KR101650445B1 - 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 - Google Patents

커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101650445B1
KR101650445B1 KR1020150176770A KR20150176770A KR101650445B1 KR 101650445 B1 KR101650445 B1 KR 101650445B1 KR 1020150176770 A KR1020150176770 A KR 1020150176770A KR 20150176770 A KR20150176770 A KR 20150176770A KR 101650445 B1 KR101650445 B1 KR 101650445B1
Authority
KR
South Korea
Prior art keywords
file
web page
forgery
webcell
audit
Prior art date
Application number
KR1020150176770A
Other languages
English (en)
Other versions
KR20160003584A (ko
Inventor
한철규
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150176770A priority Critical patent/KR101650445B1/ko
Publication of KR20160003584A publication Critical patent/KR20160003584A/ko
Application granted granted Critical
Publication of KR101650445B1 publication Critical patent/KR101650445B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 웹셀 탐지 기술에 있어서, 특히 커널 기반의 파일이벤트감사 기능을 이용하여 웹셀을 실시간 탐지하는 장치 및 방법에 관한 것으로, 웹페이지에서 감사대상파일과 백업파일의 상태를 감사하여 상기 웹페이지의 위변조 여부를 검사하는 웹페이지 감사 모듈과, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 검사하는 커널 기반 수집 및 분석 모듈과, 상기 웹페이지 감사 모듈에 의한 위변조 여부의 검사 결과와 상기 커널 기반 수집 및 분석 모듈에 의한 위변조 발생 여부의 검사 결과로부터 위변조된 파일의 웹셀 파일 여부를 검사하는 웹셀 검사 모듈과, 상기 웹셀 검사 모듈에 의한 웹셀 파일 여부의 검사 결과를 통보하고 상기 웹셀 파일 여부의 검사 결과에 따른 대응 내용을 수집하는 감사 대응 모듈을 포함하여 구성되는 장치와, 그 장치에 기반하는 방법에 관한 발명이다.

Description

커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 {Apparatus and method for detecting webshell in real time using kernel-based file event notification function}
본 발명은 웹셀 탐지 기술에 관한 것으로, 특히 커널 기반의 파일이벤트감사 기능을 이용하여 웹셀을 실시간 탐지하는 장치 및 방법에 관한 것이다.
웹셀(WebShell) 파일과 같은 코드는 악의적인 목적으로 웹서버의 다양한 취약점을 공격하여 악성 URL 삽입, 정보 유출 및 변조, 악성코드 유포, 홈페이지 변조, 데이터베이스의 자료 탈취 등의 피해를 가져올 수 있다. 이러한 피해 사례가 점점 증가하는 추세이다.
또한, 스크립트 파일 형태인 웹셀(WebShell) 파일은 편집이 간단하여 다양한 변종으로 생성될 수 있기 때문에, 보안 솔루션의 탐지 시스템을 우회하여 공격을 시도할 수도 있다. 최근에는 공격자가 전송하는 다중 분할 파라미터를 웹서버에서 재조합하여 처리하는 다중분할 웹셀(Multi Division WebShell)과 같은 형태까지 발전하고 있으며, 그러한 형태는 방화벽, IPS, IDS, 웹방화벽 등의 보안 솔루션들의 탐지 시스템을 우회하여 공격하기 때문에 탐지에 어려움을 겪고 있다.
본 발명의 목적은 상기한 점을 감안하여 안출한 것으로, 특히 커널모드에서 탐지되는 파일 이벤트 정보를 분석하여 웹셀(WebShell) 파일을 탐지하게 해주는 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법을 제공하는 데 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 특징은, 웹페이지에서 감사대상파일과 백업파일의 상태를 감사하여 상기 웹페이지의 위변조 여부를 탐지하는 웹페이지 감사 모듈과, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 탐지하는 커널 기반 수집 및 분석 모듈과, 상기 웹페이지 감사 모듈에 의한 위변조 탐지 결과와 상기 커널 기반 수집 및 분석 모듈에 의한 위변조 탐지 결과로부터 위변조된 파일의 웹셀 파일 여부를 검사하는 웹셀 검사 모듈과, 상기 웹셀 검사 모듈에 의한 웹셀 파일 여부의 검사 결과를 통보하고 상기 웹셀 파일 여부의 검사 결과에 따른 대응 내용을 수집하는 감사 대응 모듈을 포함하여 구성되는 것이다.
바람직하게, 상기 웹페이지 감사 모듈은 상기 웹페이지에서 현재 감사대상파일에 대한 상태와 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 상기 위변조 여부를 탐지할 수 있다.
바람직하게, 상기 커널 기반 수집 및 분석 모듈은 상기 웹페이지 감사 모듈에서 위변조가 탐지되지 않는 경우에, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 분석할 수 있다.
바람직하게, 상기 웹셀 검사 모듈은 상기 웹페이지 감사 모듈에 의한 위변조 여부의 탐지 결과와 상기 커널 기반 수집 및 분석 모듈에 의한 위변조 발생 여부의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법의 특징은, 웹페이지에서 감사대상파일과 백업파일을 감사한 웹페이지 상태로부터 상기 웹페이지의 위변조를 탐지하는 웹페이지 감사 단계와, 상기 위변조의 탐지 결과에 따라, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 수집한 후에 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 더 탐지하는 커널 기반 위변조 분석 과정과 상기 위변조를 탐지한 결과에서 상기 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 검사하는 웹셀 검사 과정을 포함하는 위변조 분석 단계와, 상기 웹셀 파일의 검사 결과를 통보하는 탐지결과 통보 단계로 이루어지는 것이다.
바람직하게, 상기 웹페이지 감사 단계는 상기 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사할 수 있다.
보다 바람직하게, 상기 웹페이지 감사 단계는 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 상기 위변조 여부를 탐지할 수 있다.
바람직하게, 상기 위변조 분석 단계에서 상기 커널 기반 위변조 분석 과정은 상기 위변조를 탐지한 결과에서 위변조가 탐지되지 않는 경우에 수행하고, 상기 웹셀 검사 과정은 상기 위변조를 탐지한 결과 결과에서 위변조가 탐지되는 경우에 수행할 수 있다.
바람직하게, 상기 커널 기반 위변조 분석 과정은 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집할 수 있다.
바람직하게, 상기 웹셀 검사 과정은 상기 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.
본 발명에 따르면 다음의 효과가 있다.
첫 째, 커널 모드에서의 파일이벤트감사 기능을 이용하여 웹페이지 디렉토리를 실시간으로 감사하고, 그로부터 해당 웹페이지 디렉토리 내에서 발생하는 악의적인 파일 이벤트를 분석하므로, 웹셀(WebShell) 파일에 의한 침투에 대해 보다 빠른 대응이 가능해진다.
둘 째, 웹페이지를 구성하는 파일의 변화를 실시간으로 탐지하면서 생성 및 변경되는 파일의 악성 여부를 판단할 수 있고, 특히 커널 모드에서 파일을 감사하기 때문에 파일 이벤트를 실시간으로 탐지할 수 있다. 그에 따라 시스템의 부하도 줄어드는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 개략적인 구성을 나타낸 블록다이어그램이고,
도 2는 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 상세 구성을 나타낸 블록다이어그램이고,
도 3은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법을 나타낸 플로우챠트이다.
본 발명의 다른 목적, 특징 및 이점들은 첨부한 도면을 참조한 실시 예들의 상세한 설명을 통해 명백해질 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예의 구성과 그 작용을 설명하며, 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시 예로서 설명되는 것이며, 이것에 의해서 상기한 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법의 바람직한 실시 예를 자세히 설명한다.
본 발명에서는 웹셀을 탐지하는 예를 설명하나, 그에 한정하지 않고 본 발명의 장치 및 방법에 기반하여 위변조 행위의 원인으로 작용하는 파일 또는 코드를 실시간으로 탐지하는데 적용할 수도 있다.
도 1은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 개략적인 구성을 나타낸 블록다이어그램이고, 도 2는 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 상세 구성을 나타낸 블록다이어그램이다.
도 1 및 2를 참조하면, 본 발명에 따른 장치는 웹페이지 감사 모듈(10), 커널 기반 수집 및 분석 모듈(20), 파일 위변조 검사 모듈(30), 웹셀 검사 모듈(40), 그리고 감사 대응 모듈(50)로 구성된다.
웹페이지 감사 모듈(10)은 본 발명에 따른 장치의 탐지 프로그램이 시작됨에 따라 탐지 대상이 되는 웹페이지의 상태를 감사한다. 특히, 웹페이지에서 감사대상파일(원본파일)과 백업파일의 상태를 감사하여 웹페이지에서 위변조를 탐지한다.
웹페이지 감사 모듈(10)은 웹페이지에서 현재 감사대상파일에 대한 상태와 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 현재 감사대상파일에 대한 상태를 감사한 결과와 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 해당 웹페이지에 대한 위변조 여부를 탐지할 수 있다.
커널 기반 수집 및 분석 모듈(20)은, 상기 웹페이지 감사 모듈(10)에서 웹페이지에서 위변조가 탐지되지 않는 경우에, 커널모드에서 제공하는 파일이벤트감사(file event notification) 기능을 이용하여 그 웹페이지를 구성하는 디렉토리의 모든 파일들에 대한 위변조 발생 여부를 탐지한다. 상세하게, 커널 기반 수집 및 분석 모듈(20)은 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중 적어도 하나의 파일이벤트정보를 커널모드에서 파일이벤트감사 기능을 이용하여 실시간으로 수집한다. 그리고 그 수집된 파일이벤트정보를 참조하여 디렉토리 내의 파일들에 대한 위변조 발생 여부를 분석한다.
파일 위변조 검사 모듈(30)은 상기 웹페이지 감사 모듈(10)에 의해 웹페이지에 위변조가 탐지된 정보와 상기 커널 기반 수집 및 분석 모듈(20)에 의해 디렉토리의 파일들에서 위변조가 탐지된 정보에 기반하여 해당 웹페이지에 대한 위변조 발생 여부를 결정한다. 여기서, 파일 위변조 검사 모듈(30)은 웹페이지에 대한 위변조 발생 여부를 결정하는 구성이다.
그러나, 이하에서는 웹페이지 감사 모듈(10)에 의한 탐지결과와 커널 기반 수집 및 분석 모듈(20)에 의한 탐지결과로부터 웹페이지의 위변조가 검사되는 것으로 설명한다.
그에 따라, 웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의해 웹페이지에 위변조가 탐지된 정보와 커널 기반 수집 및 분석 모듈(20)에 의해 디렉토리의 파일들에서 위변조가 탐지된 정보에 기반하여 웹셀 파일 여부를 검사할 수 있다.
웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의한 위변조 탐지 결과와 커널 기반 수집 및 분석 모듈(20)에 의한 위변조 탐지 결과로부터 위변조된 해당 파일이 웹셀 파일인지 아닌지를 검사한다.
특히, 웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의한 위변조 탐지 결과와 커널 기반 수집 및 분석 모듈(20)에 의한 위변조 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.
여기서, 무결성 검사는 저장된 해쉬 값과의 비교를 통해 위변조된 파일의 위변조 부분이 웹셀 패턴에 해당되는 지를 비교하여 웹셀 파일을 탐지할 수 있다. 예로써, 해시 기반 코드(hash-based code)를 사용하는 무결성 검사를 실시하여 위변조된 파일의 해쉬 값을 산출한다. 이어, 그 산출된 해쉬 값을 저장된 해쉬 값과 동일한지를 비교하여, 동일한 경우에는 무결성이 유지되는 것으로 판단하고 동일하지 않는 경우에는 그 위변조된 파일을 웹셀 파일로 판단할 수 있다.
정규표현식 검사는 정규 표현식으로 정의한 웹셀 패턴과 비교하여 웹셀 파일의 생성을 탐지할 수 있다. 예로써, 정규표현식 검사를 통해 위변조된 파일에 웹셀 서명이 포함되어 있는지를 분석하여 웹셀 파일을 탐지할 수 있다.
본 발명의 일 실시 예에서는, 복수 개의 웹셀 서명을 포함하는 웹셀 서명 리스트를 참조하며, 상기 위변조 발생이 확인된 파일에 포함된 웹셀 서명이 상기 참조한 웹셀 서명 리스트에 포함된 복수 개의 웹셀 서명 중 어느 하나인지를 검사할 수 있다. 또한, 복수 개의 웹셀 패턴을 포함하는 웹셀 패턴 리스트를 참조하여, 상기 웹셀 서명이 포함된 것으로 확인된 파일이 어떤 종류의 웹셀인지를 탐지할 수 있다.
감사 대응 모듈(50)은 웹셀 검사 모듈(40)에 의해 위변조된 파일이 웹셀 파일인지 아닌지의 검사된 결과를 관리자에게 통보하고, 웹셀 파일 여부의 검사 결과에 따른 대응 내용을 수집한다.
도 3은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법을 나타낸 플로우챠트이다.
도 3을 참조하면, 탐지 프로그램의 시작에 따라 탐지 대상이 되는 웹페이지의 상태를 감사한다(S10). 웹페이지의 상태를 감사할 시에는 웹페이지에서 감사대상파일(원본파일)과 백업파일의 상태를 감사하고, 그에 따른 웹페이지 상태로부터 그 웹페이지에서의 위변조를 탐지한다. 특히, 웹페이지 감사 시에는 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 그 웹페이지에서 이전 백업파일에 대한 상태를 감사할 수 있다. 또한, 웹페이지 감사 시에는 현재 감사대상파일에 대한 상태를 감사한 결과와 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 웹페이지의 위변조 여부를 탐지할 수 있다.
이어, 웹페이지에서의 위변조 탐지 결과에 따라 커널 기반 위변조 분석 과정을 수행한다(S20).
*커널 기반 위변조 분석 과정은 웹페이지의 상태를 감사한 결과에서 웹페이지의 위변조가 탐지되지 않는 경우에 수행한다. 상세하게, 커널 기반 위변조 분석 과정은 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집한다(S21). 이후에 그 수집된 파일이벤트정보를 참조하여 그 파일이벤트정보를 분석한 후에 해당 디렉토리 내의 파일들에 대한 위변조 발생 여부를 더 탐지한다(S22).
여기서, 커널 기반 위변조 여부를 파일이벤트정보를 분석하여 탐지하는 과정에서는 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 그 수집된 정보를 분석하여 위변조 발생 여부를 탐지할 수 있다.
이어, 웹페이지 감사를 통한 위변조 탐지 결과와 커널 기반 수집 및 분석을 통한 위변조 탐지 결과로부터 해당 웹페이지에 대한 위변조 발생 여부를 검사하여 위변조 사실을 결정한다(S30).
이어, 위변조 검사 결과로부터 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 검사한다(S40).
다른 예로, 이하에서는 웹페이지 감사를 통한 탐지결과와 커널 기반 수집 및 분석을 통한 탐지 결과로부터 웹페이지의 위변조가 검사되는 것으로 설명한다.
그에 따라, 웹페이지 감사를 통한 위변조 탐지 결과와 커널 기반 수집 및 분석을 통한 위변조 탐지 결과로부터 위변조된 해당 파일이 웹셀 파일인지 아닌지를 검사할 수 있다.
상기한 웹셀 파일 여부를 검사할 시에는, 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다. 그 무결성 및 정규표현식 검사에 대해서는 이미 전술했으므로 그에 대한 상세는 생략한다.
*이어, 웹셀 파일의 검사 결과를 관리자에게 통보하거나 웹셀 파일 여부의 검사 결과에 따른 대응 조치 내용을 수집하는 등의 감사 대응 과정을 수행한다(S50).
지금까지 본 발명의 바람직한 실시 예에 대해 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성을 벗어나지 않는 범위 내에서 변형된 형태로 구현할 수 있을 것이다.
그러므로 여기서 설명한 본 발명의 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 상술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 한다.
10: 웹페이지 감사 모듈
20: 커널 기반 수집 및 분석 모듈
30: 파일 위변조 검사 모듈
40: 웹셀 검사 모듈
50: 감사 대응 모듈

Claims (3)

  1. 웹페이지에서 감사대상파일과 이전 백업파일을 감사한 웹페이지 상태로부터 상기 웹페이지의 위변조를 탐지하는 웹페이지 감사 단계;
    상기 웹페이지 감사 단계에서 위변조를 탐지한 결과에 따라, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 수집한 후에 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 탐지하는 커널 기반 위변조 분석 과정과 상기 커널 기반 위변조 분석 과정의 위변조의 탐지 결과에서 상기 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 검사하는 웹셀 검사 과정을 포함하는 위변조 분석 단계; 그리고
    상기 웹셀 파일의 검사 결과를 통보하는 탐지결과 통보 단계를 포함하고,
    상기 웹페이지 감사 단계는,
    상기 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과가 동일한지 비교하여 상기 위변조 여부를 탐지하고,
    상기 위변조 분석 단계는,
    상기 웹페이지 감사 단계에서 위변조 여부를 탐지한 결과에서 위변조가 탐지되지 않는 경우 상기 커널 기반 위변조 분석 과정 및 상기 웹셀 검사 과정을 수행하도록 구성되고, 상기 웹페이지 감사 단계에서 위변조 여부를 탐지한 결과에서 위변조가 탐지되는 경우 상기 커널 기반 위변조 분석 과정을 거치지 않고 상기 웹셀 검사 과정을 수행하도록 구성되고,
    상기 커널 기반 위변조 분석 과정은,
    상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하도록 구성되는 것을 특징으로 하는 커널 기반 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 웹셀 검사 과정은,
    상기 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지하는 것을 특징으로 하는 커널 기반 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법.
KR1020150176770A 2015-12-11 2015-12-11 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 KR101650445B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150176770A KR101650445B1 (ko) 2015-12-11 2015-12-11 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150176770A KR101650445B1 (ko) 2015-12-11 2015-12-11 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020140027079A Division KR20150104989A (ko) 2014-03-07 2014-03-07 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20160003584A KR20160003584A (ko) 2016-01-11
KR101650445B1 true KR101650445B1 (ko) 2016-08-23

Family

ID=55169684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150176770A KR101650445B1 (ko) 2015-12-11 2015-12-11 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101650445B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109905396A (zh) * 2019-03-11 2019-06-18 北京奇艺世纪科技有限公司 一种WebShell文件检测方法、装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (ko) 2006-12-21 2008-08-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR101080953B1 (ko) 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968126B1 (ko) * 2008-02-15 2010-07-06 한국인터넷진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
KR101291782B1 (ko) * 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (ko) 2006-12-21 2008-08-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR101080953B1 (ko) 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법

Also Published As

Publication number Publication date
KR20160003584A (ko) 2016-01-11

Similar Documents

Publication Publication Date Title
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
EP2893447B1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US9300682B2 (en) Composite analysis of executable content across enterprise network
US20160065600A1 (en) Apparatus and method for automatically detecting malicious link
CN106462703A (zh) 补丁文件分析系统与分析方法
CN107426196B (zh) 一种识别web入侵的方法及系统
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
Schreck et al. BISSAM: Automatic vulnerability identification of office documents
KR20180013270A (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
KR101464736B1 (ko) 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
KR20120070025A (ko) 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법
Luo et al. Security of HPC systems: From a log-analyzing perspective
Xu et al. DR@ FT: efficient remote attestation framework for dynamic systems
CN110545293A (zh) 一种精准式网络攻击检测预警平台
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
KR20150104989A (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
Mouelhi et al. Tailored shielding and bypass testing of web applications
KR101725399B1 (ko) 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법
Kergl et al. Detection of zero day exploits using real-time social media streams
JP5386015B1 (ja) バグ検出装置およびバグ検出方法
KR101421630B1 (ko) 코드 인젝션된 악성코드 탐지 시스템 및 방법

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190819

Year of fee payment: 4