KR101725670B1 - System and method for malware detection and prevention by checking a web server - Google Patents

System and method for malware detection and prevention by checking a web server Download PDF

Info

Publication number
KR101725670B1
KR101725670B1 KR20150149004A KR20150149004A KR101725670B1 KR 101725670 B1 KR101725670 B1 KR 101725670B1 KR 20150149004 A KR20150149004 A KR 20150149004A KR 20150149004 A KR20150149004 A KR 20150149004A KR 101725670 B1 KR101725670 B1 KR 101725670B1
Authority
KR
Grant status
Grant
Patent type
Prior art keywords
system
method
malware
detection
prevention
Prior art date
Application number
KR20150149004A
Other languages
Korean (ko)
Inventor
황성운
한경현
Original Assignee
홍익대학교세종캠퍼스산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

본 발명은 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법에 관한 것으로, 본 발명은 웹 페이지의 파일이 변경되면 변경된 파일의 전자서명을 이용하여 위변조를 탐지하고, 기 설정된 의심코드를 이용하여 게시판의 게시물 중에서 악성 게시물을 탐지하고, 탐지된 악성 코드를 활용하여 악성 코드를 차단하기 위한 시그너쳐를 추출하고, 시그너쳐를 이용해서 악성 코드를 차단할 수 있다. The present invention relates to systems and methods for detecting and blocking malicious code using a web server maintenance, the present invention when changing the file of the Web page, using the electronic signature of the changed file detection of forgery, predetermined suspicious code using a detection for malicious posts in a post on the bulletin board, and utilizing the detected malicious code to extract a signature to block malicious code, and can block malicious code using signatures.

Description

웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법{System and method for malware detection and prevention by checking a web server} The systems and methods to detect and block malware inspection using the Web server {System and method for malware detection and prevention by checking a web server}

이하의 일 실시 예들은 웹 서버 점검을 이용해서 악성 코드를 처리하는 시스템 및 방법에 관한 것으로, 특히, 웹 서버를 점검하여 웹 페이지 또는 게시판의 게시물에 삽입된 악성 코드를 탐지한 후 악성 코드를 제거하고 악성 URL 주소로의 접근을 차단하는 기술에 관한 것이다. One the following examples will remove the malware after detecting a malicious code into the post on a Web page or message boards, and more particularly, by checking the Web server to a system and method for processing a malicious code using the Web server maintenance and it relates to technology that blocks access to malicious URL address.

최근 웹 사이트를 통해 악성코드를 유포하는 공격이 발생하고 있는데, 이러한 악성코드들은 사용자가 인식 할 수 없는 상태에서 다운로드 되고 실행되어 큰 위협이 되고 있다. There are two attacks that occurred recently distributing malware via websites, such malware can be downloaded and run on the state of the user can not recognize it is a big threat. 이렇게 감염된 사용자의 PC(personal computer)는 공인 인증서나 개인정보와 같은 중요 정보를 유출하거나 봇(Bot)이 되어 공격자의 명령에 따라 공격을 대신 수행함으로써 2차 피해를 발생시키게 된다. This infected the user's PC (personal computer) is leaking or Bot (Bot) important information, such as a certificate or personal information, thereby generating the secondary damage done by the attack instead of depending on the attacker's command.

따라서 이러한 위협으로부터 사용자의 PC를 보호하기 위하여 악성코드가 어디서 유포되는지를 규명하는 연구가 활발히 이루어지고 있다. Therefore, there is research to identify where spreading the malicious code that is actively done in order to protect your PC from these threats. 연구의 핵심은 사용자가 접속하는 사이트 중에서 위협이 되는 사이트를 탐지하고 차단할 수 있는가 하는 것이다. The core of the study is that there can detect sites where the threat from sites that users can access and block. 지금까지 주로 웹 페이지의 변조를 탐지하는 방법과 웹 사이트의 링크 구조와 연결되는 파일을 분석해서 이를 기준으로 정상 또는 비정상 사이트(이하 유포지)로 분류하는 기법들이 연구되어 왔다. So far, mainly analyzes the files associated with the link structure of the web site and how to detect the modulation scheme of the webpage to have been classified as normal or abnormal site (yupoji) on this basis have been studied.

종래의 기법들은 크게 웹 서버에서 탐지하는 방법과 사용자 환경에서 탐지하는 방법으로 나뉜다. Conventional techniques are divided into a method of detecting in a method for increasing detection on the Web server and the user experience. 웹 서버에서 탐지하는 방법에서는 웹 서버 운영체제의 콜백(callback) 기능을 이용하여 파일 생성 또는 변경 등의 특정 이벤트를 감지하는 즉시 해당 파일과 원본 파일(원본 데이터베이스에 저장된 파일)을 비교함으로써 위변조를 탐지하고, 원본으로 복구하는 방법을 사용하고 있다. How to detect on the Web server detects a forgery by immediately comparing the files as source files (files stored in the original database) for detecting a specific event, such as files created or changed by using a callback (callback) function of the Web server operating system, and it is used as a way to recover the original. 하지만 이 방법은 게시판과 같이 일반 사용자에 의해 자주 바뀌는 경우 사용할 수 없고(사용자가 작성하는 모든 게시판 파일을 원본 데이터베이스에 저장하고 관리하는 것은 현실적으로 어려움), 관리자가 웹 페이지를 업데이트 할 경우 추가로 직접 원본 데이터베이스도 수정해야 하는 불편함이 생긴다. However, this method is directly added to the general can not be used if the user often changes by when (save all the board file that you created in the original database is practical difficulties and management), update the administrator Web pages, such as bulletin Source this caused inconvenience to the database must also be modified.

사용자 환경에서 탐지하는 방법에서는, 클라이언트에 설치된 별도의 모듈에서 웹 서버로부터 받은 웹 페이지를 체크하기 때문에 중간 경로에서의 위변조를 막을 수 있지만, 웹 서버가 위변조 당할 경우 효과가 없다. How to detect in your environment, but because a separate module that is installed on the client to check the web page received from the web server to prevent the forgery of the middle path, there is no effect if the Web server get forgery.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 웹 서버의 변경을 탐지하면서 점검 대상에 게시판을 포함하고, 관리자의 정상적인 웹 페이지 업데이트는 자동으로 업데이트하고, 공격자의 코드를 활용하여 차단 시그너쳐(악성코드가 보유하는 코드 조각, 패턴 등을 말함)를 생성하여 공격자의 악성코드 유포를 차단하기 위한 기술을 제공하는 것을 목적으로 한다. The present invention and as derived in order to solve the problems of the prior art, and while detecting a change in the web server includes a bulletin board in the inspection target, a normal update the web page of the administrator as described above is updated automatically, by utilizing the attacker's code create a signature block (referring to a piece of code, such as a pattern of malicious code have) and aims to provide a technique to block the attackers distribute malware.

그러나 본 발명의 목적은 상기에 언급된 사항으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다. However, an object of the present invention is not limited to the details mentioned above, that is not referred to is yet another object will be able to be clearly understood to those skilled in the art from the following description.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 악성 코드 처리 시스템은, 웹 페이지와 게시판을 제공하는 웹 서버; In order to achieve the above object, the infection processing system according to an embodiment of the present invention, the web server that provides web pages and bulletin board; 및 상기 게시판의 게시물에 기 설정된 의심코드가 포함되어 있는지 검사하여 상기 의심코드를 포함하는 악성 게시물이 존재하는지 검사하는 검사 서버를 포함한다. And a test server to check whether to check that it contains the code set up in the post suspicion of the malicious post bulletin board exists that includes the suspicious code.

이때, 상기 악성 코드는, 상기 의심 코드와 관련되어 수신되는 파일, 상기 의심 코드와 관련되어 연결되는 URL 주소 및 상기 악성 게시물 중 적어도 하나일 수 있다. In this case, the malicious code is associated with the file, the suspect code received in connection with the suspect code may be at least one malicious URL address and the post to which it is connected.

이때, 상기 검사 서버는, 검사결과 상기 악성 게시물이 존재하면, 상기 게시판에서 상기 악성 코드를 제거할 때, 상기 게시판에서 상기 악성 게시물을 삭제하거나 또는 상기 악성 게시물에 포함된 상기 악성 코드를 삭제하여 수정할 수 있다. In this case, the test server, the test results when the malicious post, if any, when you remove the malicious code from the board, modify and delete the said malicious code, including the deletion or the malicious post the malicious posts in the Forum can.

이때, 상기 악성 코드 처리 시스템은, 상기 웹 서버에 포함된 웹 페이지의 파일을 백업 파일로 저장하는 백업 파일 데이터베이스를 더 포함하고, 상기 검사 서버는, 상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하고, 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하고, 상기 백업 파일을 이용해서 상기 변경된 파일을 복원할 수 있다. In this case, the malware processing systems, when further includes a backup file database to store the file on a Web page that contains the Web server to the backup file, and the test server, the changed files to the web server is present, the modified checking the digital signature of the file, and the test results or the changes made by the authorized user of the changed files, extract the modified code by comparing the changed file with the backup files stored in the backup file, database, and malicious the modified code transmission is determined as a code signature to a central management server, and can restore the changed file by using the backup file.

이때, 상기 검사 서버는, 상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 할 수 있다. In this case, the test server, if changed by the user tests of the electronic signature has the changed file the approval, it can update the changed files to the database backup file.

이때, 상기 검사 서버는 상기 악성 게시물에 포함된 악성 코드를 중앙 시그너쳐 관리 서버로 송신하는 특징을 포함하고, 상기 악성 코드 처리 시스템은, 상기 검사 서버로부터 수신하는 상기 악성 코드를 악성 코드 데이터베이스에 저장하고, 상기 악성 코드 데이터베이스에 저장된 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하여 시그너쳐 데이터베이스에 저장하는 상기 중앙 시그너쳐 관리 서버; At this time, the check server the infection process, and includes a feature for transmitting a malicious code contained in the malignant post to the central signature management server system, and storing the malicious code received from the check server to malicious code database, the central management server signature by analyzing the malicious code stored in the database to generate a malware signature (signature) for the malicious code stored in the signature database; 및 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 차단 에이전트를 더 포함할 수 있다. And may further include a blocking agent to block the attack packets are being shared by monitoring the signature, the traffic of the web server including the signature from the signature central management server.

본 발명의 다른 실시 예에 따른 악성 코드 처리 시스템은, 웹 페이지와 게시판을 제공하는 웹 서버; Infection treatment system according to another embodiment of the present invention, the web server that provides web pages and bulletin board; 상기 웹 서버에 포함된 웹 페이지의 파일을 백업 파일로 저장하는 백업 파일 데이터베이스; Database backup file to save the file on a Web page that contains the Web server to the backup file; 및 상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하고, 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 검사 서버를 포함한다. And if the changed files to the web server is present, it examines the digital signature of the changed files, and test results to change by an approved user of the changed file or, the changed file with the backup files stored in the backup file database Comparative extracts the changed code, and a check server to restore the changed file to the use of the backed up files.

이때, 상기 악성 코드는, 상기 변경된 파일과 관련되어 수신되는 파일 및 상기 변경된 파일과 관련되어 연결되는 URL 주소 중 적어도 하나일 수 있다. At this time, the infection is associated with the modified file is associated with the received file and the modified file can be at least one of the URL address being connected.

이때, 상기 검사 서버는, 상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 할 수 있다. In this case, the test server, if changed by the user tests of the electronic signature has the changed file the approval, it can update the changed files to the database backup file.

이때, 상기 검사 서버는 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 특징을 포함하고, 상기 악성 코드 처리 시스템은 상기 검사 서버로부터 수신하는 상기 악성 코드를 악성 코드 데이터베이스에 저장하고, 상기 악성 코드 데이터베이스에 저장된 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하여 시그너쳐 데이터베이스에 저장하는 상기 중앙 시그너쳐 관리 서버; At this time, the check server and storing the malicious code including the features to be transmitted to the central signature management server determines the modified code with malicious code, and the malicious code processing system is received from the check server to malicious code database, the infection by analyzing the malicious code stored in the database to generate a signature (signature) for the malicious code stored in the signature database, the central management server signature; 및 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 차단 에이전트를 더 포함할 수 있다. And may further include a blocking agent to block the attack packets are being shared by monitoring the signature, the traffic of the web server including the signature from the signature central management server.

본 발명의 일 실시 예에 따른 악성 코드 처리 방법은, 검사 서버에서 게시물에 기 설정된 의심코드가 포함되어 있는지 검사하는 단계; Checking whether the infection treatment method according to one embodiment of the present invention, includes a suspect code is set based on a post from the test server; 검사결과 상기 의심코드를 포함하는 게시물이 존재하면, 상기 검사 서버에서 상기 의심코드를 포함하는 상기 게시물을 악성 코드를 포함하는 악성 게시물로 판단하는 단계를 포함하고, 상기 게시물은 상기 검사 서버의 검사 대상인 웹 서버에 포함된 게시판에 저장된다. Test results When the post containing the suspect code is present, comprising the step of determining from the check server to malicious post comprises malware the post containing the suspect code, and the post is subject to check of the check server It is stored in the bulletin included in the web server.

이때, 상기 악성 코드는, 상기 의심 코드와 관련되어 수신되는 파일, 상기 의심 코드와 관련되어 연결되는 URL 주소 및 상기 악성 게시물 중 적어도 하나일 수 있다. In this case, the malicious code is associated with the file, the suspect code received in connection with the suspect code may be at least one malicious URL address and the post to which it is connected.

상기 악성 게시물이 존재하면, 상기 악성 코드를 제거하는 단계는, 상기 게시판에서 상기 악성 게시물을 삭제하거나 또는 상기 악성 게시물에 포함된 상기 악성 코드를 삭제하여 수정하는 단계를 더 포함할 수 있다. If the malicious posts exist, removing the malicious code may further include the step of modifying and deleting the malicious post, or deletes the malicious code contained in the above malicious posts in the Forum.

이때, 악성 코드 처리 방법은, 상기 검사 서버에서 상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하는 단계; In this case, the malicious code processing method, when the changed files to the web server exists in the test servers, checking the electronic signature of the files that have changed; 상기 전자 서명의 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 검사 서버에서 백업 파일 데이터베이스에 저장된 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 단계; Test results of the electronic signature or the changes made by the user, the changed file is approved, and extract the changed code by comparing the backed up files with the modified files stored in backup file database from the test server, the changed code with malicious code determined by sending the signature to the central management server; 및 상기 검사 서버에서 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 단계를 더 포함할 수 있다. And it may further comprise the step of restoring the changed file by using the backup file stored in the archive database in the checking server.

이때, 악성 코드 처리 방법은, 상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 검사 서버에서 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 단계를 더 포함할 수 있다. At this time, the infection treatment method, if the changes made by the user a test result the changed file in the electronic signature of the authorization, the method may further include the step of updating the changed file, the above check server to the archive database.

이때, 악성 코드 처리 방법은, 상기 검사결과 상기 의심코드를 포함하는 상기 악성 게시물이 존재하면, 상기 검사 서버에서 상기 악성 게시물에 포함된 상기 악성 코드를 중앙 시그너쳐 관리 서버로 송신하는 단계; At this time, the infection treatment method, when the malicious post presence containing the suspect code is determined that the step of transmitting the malicious code included in the malignant post in the check server to the central management server signature; 상기 중앙 시그너쳐 관리 서버에서 수신하는 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하는 단계; Generating a signature (signature) on the infection by analyzing the malicious code, comprising: receiving at the central management server signature; 및 차단 에이전트에서 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 단계를 더 포함할 수 있다. And the step of blocking the attack packets containing the signature to monitor the traffic of the web server receives the signature sharing a signature from the central management server from blocking agents may be further included.

본 발명의 다른 실시 예에 따른 악성 코드 처리 방법은, 검사 서버에서 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하는 단계; If the infection treatment method according to another embodiment of the present invention, the changed file in the web server exists in the check server, checking the electronic signature of the modified file; 상기 전자 서명의 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 검사 서버에서 백업 파일 데이터베이스에 저장된 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하는 단계; Extracting a modified code by checking the result of the digital signature, or a change by the user is changed, the file of approved, compare the backup file and the modified file saved in the backup file from the database server checks; 및 상기 검사 서버에서 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 단계를 포함한다. And a step of restoring the changed file by using the backup file stored in the archive database in the checking server.

이때, 상기 악성 코드는, 상기 변경된 파일과 관련되어 수신되는 파일 및 상기 변경된 파일과 관련되어 연결되는 URL 주소 중 적어도 하나일 수 있다. At this time, the infection is associated with the modified file is associated with the received file and the modified file can be at least one of the URL address being connected.

이때, 악성 코드 처리 방법은, 상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 검사 서버에서 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 단계를 더 포함할 수 있다. At this time, the infection treatment method, if the changes made by the user a test result the changed file in the electronic signature of the authorization, the method may further include the step of updating the changed file, the above check server to the archive database.

이때, 악성 코드 처리 방법은, 상기 검사 서버에서 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 단계; At this time, the infection treatment method, comprising the steps of determining the modified code in the checking server to malicious code transmitted to the central management server signature; 상기 중앙 시그너쳐 관리 서버에서 수신하는 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하는 단계; Generating a signature (signature) on the infection by analyzing the malicious code, comprising: receiving at the central management server signature; 및 차단 에이전트에서 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 단계를 더 포함할 수 있다. And the step of blocking the attack packets containing the signature to monitor the traffic of the web server receives the signature sharing a signature from the central management server from blocking agents may be further included.

본 발명은 기존에 점검하기 어려웠던 게시판 페이지도 점검함으로써, 기존 웹 페이지로부터 점검 범위를 넓힐 수 있고, 관리자가 웹 페이지 변경 시 백업 파일 데이터베이스도 함께 수동으로 업데이트해야 했던 불편을 자동으로 업데이트함으로써 그 불편을 해소할 수 있고, 점검 과정에서 확보된 시그너쳐 정보를 활용함으로써 악성코드 유포를 막을 수 있다. The present invention is their discomfort by automatically updates the inconvenience that by checking also difficult bulletin board pages to check existing, may extend the checks range from an existing Web page, the administrator, the backup file, the database must also be updated manually with when changing web page can be solved by utilizing the information obtained from the signature checking process can prevent spreading the infection.

도 1은 일 실시 예에 따라 웹 서버 점검을 이용해서 악성 코드 처리 시스템의 개략적인 구성을 도시한 도면이다. 1 is a view showing a schematic configuration of a malicious code processing system by using a Web server checks, in accordance with an embodiment.
도 2는 일 실시 예에 따른 시스템에서 악성 코드를 검사하고, 악성 코드를 차단하는 과정을 도시한 흐름도이다. Figure 2 is a flow diagram illustrating a process of checking for the infection and block malicious code in a system according to one embodiment.
도 3은 일 실시 예에 따른 시스템의 검사 서버에서 게시물을 검사하는 과정을 도시한 흐름도이다. Figure 3 is a flow diagram illustrating a process of checking the post from the system check server according to one embodiment.
도 4는 일 실시 예에 따른 시스템의 검사 서버에서 웹 페이지 파일을 검사하는 과정을 도시한 흐름도이다. Figure 4 is a flow chart illustrating a method for inspecting the web page file in the system check server according to one embodiment.
도 5는 일 실시 예에 따른 시스템의 검사 서버에서 게시물을 검사하여 차단하는 과정을 도시한 흐름도이다. 5 is a flow chart illustrating a process of blocking by checking the post from the system check server according to one embodiment.
도 6은 일 실시 예에 따른 시스템의 검사 서버에서 웹 페이지 파일을 검사하여 차단하는 과정을 도시한 흐름도이다. 6 is a flow chart illustrating a process to block by checking a web page file in the system check server according to one embodiment.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다. As a particular structural or functional description will be given on embodiments according to the concepts of the invention disclosed herein are illustrative for the purpose of describing the embodiment according to only the concept of the invention, embodiments in accordance with the concept of the invention It can be embodied in various forms and is not limited to the embodiments described herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. Embodiments in accordance with the concepts of the present invention may be added a variety of changes can be to illustrate in the drawings of the embodiments may have various forms, and described in detail herein. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다. This, however, is by no means to restrict the embodiment in accordance with the concept of the invention to the particular form disclosed, and includes the changes included in the spirit and scope of the present invention, equivalents or alternatives.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. While the first or can be used in describing various elements the terms of the second and so on, the above elements shall not be restricted to the above terms. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다. These terms are not departing from the scope according to one of the components to the concept of the present invention, for only, for example, to distinguish from the other component while the first component may be named as a second component, Similarly, the second component may be named as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. It understood that when one element is described as being "connected" or "coupled" to another element, but may be directly connected or coupled to the other components, may be other element in between It should be. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. In contrast, when an element is referred to there being "directly connected" to another element or "directly connected", it should be understood that other components in the middle that does not exist. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다. Configured to be construed a expression in, for example, to describe the relationship between the example and the like, like "between the right -" or "- directly adjacent to" "~ between" element.

본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. The terms used herein are merely used to describe particular embodiments, and are not intended to limit the present invention. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. Expression in the singular number include a plural forms unless the context clearly indicates otherwise. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. In this specification, the "inclusive" or "gajida" and the term is that which is a combination of a staking features, numbers, steps, operations, elements, parts or combinations thereof to configured by the presence, of one or more other features, integers, steps, operations, elements, the presence or addition of parts or combinations thereof and are not intended to preclude.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. One, including technical and scientific terms, all terms used herein that are not otherwise defined shall have the same meaning as commonly understood by one of ordinary skill in the art. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. Any term that is defined in a general used dictionary are to be interpreted as having the same meaning in the context of the relevant art, unless otherwise defined explicitly in the present specification, not be interpreted to have an idealistic or excessively formalistic meaning no.

이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. Reference to the accompanying drawings, the following Examples will be described in detail. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다. Like reference numerals in the drawings denote like elements.

이하에서는, 본 발명의 일 실시 예에 따른 웹 서버 점검을 이용해서 악성 코드처리 시스템 및 방법을 첨부된 도 1 내지 도 4를 참조하여 상세히 설명한다. Hereinafter, using the web server checks, in accordance with an embodiment of the present invention with reference to the Figures 1 to 4 accompanying the malicious code processing system and method will be described in detail.

도 1은 일 실시 예에 따라 웹 서버 점검을 이용해서 악성 코드를 처리하는 시스템의 개략적인 구성을 도시한 도면이다. 1 is a view showing a schematic configuration of a system for processing a malicious code using the web server checks, in accordance with an embodiment.

도 1을 참조하면, 웹 서버 점검을 이용한 악성 코드 처리 시스템은 웹 서버(110), 검사 서버(120), 중앙 시그너쳐 관리 서버(130) 및 차단 에이전트(140)를 포함한다. 1, the malware processing system using a web server checks includes a web server 110, check server 120, the center signature management server 130 and the blocking agent (140).

웹 서버(110)는 서명된 웹 페이지 파일과 게시판 데이터베이스가 있는 웹 서버 파일 시스템(111)을 포함하여 요청에 따라 웹 페이지를 제공하고 게시판 서비스를 제공할 수 있다. Web server 110 may provide a web page according to the request, including in the signature file, web page and bulletin board database, Web server, the file system 111 and provides a bulletin board service.

검사 서버(120)는 웹 페이지 관리부(121), 백업 파일 데이터베이스(122) 및 게시판 관리부(123)을 포함할 수 있다. Check server 120 may include a web page management unit 121, a database backup file 122 and the management board (123).

웹 페이지 관리부(121)는 기 설정된 주기마다 주기적으로 웹 서버(110)의 웹 페이지 파일을 검사하고, 웹 서버(110)에 변경된 파일이 존재하는지 확인한다. Web page management unit 121 confirms that the inspection of the web page file periodically to the web server 110 for each predetermined period, there is a changed in file, the web server 110. 이때, 웹 페이지 관리부(121)는 주기적으로 웹 서버(110)를 검사할 수도 있지만, 다른 방법으로는 웹 서버(110)에 변경이 발생할 때마다 검사할 수 도 있다. At this time, the web page manager 121, but may also periodically check a Web server 110, Alternatively it is also possible to check each time a change occurs in the web server 110.

웹 페이지 관리부(121)는 변경된 파일의 전자 서명을 검사하고, 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치하는지 확인한다. Web page management unit 121 checks to make sure that the electronic signature of changed files, and consistent with the electronic signature of the electronic signature of the changed files are authorized users.

웹 페이지 관리부(121)는 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하지 않으면(즉, 변경된 파일이 승인된 사용자에 의한 변경이 아니면), 백업 파일 데이터베이스(122)에 저장된 백업 파일과 변경된 파일을 비교하여 변경된 파일에서 변경된 코드를 추출한다. If the web page manager 121 is inconsistent with the electronic signature of the files that have changed the electronic signature authorized users (that is, if it is not changed by the user, the changed file is approved), backup files stored in backup file database 122 and by comparing the changed file to extract the changed code in the modified file. 그리고, 웹 페이지 관리부(121)는 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버(130)로 송신하고, 백업 파일을 이용해서 변경된 파일을 복원할 수 있다. In addition, the Web page management unit 121 may be determined by the modified code as malicious code signatures to be sent to the central management server (130) and restore the modified files by using the backup file.

한편, 웹 페이지 관리부(121)는 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하면(즉, 변경된 파일이 승인된 사용자에 의한 변경이면), 변경된 파일을 백업 파일 데이터베이스(122)에 업데이트 할 수 있다. On the other hand, the Web page management unit 121 matches the digital signature of the files that have changed the electronic signature authorized users update (that is, if changed by the user has changed file approval), changed files on the backup file database 122 can do.

백업 파일 데이터베이스(122)는 웹 서버에 포함된 웹 페이지의 파일을 백업 파일로 저장할 수 있다. Backup file database 122 may store the file on a Web page that contains a web server to a backup file.

게시판 관리부(123)는 기 설정된 주기로 또는 게시판에 게시물이 기재될 때마다 게시판의 게시물에 기 설정된 의심코드가 포함되어 있는지 검사한다. Bulletin board management unit 123 checks whether it contains a suspicious code whenever a post is based on a predetermined cycle or bulletin board set up in the posts of the board.

이때, 의심 코드의 예로는 width와 height 속성을 0이나 1같은 아주 작은 값으로 설정하여 웹 브라우저 상에서 사용자가 육안으로 인지할 수 없도록 하는 숨김 iframe을 사용하는 경우, 리다이렉션(redirection) 코드가 연결하는 URL의 주소가 현재 도메인의 하위 주소가 아닌 타 도메인의 주소로 설정된 경우, 파일 자동 다운로드 함수를 사용하는 경우 등이 있을 수 있다. In this case, examples of suspicious code URL that you set the width and height attributes to a very small value, such as 0 or 1, if the user uses a hidden iframe, redirection (redirection) cord is connected to so that it can not be perceived by the naked eye on a Web Browser If the address is set to the address of another domain than the sub-address of the current domain, there might be a case of using the file download function automatically.

게시판 관리부(123)는 의심코드를 포함하는 악성 게시물이 존재하면, 악성 게시물에 포함된 악성 코드를 중앙 시그너쳐 관리 서버(130)로 송신하고, 게시판에서 악성 코드를 제거한다. Bulletin board management unit 123 when the malicious post including a suspect code is present, the transmission for the infection with malicious post to the central signature management server 130, and remove the malware from the board. 게시판 관리부(123)는 게시판에서 악성 코드를 제거할 때, 게시판에서 악성 게시물을 삭제하거나 또는 악성 게시물에 포함된 악성 코드를 삭제하여 수정할 수 있다. Management board (123) to remove the malicious code from the board, can be modified by deleting the malicious post on the bulletin board, or delete the malicious code contained in malicious post.

이때, 악성 코드는 의심 코드와 관련되어 수신되는 파일, 의심 코드와 관련되어 연결되는 URL 주소 및 악성 게시물 중 적어도 하나일 수 있다. At this time, the infection may be at least one of the URL address and malicious post that is associated with the file, suspicious code that is received in connection with suspected cord.

중앙 시그너쳐 관리 서버(130)는 악성 코드 데이터베이스(131), 분석부(132) 및 시그너쳐 데이터베이스(133)를 포함할 수 있다. Central signature management server 130 may contain malicious code database 131, the analysis unit 132 and the signature database 133.

악성 코드 데이터베이스(131)는 검사 서버(120)의 웹 페이지 관리부(121)와 게시판 관리부(123)로부터 수신하는 악성 코드를 저장한다. The malicious code database 131 stores the malicious code received from the Web page management unit 121 and the bulletin board management unit 123 of the check server 120. The

분석부(132)는 악성 코드 데이터베이스(131)에 저장된 악성 코드를 분석하여 악성 코드에 대한 시그너쳐(signature)를 생성할 수 있다. Analysis unit 132 may generate a signature (signature) on the infection by analyzing the malicious code stored in the database, malware 131.

시그너쳐 데이터베이스(133)는 분석부(132)에서 생성한 악성 코드에 대한 시그너쳐를 저장하고, 차단 에이전트(140)에 공유할 수 있다. The signature database 133 may store signatures for malware generated by the analyzing unit 132, and share agent to block 140.

차단 에이전트(140)는 업데이트부(141)와 차단부(142)를 포함할 수 있다. Blocking agent 140 may include an update unit 141, and block 142.

업데이트부(141)는 중앙 시그너쳐 관리 서버(133)로부터 악성 코드에 대한 시그너쳐를 공유 받고, 공유 받은 시그너쳐를 차단부(142)에서 차단할 수 있도록 차단부(142)에 추가하여 차단하는 시그너쳐를 업데이트한다. Update unit 141 updates the signature blocks in addition to the central signature management server 133, block 142, to block in the unit 142 receives the shared a signature, blocking the received shared signature for the infection from .

차단부(142)는 트래픽 또는 파일을 감시하여 시그너쳐를 포함하는 패킷이나 파일을 악성 코드를 포함하는 공격 패킷 또는 악성 코드로 판단하고 차단할 수 있다. Block 142 may determine to block the packet and the file containing the signature to monitor traffic or file to the attack packets or infection that contain the infection.

이하, 상기와 같이 구성된 본 발명에 따른 웹 서버 점검을 이용해서 악성 코드 처리 방법을 아래에서 도면을 참조하여 설명한다. Hereinafter, using the web server checks in accordance with the present invention configured as described above will be described with reference to the drawings the infection process under way.

도 2는 일 실시 예에 따른 시스템에서 악성 코드를 검사하고, 악성 코드를 차단하는 과정을 도시한 흐름도이다. Figure 2 is a flow diagram illustrating a process of checking for the infection and block malicious code in a system according to one embodiment.

도 2를 참조하면, 검사 서버(120)의 게시판 관리부(123)는 게시판의 악성 코드 검사 이벤트가 발생하였는지 확인한다(210). 2, the bulletin board management unit 123 of the check server 120 confirms whether a malware scan events occur in board 210. The 이때, 게시판의 악성 코드 검사 이벤트는 기 설정된 주기로 발생하거나 또는 게시판에 새로운 게시물이 게시되거나 수정될 때 발생할 수 있다. In this case, the Board of malware scan events can occur when a new post published or modified in the Board occurs or predetermined intervals.

210단계의 확인결과 게시판의 악성 코드 검사 이벤트가 발생하면, 게시판 관리부(123)는 게시물에 악성 코드가 존재하는지 확인하고 이를 처리한다(212). If the check result of the infection events in the board inspection in step 210 is generated, a bulletin board management unit 123 confirms that the infection present in the post and processes them (212). 212단계의 보다 구체적인 설명은 이후 도 3을 참조하여 후술한다. A more specific description of step 212 will be described later with reference to Figure 3 below.

한편, 검사 서버(120)의 웹 페이지 관리부(121)는 웹 페이지의 악성 코드 검사 이벤트가 발생하였는지 확인한다(220). On the other hand, the Web page management unit 121 of the scan server 120 checks whether the malware scan events occur on a Web page (220). 이때, 웹 페이지의 악성 코드 검사 이벤트는 기 설정된 주기로 발생하거나 또는 웹 페이지에 새로운 웹 페이지 파일이 추가되거나 기존의 웹 페이지의 파일이 변경된 경우에 발생할 수 있다. In this case, the malware scan events of a Web page is generated a predetermined period or add a new web page or file in a web page can occur if an existing file on a Web page has changed. 이하의 설명에서 새로 추가된 웹 페이지 파일 또는 수정된 웹 페이지 파일을 변경된 파일로 기재한다. In the following description describes a new web page files or modified files to the Web page files that have changed.

220단계의 확인결과 웹 페이지의 악성 코드 검사 이벤트가 발생하면, 웹 페이지 관리부(121)는 웹 페이지 파일 중에서 변경된 파일을 확인하고, 변경된 파일에 악성 코드가 존재하는지 확인하고 이를 처리한다(222). If malicious code scan event of the web page to view the results of the 220 step, a web page management unit 121 confirms and processes them that determine the changed file from the web page file, the malware present on the modified file (222). 222단계의 보다 구체적인 설명은 이후 도 4를 참조하여 후술한다. A more specific description of step 222 will be described later with reference to Figure 4 below.

이후, 중앙 시그너쳐 관리 서버(130)는 검사 서버(120)의 웹 페이지 관리부(121)와 게시판 관리부(123)로부터 수신하는 악성 코드를 저장하는 악성 코드 데이터베이스(131)를 확인하여, 새로운 악성 코드가 존재하는지 확인한다(230). Then, the center signature management server 130 is to check for the infection database 131 for storing the infection of: receiving from a web page management unit 121 and the bulletin board management unit 123 of the check server 120, a new malware that and confirms that the 230.

230단계의 확인결과 악성 코드가 존재하면, 중앙 시그너쳐 관리 서버(130)의 분석부(132)는 악성 코드 데이터베이스(131)에 저장된 악성 코드를 분석하여 악성 코드에 대한 시그너쳐(signature)를 생성하고, 생성한 악성 코드에 대한 시그너쳐를 시그너쳐 데이터베이스(133)에 저장한다(234). Check result of step 230. If malicious code is present, the analysis unit 132 of the center signature management server 130 analyzes the malicious code stored in the infection database 131 and generates a signature (signature) for malicious code, It stores a signature of the signature database that generated the infection of 133 234.

이후, 차단 에이전트(140)의 차단부(142)는 중앙 시그너쳐 관리 서버(130)로부터 분석하여 악성 코드에 대한 시그너쳐를 공유 받고, 트래픽 또는 파일을 감시하여 시그너쳐를 포함하는 패킷이나 파일을 악성 코드를 포함하는 공격 패킷 또는 악성 코드로 판단하고 차단한다(234). Then, the cut-off section 142 analyzes from the central signature management server 130 a packet or file for receiving share a signature, to monitor traffic or file containing the signature infection for the infection of the blocking agent 140 It determines and blocks the attack packets or malicious code, including 234.

도 3은 일 실시 예에 따른 시스템의 검사 서버에서 게시물을 검사하는 과정을 도시한 흐름도이다. Figure 3 is a flow diagram illustrating a process of checking the post from the system check server according to one embodiment.

도 3을 참조하면, 검사 서버(120)의 게시판 관리부(123)는 게시물에 기 설정된 의심코드가 포함되어 있는지 검사한다(310). 3, the bulletin board management unit 123 of the check server 120 will check that it contains the suspect code set up in the post 310. The

이때, 의심 코드의 예로는 width와 height 속성을 0이나 1같은 아주 작은 값으로 설정하여 경우로, 웹 브라우저 상에서 사용자가 육안으로 인지할 수 없도록 하는 숨김 iframe을 사용하는 경우, 리다이렉션(redirection) 코드가 연결하는 URL의 주소가 현재 도메인의 하위 주소가 아닌 타 도메인의 주소로 설정된 경우, 파일 자동 다운로드 함수를 사용하는 경우 등이 있을 수 있다. In this case, examples of questionable code when using a hidden iframe to prevent the user what the naked eye as if to set the width and height attributes to a very small value, such as 0 or 1 on a Web browser, and redirection (redirection) code If the address of the URL is set to connect to the address of another domain than the sub-address of the current domain, there might be a case of using the file download function automatically.

310단계의 검사결과 의심 코드가 포함된 악성 게시물이 존재하면, 게시판 관리부(123)는 악성 게시물에 포함된 악성 코드를 추출한다(312). If the test result of malignant post containing the suspect code in step 310, if any, board management unit 123 extracts the malicious code included in malignant post (312).

이때, 악성 코드는 의심 코드와 관련되어 수신되는 파일, 의심 코드와 관련되어 연결되는 URL 주소 및 악성 게시물 중 적어도 하나일 수 있다. At this time, the infection may be at least one of the URL address and malicious post that is associated with the file, suspicious code that is received in connection with suspected cord.

그리고, 게시판 관리부(123)는 악성 게시물에 포함된 악성 코드를 중앙 시그너쳐 관리 서버(130)로 송신한다(314). Then, the board management unit 123 transmits the malicious code with malicious post to the central signature management server 130 (314).

그리고, 게시판 관리부(123)는 게시판에서 악성 코드를 제거한다(316). Then, the management board (123) to remove the malicious code from the board (316). 이때, 게시판에서 악성 코드를 제거하는 방법으로, 게시판에서 악성 게시물을 삭제하거나 또는 악성 게시물에 포함된 악성 코드를 삭제하여 수정할 수 있다. At this time, as a way to remove malware from your board, it can be modified by deleting the malicious post, or deletes the malicious code contained in malicious post on the bulletin board.

도 4는 일 실시 예에 따른 시스템의 검사 서버에서 웹 페이지 파일을 검사하는 과정을 도시한 흐름도이다. Figure 4 is a flow chart illustrating a method for inspecting the web page file in the system check server according to one embodiment.

도 4를 참조하면, 검사 서버(120)의 웹 페이지 관리부(121)는 웹 서버(110)에 변경된 파일이 존재하는지 확인한다(410). 4, a web page management unit 121 of the check server 120 confirms that the modified file to the Web server 110 (410).

410단계의 확인결과 변경된 파일이 존재하면, 웹 페이지 관리부(121)는 변경된 파일의 전자 서명을 검사하여 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하는지 확인한다(412). When the check result of step 410 the changed file exists, the Web page management unit 121 matches the digital signature of the electronic signature of the changed file by checking the electronic signature of the authorized user files that have changed (412).

이때, 관리자와 같은 승인된 사용자의 경우 비밀키를 가지고 있어, 비밀키를 이용해서 전자 서명을 생성할 수 있다. At this time, in the case of an authorized user such as an administrator it got the secret key can be generated using a secret key for electronic signature.

412단계의 확인결과 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하지 않으면(즉, 변경된 파일이 승인된 사용자에 의한 변경이 아니면), 웹 페이지 관리부(121)는 백업 파일 데이터베이스(122)에 저장된 백업 파일과 변경된 파일을 비교하여 변경된 파일에서 변경된 코드를 추출한다(414). Confirm the results changed files of the 412 steps of the electronic signature authorized user does not match the digital signature (that is, if it is not changed by the user, the changed file is approved), the Web page management unit 121 is a backup file database 122 compared to the backup file, and the changed file is stored in the altered code is extracted from the modified file (414).

그리고, 웹 페이지 관리부(121)는 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버(130)로 송신하고(416), 백업 파일을 이용해서 변경된 파일을 복원한다(418). Then, the Web page management unit 121 determines the changed code to a malware signature sent to the central management server 130, and to restore the modified file using the (416), the backup file (418).

412단계의 확인결과 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하면(즉, 변경된 파일이 승인된 사용자에 의한 변경이면), 웹 페이지 관리부(121)는 변경된 파일을 백업 파일 데이터베이스(122)에 업데이트 한다(420). When the check result in step 412 the changed file the electronic signature is consistent with the electronic signature of an authorized user (that is, if the changes made by the user is changed files approved), the Web page management unit 121 is changed files backup file database (122 ) update on the 420.

상술한 도 2와 같이 웹 페이지에서 악성 코드를 추출하는 것과 게시판의 게시물에서 악성 코드를 추출하는 것은 동시에 진행될 수도 있고, 아래의 도 5와 도 6과 같이 별개로 구분되어 진행 될 수도 있다. It also has the above-mentioned extracting malware from your post as a bulletin board for extracting a malicious code on the Web page may take place at the same time as two may be separated into separate proceeding as shown in FIG. 6 and 5 below.

도 5는 일 실시 예에 따른 시스템의 검사 서버에서 게시물을 검사하여 차단하는 과정을 도시한 흐름도이다. 5 is a flow chart illustrating a process of blocking by checking the post from the system check server according to one embodiment.

도 5를 참조하면, 검사 서버(120)의 게시판 관리부(123)는 게시판의 악성 코드 검사 이벤트가 발생하였는지 확인한다(510). 5, the bulletin board management unit 123 of the check server 120 confirms whether a malware scan events occur in board 510. 이때, 게시판의 악성 코드 검사 이벤트는 기 설정된 주기로 발생하거나 또는 게시판에 새로운 게시물이 게시되거나 수정될 때 발생할 수 있다. In this case, the Board of malware scan events can occur when a new post published or modified in the Board occurs or predetermined intervals.

510단계의 확인결과 게시판의 악성 코드 검사 이벤트가 발생하면, 검사 서버(120)의 게시판 관리부(123)는 게시물에 기 설정된 의심코드가 포함되어 있는지 검사한다(512). Check whether you have malware scan events confirm the results of the board's 510 steps occur, management board (123) of the test server 120 contains a suspicious code set up in the post (512).

이때, 의심 코드의 예로는 width와 height 속성을 0이나 1같은 아주 작은 값으로 설정하여 경우로, 웹 브라우저 상에서 사용자가 육안으로 인지할 수 없도록 하는 숨김 iframe을 사용하는 경우, 리다이렉션(redirection) 코드가 연결하는 URL의 주소가 현재 도메인의 하위 주소가 아닌 타 도메인의 주소로 설정된 경우, 파일 자동 다운로드 함수를 사용하는 경우 등이 있을 수 있다. In this case, examples of questionable code when using a hidden iframe to prevent the user what the naked eye as if to set the width and height attributes to a very small value, such as 0 or 1 on a Web browser, and redirection (redirection) code If the address of the URL is set to connect to the address of another domain than the sub-address of the current domain, there might be a case of using the file download function automatically.

512단계의 검사결과 의심 코드가 포함된 악성 게시물이 존재하면, 게시판 관리부(123)는 악성 게시물에 포함된 악성 코드를 추출한다(514). If the test result of malignant post containing the suspected code of step 512 exists, the bulletin board management unit 123 extracts the malicious code included in malignant post 514.

이때, 악성 코드는 의심 코드와 관련되어 수신되는 파일, 의심 코드와 관련되어 연결되는 URL 주소 및 악성 게시물 중 적어도 하나일 수 있다. At this time, the infection may be at least one of the URL address and malicious post that is associated with the file, suspicious code that is received in connection with suspected cord.

그리고, 게시판 관리부(123)는 악성 게시물에 포함된 악성 코드를 중앙 시그너쳐 관리 서버(130)로 송신한다(516). Then, the board management unit 123 transmits the malicious code with malicious post to the central signature management server 130 (516).

그리고, 게시판 관리부(123)는 게시판에서 악성 코드를 제거한다(518). Then, the management board (123) to remove the malicious code from the board (518). 이때, 게시판에서 악성 코드를 제거하는 방법으로, 게시판에서 악성 게시물을 삭제하거나 또는 악성 게시물에 포함된 악성 코드를 삭제하여 수정할 수 있다. At this time, as a way to remove malware from your board, it can be modified by deleting the malicious post, or deletes the malicious code contained in malicious post on the bulletin board.

중앙 시그너쳐 관리 서버(130)의 분석부(132)는 악성 코드 데이터베이스(131)에 저장된 악성 코드를 분석하여 악성 코드에 대한 시그너쳐(signature)를 생성하고, 생성한 악성 코드에 대한 시그너쳐를 시그너쳐 데이터베이스(133)에 저장한다(520). Central signature management server 130 of the analysis unit 132 to analyze the malicious code stored in the infection database 131 generates a signature (signature) of the malicious code, a signature on the generated malware signature database ( and stored in 133) 520.

이후, 차단 에이전트(140)의 차단부(142)는 중앙 시그너쳐 관리 서버(130)로부터 분석하여 악성 코드에 대한 시그너쳐를 공유 받고, 트래픽 또는 파일을 감시하여 시그너쳐를 포함하는 패킷이나 파일을 악성 코드를 포함하는 공격 패킷 또는 악성 코드로 판단하고 차단한다(522). Then, the cut-off section 142 analyzes from the central signature management server 130 a packet or file for receiving share a signature, to monitor traffic or file containing the signature infection for the infection of the blocking agent 140 It determines and blocks the attack packets or malicious code, including 522.

도 6은 일 실시 예에 따른 시스템의 검사 서버에서 웹 페이지 파일을 검사하여 차단하는 과정을 도시한 흐름도이다. 6 is a flow chart illustrating a process to block by checking a web page file in the system check server according to one embodiment.

도 6을 참조하면, 검사 서버(120)의 웹 페이지 관리부(121)는 웹 페이지의 악성 코드 검사 이벤트가 발생하였는지 확인한다(610). 6, a web page management unit 121 of the check server 120 confirms whether a malware scan event of the web page generation unit 610.

이때, 웹 페이지의 악성 코드 검사 이벤트는 기 설정된 주기로 발생하거나 또는 웹 페이지에 새로운 웹 페이지 파일이 추가되거나 기존의 웹 페이지의 파일이 변경된 경우에 발생할 수 있다. In this case, the malware scan events of a Web page is generated a predetermined period or add a new web page or file in a web page can occur if an existing file on a Web page has changed. 이하의 설명에서 새로 추가된 웹 페이지 파일 또는 수정된 웹 페이지 파일을 변경된 파일로 기재한다. In the following description describes a new web page files or modified files to the Web page files that have changed.

610단계의 확인결과 웹 페이지의 악성 코드 검사 이벤트가 발생하면, 검사 서버(120)의 웹 페이지 관리부(121)는 웹 서버(110)에 변경된 파일이 존재하는지 확인한다(612). The check result of step 610, if the malware scan event of a web page occurs, a web page management unit 121 of the check server 120 confirms that the modified file to the Web server 110 (612).

612단계의 확인결과 변경된 파일이 존재하면, 웹 페이지 관리부(121)는 변경된 파일의 전자 서명을 검사하여 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하는지 확인한다(614). When the check result of step 612 the changed file exists, the Web page management unit 121 matches the digital signature of the electronic signature of the changed file by checking the electronic signature of the authorized user files that have changed (614). 이때, 관리자와 같은 승인된 사용자의 경우 비밀키를 가지고 있어, 비밀키를 이용해서 전자 서명을 생성할 수 있다. At this time, in the case of an authorized user such as an administrator it got the secret key can be generated using a secret key for electronic signature.

614단계의 확인결과 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하지 않으면(즉, 변경된 파일이 승인된 사용자에 의한 변경이 아니면), 웹 페이지 관리부(121)는 백업 파일 데이터베이스(122)에 저장된 백업 파일과 변경된 파일을 비교하여 변경된 파일에서 변경된 코드를 추출한다(616). Confirm the results changed files of the 614 steps of the electronic signature authorized user does not match the digital signature (that is, if it is not changed by the user, the changed file is approved), the Web page management unit 121 is a backup file database 122 compared to the backup file, and the changed file is stored in the altered code is extracted from the modified file (616).

그리고, 웹 페이지 관리부(121)는 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버(130)로 송신하고(618), 백업 파일을 이용해서 변경된 파일을 복원한다(620). Then, the Web page management unit 121 determines the changed code to a malware signature sent to the central management server 130, and to restore the modified file using the (618), the backup file (620).

그리고, 중앙 시그너쳐 관리 서버(130)의 분석부(132)는 악성 코드 데이터베이스(131)에 저장된 악성 코드를 분석하여 악성 코드에 대한 시그너쳐(signature)를 생성하고, 생성한 악성 코드에 대한 시그너쳐를 시그너쳐 데이터베이스(133)에 저장한다(622). Then, the analyzing unit 132 of the center signature management server 130 analyzes the malicious code stored in the infection database 131 generates a signature (signature) of the malicious code, a signature on the generated malicious code signature and stores in database 133 (622).

이후, 차단 에이전트(140)의 차단부(142)는 중앙 시그너쳐 관리 서버(130)로부터 분석하여 악성 코드에 대한 시그너쳐를 공유 받고, 트래픽 또는 파일을 감시하여 시그너쳐를 포함하는 패킷이나 파일을 악성 코드를 포함하는 공격 패킷 또는 악성 코드로 판단하고 차단한다(624). Then, the cut-off section 142 analyzes from the central signature management server 130 a packet or file for receiving share a signature, to monitor traffic or file containing the signature infection for the infection of the blocking agent 140 determined to block the attack packets or malicious code, including 624.

한편, 614단계의 확인결과 변경된 파일의 전자 서명이 승인된 사용자의 전자 서명과 일치 하면(즉, 변경된 파일이 승인된 사용자에 의한 변경이면), 웹 페이지 관리부(121)는 변경된 파일을 백업 파일 데이터베이스(122)에 업데이트 한다(626). On the other hand, if the match of the changed file to see the results of step 614 the electronic signature authorized user electronic signature (that is, if the changes made by the user is changed files approved), the Web page management unit 121 is a backup file database files that have changed and update (122) (626).

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. The device described above may be implemented in a combination of hardware components, software components, and / or hardware components and software components. 예를 들어, 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. For example, the devices and components described in the embodiments is, for example, processors, controllers, ALU (arithmetic logic unit), a digital signal processor (digital signal processor), a microcomputer, FPGA (field programmable gate array), as with any other device capable of executing the PLU (programmable logic unit), a microprocessor, or a command (instruction) and response, it may be implemented using one or more general-purpose computer or special purpose computer. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. Processing unit may perform one or more software applications that run on an operating system (OS) and the operating system. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. The processing apparatus may be in response to the execution of the software, access, storage, handling, processing and generating data. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. For convenience of understanding, the processing device is one of ordinary skill in the Figure, but if the said to be one that uses the art, the processing apparatus to which a plurality of processing elements (processing element) and / or processing elements in the plurality of types of it can be seen that can contain. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. For example, the processing device may comprise a plurality of processors or one processor and a controller. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다. Further, it is also possible, other processing configurations (processing configuration), such as a parallel processor (parallel processor).

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. Software is a computer program (computer program), code (code), a command (instruction), or may include one or more combinations of these, or in the associative configuration or independently of the processing device to operate as desired (collectively) treatment you can command the device. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. Software and / or data, for analysis by the processing device or to provide a command or data to a processing device, any type of machine, component (component), the physical devices, the virtual device (virtual equipment), computer storage media or device permanently, or transmitted wave signal (signal wave) which is, or may be temporarily embodiment (embody). 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. Software may be executed split up on computer systems connected through a network, or stored in a distributed way. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다. Software and data may be stored in one or more computer-readable media.

실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. The process according to the embodiment is implemented in program instruction form that can be executed by various computer it means to be recorded in computer-readable media. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. The media may also include, alone or in combination with the program instructions, data files, data structures, and the like. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. The media and program instructions may be possible especially ones designed and configured, or is known to those skilled in the art using computer software to the embodiment. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of the computer readable recording medium such as an optical recording medium (optical media), flop tikeol disk (floptical disk) such as a magnetic medium (magnetic media), CD-ROM, DVD, such as hard disks, floppy disks, and magnetic tape - hardware devices that are specially configured to store the program instructions, such as an optical medium (magneto-optical media), and read-only memory (ROM), random access memory (RAM), flash memory and perform. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Examples of program instructions include both machine code, such as produced by a compiler, using an interpreter for a high-level language code that can be executed by a computer. 상기된 하드웨어 장치는 실시 예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. The described hardware devices may be configured to act as one or more software modules in order to perform the embodiment of operation, and vice versa.

이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. Although embodiments have been described and specific examples as described above, those skilled in the art can be various modifications, additions and substitutions from the description above. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. For example, the described techniques may be performed in a way different from the order described, and / or described system, architecture, device, circuit, etc. of the components described the methods and or combined or in combination with other forms, other components, or it can be the appropriate result achieved even replaced or substituted by equivalents.

그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다. Therefore, things which other implementations, the different embodiments and claims equally belongs to the scope of the following claims.

110: 웹 서버 110: Web server
111: 웹 서버의 파일 시스템 111: The Web server's file system
120: 검사 서버 120: Test Server
121: 웹 페이지 관리부 121: Web page management
122: 백업 파일 데이터베이스 122: backup database file
123: 게시판 관리부 123: Forum management
130: 중앙 시그너쳐 관리 서버 130: Signature Central Management Server
131: 악성 코드 데이터베이스 131: malware database
132: 분석부 132: analysis unit
133: 시그너쳐 데이터베이스 133: Signature Database
140: 차단 에이전트 140: blocking agent
141: 업데이트부 141: update unit
142: 차단부 142: breaking unit

Claims (21)

  1. 웹 페이지와 게시판을 제공하는 웹 서버; A web server that provides web pages and bulletin board;
    상기 게시판의 게시물에 기 설정된 의심코드가 포함되어 있는지 검사하여 상기 의심코드를 포함하는 악성 게시물이 존재하는지 검사하고, 상기 악성 게시물에 포함된 악성 코드를 중앙 시그너쳐 관리 서버로 송신하는 검사 서버; Inspection to check and send malicious code embedded in the malicious posts to a central management server that the signature by checking that it contains suspicious code set up in the posts of the board post malicious code suspicion exists that includes the server;
    상기 검사 서버로부터 수신하는 상기 악성 코드를 악성 코드 데이터베이스에 저장하고, 상기 악성 코드 데이터베이스에 저장된 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하여 시그너쳐 데이터베이스에 저장하는 상기 중앙 시그너쳐 관리 서버; Storing the malicious code received from the check server to malicious code database, and wherein the center signature management for storing a signature database to generate a signature (signature) on the infection by analyzing the malicious code stored in the malware database server; And
    상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 차단 에이전트를 포함하고, It has been sharing the signature signature from the central management server and contains a blocking agent to block the attack packets containing the signature to monitor the traffic on the web server,
    상기 검사 서버는, The test server,
    숨김 iframe을 사용하는 경우, 리다이렉션(redirection) 코드가 연결하는 URL의 주소가 현재 도메인의 하위 주소가 아닌 타 도메인의 주소로 설정된 경우 및 파일 자동 다운로드 함수를 사용하는 경우 중에서 적어도 하나의 경우를 포함하면 상기 의심코드가 포함되어 있다고 판단하고, If If you are using a hidden iframe, the address of the redirection (redirection) URL code to connect at least one of the cases from the case to use case and files automatically download function is set to the address of another domain than the sub-address of the current domain It determines that contains the suspect code,
    상기 악성 코드는, The malicious code,
    상기 의심 코드와 관련되어 수신되는 파일, 상기 의심 코드와 관련되어 연결되는 URL 주소 및 상기 악성 게시물 중 적어도 하나인 URL address file received in connection with the suspected connection code in connection with the suspected malicious code and at least one of said posts
    악성 코드 처리 시스템. Malware processing systems.
  2. 삭제 delete
  3. 제1항에 있어서, According to claim 1,
    상기 검사 서버는, The test server,
    검사결과 상기 악성 게시물이 존재하면, 상기 게시판에서 상기 악성 게시물을 삭제하거나 또는 상기 악성 게시물에 포함된 상기 악성 코드를 삭제하여 수정하는 Test results when the malicious post, if any, from the Board to modify and delete the malicious code, including the deletion or the malicious post the malicious post
    악성 코드 처리 시스템. Malware processing systems.
  4. 제1항에 있어서, According to claim 1,
    상기 웹 서버에 포함된 웹 페이지의 파일을 백업 파일로 저장하는 백업 파일 데이터베이스를 더 포함하고, Further comprising a database backup file to save the file on a Web page that contains the Web server to the backup file,
    상기 검사 서버는, The test server,
    상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하고, 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하고, 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 If the changed files to the web server is present, the check digital signatures of files that have changed, and the test results or the changes made by the authorized user of the changed files, comparing the changed file with the backup files stored in the backup file database It extracts the changed code, and determines said modified code as a malicious code signature to be transmitted to a central management server, and restores the changed file by using the backup file
    악성 코드 처리 시스템. Malware processing systems.
  5. 제4항에 있어서, 5. The method of claim 4,
    상기 검사 서버는, The test server,
    상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 If the test results of the electronic signature changes the changed files by the user approval, updating the changed files on the backup database file
    악성 코드 처리 시스템. Malware processing systems.
  6. 삭제 delete
  7. 웹 페이지와 게시판을 제공하는 웹 서버; A web server that provides web pages and bulletin board;
    상기 웹 서버에 포함된 웹 페이지의 파일을 백업 파일로 저장하는 백업 파일 데이터베이스; Database backup file to save the file on a Web page that contains the Web server to the backup file;
    상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하고, 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하고, 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 검사 서버; If the changed files to the web server is present, the check digital signatures of files that have changed, and the test results or the changes made by the authorized user of the changed files, comparing the changed file with the backup files stored in the backup file database It extracts the changed code, and restores the changed file to the use of the backup file, and tests for the determination of the changed code to a malware signature sent to the central management server, server;
    상기 검사 서버로부터 수신하는 상기 악성 코드를 악성 코드 데이터베이스에 저장하고, 상기 악성 코드 데이터베이스에 저장된 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하여 시그너쳐 데이터베이스에 저장하는 상기 중앙 시그너쳐 관리 서버; Storing the malicious code received from the check server to malicious code database, and wherein the center signature management for storing a signature database to generate a signature (signature) on the infection by analyzing the malicious code stored in the malware database server; And
    상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 차단 에이전트를 포함하고, It has been sharing the signature signature from the central management server and contains a blocking agent to block the attack packets containing the signature to monitor the traffic on the web server,
    상기 악성 코드는, The malicious code,
    상기 변경된 파일과 관련되어 수신되는 파일 및 상기 변경된 파일과 관련되어 연결되는 URL 주소 중 적어도 하나인 At least one of the URL address which is related to the file and the modified file is received in connection with the changed file,
    악성 코드 처리 시스템. Malware processing systems.
  8. 삭제 delete
  9. 제7항에 있어서, The method of claim 7,
    상기 검사 서버는, The test server,
    상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 If the test results of the electronic signature changes the changed files by the user approval, updating the changed files on the backup database file
    악성 코드 처리 시스템. Malware processing systems.
  10. 삭제 delete
  11. 검사 서버에서 게시물에 기 설정된 의심코드가 포함되어 있는지 검사하는 단계; Examining whether it contains a suspicious code in a test server set up in the post;
    검사결과 상기 의심코드를 포함하는 게시물이 존재하면, 상기 검사 서버에서 상기 의심코드를 포함하는 상기 게시물을 악성 코드를 포함하는 악성 게시물로 판단하고, 상기 악성 게시물에 포함된 상기 악성 코드를 중앙 시그너쳐 관리 서버로 송신하는 단계; Test results above you suspect this post that contains the code exists, the test server, the suspect code, the central signature management of the malicious code, including determining the post to malicious posts that contain malicious code, and in the malicious post that contains in transmitting to a server;
    상기 검사결과 상기 의심코드를 포함하는 상기 악성 게시물이 존재하면, 상기 검사 서버에서 상기 악성 게시물에 포함된 상기 악성 코드를 중앙 시그너쳐 관리 서버로 송신하는 단계; If the malignant post presence of the test results including the suspect code, the method comprising: transmitting the malicious code included in the malignant post to the central management server signature from the test server;
    상기 중앙 시그너쳐 관리 서버에서 수신하는 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하는 단계; Generating a signature (signature) on the infection by analyzing the malicious code, comprising: receiving at the central management server signature; And
    차단 에이전트에서 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 단계를 포함하고, In blocking agent comprises blocking attack packets containing the signatures received by sharing the signature signature from the central management server and monitoring the traffic from the web server,
    상기 게시물은 상기 검사 서버의 검사 대상인 웹 서버에 포함된 게시판에 저장되고, The posts are stored in a bulletin that contains the Web server subject to inspection of the test server,
    상기 검사하는 단계는, Wherein the test,
    숨김 iframe을 사용하는 경우, 리다이렉션(redirection) 코드가 연결하는 URL의 주소가 현재 도메인의 하위 주소가 아닌 타 도메인의 주소로 설정된 경우 및 파일 자동 다운로드 함수를 사용하는 경우 중에서 적어도 하나의 경우를 포함하면 상기 의심코드가 포함되어 있다고 판단하고, If If you are using a hidden iframe, the address of the redirection (redirection) URL code to connect at least one of the cases from the case to use case and files automatically download function is set to the address of another domain than the sub-address of the current domain It determines that contains the suspect code,
    상기 악성 코드는, The malicious code,
    상기 의심 코드와 관련되어 수신되는 파일, 상기 의심 코드와 관련되어 연결되는 URL 주소 및 상기 악성 게시물 중 적어도 하나인 URL address file received in connection with the suspected connection code in connection with the suspected malicious code and at least one of said posts
    악성 코드 처리 방법. Malicious code processing method.
  12. 삭제 delete
  13. 제11항에 있어서, 12. The method of claim 11,
    상기 악성 게시물이 존재하면, 상기 게시판에서 상기 악성 게시물을 삭제하거나 또는 상기 악성 게시물에 포함된 상기 악성 코드를 삭제하여 수정하는 단계를 더 포함하는 If the malicious post, if any, from the Board further comprising the step of modifying and deleting the malicious code that deletes the malicious post, or included in the malicious post
    악성 코드 처리 방법. Malicious code processing method.
  14. 제11항에 있어서, 12. The method of claim 11,
    상기 검사 서버에서 상기 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하는 단계; If the changed files to the web server exists in the test servers, checking the electronic signature of the files that have changed;
    상기 전자 서명의 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 검사 서버에서 백업 파일 데이터베이스에 저장된 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하고, 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 단계; Test results of the electronic signature or the changes made by the user, the changed file is approved, and extract the changed code by comparing the backed up files with the modified files stored in backup file database from the test server, the changed code with malicious code determined by sending the signature to the central management server; And
    상기 검사 서버에서 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 단계를 더 포함하는 In the test server, further comprising the step of restoring the changed files using the backup files stored in the database backup file
    악성 코드 처리 방법. Malicious code processing method.
  15. 제14항에 있어서, 15. The method of claim 14,
    상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 검사 서버에서 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 단계를 더 포함하는 If the test results of the electronic signature changes the changed files by the user approval, further comprising the step of updating the changed files in the test server to the database backup file
    악성 코드 처리 방법. Malicious code processing method.
  16. 삭제 delete
  17. 검사 서버에서 웹 서버에 변경된 파일이 존재하면, 상기 변경된 파일의 전자 서명을 검사하는 단계; If the changed files to your web server exists on the test servers, checking the electronic signature of the files that have changed;
    상기 전자 서명의 검사결과 상기 변경된 파일이 승인된 사용자에 의한 변경이 아니면, 상기 검사 서버에서 백업 파일 데이터베이스에 저장된 백업 파일과 상기 변경된 파일을 비교하여 변경된 코드를 추출하는 단계; Extracting a modified code by checking the result of the digital signature, or a change by the user is changed, the file of approved, compare the backup file and the modified file saved in the backup file from the database server checks;
    상기 검사 서버에서 상기 백업 파일 데이터베이스에 저장된 상기 백업 파일을 이용해서 상기 변경된 파일을 복원하는 단계; In the check server recovering the modified file using the file stored in the backup to the backup file database;
    상기 검사 서버에서 상기 변경된 코드를 악성 코드로 판단하여 중앙 시그너쳐 관리 서버로 송신하는 단계; A step of determining the modified code in the checking server to malicious code transmitted to the central management server signature;
    상기 중앙 시그너쳐 관리 서버에서 수신하는 상기 악성 코드를 분석하여 상기 악성 코드에 대한 시그너쳐(signature)를 생성하는 단계; Generating a signature (signature) on the infection by analyzing the malicious code, comprising: receiving at the central management server signature; And
    차단 에이전트에서 상기 중앙 시그너쳐 관리 서버로부터 상기 시그너쳐를 공유 받고, 상기 웹 서버의 트래픽을 감시하여 상기 시그너쳐를 포함하는 공격 패킷을 차단하는 단계를 포함하고, In blocking agent comprises blocking attack packets containing the signature to monitor the traffic of the web server receives the signature sharing a signature from the central management server,
    상기 악성 코드는, The malicious code,
    상기 변경된 파일과 관련되어 수신되는 파일 및 상기 변경된 파일과 관련되어 연결되는 URL 주소 중 적어도 하나인 At least one of the URL address which is related to the file and the modified file is received in connection with the changed file,
    악성 코드 처리 방법. Malicious code processing method.
  18. 삭제 delete
  19. 제17항에 있어서, 18. The method of claim 17,
    상기 전자 서명의 검사결과 상기 변경된 파일이 상기 승인된 사용자에 의한 변경이면, 상기 검사 서버에서 상기 변경된 파일을 상기 백업 파일 데이터베이스에 업데이트 하는 단계를 더 포함하는 If the test results of the electronic signature changes the changed files by the user approval, further comprising the step of updating the changed files in the test server to the database backup file
    악성 코드 처리 방법. Malicious code processing method.
  20. 삭제 delete
  21. 제11항, 제13항 내지 제15항, 제17항 및 제19항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체. Claim 11, claim 13 to claim 15, claim 17 and claim 19, the program is recorded for executing a method of any one of wherein the computer-readable recording medium characterized in that.
KR20150149004A 2015-10-26 2015-10-26 System and method for malware detection and prevention by checking a web server KR101725670B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20150149004A KR101725670B1 (en) 2015-10-26 2015-10-26 System and method for malware detection and prevention by checking a web server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20150149004A KR101725670B1 (en) 2015-10-26 2015-10-26 System and method for malware detection and prevention by checking a web server

Publications (1)

Publication Number Publication Date
KR101725670B1 true KR101725670B1 (en) 2017-04-26

Family

ID=58704860

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20150149004A KR101725670B1 (en) 2015-10-26 2015-10-26 System and method for malware detection and prevention by checking a web server

Country Status (1)

Country Link
KR (1) KR101725670B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070220068A1 (en) 2006-02-15 2007-09-20 Bruce Thompson Electronic document and business process control

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070220068A1 (en) 2006-02-15 2007-09-20 Bruce Thompson Electronic document and business process control

Similar Documents

Publication Publication Date Title
Tankard Advanced persistent threats and how to monitor and deter them
Kruegel et al. Automating mimicry attacks using static binary analysis
Lu et al. Blade: an attack-agnostic approach for preventing drive-by malware infections
Ludl et al. On the effectiveness of techniques to detect phishing sites
US20130117848A1 (en) Systems and Methods for Virtualization and Emulation Assisted Malware Detection
Seo et al. Detecting mobile malware threats to homeland security through static analysis
US20130117849A1 (en) Systems and Methods for Virtualized Malware Detection
US20080301051A1 (en) Internet fraud prevention
US20050188215A1 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
Patel et al. A survey of intrusion detection and prevention systems
US20100199345A1 (en) Method and System for Providing Remote Protection of Web Servers
US20120324575A1 (en) System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program
US20110214182A1 (en) Methods for proactively securing a web application and apparatuses thereof
Borders et al. Siren: Catching evasive malware
US20090271866A1 (en) System and Method for Protecting Against Malware Utilizing Key Loggers
Laureano et al. Protecting host-based intrusion detectors through virtual machines
US20100251371A1 (en) Real-time malicious code inhibitor
CN102413011A (en) Local area network (LAN) security evaluation method and system
Andronio et al. Heldroid: Dissecting and detecting mobile ransomware
Kozushko Intrusion detection: Host-based and network-based intrusion detection systems
US20140283038A1 (en) Safe Intelligent Content Modification
US20150058992A1 (en) Method and system for malicious code detection
US20130086688A1 (en) Web application exploit mitigation in an information technology environment
Anwar et al. Digital forensics for eucalyptus
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization

Legal Events

Date Code Title Description
GRNT Written decision to grant