KR101639869B1 - 악성코드 유포 네트워크 탐지 프로그램 - Google Patents

악성코드 유포 네트워크 탐지 프로그램 Download PDF

Info

Publication number
KR101639869B1
KR101639869B1 KR1020140099769A KR20140099769A KR101639869B1 KR 101639869 B1 KR101639869 B1 KR 101639869B1 KR 1020140099769 A KR1020140099769 A KR 1020140099769A KR 20140099769 A KR20140099769 A KR 20140099769A KR 101639869 B1 KR101639869 B1 KR 101639869B1
Authority
KR
South Korea
Prior art keywords
lpm
analysis step
obfuscation
node
malicious
Prior art date
Application number
KR1020140099769A
Other languages
English (en)
Other versions
KR20160016178A (ko
Inventor
서종원
Original Assignee
(주)엔토빌소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔토빌소프트 filed Critical (주)엔토빌소프트
Priority to KR1020140099769A priority Critical patent/KR101639869B1/ko
Publication of KR20160016178A publication Critical patent/KR20160016178A/ko
Application granted granted Critical
Publication of KR101639869B1 publication Critical patent/KR101639869B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 하드웨어와 결합되어 LPM(Linked Page Map)의 각 노드를 검사해 소스코드의 난독화 특성을 분석하고 이를 이용해 악성코드 유포 위험 네트워크를 판단하는 난독화 분석단계를 실행시키기 위하여 매체에 저장된 악성코드 유포 네트워크 탐지 프로그램으로서, 기존의 오용탐지 기법을 사용하는 정보보호 시스템에서 탐지하기 어려웠던 악성코드를 감지할 수 있다.

Description

악성코드 유포 네트워크 탐지 프로그램{PROGRAM FOR DETECTING MALIGNANT CODE DISTRIBUTING NETWORK}
본 발명은 악성코드 유포 네트워크 탐지 프로그램에 관한 것이다. 보다 구체적으로는 난독화된 소스코드의 특성을 이용한 악성코드 유포 네트워크 탐지 프로그램에 관한 것이다.
웹기술의 끊임없는 발전과 함께 다양한 영역에서 웹기반 서비스들이 출시됨으로써 웹은 수많은 사람의 일상 활동이 일어나는 공간이 되었다. 이와 더불어 사용자 활동의 기반이 되는 웹브라우저와 관련 플러그인 어플리케이션들은 웹에서 가장 많이 사용되는 클라이언트 소프트웨어가 되었다.
이러한 컴퓨팅 환경의 변화에 따라 악의적 해커의 공격 형태도 달라지고 있는데, 최근에는 악성코드를 쉽고 빠르게 퍼뜨릴 수 있는 웹 클라이언트의 취약점을 이용한 웹기반의 악성코드 유포방법인 Drive By Download(DBD) 공격이 널리 사용되고 있다.
상기 DBD 공격은 사용자가 웹페이지를 방문하는 순간 악성코드가 자동으로 다운되어 실행되는 유형을 말한다.
더욱 상세히 설명하면 DBD 공격을 사용하는 해커들은 먼저 취약점을 가진 웹서버에 SQL 삽입공격과 같은 방법으로 침투하여 웹서버에 저장된 웹페이지에 소스코드를 삽입하거나 광고배너나 제3의 위젯과 연결되어 있는 링크를 변조하는 방법으로 악성코드 유포지로 연결되는 링크를 삽입하게 된다.
그리고, 사용자들이 취약점이 존재하는 웹브라우저나 플러그인을 사용하여 상기 변조된 웹페이지를 실행할 경우, 사용자의 별다른 행위 없이도 상기 소스코드나 변조된 링크를 통해 자동으로 상기 악성코드 유포지에 연결되면서 악성코드를 다운받게 된다.
유럽네트워크정보보호원(ENISA)의 사이버공격동향보고서에 따르면, DBD 공격이 최근 웹을 통한 공격방법 중에 가장 높은 비중을 차지하고 있으며, 실제로 최근에는 미 NBC 방송국 홈페이지와 미 노동부 홈페이지 등 정부기관이나 유명 웹사이트가 해킹되어 방문자들이 대규모로 DBD 공격에 의해 악성코드에 감염된 사례가 있다. 국내에서도 2011년 SK커뮤니케이션즈 개인정보 유출사고, 2013년 3.20 사이버테러 및 6.25 사이버테러 등에 사용된 악성코드가 DBD 공격으로 최초 유포된 것으로 알려져 있다.
그리고, 해커들이 제작하는 악성코드 또한 제로데이(Zero-Day) 취약점 등을 활용하면서, 오용탐지 기법을 사용하는 대부분의 정보보호 시스템이 모든 악성코드를 감지하여 대응하기에는 한계가 있었다.
일반적으로 DBD 공격을 위해 자동으로 악성코드 유포지로 연결을 유도하는 웹페이지와 링크들의 조합을 악성코드 유포 네트워크(MDN, Malware Distribution Network)라 한다.
상기와 같은 MDN에 의한 악성코드의 감염을 방지하기 위해서는, 사용자가 MDN에 접속하여 악성코드에 감염되기 이전에 악성코드 유포사이트로 유도하는 경유 웹페이지와 최종 웹페이지를 식별하여 차단할 수 있는 프로그램이 요구되었다.
한국공개특허 제10-2006-0055147호(2006년 05월 23일 공개) 한국공개특허 제10-2007-0049515호(2007년 05월 11일 공개)
본 발명의 목적은 악성코드 유포 네트워크 탐지 프로그램을 제공하는 것이다.
본 발명의 다른 목적은 기존의 오용탐지 기법으로 탐지하기 어려웠던 악성코드 유포 사이트를 탐지할 수 있는 악성코드 유포 네트워크 탐지 프로그램을 제공하는 것이다.
상기의 과제를 해결하기 위한 수단으로 본 발명에 따른 악성코드 유포 네트워크 탐지 프로그램은 하드웨어와 결합되어 LPM(Linked Page Map)의 각 노드를 검사해 소스코드의 난독화 특성을 분석하는 난독화 분석단계 및 상기 난독화 분석단계에서 분석된 소스코드의 난독화 특성을 이용하여 상기 LPM이 악성코드 유포 네트워크인지 판단하는 판단단계를 실행시키기 위하여 매체에 저장된 악성코드 유포 네트워크 탐지 프로그램으로서, 상기 난독화 분석단계는 상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 전체 소스코드의 데이터 크기에서 상기 노드의 가장 긴 소스라인의 데이터 크기의 비율이 미리 정해진 기준 데이터 비율을 초과할 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 크기 분석단계, 상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 소스라인 개수가 미리 정해진 기준 라인 개수 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 라인 분석단계 및 상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드에서 가장 긴 소스라인의 문자 개수에서 상기 가장 긴 소스라인에 포함된 공백(SPACE) 개수의 비율이 미리 정해진 기준 공백 비율 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 공백 분석단계를 이용하여 상기 LPM의 난독화 특성을 분석하고, 상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 것을 특징으로 한다.
또한, 상기 LPM을 형성하는 노드를 검사하여 상기 노드에 포함된 모든 URL 주소 정보에서 구분자의 개수를 파악하고 상기 구분자의 개수가 기준 구분자 개수 이하일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 매개변수 분석단계를 더 포함하여 실행시키고, 상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 매개변수 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 것을 특징으로 한다.
또한, 상기 LPM을 형성하는 노드를 검사하여 경유 웹페이지 및 최종 웹페이지에 해당하는 노드의 개수가 미리 정해진 기준 노드 개수 이상일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 노드 분석단계를 더 포함하여 실행시키고, 상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 노드 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 것을 특징으로 한다.
또한, 상기 LPM을 형성하는 노드를 검사하여 초기 웹페이지부터 최종 웹페이지까지의 도메인 개수가 미리 정해진 기준 도메인 개수 이상일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하는 도메인 분석단계를 더 포함하여 실행시키고, 상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 도메인 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 것을 특징으로 한다.
상술한 바와 같이 본 발명에 따르면, 난독화 분석 단계를 이용해 웹페이지를 구성하는 소스코드의 난독화 특성을 분석함으로써, 기존의 오용탐지 기법으로 탐지하기 어려웠던 악성코드 유포 사이트를 탐지할 수 있는 악성코드 유포 네트워크 탐지 프로그램이 제공된다.
도 1은 본 발명의 일실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 도시한 것이다.
도 2는 LPM의 구성을 도시한 것이다.
도 3은 웹페이지에서 난독화된 소스코드를 도시한 것이다.
도 4는 본 발명의 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 도시한 것이다.
도 5는 URL 주소를 도시한 것이다.
도 6은 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 도시한 것이다.
도 7은 LPM 노드수에 따른 MDN과 비MDN의 개수를 그래프로 도시한 것이다.
도 8은 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 도시한 것이다.
도 9는 LPM에서 MDN과 비MDN에 따른 도메인의 개수를 그래프로 도시한 것이다.
도 10은 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 도시한 것이다.
본 발명은 악성코드 유포 네트워크 탐지 프로그램에 관한 것으로 도 1 내지 도 10을 참고로 본 발명에 따른 프로그램을 상세히 설명하기로 한다.
우선, 도 1에 본 발명의 일실시예에 따른 악성코드 유포 네트워크 탐지 프로그램의 구성이 도시되어 있다.
도면에 도시된 것과 같이 본 발명에 따른 악성코드 유포 네트워크 탐지 프로그램은 난독화 분석 단계(S110) 및 판단단계(S120)를 실행시킨다.
상기 난독화 분석 단계(S110)는 하드웨어와 결합되어 LPM(Linked Page Map)의 각 노드를 검사해 소스코드의 난독화 특성을 분석하는 단계이다.
이때, 상기 하드웨어는 웹페이지를 읽을 수 있는 컴퓨터 및 휴대전화와 같은 기기들을 뜻하며, 상기 LPM은 도 2와 같이 다수 개의 초기 웹페이지, 경유 웹페이지 및 최종 웹페이지가 각각 노드(node)를 형성하고 서로 링크(link)되어 구성된 것을 뜻한다.
특히 악성코드가 유포되는 LPM의 경우 상기 초기 웹페이지는 해커에 의해 해킹된 접속자가 많은 웹페이지를 의미하며, 상기 경유 웹페이지는 악성코드 유포지를 숨기기 위해 해커가 구축해 놓은 악성코드 유포지까지 연결되도록 경유하는 웹페이지를 의미하고, 상기 최종 웹페이지는 해커가 주기적으로 악성코드를 업로드하는 악성코드 유포지를 의미하며, 상기 웹페이지들은 악성링크로 연결되어 사용자가 악성코드를 다운받게 된다.
그리고, 상기 소스코드는 상기 웹페이지를 구성하는 코드로 본 발명에서는 도 3과 같은 HTML 소스코드를 기준으로 하여 설명한다.
이때, 상기 웹페이지를 제작하는 관리자는 보안을 위하여 도 3의 b와 같은 소스코드를 a와 같이 난독화함으로써, 다른 사람들이 웹페이지의 소스코드를 확인하더라도 쉽게 해석할 수 없도록 한다.
하지만, 상기와 같이 난독화 된 소스코드는 상기 하드웨어에 설치되어 웹페이지를 실행시키는 브라우저에 의해 일정 부분 분석이 가능하며, 그에 따라 해커들도 도 3의 L와 같이 악성코드 유포지로 연결되는 링크 즉, 악성링크가 포함된 소스코드를 상기 웹페이지에 삽입하여 DBD 공격을 하게 된다.
물론, 해커들도 상기 악성링크가 포함된 소스코드를 상기 관리자나 보안프로그램에 발각되지 않도록 하기 위하여 이를 난독화 후 상기 웹페이지에 삽입함으로써, 상기 악성링크의 탐지와 분석을 더욱 어렵게 한다.
따라서, 본 발명에 따른 상기 난독화 분석단계(S110)는 웹페이지에서 난독화 된 소스코드를 분석하여 해커가 심어놓은 악성링크가 포함되었는지 확인하기 위하여 난독화 크기 분석단계(S111), 난독화 라인 분석단계(S112) 및 난독화 공백 분석단계(S113)를 실행하게 된다.
아래의 표 1은 현재 악성코드를 유포하는 것으로 조사된 642개의 LPM에서 중복된 웹페이지를 제거한 후, 각각의 웹페이지를 구성하는 소스코드의 난독화 특성을 분석한 결과를 표로 도시한 것으로, 이를 참조하여 난독화 크기 분석단계(S111), 난독화 라인 분석단계(S112) 및 난독화 공백 분석단계(S113)를 더욱 상세히 설명하기로 한다.

구분
 페이지 크기
(byte)		 라인 개수
(개)		 가장 긴 라인의 크기
(byte)		 가장 긴 라인의 공백 수
(개)		 페이지 크기 대비 가장 큰 라인의 비율
(%)		 가장 긴 라인의 공백배율
(%)

평균값
13647.53
16.89
12928.11
19.14
94.47
0.19

최소값
7141.00
15.00
6283.00
13.00
86.14
0.08

최대값
16563.00
58.00
15326.00
72.00
96.01
1.10
난독화 크기 분석단계(S111)는 상기 LPM에서 웹페이지로 형성된 노드를 각각 검사하여 상기 노드의 전체 소스코드의 데이터 크기에서 상기 노드의 가장 긴 소스라인의 데이터 크기의 비율이 미리 정해진 기준 데이터 비율을 초과할 경우 상기 노드를 포함하는 LPM은 악성링크를 포함한 것으로 판단하는 단계이다.
이때, 상기 노드에서 가장 긴 소스라인은 도 3의 a와 같이 대부분 난독화된 소스코드로 구성되는 것을 알 수 있다.
따라서, 상기 난독화 크기 분석단계는 상기 노드의 전체 소스코드에서 난독화된 소스코드의 비율을 계산하게 된다.
상기 표 1과 같이 악성코드를 유포하는 LPM의 난독화 특성을 분석한 결과, 상기 노드의 전체 소스코드의 데이터 크기에서 상기 노드의 가장 긴 소스라인의 데이터 크기의 비율은 최소 86.14%에서 최대 96.01%까지로 조사되었다.
상기와 같은 조사 결과는 정상적인 웹페이지가 보안상 중요한 소스코드에만 주로 난독화를 수행하면서 대략 30%이내의 난독화 비율을 보이는 것과 큰 차이가 있는 것으로, 악성코드 유포지인 최종 웹페이지와 상기 최종 웹페이지까지 악성링크를 유도하는 경유 웹페이지는 악성코드 탐지 프로그램의 탐지를 최대한 회피하기 위하여 소스코드를 대부분 난독화하면서 상기 정상적인 웹페이지와 비교하여 난독화 비율이 높음을 확인할 수 있었다.
상기 조사 결과에 따라 본 발명의 일 실시예에서는 상기 데이터 크기의 비율의 최소값인 86.14%에서 20%의 오차를 감안한 69%로 상기 기준 데이터 비율을 바람직하게 설정할 수 있지만, 상기 기준 데이터 비율은 상기 난독화 크기 분석단계(S111)가 판단 기준을 강화할수록 더 커질 수 있으며 판단 기준을 완화할수록 더 작아질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
난독화 라인 분석단계(S112)는 상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 소스라인 개수가 미리 정해진 기준 라인 개수 미만일 경우 상기 노드를 포함하는 LPM은 악성링크를 포함한 것으로 판단하는 단계이다.
표 1과 같이 악성코드를 유포하는 LPM의 난독화 특성을 분석한 결과, 상기 노드를 구성하는 소스코드의 소스라인 개수는 최소 15개에서 최대 58개로 조사되었다.
상기와 같은 조사 결과는 정상적인 웹페이지가 사용자에게 다양한 정보를 제공하기 위하여 수백 개 이상의 소스라인으로 구성되는 것과 큰 차이가 있는 것으로, 악성코드 유포지인 최종 웹페이지와 상기 최종 웹페이지까지 악성링크를 유도하는 경유 웹페이지는 악성링크 외에 별도의 정보가 없는 경우가 많으며 악성코드 탐지 프로그램의 탐지를 최대한 회피하기 위해 소스코드 대부분을 난독화하면서 상기 정상적인 웹페이지와 비교하여 소스라인의 개수가 적은 것을 확인할 수 있었다.
상기 조사 결과에 따라 본 발명의 일 실시예에서는 상기 소스라인 개수의 최대값인 58개에서 20%의 오차를 감안한 69개로 상기 기준 라인 개수를 바람직하게 설정할 수 있지만, 상기 기준 라인 개수는 상기 난독화 라인 분석단계(S112)가 판단 기준을 강화할수록 더 작아질 수 있으며 판단 기준을 완화할수록 더 커질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
난독화 공백 분석단계(S113)는 상기 LPM에서 웹페이지로 형성된 노드를 각각 검사하여 상기 노드에서 가장 긴 소스라인의 문자 개수에서 상기 가장 긴 소스라인에 포함된 공백(SPACE) 개수의 비율이 미리 정해진 기준 공백 비율 미만일 경우 상기 노드를 포함하는 LPM은 악성링크를 포함한 것으로 판단하는 단계이다.
표 1과 같이 악성코드를 유포하는 LPM의 난독화 특성을 분석한 결과, 상기 노드의 가장 긴 소스라인의 문자 개수에서 상기 가장 긴 소스라인에 포함된 공백 개수의 비율은 최소 0.19%에서 최대 1.10%까지로 조사되었다.
상기와 같은 조사 결과는 정상적인 웹페이지가 소스코드에 공백을 사용하여 가독성이 좋도록 제작된 것에 반하여, 악성코드 유포지인 최종 웹페이지와 상기 최종 웹페이지까지 악성링크를 유도하는 경유 웹페이지는 악성코드 탐지 프로그램의 탐지를 최대한 회피하기 위하여 소스코드를 대부분 난독화하면서 공백까지 난독화하여 전체 소스코드에서 공백이 차지하는 비율이 줄어들었음을 확인할 수 있었다.
상기 조사 결과에 따라 본 발명의 일 실시예에서는 상기 공백 개수의 최대 비율인 1.1%에서 20%의 오차를 감안한 1.3%로 상기 기준 공백 비율을 바람직하게 설정할 수 있지만, 상기 기준 공백 비율은 상기 난독화 공백 분석단계(S113)가 판단 기준을 강화할수록 더 작아질 수 있으며 판단 기준을 완화할수록 더 커질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
판단단계(S120)는 상기 난독화 분석단계(S110)에서 분석된 소스코드의 난독화 특성을 이용하여 상기 LPM이 악성코드 유포 네트워크인지 판단하는 단계이다.
더욱 상세히 설명하면, 상기 판단단계(S120)는 상기 난독화 분석단계(S110)가 상기 소스코드의 난독화 특성을 분석하기 위해 이용하였던 상기 난독화 크기 분석단계(S111), 상기 난독화 라인 분석단계(S112) 및 상기 난독화 공백 분석단계(S113) 중에서 한번 이상 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하며, 이를 사용자에게 경보 할 수도 있다.
또한, 상기 판단단계(S120)는 상기 난독화 크기 분석단계(S111), 상기 난독화 라인 분석단계(S112) 및 상기 난독화 공백 분석단계(S113)가 모두 악성링크를 포함한 것으로 판단된 경우 상기 검사한 LPM을 악성코드 유포 네트워크로 판단함으로써, 더욱 정밀하게 상기 검사한 LPM이 악성코드 유포 네트워크인지 판단할 수도 있다.
도 4는 본 발명의 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램를 도시한 것으로 난독화 분석단계(S210), 매개변수 분석단계(S220) 및 판단단계(S230)을 포함하여 이루어진다.
먼저, 본 발명의 다른 실시예에 따른 난독화 분석단계(S210)는 상기 일실시예에 따른 난독화 분석단계(S110)와 구성과 효과가 유사하므로 이에 구체적인 설명은 생략하기로 한다.
매개변수 분석단계(S220)는 상기 LPM에서 웹페이지로 형성된 노드를 각각 검사하여 상기 노드의 소스코드에 포함된 모든 URL(Uniform Resource Locator) 주소 정보에서 구분자의 개수를 확인하고, 상기 구분자의 개수에 따라 상기 검사한 LPM이 악성링크를 포함하였는지 판단하는 단계이다.
도 5를 참조하여 상기 매개변수 분석단계를 더욱 상세히 설명하면 다음과 같다.
해커가 각 노드의 소스코드에 포함시켜 악성코드 유포지로 사용자의 접속을 유도하는 악성링크에 대한 패턴을 파악하기 위하여 현재 공개된 악성코드 유포 네트워크들을 분석한 결과, 상기 악성링크는 도 5의 A에 도시된 URL 주소와 같이 스크립트 페이지를 열기 위한 구분자가 대부분 없는 것을 확인할 수 있었다.
이때, 상기 스크립트 페이지는 사용자의 명령에 따라 변화되는 웹페이지를 의미한다. 그리고, 상기 구분자는 사용자가 특정 검색어를 사용해 웹페이지에 접속하거나 로그인을 한 상태에서 웹페이지에 접속하는 것과 같이 웹페이지에 매개변수를 입력할 경우 상기 매개변수에 따른 상기 스크립트 페이지를 열기 위하여 URL 주소에 추가되는 코드를 의미한다.
상기 구분자는 도 5의 B에 도시한 것과 같이 웹페이지의 URL 주소에 '?' 또는 '&'로 입력되며, 그 뒤에 상기 매개변수를 입력되는 형태로 구성된다.
상기 분석 결과와 같이 악성링크에 매개변수가 없는 이유는 별도의 스크립트 페이지에 연결되는 악성링크를 만드는 것이 비효율적임에 따라 대부분의 해커들이 매개변수가 포함된 악성링크를 만들지 않기 때문인 것으로 분석되었다.
따라서, 매개변수 분석단계(S220)는 상기 LPM에서 웹페이지로 형성된 노드를 각각 검사하여 상기 노드에 포함된 모든 링크의 URL 주소 정보에서 구분자의 개수를 확인하고, 상기 구분자의 개수가 미리 정해진 기준 구분자 개수 이하일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하게 된다.
상기 분석 결과에 따라 본 발명의 다른 실시예에서는 상기 기준 구분자 개수를 0개로 바람직하게 설정할 수 있지만, 상기 기준 구분자 개수는 상기 매개변수 분석단계(S220)가 판단 기준을 완화할수록 더 커질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
판단단계(S230)는 상기 난독화 분석단계(S210) 및 매개변수 분석단계(S220)의 실행결과를 바탕으로 상기 검사한 LPM의 상태를 판단하는 단계이다.
더욱 상세히 설명하면, 상기 판단단계(S230)는 상기 난독화 분석단계(S210)의 난독화 크기 분석단계, 난독화 라인 분석단계 및 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 매개변수 분석단계(S220)에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하며 이를 사용자에게 경보 할 수도 있다.
사용자는 상기와 같이 본 발명의 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램을 사용할 경우 난독화 분석단계(S110)만 실행시켰던 상기 일실시예에 따른 악성코드 유포 네트워크 탐지 프로그램보다 더욱 정밀한 악성코드 유포 네트워크 탐지 결과를 얻을 수 있다.
도 6는 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램를 도시한 것으로 난독화 분석단계(S310), 노드 분석단계(S320) 및 판단단계(S330)을 포함하여 이루어진다.
먼저, 본 발명의 또 다른 실시예에 따른 난독화 분석단계(S310)는 상기 일실시예에 따른 난독화 분석단계(S110)와 구성과 효과가 유사하므로 이에 구체적인 설명은 생략하기로 한다.
노드 분석단계(S320)는 상기 LPM을 형성하는 노드를 검사하여 상기 경유 웹페이지 및 상기 최종 웹페이지에 해당하는 노드의 개수를 확인하고, 이를 바탕으로 상기 검사한 LPM이 악성링크를 포함하였는지 판단하는 단계이다.
도 7은 사이버보안연구센터(KAIST)에서 제공한 7390개의 LPM을 대상으로 노드 개수에 따른 악성코드 유포 네트워크(MDN)와 비MDN의 개수를 그래프로 도시한 것으로 이를 참조하여 상기 노드 분석단계(S320)를 더욱 상세히 설명하기로 한다. 이때, 상기 7390개의 LPM 중 MDN은 3437개, 비MDN은 3953개이다.
도 7에 도시된 것과 같이 전체 7390개의 LPM 중에서 최종 웹페이지까지 구성된 노드의 개수가 1개인 LPM은 MDN의 경우 18개이고 비MDN의 경우 2346개로서, MDN의 비율은 0.8%로 계산되었다.
이때, MDN에서 노드의 개수가 1개라는 의미는 사용자가 접속하는 초기 웹페이지와 악성코드 유포지인 최종 웹페이지가 직접 링크되어 있다는 의미로서, 이러한 MDN의 비율이 0.8%로 계산된 것을 보았을 때 해커들은 악성코드 유포 네트워크를 형성할 때 사용자가 실행하는 초기 웹페이지가 직접 악성코드 유포지로 직접 링크되는 것을 피하여 악성코드 탐지 프로그램의 탐지를 회피하는 것을 확인할 수 있었다.
그리고 도 7에 도시된 그래프를 계속 살펴보았을 때, 경유 웹페이지를 하나 거쳐감에 따라 상기 노드의 개수가 2개가 될 경우 MDN은 452개이고 비MDN은 1001개로 MDN의 비율이 31.1%로 계산되었으며, 경유 웹페이지를 두 개 거쳐감에 따라 상기 노드의 개수가 3개가 될 경우 MDN은 828개이고 비MDN은 453개로 MDN의 비율이 64.6%로 계산되어, 상기 노드가 1개인 경우보다 MDN일 확률이 높은 것을 확인할 수 있다.
이러한 특징을 이용하여, 상기 노드 분석단계(S320)는 LPM의 노드의 개수를 계산하고, 상기 노드의 개수가 미리 정해진 기준 노드 개수 이하일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하게 된다.
상기 조사 결과에 따라 본 발명의 또 다른 실시예에서는 상기 MDN의 비율이 31.1%가 되는 2개로 상기 기준 노드 개수를 바람직하게 설정할 수 있지만, 상기 기준 노드 개수는 상기 노드 분석단계(S320)가 판단 기준을 완화할수록 더 커질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
판단단계(S330)는 상기 난독화 분석단계(S310) 및 노드 분석단계(S320)의 실행결과를 바탕으로 상기 검사한 LPM의 상태를 판단하는 단계이다.
더욱 상세히 설명하면, 상기 판단단계(S330)는 상기 난독화 분석단계(S310)의 난독화 크기 분석단계, 난독화 라인 분석단계 및 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 노드 분석단계(S320)에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하며 이를 사용자에게 경보 할 수도 있다.
도 8은 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램를 도시한 것으로 난독화 분석단계(S410), 도메인 분석단계(S420) 및 판단단계(S430)을 포함하여 이루어진다.
먼저, 본 발명의 또 다른 실시예에 따른 난독화 분석단계(S410)는 상기 일실시예에 따른 난독화 분석단계(S110)와 구성과 효과가 유사하므로 이에 구체적인 설명은 생략하기로 한다.
도메인 분석단계(S420)는 상기 LPM을 형성하는 노드를 검사하여 상기 초기 웹페이지부터 상기 최종 웹페이지까지의 도메인 개수를 확인하고, 이를 바탕으로 상기 검사한 LPM이 악성링크를 포함하였는지 판단하는 단계이다.
도 9는 사이버보안연구센터(KAIST)에서 제공한 7390개의 LPM을 대상으로 도메인수에 따른 악성코드 유포 네트워크(MDN)과 비MDN의 개수를 그래프로 도시한 것으로 이를 참조하여 상기 도메인 분석단계(S420)를 더욱 상세히 설명하기로 한다. 이때, 상기 7390개의 LPM 중 MDN은 3437개, 비MDN은 3953개이다.
도 9에 도시된 것과 같이 전체 7390개의 LPM 중에서 도매인의 개수가 1개인 LPM은 MDN의 경우 47개이고 비MDN의 경우 3134개로서, 그에 따라 MDN의 비율은 1.5%로 계산되었다.
그리고, 도메인 개수가 2개일 경우에는 MDN은 1062개이고 비MDN은 561개로 MDN의 비율이 65.4%로 계산되었으며, 도메인 개수가 3개가 될 경우 MDN은 1055개이고 비MDN은 250개로 MDN의 비율이 80.8%로 계산되었다.
상기와 같은 조사 결과가 나온 이유를 분석한 결과, 해커는 MDN을 가능한 복잡하게 연결되는 악성링크를 소스코드에 삽입하여 탐지를 지연시키거나 우회하는 전략을 수행하며, 그에 따라 다양한 국가와 업종이 혼합된 다수의 도메인을 사용하는 패턴을 보이는 것을 확인할 수 있었다.
상기와 같은 패턴을 이용하기 위하여 상기 도메인 분석단계(S420) 는 LPM의 도메인 개수를 확인하고, 상기 도메인 개수가 미리 정해진 기준 도메인 개수 이상일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하게 된다.
상기 조사 결과에 따라 본 발명의 또 다른 실시예에서는 상기 MDN의 비율이 65.4%가 되는 2개로 상기 기준 도메인 개수를 바람직하게 설정할 수 있지만, 상기 기준 도메인 개수는 상기 도메인 분석단계(S420)가 판단 기준을 완화할수록 더 커질 수도 있음을 당업자들이 극히 용이하게 이해할 수 있다.
판단단계(S430)는 상기 난독화 분석단계(S410) 및 도메인 분석단계(S420)의 실행결과를 바탕으로 상기 검사한 LPM의 상태를 판단하는 단계이다.
더욱 상세히 설명하면, 상기 판단단계(S430)는 상기 난독화 분석단계(S410)의 난독화 크기 분석단계, 난독화 라인 분석단계 및 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 도메인 분석단계(S420)에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하며 이를 사용자에게 경보 할 수도 있다.
도 10은 본 발명의 또 다른 실시예에 따른 악성코드 유포 네트워크 탐지 프로그램를 도시한 것으로 난독화 분석단계(S510), 매개변수 분석단계(S520), 노드 분석단계(S530), 도메인 분석단계(S540) 및 판단단계(S550)를 포함하여 이루어진다.
먼저, 본 발명의 또 다른 실시예에 따른 난독화 분석단계(S510), 매개변수 분석단계(S520), 노드 분석단계(S530) 및 도메인 분석단계(S540)는 상기 난독화 분석단계(S110), 매개변수 분석단계(S220), 노드 분석단계(S320) 및 도메인 분석단계(S420)와 구성과 효과가 유사하므로 이에 구체적인 설명은 생략하기로 한다.
판단단계(S550) 난독화 분석단계(S510), 매개변수 분석단계(S520), 노드 분석단계(S530) 및 도메인 분석단계(S540)에서 모두 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 것을 특징으로 한다.
이는 상기 일 실시예와 다른 실시예 등에서 개시하였던 판단단계(S120, S230, S330, S430)와 비교하여 더 정밀하게 악성코드가 포함된 웹페이지들을 확인할 수 있는 효과가 있다.
지금까지 본 발명에 따른 악성코드 유포 네트워크 탐지 프로그램을 첨부된 도면을 참조로 구체적인 실시예로 한정되게 설명하였으나 이는 하나의 실시예일 뿐이며, 첨부된 특허청구범위에서 청구된 발명의 사상 및 그 영역을 이탈하지 않으면서 다양한 변화 및 변경이 있을 수 있음을 이해하여야 할 것이다.
S110 : 난독화 분석단계 S111 : 난독화 크기 분석단계
S112 : 난독화 라인 분석단계 S113 : 난독화 공백 분석단계
S120 : 판단단계 S210 : 난독화 분석단계
S220 : 매개변수 분석단계 S230 : 판단단계
S310 : 난독화 분석단계 S320 : 노드 분석단계
S330 : 판단단계 S410 : 난독화 분석단계
S420 : 도메인 분석단계 S430 : 판단단계
S510 : 난독화 분석단계 S520 : 매개변수 분석단계
S530 : 노드 분석단계 S540 : 도메인 분석단계
S550 : 판단단계

Claims (12)

  1. LPM(Linked Page Map)의 각 노드를 검사해 소스코드의 난독화 특성을 분석하는 난독화 분석단계; 및
    상기 난독화 분석단계에서 분석된 소스코드의 난독화 특성을 이용하여 상기 LPM이 악성코드 유포 네트워크인지 판단하는 판단단계;
    를 하드웨어와 결합되어 실행시키기 위하여 매체에 저장된 악성코드 유포 네트워크 탐지 프로그램으로서,
    상기 난독화 분석단계는
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 전체 소스코드의 데이터 크기에서 상기 노드의 가장 긴 소스라인의 데이터 크기의 비율이 미리 정해진 기준 데이터 비율을 초과할 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 크기 분석단계;
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 소스라인 개수가 미리 정해진 기준 라인 개수 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 라인 분석단계; 및
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드에서 가장 긴 소스라인의 문자 개수에서 상기 가장 긴 소스라인에 포함된 공백(SPACE) 개수의 비율이 미리 정해진 기준 공백 비율 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 공백 분석단계;
    를 이용하여 상기 LPM의 난독화 특성을 분석하고, 상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 악성코드 유포 네트워크 탐지 프로그램.
  2. 제1항에 있어서,
    상기 기준 데이터 비율은 69%인 악성코드 유포 네트워크 탐지 프로그램.
  3. 제1항에 있어서,
    상기 기준 라인 개수는 69개인 악성코드 유포 네트워크 탐지 프로그램.
  4. 제1항에 있어서,
    상기 기준 공백 비율은 1.3%인 악성코드 유포 네트워크 탐지 프로그램.
  5. 제1항에 있어서,
    상기 LPM을 형성하는 노드를 검사하여 상기 노드에 포함된 모든 URL 주소 정보에서 구분자의 개수를 파악하고 상기 구분자의 개수가 기준 구분자 개수 이하일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 매개변수 분석단계를 더 실행시키고,
    상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 매개변수 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 악성코드 유포 네트워크 탐지 프로그램.
  6. 제5항에 있어서,
    상기 기준 구분자 개수는 0개인 악성코드 유포 네트워크 탐지 프로그램.
  7. 제1항에 있어서,
    상기 LPM을 형성하는 노드를 검사하여 경유 웹페이지 및 최종 웹페이지에 해당하는 노드의 개수가 미리 정해진 기준 노드 개수 이상일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 노드 분석단계를 더 실행시키고,
    상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 노드 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 악성코드 유포 네트워크 탐지 프로그램.
  8. 제7항에 있어서,
    상기 기준 노드 개수는 2개인 악성코드 유포 네트워크 탐지 프로그램.
  9. 제1항에 있어서,
    상기 LPM을 형성하는 노드를 검사하여 초기 웹페이지부터 최종 웹페이지까지의 도메인 개수가 미리 정해진 기준 도메인 개수 이상일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하는 도메인 분석단계를 더 실행시키고,
    상기 판단단계는 상기 난독화 크기 분석단계, 상기 난독화 라인 분석단계 및 상기 난독화 공백 분석단계 중에서 한번 이상 악성링크를 포함한 것으로 판단되고 상기 도메인 분석단계에서도 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 악성코드 유포 네트워크 탐지 프로그램.
  10. 제9항에 있어서,
    상기 기준 도메인 개수는 2개인 악성코드 유포 네트워크 탐지 프로그램.
  11. 제1항에 있어서,
    상기 하드웨어는 웹페이지를 읽을 수 있는 컴퓨터 또는 휴대전화를 포함하는 악성코드 유포 네트워크 탐지 프로그램.
  12. LPM의 각 노드를 검사해 소스코드의 난독화 특성을 분석하여 상기 LPM이 악성링크를 포함하였는지 판단하는 난독화 분석단계;
    상기 LPM을 형성하는 노드를 검사하여 상기 노드에 포함된 모든 URL 주소 정보에서 구분자의 개수를 파악하고 상기 구분자의 개수가 기준 구분자 개수 이하일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 매개변수 분석단계;
    상기 LPM을 형성하는 노드를 검사하여 경유 웹페이지 및 최종 웹페이지에 해당하는 노드의 개수가 미리 정해진 기준 노드 개수 이상일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 노드 분석단계;
    상기 LPM을 형성하는 노드를 검사하여 초기 웹페이지부터 최종 웹페이지까지의 도메인 개수가 미리 정해진 기준 도메인 개수 이상일 경우 상기 검사한 LPM은 악성링크를 포함한 것으로 판단하는 도메인 분석단계; 및
    상기 난독화 분석단계, 상기 매개변수 분석단계, 상기 노드 분석단계 및 상기 도메인 분석단계에서 모두 악성링크를 포함한 것으로 판단된 경우 상기 LPM을 악성코드 유포 네트워크로 판단하는 판단단계;를 하드웨어와 결합되어 실행시키기 위하여 매체에 저장된 악성코드 유포 네트워크 탐지 프로그램으로서,
    상기 난독화 분석단계는
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 전체 소스코드의 데이터 크기에서 상기 노드의 가장 긴 소스라인의 데이터 크기의 비율이 미리 정해진 기준 데이터 비율을 초과할 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 크기 분석단계;
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드의 소스라인 개수가 미리 정해진 기준 라인 개수 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 라인 분석단계; 및
    상기 LPM을 형성하는 노드를 각각 검사하여 상기 노드에서 가장 긴 소스라인의 문자 개수에서 상기 가장 긴 소스라인에 포함된 공백(SPACE) 개수의 비율이 미리 정해진 기준 공백 비율 미만일 경우 상기 LPM은 악성링크를 포함한 것으로 판단하는 난독화 공백 분석단계;
    를 이용하여 상기 LPM의 난독화 특성을 분석하는 악성코드 유포 네트워크 탐지 프로그램.
KR1020140099769A 2014-08-04 2014-08-04 악성코드 유포 네트워크 탐지 프로그램 KR101639869B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140099769A KR101639869B1 (ko) 2014-08-04 2014-08-04 악성코드 유포 네트워크 탐지 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140099769A KR101639869B1 (ko) 2014-08-04 2014-08-04 악성코드 유포 네트워크 탐지 프로그램

Publications (2)

Publication Number Publication Date
KR20160016178A KR20160016178A (ko) 2016-02-15
KR101639869B1 true KR101639869B1 (ko) 2016-07-14

Family

ID=55356967

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140099769A KR101639869B1 (ko) 2014-08-04 2014-08-04 악성코드 유포 네트워크 탐지 프로그램

Country Status (1)

Country Link
KR (1) KR101639869B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102386297B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 디텍터 룰 기반의 비정상 데이터 탐지 시스템 및 방법
KR102614309B1 (ko) 2023-09-12 2023-12-15 주식회사 엔키 엔드포인트 공격 탐지 방법 및 장치
KR102617219B1 (ko) 2023-09-09 2023-12-27 주식회사 엔키 악성 코드를 이용한 침투 테스트 방법 및 장치
KR102618707B1 (ko) 2023-09-09 2023-12-28 주식회사 엔키 침투 테스트 공격 데이터를 이용한 학습 데이터 생성 장치 및 방법, 및 생성된 학습 데이터를 이용한 인공 신경망 모델의 학습 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101060639B1 (ko) 2010-12-21 2011-08-31 한국인터넷진흥원 자바스크립트 난독화 강도 분석을 통한 악성 의심 웹사이트 탐지 시스템 및 그 탐지방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100688604B1 (ko) 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
KR100830434B1 (ko) 2005-11-08 2008-05-20 한국정보보호진흥원 악성코드 수집 시스템 및 방법
KR101169014B1 (ko) * 2010-12-23 2012-07-26 한국인터넷진흥원 악성코드 경유-유포지 탐지 시스템
KR101428725B1 (ko) * 2012-11-06 2014-08-12 한국인터넷진흥원 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101060639B1 (ko) 2010-12-21 2011-08-31 한국인터넷진흥원 자바스크립트 난독화 강도 분석을 통한 악성 의심 웹사이트 탐지 시스템 및 그 탐지방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102386297B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 디텍터 룰 기반의 비정상 데이터 탐지 시스템 및 방법
KR102386284B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 트리거 모듈
KR102386289B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 디텍터 모듈
KR102386294B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 피드 룰 기반의 비정상 데이터 탐지 방법
KR102386290B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 트리거 룰 기반의 비정상 데이터 탐지 방법
KR102386287B1 (ko) 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 시그널 허브
KR102386282B1 (ko) 2021-07-19 2022-05-10 주식회사 샌즈랩 비정상 데이터 탐지 시스템 및 방법
KR102617219B1 (ko) 2023-09-09 2023-12-27 주식회사 엔키 악성 코드를 이용한 침투 테스트 방법 및 장치
KR102618707B1 (ko) 2023-09-09 2023-12-28 주식회사 엔키 침투 테스트 공격 데이터를 이용한 학습 데이터 생성 장치 및 방법, 및 생성된 학습 데이터를 이용한 인공 신경망 모델의 학습 장치 및 방법
KR102614309B1 (ko) 2023-09-12 2023-12-15 주식회사 엔키 엔드포인트 공격 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR20160016178A (ko) 2016-02-15

Similar Documents

Publication Publication Date Title
Gupta et al. Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network
US9398031B1 (en) Malicious advertisement detection and remediation
Ludl et al. On the effectiveness of techniques to detect phishing sites
US11036855B2 (en) Detecting frame injection through web page analysis
US10148681B2 (en) Automated identification of phishing, phony and malicious web sites
US8555391B1 (en) Adaptive scanning
Van Goethem et al. Large-scale security analysis of the web: Challenges and findings
US20180084003A1 (en) Method and system for injecting javascript into a web page
US20130160120A1 (en) Protecting end users from malware using advertising virtual machine
US20120090026A1 (en) Cross-site scripting prevention in dynamic content
CN105049440B (zh) 检测跨站脚本攻击注入的方法及系统
CN102664876A (zh) 网络安全检测方法及系统
US20090216795A1 (en) System and method for detecting and blocking phishing attacks
CN105635126A (zh) 恶意网址访问防护方法、客户端、安全服务器及系统
US9336396B2 (en) Method and system for generating an enforceable security policy based on application sitemap
KR101639869B1 (ko) 악성코드 유포 네트워크 탐지 프로그램
Kaur et al. Browser fingerprinting as user tracking technology
Chaudhary et al. Cross-site scripting (XSS) worms in Online Social Network (OSN): Taxonomy and defensive mechanisms
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
Stivala et al. Deceptive previews: A study of the link preview trustworthiness in social platforms
CN106302515B (zh) 一种网站安全防护的方法和装置
US10474810B2 (en) Controlling access to web resources
CN104717226A (zh) 一种针对网址的检测方法及装置
US11729145B2 (en) User interface for web server risk awareness
US20190297107A1 (en) Method and apparatus for generating attack string

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190611

Year of fee payment: 4