KR101725399B1 - 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법 - Google Patents

호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법 Download PDF

Info

Publication number
KR101725399B1
KR101725399B1 KR1020150155835A KR20150155835A KR101725399B1 KR 101725399 B1 KR101725399 B1 KR 101725399B1 KR 1020150155835 A KR1020150155835 A KR 1020150155835A KR 20150155835 A KR20150155835 A KR 20150155835A KR 101725399 B1 KR101725399 B1 KR 101725399B1
Authority
KR
South Korea
Prior art keywords
script
analysis
unit
url
malicious
Prior art date
Application number
KR1020150155835A
Other languages
English (en)
Inventor
김환국
정종훈
배한철
추현록
오상환
윤수진
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150155835A priority Critical patent/KR101725399B1/ko
Application granted granted Critical
Publication of KR101725399B1 publication Critical patent/KR101725399B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법이 제공된다. 상기 악성 스크립트 탐지 및 실행 방지 장치는, 웹 페이지 요청 메시지를 수신하여 접속 URL을 추출하고, 웹 페이지 수신 메시지를 수신하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출하는 분석 대상 추출부, 상기 분석 대상 추출부로부터 상기 접속 URL과 상기 DOM 정보를 제공받고, 상기 접속 URL과 상기 DOM 정보로부터 분석 대상 URL, 분석 대상 스크립트, 및 프로세스 정보를 파싱하는 인터페이스부, 상기 인터페이스부로부터 상기 분석 대상 URL과 상기 분석 대상 스크립트를 제공받아 악성 URL 검사 및 악성 스크립트 검사를 수행하는 분석부, 및 상기 인터페이스부로부터 상기 프로세스 정보를 제공받아 상기 프로세스 정보에 대응하는 프로세스 메모리를 덤프하고, 메모리 스크립트를 추출하여 상기 메모리 스크립트의 악성 여부 판단을 수행하는 메모리 분석부를 포함한다.

Description

호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법{Apparatus and method for detection and execution prevention for malicious script based on host level}
본 발명은 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법에 관한 것이다.
네트워크의 보안을 위해서는 우선 공격 패킷들의 특성을 파악하여 두는 작업이 필요하다. 이러한 공격 패킷의 특성을 시그니처(signature)로 등록해두고, 수신된 패킷에서 등록된 시그니처가 감지되면 그에 해당하는 보안정책을 적용하여 악성 사용자나 프로그램으로부터 대상 네트워크를 보호하게 된다.
네트워크상의 공격 패킷들의 특성을 추출하는 기술은 대부분 인터넷상의 웹 문서를 포함하는 전자문서들의 유사성을 검사하거나, 분류하는 기술을 기반으로 한다. 방대한 양의 전자 문서들 간의 유사성을 검사하기 위해서는, 우선 각각의 문서들이 가지는 특성을 간략하게 표현할 필요가 있다. 이렇게 간략화 된 문서들을 비교함으로써 유사성 검증에 소요되는 연산량을 최소화할 수 있다.
한국공개특허 제2012-0070018호에는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 관하여 개시되어 있다.
본 발명이 해결하고자 하는 과제는, 호스트 레벨 기반에서 악성 스크립트를 탐지하고, 이에 대한 실행 방지를 구현할 수 있는 악성 스크립트 탐지 및 실행 방지 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는, 호스트 레벨 기반에서 악성 스크립트를 탐지하고, 이에 대한 실행 방지를 구현할 수 있는 악성 스크립트 탐지 및 실행 방지 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치의 일 실시예는, 웹 페이지 요청 메시지를 수신하여 접속 URL을 추출하고, 웹 페이지 수신 메시지를 수신하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출하는 분석 대상 추출부, 상기 분석 대상 추출부로부터 상기 접속 URL과 상기 DOM 정보를 제공받고, 상기 접속 URL과 상기 DOM 정보로부터 분석 대상 URL, 분석 대상 스크립트, 및 프로세스 정보를 파싱하는 인터페이스부, 상기 인터페이스부로부터 상기 분석 대상 URL과 상기 분석 대상 스크립트를 제공받아 악성 URL 검사 및 악성 스크립트 검사를 수행하는 분석부, 및 상기 인터페이스부로부터 상기 프로세스 정보를 제공받아 상기 프로세스 정보에 대응하는 프로세스 메모리를 덤프하고, 메모리 스크립트를 추출하여 상기 메모리 스크립트의 악성 여부 판단을 수행하는 메모리 분석부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치의 다른 실시예는, 분석 요청 메시지에 포함된 DOM(Document Object Model) 정보를 수신하여 상기 DOM 정보로부터 분석 대상 URL, 분석 대상 스크립트, 및 프로세스 정보를 추출하는 인터페이스부, 상기 인터페이스부로부터 상기 분석 대상 URL을 제공받아 악성 URL 검사를 수행하는 URL 검사부, 상기 인터페이스부로부터 상기 분석 대상 스크립트를 제공받아 악성 스크립트 검사를 수행하는 스크립트 분석부, 상기 인터페이스부로부터 상기 프로세스 정보를 제공받아 상기 프로세스 정보에 대응하는 프로세스 메모리를 덤프하고, 메모리 스크립트를 추출하여 상기 메모리 스크립트의 악성 여부 판단을 수행하는 메모리 분석부, 및 상기 URL 검사부, 상기 스크립트 분석부, 및 상기 메모리 분석부로부터 분석 결과를 제공받아, 상기 분석 결과에 따라 리다이렉트(redirect) 처리 또는 브라우저 로딩 처리 동작을 수행하는 분석 결과 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법의 일 실시예는, 웹 페이지 요청 이벤트를 확인하여 접속 URL을 추출하는 단계, 웹 페이지 수신 이벤트를 확인하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출하는 단계, 상기 접속 URL과 상기 DOM 정보로부터 분석 대상 URL, 분석 대상 스크립트, 및 프로세스 정보를 파싱하는 단계, 상기 분석 대상 URL과 블랙리스트 URL을 비교하여 악성 URL을 검사하는 단계, 상기 분석 대상 스크립트에 대해 정적 분석 및 동적 분석을 수행하는 단계, 상기 프로세스 정보에 대응하는 프로세스 메모리를 덤프하고, 메모리 스크립트를 추출하여 상기 메모리 스크립트의 악성 여부를 판단하는 단계, 및 분석 결과에 따라 리다이렉트(redirect) 처리 또는 브라우저 로딩 처리 동작을 수행하는 단계를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명에 따른 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와, 악성 스크립트 탐지 및 실행 방지 방법에 의하면, 사용자 브라우저에서 접근하는 웹 서버의 URL 및 웹 페이지 내의 URL을 확인하여 악성 여부를 탐지할 수 있고, 웹 서버에서 수신하는 웹 페이지를 확인하여 악성 스크립트 존재 여부를 탐지할 수 있다. 또한, 실행중인 웹 브라우저의 메모리를 분석하여 악성 스크립트를 탐지할 수 있다. 탐지된 악성 URL 및 악성 스크립트는 실행을 방지하도록 조치하여 외부의 위협으로부터 사용자 브라우저를 보호할 수 있다.
도 1은 호스트 레벨 기반 악성 스크립트 탐지 시스템의 블록도이다.
도 2는 본 발명의 일 실시예에 따른 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치를 포함하는 블록도이다.
도 3은 도 2의 분석 대상 수집/처리 모듈의 동작을 순차적으로 나타낸 흐름도이다.
도 4는 도 2의 분석 결과 처리부의 동작을 순차적으로 나타낸 흐름도이다.
도 5는 도 2의 악성 URL 검사부의 동작을 설명하기 위한 블록도이다.
도 6은 악성 URL 검사부의 동작을 순차적으로 나타낸 흐름도이다.
도 7은 도 2의 악성 URL 검사부의 다른 동작을 설명하기 위한 블록도이다.
도 8은 악성 URL 검사부의 다른 동작을 순차적으로 나타낸 흐름도이다.
도 9는 도 2의 스크립트 수집부의 동작을 설명하기 위한 블록도이다.
도 10은 도 2의 정적 분석부의 동작을 설명하기 위한 블록도이다.
도 11은 정적 분석부의 동작을 순차적으로 나타낸 흐름도이다.
도 12는 도 2의 동적 분석부의 동작을 설명하기 위한 블록도이다.
도 13은 동적 분석부의 동작을 순차적으로 나타낸 흐름도이다.
도 14는 도 2의 메모리 분석부의 동작을 설명하기 위한 블록도이다.
도 15는 메모리 분석부의 동작을 순차적으로 나타낸 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 호스트 레벨 기반 악성 스크립트 탐지 시스템의 블록도이다. 도 2는 본 발명의 일 실시예에 따른 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치를 포함하는 블록도이다. 도 3은 도 2의 분석 대상 수집/처리 모듈의 동작을 순차적으로 나타낸 흐름도이다. 도 4는 도 2의 분석 결과 처리부의 동작을 순차적으로 나타낸 흐름도이다. 도 5는 도 2의 악성 URL 검사부의 동작을 설명하기 위한 블록도이다. 도 6은 악성 URL 검사부의 동작을 순차적으로 나타낸 흐름도이다. 도 7은 도 2의 악성 URL 검사부의 다른 동작을 설명하기 위한 블록도이다. 도 8은 악성 URL 검사부의 다른 동작을 순차적으로 나타낸 흐름도이다. 도 9는 도 2의 스크립트 수집부의 동작을 설명하기 위한 블록도이다. 도 10은 도 2의 정적 분석부의 동작을 설명하기 위한 블록도이다. 도 11은 정적 분석부의 동작을 순차적으로 나타낸 흐름도이다. 도 12는 도 2의 동적 분석부의 동작을 설명하기 위한 블록도이다. 도 13은 동적 분석부의 동작을 순차적으로 나타낸 흐름도이다. 도 14는 도 2의 메모리 분석부의 동작을 설명하기 위한 블록도이다. 도 15는 메모리 분석부의 동작을 순차적으로 나타낸 흐름도이다.
이하에서는, 본 발명에 따른 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치에 대하여 설명한다. 설명에 앞서, 이하의 명세서 내에서 사용되는 용어를 다음과 같이 정의한다. 시그니처(signature)는 스크립트 분석 엔진에서 악성 스크립트 탐지를 위해 사용되는 패턴 정보로서, 기존에 탐지된 악성 스크립트에 관한 패턴 정보를 가진 객체로 정의한다. 유형 정보는 악성 스크립트의 공격 유형을 분류한 정보로서, DDoS 유발, 네트워크 스캐닝 등의 유형이 존재한다. 자바 스크립트 엔진은 ECMA 기준에 맞춰진 자바 스크립트 구문을 분석하고 실행하는 엔진으로 정의한다. 콜 트래이스(call trace)는 스크립트가 자바 스크립트 엔진에서 실행될 때 발생하는 스크립트의 기능적인 API(Application Programming Interface) 흐름 정보를 의미한다. 콜 트래이스 시그니처는 악성 스크립트에 관한 콜 트래이스로서, 동적 분석에서 악성 스크립트를 탐지할 때 이용된다.
도 1을 참조하면, 호스트 레벨 기반 악성 스크립트 탐지 시스템은, 웹 브라우저(10)와 악성 스크립트 탐지 및 실행 방지 장치(100)와 악성 스크립트 시그니처 관리 시스템(20)을 포함할 수 있다.
웹 브라우저(10)는 사용자 브라우저를 의미하며, IE, Chrome 등을 포함할 수 있다. 본 발명은 사용자 브라우저에서 접근하는 웹 서버의 URL 및 웹 페이지 내의 URL과 스크립트를 확인하여 악성 여부를 탐지하는 것에 관한 것이다. 다만, 본 발명에서의 악성 스크립트 탐지 및 실행 방지 장치(100)는 호스트 레벨에서 동작한다.
악성 스크립트 탐지 및 실행 방지 장치(100)는 웹 브라우저에 탑재된 분석 대상 수집/처리 모듈(110)과 분석 에이전트 모듈(130)을 포함한다.
분석 대상 수집/처리 모듈(110)은 URL 요청과 웹 페이지 수신을 확인하여 분석을 요청하는 분석 대상 수집 기능과 분석이 완료된 내용 중에서 악성이 존재하는 컨텐츠를 확인하여 처리하는 분석 결과 처리 기능을 포함한다.
분석 에이전트 모듈(130)은 시그니처 매칭을 통한 악성 스크립트 확인 및 스크립트 수정을 수행하는 악성 스크립트 처리 기능과, 악성 URL을 확인하는 악성 URL 처리 기능과, 웹 브라우저의 메모리 분석을 통한 메모리 검사 기능과, 탐지 정보를 사용자에게 알리고 탐지 설정 및 시스템 설정을 관리하는 기능을 포함한다.
악성 스크립트 탐지 및 실행 방지 장치(100)는 악성 스크립트 시그니처 관리 시스템(20)과 연동하여 탐지에 필요한 악성 스크립트 시그니처 정보를 제공받고, 악성 스크립트 시그니처 관리 시스템(20)에 저장된 시그니처 정보를 업데이트하고, 분석 에이전트 모듈(130)에서 탐지한 탐지 정보와 탐지 결과를 악성 스크립트 시그니처 관리 시스템(20)으로 전달한다.
도 2를 참조하면, 악성 스크립트 탐지 및 실행 방지 장치(100)는 분석 대상 수집/처리 모듈(110), 인터페이스부(121, 122), 분석 에이전트 모듈(130)을 포함한다.
구체적으로, 분석 대상 수집/처리 모듈(110)은 분석 대상 추출부(111), 분석 결과 처리부(112)를 포함하며, 인터페이스부(121)에 의해 정보를 송수신 할 수 있다.
분석 대상 추출부(111)는 웹 페이지 요청 이벤트를 확인하여 접속 URL을 추출하고, 웹 페이지 수신 이벤트를 확인하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출한다. 분석 대상 추출부(111)는 이벤트 리스너부(111a)와 DOM 정보 추출부(111b)를 포함한다.
이벤트 리스너부(111a)는 웹 페이지 요청 이벤트로부터 접속 URL을 추출한다. 이벤트 리스너부(111a)는 웹 페이지 요청 메시지의 수신 시점에 발생하는 이벤트를 확인하여 접속 URL을 추출할 수 있다. 이벤트 리스너부(111a)는 웹 페이지 요청 이벤트 발생 시에 웹 브라우저 로딩을 중지시키고, 웹 페이지 요청 이벤트를 확인하여 접속 URL을 추출할 수 있다.
DOM 정보 추출부(111b)는 웹 페이지로부터 DOM 정보를 추출한다. 구체적으로, 이벤트 리스너부(111a)에서 웹 페이지 수신 이벤트를 확인한 경우, DOM 정보 추출부(111b)는 수신한 웹 페이지로부터 DOM 정보를 추출한다. 즉, 이벤트 리스너부(111a)는 웹 페이지의 수신 시점에 발생하는 이벤트를 확인하여 DOM 정보 추출부(111b)에서 DOM 정보를 추출할 수 있다.
인터페이스부(121)는 분석 에이전트 모듈(130)로 분석 요청 및 분석 에이전트 모듈(130)로부터 분석 결과를 수신한다. 분석 에이전트 모듈(130)로 분석 요청을 하는 경우, 분석 대상 URL 및 웹 페이지로부터 추출한 DOM 정보를 전달한다. 분석 에이전트 모듈(130)로부터 분석 결과를 수신한 경우, 이를 분석 결과 처리부(112)로 전달한다.
분석 결과 처리부(112)는 분석 결과의 Result 필드를 확인하여 결과에 따라 후처리를 수행한다. 구체적으로, 분석 결과 처리부(112)는 악성 판단 웹 페이지에 대해 Source 필드를 확인하여 안전한 웹 페이지로 Redirection 처리를 수행하거나, 안전 판단 웹 페이지에 대해 별도의 다른 처리 없이 브라우저 로딩을 재개한다.
도 3을 참조하면, 분석 대상 수집/처리 모듈(110)은 웹 페이지 요청 이벤트 및 웹 페이지 수신 이벤트 발생 시에, 웹 브라우저의 로딩을 중지시킨다. 이어서, 해당 웹 페이지의 접속 URL 및 DOM 정보를 추출하고, 추출한 정보를 분석 에이전트 모듈(130)로 분석 요청을 한다. 분석 대상 URL 및 스크립트에 대해 분석 종료 후, 분석 결과를 수신하고, 분석 결과에서 Result 필드 값이 정상이면 별도 처리 없이 브라우저 로딩을 재개하고, Result 필드 값이 악성이면 웹 페이지의 Source 필드에서 Redirection URL을 확인하여 안전한 웹 페이지로 Redirection 처리를 수행한다.
구체적으로, 도 4를 참조하면, 분석 결과 처리부(112)는 분석 결과를 제공받아 분석 결과에서 Result 필드 값이 정상이면 별도 처리 없이 브라우저 로딩을 재개하고, Result 필드 값이 악성이면 웹 페이지의 Source 필드에서 URL을 확인하여 안전한 웹 페이지로 Redirection 처리를 수행한다.
분석 에이전트 모듈(130)은 악성 URL 검사부(131), 스크립트 수집부(132), 정적 분석부(133), 동적 분석부(134), 메모리 검사부(135)를 포함하며, 인터페이스부(122)에 의해 정보를 송수신 할 수 있다.
인터페이스부(122)는 분석 대상 수집/처리 모듈(110)로부터 제공받은 분석 요청으로부터 분석 대상 URL, 분석 대상 스크립트, 프로세스 정보를 추출한다. 인터페이스부(122)는 분석 대상 URL, 분석 대상 스크립트, 프로세스 정보를 각각 악성 URL 검사부(131), 스크립트 수집부(132), 메모리 검사부(135)로 전송할 수 있다.
구체적으로, 인터페이스부(122)는 분석 요청된 접속 URL 및 DOM 정보를 수신하고, DOM 정보로부터 파라미터로 사용되는 분석 대상 URL을 파싱 후 악성 URL 검사부(131)로 전달할 수 있다. 또한, 인터페이스부(122)는 DOM 정보로부터 스크립트 태그를 확인하여 분석 대상 스크립트를 파싱 후 스크립트 수집부(132)로 전달할 수 있다.
각 분석 모듈로부터 분석 결과를 수신한 경우에, 인터페이스부(122)는 분석 결과가 악성인 경우 Redirection 처리할 URL 주소를 분석하여 이를 포함한 분석 결과 메시지를 인터페이스부(121)로 전달하고, 분석 결과가 정상인 경우 이를 포함한 분석 결과 메시지를 인터페이스부(121)로 전달할 수 있다. 분석 결과 메시지에는 분석 요청 시간을 포함하는 Time 필드와, 분석 형태가 스크립트인지 URL인지를 포함하는 Type 필드와, 분석 결과가 정상인지 악성인지를 포함하는 Result 필드와, 분석 결과가 악성인 경우 Redirection 처리할 URL 주소를 포함하는 Source 필드를 포함할 수 있다.
악성 URL 검사부(131)는 분석 대상 URL을 제공받아 이에 대해 악성 여부를 검사한다. 악성 URL 검사부(131)는 분석 대상 URL과 악성 스크립트 시그니처 관리 시스템(20)으로부터 수신한 블랙리스트 URL과 비교하여 악성 여부를 검사할 수 있다. 분석 대상 URL과 블랙리스트 URL이 매칭된 경우, 악성 URL 검사부(131)는 분석 대상 URL을 악성으로 판단하고 그 결과를 분석 대상 수집/처리 모듈(110)로 전달하고 해당 웹 페이지에 대한 검사를 종료한다. 만약, 분석 대상 URL과 블랙리스트 URL이 매칭이 되지 않은 경우, 다음 검사를 수행하도록 처리한다.
구체적으로, 도 5 및 도 6을 참조하면, 악성 URL 검사부(131)는 인터페이스부(122)로부터 분석 대상 URL을 제공받고, 이를 블랙리스트 URL과 매칭 검사를 수행한다. 매칭 검사 결과가 악성인 경우, 해당 URL, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 검사를 종료한다. 매칭 검사 결과가 악성이 아닌 경우, 의심으로 판단하고 스크립트 분석을 수행하도록 처리한다. 스크립트 분석 결과가 악성인 경우, 해당 URL, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 검사를 종료한다. 스크립트 분석 결과가 정상인 경우, 별도 처리 없이 검사를 종료한다.
도 7 및 도 8을 참조하면, 악성 URL 검사부(131)의 다른 동작에 대해 나타나 있다. 악성 URL 검사부(131)는 인터페이스부(122)로부터 분석 대상 URL을 제공받고, URL 분석 요청 메시지를 생성하여 이를 블랙리스트 URL을 저장한 외부 DB로 전송한다. 외부 DB로부터 분석 결과 메시지를 XML 포맷으로 수신하고, 분석 결과가 악성인 경우, 해당 URL, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 검사를 종료한다. 분석 결과가 악성이 아닌 경우, 의심으로 판단하고 스크립트 분석을 수행하도록 처리한다. 스크립트 분석 결과가 악성인 경우, 해당 URL, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 검사를 종료한다. 스크립트 분석 결과가 정상인 경우, 별도 처리 없이 검사를 종료한다.
도 9를 참조하면, 스크립트 수집부(132)는 인터페이스부(122)로부터 분석 대상 스크립트를 제공받고, 분석 대상 스크립트가 src 속성을 갖는 외부 스크립트를 포함하는 경우, src 경로에 포함된 외부 스크립트 리소스를 수집한다. 외부 스크립트가 상대 주소를 사용하는 경우, 이를 절대 주소로 변경하여 외부 스크립트 리소스를 수집한다. 수집된 외부 스크립트 리소스는 정적 분석부(133)로 제공된다.
정적 분석부(133)는 분석 대상 스크립트와 외부 스크립트 리소스에 대해, 악성 스크립트의 코드 패턴 정보를 포함하는 제1 시그니처를 이용하여 분석을 수행한다.
도 10 및 도 11을 참조하면, 정적 분석부(133)는 인터페이스부(122)로부터 분석 대상 스크립트를 수신하고, 스크립트 수집부(132)로부터 외부 스크립트 리소스를 수신한다. 이에 대해, 악성 스크립트에 사용되는 핵심 토큰의 사용 여부를 확인한다. 핵심 토큰이 사용된 경우, 안전한 자바 스크립트와의 Hash 비교를 통해 위/변조 여부를 확인한다. 위/변조 되었거나, 검사 대상이 아니었던 스크립트를 대상으로 시그니처 패턴 매칭을 수행한다. 패턴 매칭이 되지않은 스크립트를 대상으로 난독화 여부를 확인한다. 난독화 된 경우, 동적 분석부(134)로 해당 스크립트를 전달한다. 동적 분석 결과를 확인한 후, 악성 판단 시 해당 스크립트, 시그니처 ID, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 분석을 종료한다. 정상 판단 시, 별도의 다른 처리 없이 분석을 종료한다.
동적 분석부(134)는 분석 대상 스크립트와 외부 스크립트 리소스에 대해, 정적 분석 결과 난독화된 스크립트를 전달받고, 이에 대해 동적 분석을 수행한다. 구체적으로, API 흐름 정보를 포함하는 제1 콜 트래이스를 생성하고, 악성 스크립트에 관한 제2 콜 트래이스를 포함하는 제2 시그니처를 이용하여 제1 콜 트래이스에 대한 동적 분석을 수행한다.
도 12 및 도 13을 참조하면, 동적 분석부(134)는 분석 요청된 스크립트에 대해 자바 스크립트 엔진을 실행하여 API 트래이스 변환을 수행하고, 변환된 결과를 XML 변환하여 제2 시그니처와 유사도 분석을 수행한다. 동적 분석 결과, 악성 판단 시, Redirection 처리를 수행하고, 해당 스크립트, 시그니처 ID, 탐지 시간 정보 등을 탐지 로그 DB에 저장 후 분석을 종료한다. 정상 판단 시, 별도의 다른 처리 없이 분석을 종료한다.
메모리 분석부(135)는 인터페이스부(122)로부터 프로세스 정보를 제공받고, 이에 대응하는 프로세스의 동작을 중지시키고, 프로세스 메모리 덤프 동작을 수행하고, 메모리 스크립트를 추출하여 메모리 스크립트의 악성 여부를 판단한다.
도 14 및 도 15를 참조하면, 메모리 분석부(135)는 메모리 분석 요청으로부터 분석 대상 프로세스 ID 정보를 수신하고, 분석 대상 프로세스 ID에 대응하는 프로세스의 실행을 중지시킨다. 이어서, 프로세스 메모리를 덤프하고, 이로부터 메모리 스크립트를 추출한다. 추출된 메모리 스크립트에 대해서는, 제1 시그니처를 이용하여 분석을 수행한다. 즉, 정적 분석에서 사용된 시그니처를 이용하여 메모리 스크립트에 대한 분석을 수행한다. 메모리 스크립트 분석 결과, 악성 판단 시, 해당 프로세스를 종료시키고, 정상 판단 시, 별도의 다른 처리 없이 분석을 종료한다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 악성 스크립트 탐지 및 실행 방지 장치
110: 분석 대상 수집/처리 모듈
111: 분석 대상 추출부
112: 분석 결과 처리부
121, 122: 인터페이스부
130: 분석 에이전트 모듈
131: 악성 URL 검사부
132: 스크립트 수집부
133: 정적 분석부
134: 동적 분석부
135: 메모리 검사부

Claims (29)

  1. 웹 페이지 요청 메시지를 수신하여 접속 URL을 추출하고, 웹 페이지 수신 메시지를 수신하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출하는 분석 대상 추출부;
    상기 분석 대상 추출부로부터 상기 DOM 정보를 제공받고, 상기 DOM 정보로부터 분석 대상 URL 및 분석 대상 스크립트를 추출하고, 사용자 브라우저의 프로세스 ID가 포함된 프로세스 정보를 추출하는 인터페이스부;
    상기 인터페이스부로부터 상기 분석 대상 URL과 상기 분석 대상 스크립트를 제공받아 악성 URL 검사 및 악성 스크립트 검사를 수행하는 분석부; 및
    상기 인터페이스부로부터 상기 프로세스 ID가 포함된 프로세스 정보를 제공받아 상기 프로세스 ID에 대응되는 프로세스의 동작을 중지시키고, 상기 프로세스의 메모리를 덤프하며, 악성 스크립트의 코드 패턴 정보를 포함하는 제1 시그니처를 이용하여 상기 덤프된 메모리에서 추출된 메모리 스크립트의 악성 여부 판단을 수행하는 메모리 분석부를 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  2. 제 1항에 있어서,
    상기 분석 대상 추출부는 이벤트 리스너부와 DOM 정보 추출부를 포함하고,
    상기 이벤트 리스너부는 상기 웹 페이지 요청 메시지로부터 상기 접속 URL을 추출하고,
    상기 DOM 정보 추출부는 상기 수신한 웹 페이지로부터 상기 DOM 정보를 추출하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  3. 제 2항에 있어서,
    상기 이벤트 리스너부는 상기 웹 페이지 요청 메시지의 수신 시점에 발생하는 이벤트를 확인하여 상기 접속 URL을 추출하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  4. 제 2항에 있어서,
    상기 DOM 정보 추출부는 상기 웹 페이지의 수신 시점에 발생하는 이벤트를 확인하여 상기 DOM 정보를 추출하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  5. 제 1항에 있어서,
    상기 분석부는 악성 URL 검사부, 스크립트 수집부, 정적 분석부, 및 동적 분석부를 포함하고,
    상기 악성 URL 검사부는 상기 분석 대상 URL과 블랙리스트 URL을 비교하여 검사를 수행하고,
    상기 스크립트 수집부는 상기 분석 대상 스크립트가 src 속성을 갖는 외부 스크립트를 포함하는 경우에 src 경로에 포함된 외부 스크립트 리소스를 수집하고,
    상기 정적 분석부는 상기 제1 시그니처를 이용하여 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스를 분석하고,
    상기 동적 분석부는 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스에 대해 API(Application Programming Interface) 흐름 정보를 포함하는 제1 콜 트래이스(call trace)를 생성하고, 악성 스크립트에 관한 제2 콜 트래이스를 포함하는 제2 시그니처를 이용하여 상기 제1 콜 트래이스를 분석하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  6. 제 5항에 있어서,
    상기 블랙리스트 URL, 상기 제1 시그니처, 및 상기 제2 시그니처를 저장하는 제1 데이터베이스부를 더 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  7. 제 5항에 있어서,
    상기 동적 분석부는 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스에 대해 API 트래이스를 생성하고, 상기 API 트래이스를 XML 변환하여 상기 제1 콜 트래이스를 생성하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  8. 제 5항에 있어서,
    상기 동적 분석부는 상기 정적 분석부의 분석 결과가 악성 스크립트가 아닌 경우에 분석 동작을 수행하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  9. 삭제
  10. 삭제
  11. 제 1항에 있어서,
    상기 분석부와 상기 메모리 분석부의 탐지 로그를 저장하는 제2 데이터베이스부를 더 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  12. 제 1항에 있어서,
    상기 분석부와 상기 메모리 분석부로부터 분석 결과를 제공받아, 상기 분석 결과에 따라 리다이렉트(redirect) 처리 또는 브라우저 로딩 처리 동작을 수행하는 분석 결과 처리부를 더 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  13. 분석 요청 메시지에 포함된 DOM(Document Object Model) 정보를 수신하여 상기 DOM 정보로부터 분석 대상 URL 및 분석 대상 스크립트를 추출하고, 사용자 브라우저의 프로세스 ID가 포함된 프로세스 정보를 추출하는 인터페이스부;
    상기 인터페이스부로부터 상기 분석 대상 URL을 제공받아 악성 URL 검사를 수행하는 URL 검사부;
    상기 인터페이스부로부터 상기 분석 대상 스크립트를 제공받아 악성 스크립트 검사를 수행하는 스크립트 분석부;
    상기 인터페이스부로부터 상기 프로세스 ID가 포함된 프로세스 정보를 제공받아 상기 프로세스 ID에 대응되는 프로세스의 동작을 중지시키고, 상기 프로세스의 메모리를 덤프하며, 악성 스크립트 코드 패턴 정보를 포함하는 제1 시그니처를 이용하여 상기 덤프된 메모리에서 추출된 메모리 스크립트의 악성 여부 판단을 수행하는 메모리 분석부; 및
    상기 URL 검사부, 상기 스크립트 분석부, 및 상기 메모리 분석부로부터 분석 결과를 제공받아, 상기 분석 결과에 따라 리다이렉트(redirect) 처리 또는 브라우저 로딩 처리를 수행하는 분석 결과 처리부를 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  14. 제 13항에 있어서,
    상기 URL 검사부는 상기 분석 대상 URL과 블랙리스트 URL을 비교하여 검사를 수행하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  15. 제 14항에 있어서,
    상기 스크립트 분석부는 스크립트 수집부, 정적 분석부, 및 동적 분석부를 포함하고,
    상기 스크립트 수집부는 상기 분석 대상 스크립트가 src 속성을 갖는 외부 스크립트를 포함하는 경우에 src 경로에 포함된 외부 스크립트 리소스를 수집하고,
    상기 정적 분석부는 상기 제1 시그니처를 이용하여 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스를 분석하고,
    상기 동적 분석부는 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스에 대해 API(Application Programming Interface) 흐름 정보를 포함하는 제1 콜 트래이스(call trace)를 생성하고, 악성 스크립트에 관한 제2 콜 트래이스를 포함하는 제2 시그니처를 이용하여 상기 제1 콜 트래이스를 분석하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  16. 제 15항에 있어서,
    상기 블랙리스트 URL, 상기 제1 시그니처, 및 상기 제2 시그니처를 저장하는 제1 데이터베이스부를 더 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  17. 제 15항에 있어서,
    상기 동적 분석부는 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스에 대해 API 트래이스를 생성하고, 상기 API 트래이스를 XML 변환하여 상기 제1 콜 트래이스를 생성하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  18. 제 15항에 있어서,
    상기 동적 분석부는 상기 정적 분석부의 분석 결과가 악성 스크립트가 아닌 경우에 분석 동작을 수행하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  19. 삭제
  20. 삭제
  21. 제 13항에 있어서,
    상기 URL 검사부, 상기 스크립트 분석부, 및 상기 메모리 분석부의 탐지 로그를 저장하는 제2 데이터베이스부를 더 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치.
  22. 웹 페이지 요청 이벤트를 확인하여 접속 URL을 추출하는 단계;
    웹 페이지 수신 이벤트를 확인하여 수신한 웹 페이지의 DOM(Document Object Model) 정보를 추출하는 단계;
    상기 DOM 정보로부터 분석 대상 URL 및 분석 대상 스크립트를 추출하고, 사용자 브라우저의 프로세스 ID가 포함된 프로세스 정보를 추출하는 단계;
    상기 분석 대상 URL과 블랙리스트 URL을 비교하여 악성 URL을 검사하는 단계;
    상기 분석 대상 스크립트에 대해 정적 분석 및 동적 분석을 수행하는 단계;
    상기 프로세스 ID에 대응되는 프로세스의 동작을 중지시키고, 상기 프로세스의 메모리를 덤프하며, 악성 스크립트의 코드 패턴 정보를 포함하는 제1 시그니처를 이용하여 상기 덤프된 메모리에서 추출된 메모리 스크립트의 악성 여부를 판단하는 단계; 및
    분석 결과에 따라 리다이렉트(redirect) 처리 또는 브라우저 로딩 처리를 수행하는 단계를 포함하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  23. 제 22항에 있어서,
    상기 접속 URL 및 상기 DOM 정보를 추출하는 단계는, 웹 브라우저의 로딩을 중지시킨 후 수행되는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  24. 제 22항에 있어서,
    상기 정적 분석 및 동적 분석을 수행하는 단계는, 상기 분석 대상 스크립트가 src 속성을 갖는 외부 스크립트를 포함하는 경우에 src 경로에 포함된 외부 스크립트 리소스를 수집한 후 수행되는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  25. 제 24항에 있어서,
    상기 정적 분석을 수행하는 단계는, 상기 제1 시그니처를 이용하여 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스를 분석하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  26. 제 25항에 있어서,
    상기 동적 분석을 수행하는 단계는, 상기 분석 대상 스크립트와 상기 외부 스크립트 리소스에 대해 API(Application Programming Interface) 흐름 정보를 포함하는 제1 콜 트래이스(call trace)를 생성하고, 악성 스크립트에 관한 제2 콜 트래이스를 포함하는 제2 시그니처를 이용하여 상기 제1 콜 트래이스를 분석하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  27. 제 26항에 있어서,
    상기 정적 분석 및 동적 분석을 수행하는 단계는, 상기 정적 분석에 대한 분석 결과가 악성 스크립트가 아닌 경우에 상기 동적 분석을 수행하는 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 방법.
  28. 삭제
  29. 삭제
KR1020150155835A 2015-11-06 2015-11-06 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법 KR101725399B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150155835A KR101725399B1 (ko) 2015-11-06 2015-11-06 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150155835A KR101725399B1 (ko) 2015-11-06 2015-11-06 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법

Publications (1)

Publication Number Publication Date
KR101725399B1 true KR101725399B1 (ko) 2017-04-11

Family

ID=58580743

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150155835A KR101725399B1 (ko) 2015-11-06 2015-11-06 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법

Country Status (1)

Country Link
KR (1) KR101725399B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
WO2019147101A1 (ko) * 2018-01-29 2019-08-01 삼성전자 주식회사 악성 코드를 분류하는 전자 장치 및 그 동작 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090114012A (ko) * 2008-04-29 2009-11-03 주식회사 안철수연구소 메모리 조작 방지 시스템
US8943588B1 (en) * 2012-09-20 2015-01-27 Amazon Technologies, Inc. Detecting unauthorized websites
KR101543237B1 (ko) * 2014-12-03 2015-08-11 한국인터넷진흥원 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090114012A (ko) * 2008-04-29 2009-11-03 주식회사 안철수연구소 메모리 조작 방지 시스템
US8943588B1 (en) * 2012-09-20 2015-01-27 Amazon Technologies, Inc. Detecting unauthorized websites
KR101543237B1 (ko) * 2014-12-03 2015-08-11 한국인터넷진흥원 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019147101A1 (ko) * 2018-01-29 2019-08-01 삼성전자 주식회사 악성 코드를 분류하는 전자 장치 및 그 동작 방법
US11645387B2 (en) 2018-01-29 2023-05-09 Samsung Electronics Co., Ltd. Electronic device for classifying malicious code and operation method thereof
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
WO2019245107A1 (ko) * 2018-06-22 2019-12-26 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
CN110324311B (zh) 漏洞检测的方法、装置、计算机设备和存储介质
US9032516B2 (en) System and method for detecting malicious script
CN109922052B (zh) 一种结合多重特征的恶意url检测方法
CN107659583B (zh) 一种检测事中攻击的方法及系统
KR101543237B1 (ko) 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
US9223973B2 (en) System and method for attack and malware prevention
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US8424090B2 (en) Apparatus and method for detecting obfuscated malicious web page
US20110030060A1 (en) Method for detecting malicious javascript
EP1560112B1 (en) Detection of files that do not contain executable code
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN105320883A (zh) 文件安全加载实现方法及装置
KR101902747B1 (ko) 클라이언트 측 웹 취약점 분석 방법 및 장치
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN105791250B (zh) 应用程序检测方法及装置
KR101725399B1 (ko) 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법
KR101572239B1 (ko) 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템
KR101880689B1 (ko) 악성코드 진단장치 및 방법
CN112583828B (zh) 一种企业服务门户的安全防护方法
CN112528286A (zh) 终端设备安全检测方法、关联设备以及计算机程序产品
KR101983997B1 (ko) 악성코드 검출시스템 및 검출방법
KR101752386B1 (ko) 콘텐츠 프로그램 자동인식을 이용한 악성프로그램 차단 장치 및 차단 방법
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 4