KR101728764B1 - 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법 - Google Patents

드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법 Download PDF

Info

Publication number
KR101728764B1
KR101728764B1 KR1020150078029A KR20150078029A KR101728764B1 KR 101728764 B1 KR101728764 B1 KR 101728764B1 KR 1020150078029 A KR1020150078029 A KR 1020150078029A KR 20150078029 A KR20150078029 A KR 20150078029A KR 101728764 B1 KR101728764 B1 KR 101728764B1
Authority
KR
South Korea
Prior art keywords
packet
http request
download
request packet
response
Prior art date
Application number
KR1020150078029A
Other languages
English (en)
Other versions
KR20160142101A (ko
Inventor
이용환
박민혁
김수로
손재식
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020150078029A priority Critical patent/KR101728764B1/ko
Priority to PCT/KR2016/005677 priority patent/WO2016195344A1/ko
Publication of KR20160142101A publication Critical patent/KR20160142101A/ko
Application granted granted Critical
Publication of KR101728764B1 publication Critical patent/KR101728764B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하고, 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하고, 확인결과 미러링된 패킷이 외부 네트워크로 송신되며 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 클라이언트 단말로 송신하여 실행 파일의 다운로드를 사용자에게 경고하고 다운로드 여부를 확인할 수 있다.

Description

드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법{Network security system and method for blocking a drive by download}
아래의 설명은 드라이브 바이 다운로드(Drive-By Download)를 차단하는 기술에 관한 것으로, 네트워크 보안 방법에 관한 것이다.
최근 악성코드들은 감염 전파를 위해 네트워크를 통한 취약한 서비스를 공격하는 방식에서 벗어나 웹서핑 중 사용자가 악의적인 웹사이트에 접속하는 순간 악성코드에 감염되는 드라이브 바이 다운로드(Drive-By Download) 방식을 통해 유포되고 있다. Drive-By Download를 통한 악성코드 유포 방식은 사용자 몰래 악성코드 감염이 가능하며, 다수의 사용자가 접속하는 웹 서버를 공격 매개체로 활용함으로써, 다수의 사용자를 한 번에 감염시키는 것이 가능하다.
악성코드에 감염된 좀비 PC는 대부분 봇넷 구축, 개인정보 탈취 등과 같은 행위에 악용될 수 있으며, 설치된 안티바이러스 제품 삭제, 방화벽 해제 등을 통해 악성코드 탐지 및 치료를 어렵게 하고 있다.
Drive-By Download란 사용자가 자주 방문하는 웹페이지에 공격자가 SQL 주입공격(Injection)과 같은 웹공격 방법으로 악성 스크립트를 삽입하여 사용자가 인식하지 못 한 순간에 웹 페이지에 접속하는 것만으로도 사용자 PC를 감염시키는 방법이다.
본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.
구체적으로, 본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계; 확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계를 포함한다.
이때, 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는, 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계; 상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및 상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계 를 포함할 수 있다.
이때, 상기 허가된 주소는, 상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.
이때, 상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은, 상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공할 수 있다.
이때, 상기 응답 HTML은, 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.
이때, 상기 응답 HTML은, 돌아가기 버튼과 다운로드 버튼을 포함하고, 상기 돌아가기 버튼은 선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고, 상기 다운로드 버튼은 상기 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.
이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 할 수 있다.
이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.
이때, 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는, 상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신할 수 있다.
본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하여서, 사용자가 의도한 다운로드인지 확인하고 그렇지 않은 경우 사전에 차단함으로써, 드라이브 바이 다운로드를 차단하는 효과를 제공한다.
도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.
도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.
도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.
도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.
상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.
본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
이하에서는, 본 발명의 일 실시 예에 따른 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.
도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 1을 참조하면, 네트워크 환경에서 클라이언트 단말(160)로부터 인터넷(100)에 접속할 때, 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결될 수 있다. 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트 단말(160)은 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다.
보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 패킷(packet)을 미러링할 수 있다. 보안 서버(140)는 사전에 안전하다고 판단되어 다운로드가 허가된 주소들의 리스트를 저장할 수 있다. 예를 들면, 보안 서버(140)는 허가 대상 도메인 주소인 www.aaa.com, www.bbb.com, www.ccc.com을 저장하고 있을 수 있다.
패킷은 인터넷(100)을 통하여 외부 DNS 서버(120)로도 전달될 수 있고, 미러링을 통하여 보안 서버(140)로도 전달될 수 있다. 보안 서버(140)는 패킷이 HTTP 요청 패킷인지 여부와 외부 네트워크로 송신되는 패킷인지 확인할 수 있다.
보안 서버(140)는 미리렁된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷(Request Packet)이면, 사전에 허가되지 않은 목적지 주소로 실행 파일을 다운로드 요청하는지 여부를 확인할 수 있다.
보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하여 클라이언트 단말(160)로 송신할 수 있다.
이때, 응답 HTML은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.
또한, 응답 HTML은 리퍼러(Referer) 또는 기설정된 페이지로 돌아가도록 하는 돌아가기 버튼과 HTTP 요청 패킷을 재전송하는 기능을 제공하는 다운로드 버튼을 포함할 수 있다.
여기서, 다운로드 버튼은 재전송하는 HTTP 요청 패킷이 보안 서버(140)에서 드라이브 바이 다운로드의 조건에 검색되지 않도록 하는 기능을 포함할 수 있다.
클라이언트 단말(160)은 가짜 응답 패킷을 수신하면, 가짜 응답 패킷에 포함된 응답 HTML을 출력한다.
그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 돌아가기 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아간다.
그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 다운로드 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다. 이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.
한편, 종래에는 네트워크 보안 시스템이 고장난 경우, 정상적인 네트워크 접속이 안되는 경우가 많았다. 일 실시예에 따른 네트워크 보안 시스템은 보안 서버(140)가 고장 나더라도 네트워크 통신을 계속하여 수행되므로 서비스 정지 문제가 발생하지 않는다. 예를 들면, 보안 서버(140)가 고장난 경우라도 미러링되므로 정상 DNS 서버로부터 응답 패킷이 클라이언트 단말로 전달되므로 클라이언트 단말은 응답 패킷을 이용하여 정상적인 네트워크 접속을 할 수 있다.
이하, 상기와 같이 구성된 본 발명에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법을 아래에서 도면을 참조하여 설명한다.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.
도 2를 참조하면, 보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(210).
그리고, 보안 서버(140)는 드라이브 바이 다운로드의 조건에 만족하는지 여부를 확인한다(212).
드라이브 바이 다운로드로 의심되는 조건은 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인 경우로, 확인하는 과정은 이후 도 3을 참조하여 후술한다.
212단계의 확인결과 드라이브 바이 다운로드로 의심되는 조건을 만족하면, 보안 서버(140)는 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다(214). 이때, 가짜 응답 패킷은 응답 HTML을 포함하거나 또는 응답 HTML을 포함하고 있는 URL(uniform resource locator) 정보를 포함할 수 있다.
응답 HTML은 아래 도 5의 예와 같이 클라이언트 단말을 통해 출력될 수 있다.
도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.
도 5를 참조하면, 응답 HTML(500)은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. 이때, 호스트에 관한 정보는 호스트의 주소 및 호스트의 국가 정보를 포함할 수 있고, 다운로드 하려는 파일에 관한 정보는 파일명, 다운로드 하려는 페이지 주소를 포함할 수 있다.
또한, 응답 HTML(500)은 돌아가기 버튼(510)과 다운로드 버튼(520)을 포함할 수 있다.
이때, 돌아가기 버튼(510)은 선택되면 리퍼러(Referer), HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아가는 기능을 제공할 수 있다.
다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.
이때, 다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하기 전에, 재전송 하는 HTTP 요청 패킷이 이미 보안 서버(140)에 의해 처리되었음을 보안 서버(140)에서 인지하도록 하여 불필요 가짜 응답 패킷의 재전송을 방지할 필요가 있다.
그래서, 다운로드 버튼(520)은 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하거나 또는 HTTP 요청 패킷을 재전송하기에 앞서, 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하도록 할 수도 있다.
다시 도 2의 설명으로 돌아와서, 보안 서버(140)는 가짜 응답 패킷을 클라이언트 단말(160)로 송신한다(216).
이후, 가짜 응답 패킷을 수신한 클라이언트 단말(160)은 상기 도 5의 예와 같이 응답 HTML을 출력하고, 다운로드 버튼이 입력되는지 여부를 확인한다(218).
218단계의 확인결과 다운로드 버튼이 입력되면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다(220).
이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 보안 서버(140)로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.
218단계의 확인결과 다운로드 버튼이 입력되지 않으면, 클라이언트 단말(160)은 돌아가기 버튼이 입력되는지 여부를 확인한다(222).
222단계의 확인결과 돌아가기 버튼이 입력되면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지로 돌아간다(224). 이때, 이전 페이지는 미러링된 패킷에 포함된 리퍼러(Referer) 정보를 통해 확인할 수 있다.
한편, 보안 서버(140)는 HTTP 요청 패킷에 대한 응답 패킷을 클라이언트 단말(160)에서 수신하기 전에, 클라이언트 단말(160)로 가짜 응답 패킷을 송신하여야 한다.
이를 위해서, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하는지 여부를 판단하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.
한편, 응답 패킷을 폐기하였으나 드라이브 바이 다운로드로 의심되는 조건을 만족하지 않는 경우, 보안 서버(140)는 HTTP 요청 패킷을 재전송하도록 하는 가짜 응답 패킷을 송신할 수 있다.
또한, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하여 가짜 응답 패킷을 송신해야 하는 경우, 가짜 응답 패킷을 클라이언트 단말(160)로 송신하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.
도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.
도 3을 참조하면, 보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인한다(310). 이때, 패킷의 목적지 포트 넘버(destination port number)가 "80" 또는 "8080"인 경우가 외부 네트워크로 송신되는 패킷으로 판단할 수 있다.
310단계의 확인결과 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 보안 서버(140)는 미러링된 패킷에 Get 명령이 포함되어 있는지 확인한다(320).
320단계의 확인결과 미러링된 패킷에 Get 명령이 포함되어 있으면, 보안 서버(140)는 Get 명령으로 요청하는 파일이 실행 파일인지 확인한다(330).
330단계의 확인결과 Get 명령으로 요청하는 파일이 실행 파일이면, 보안 서버(140)는 미러링된 패킷의 목적지 주소가 허가된 주소인지 여부를 확인한다(340).
이때, 미러링된 패킷의 목적지 주소는 아래 도 4의 예와 같이 미러링된 패킷의 호스트(Host) 정보를 통해 확인할 수 있다. 그리고, 허가된 주소는 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.
340단계의 확인결과 미러링된 패킷의 목적지 주소가 허가된 주소가 아니면, 보안 서버(140)는 214단계에서 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다
도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.
도 4를 참조하면,
보안 서버(140)는 미러링된 HTTP 요청 패킷(400)을 수신하면, 호스트 정보(430)을 확인하여 목적지 주소를 확인하고, 허가된 주소들의 리스트에 포함되어 있는지 비교하여 허가된 주소인지 확인할 수 있다.
그리고, 보안 서버(140)는 Get 정보(410)을 검색하여 Get 명령이 존재하는 지 여부, 수신할 파일명 및 수신할 파일의 확장자를 확인하여 실행 가능 여부를 확인할 수 있다.
한편, 보안 서버(140)는 가짜 응답 패킷에 포함시키기 위해서 리퍼러 정보(420)를 검색할 수 있다.
본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
120; DNS 서버
140; 보안 서버
160; 클라이언트 단말
170; 스위치

Claims (10)

  1. 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계;
    상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계;
    확인결과 상기 미러링된 패킷이 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및
    상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계를 포함하고,
    상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는,
    상기 HTTP 요청 패킷에 대한 상기 가짜 응답 패킷을 상기 클라이언트 단말로 송신해야 하는 경우, 상기 가짜 응답 패킷을 상기 클라이언트 단말로 송신하기 전에 상기 목적지 주소에서 상기 클라이언트 단말로 전달되는 상기 HTTP 요청 패킷에 대한 응답 패킷을 가로채서 폐기하는 단계를 포함하고,
    상기 응답 HTML은,
    돌아가기 버튼과 다운로드 버튼을 포함하고,
    상기 돌아가기 버튼은,
    선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고,
    상기 다운로드 버튼은,
    상기 HTTP 요청 패킷을 재전송하는 기능을 제공하고,
    상기 다운로드 버튼은,
    상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하는
    보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  2. 제1항에 있어서,
    상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는,
    상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계;
    상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계;
    상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및
    상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계
    를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  3. 제2항에 있어서,
    상기 허가된 주소는,
    상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는
    내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소임을 특징으로 하는
    보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  4. 제1항에 있어서,
    상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은,
    상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공하는
    보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  5. 제1항에 있어서,
    상기 응답 HTML은,
    다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함하는
    보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  6. 삭제
  7. 제1항에 있어서,
    상기 다운로드 버튼은,
    상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하는
    보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
  8. 삭제
  9. 삭제
  10. 제1항 내지 제5항 및 제7항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
KR1020150078029A 2015-06-02 2015-06-02 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법 KR101728764B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150078029A KR101728764B1 (ko) 2015-06-02 2015-06-02 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
PCT/KR2016/005677 WO2016195344A1 (ko) 2015-06-02 2016-05-30 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150078029A KR101728764B1 (ko) 2015-06-02 2015-06-02 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20160142101A KR20160142101A (ko) 2016-12-12
KR101728764B1 true KR101728764B1 (ko) 2017-04-21

Family

ID=57440722

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150078029A KR101728764B1 (ko) 2015-06-02 2015-06-02 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR101728764B1 (ko)
WO (1) WO2016195344A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117579383B (zh) * 2024-01-15 2024-03-22 杭州优云科技股份有限公司 一种主动http响应的检测及拦截方法、装置及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518470B1 (ko) * 2014-06-16 2015-05-07 주식회사 플랜티넷 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101281160B1 (ko) * 2006-02-03 2013-07-02 주식회사 엘지씨엔에스 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
KR101275708B1 (ko) * 2011-12-20 2013-06-17 (주)소만사 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법
KR101416523B1 (ko) * 2012-09-25 2014-07-09 주식회사 시큐아이 보안 시스템 및 그것의 동작 방법
KR102025296B1 (ko) * 2012-10-05 2019-09-25 주식회사 케이티 콘텐츠 경로 우회 서버 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518470B1 (ko) * 2014-06-16 2015-05-07 주식회사 플랜티넷 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템

Also Published As

Publication number Publication date
WO2016195344A1 (ko) 2016-12-08
KR20160142101A (ko) 2016-12-12

Similar Documents

Publication Publication Date Title
US10237286B2 (en) Content delivery network protection from malware and data leakage
US9407650B2 (en) Unauthorised/malicious redirection
US9654494B2 (en) Detecting and marking client devices
US8850584B2 (en) Systems and methods for malware detection
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US10097520B2 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US8839424B2 (en) Cross-site request forgery protection
US10270792B1 (en) Methods for detecting malicious smart bots to improve network security and devices thereof
US20150082424A1 (en) Active Web Content Whitelisting
JP2008532133A (ja) Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
WO2009111224A1 (en) Identification of and countermeasures against forged websites
Gilad et al. Off-path TCP injection attacks
US8763120B1 (en) Exploitation detection
US9680950B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US20140075553A1 (en) Domain name system rebinding attack protection
Sinha et al. CookieArmor: Safeguarding against cross‐site request forgery and session hijacking
US10360379B2 (en) Method and apparatus for detecting exploits
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR101728764B1 (ko) 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
Nagesh et al. A survey on denial of service attacks and preclusions
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
CN105939315A (zh) 一种http攻击防护方法及装置
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR101511474B1 (ko) 에이전트 프로그램을 이용한 인터넷 접속 차단 방법
Sadana et al. Analysis of cross site scripting attack

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)