序检测方法及装置
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
KR20160090566A (ko) 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191212

Year of fee payment: 5