KR101761513B1 - 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법 - Google Patents

이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법 Download PDF

Info

Publication number
KR101761513B1
KR101761513B1 KR1020160073331A KR20160073331A KR101761513B1 KR 101761513 B1 KR101761513 B1 KR 101761513B1 KR 1020160073331 A KR1020160073331 A KR 1020160073331A KR 20160073331 A KR20160073331 A KR 20160073331A KR 101761513 B1 KR101761513 B1 KR 101761513B1
Authority
KR
South Korea
Prior art keywords
web site
normal
image data
specific web
user
Prior art date
Application number
KR1020160073331A
Other languages
English (en)
Inventor
이극
조지호
신지용
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020160073331A priority Critical patent/KR101761513B1/ko
Application granted granted Critical
Publication of KR101761513B1 publication Critical patent/KR101761513B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F17/30244
    • G06F17/30864
    • G06F17/30887
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 본 발명은 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법에 대한 것이다. 보다 상세하게는, 위변조 웹사이트 탐지 시스템에 있어서, 설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하는 데이터 베이스; 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하는 접속감지수단; 상기 특정 웹사이트에 접속한 경우, 상기 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하는 캡처수단; 및 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하는 비교분석수단;을 포함하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템에 관한 것이다.

Description

이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법{Method and system for detecting counterfeit and falsification using image}
본 발명은 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법에 대한 것이다. 보다 상세하게는, 사용자가 웹사이트 위·변조를 통한 금융정보 탈취 목적을 가진 악성코드에 감염된 후 특정 금융 웹사이트에 접속 시 사용자가 접속한 웹사이트의 캡처 이미지와 정상 웹사이트의 캡처 이미지의 유사도를 비교분석하여 웹사이트 위·변조 여부를 탐지하고 정상인 경우 분석을 종료하지만 비정상으로 판단될 경우 이를 사용자에게 메시지를 통해 현재의 피해 상태를 알려줌으로써 위·변조된 웹사이트를 통해서 추가적인 금융정보 유출 사고가 발생하지 않도록 사전에 방지할 수 있는 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법에 관한 것이다.
온라인을 이용한 금융서비스의 편리함으로 인해 사용자는 계속 늘어 2015년 3월말을 기준으로 인터넷뱅킹서비스(모바일뱅킹 포함) 등록고객 수는 1억 861만 명으로 전분기말대기 5.3% 증가하였다. 일평균 인터넷뱅킹(모바일뱅킹 포함) 이용건수는 7,694만 건으로 전분기 대비 8.6% 증가하였다.
인터넷뱅킹 사용자의 증가는 해커들로부터의 위협에 쉽게 노출되는 결과 또한 초래하게 되었다. 실제의 은행 사이트와 유사한 파밍사이트를 이용하여 이용자로부터 금융거래가 가능한 개인정보를 입력하도록 유도하여 피해가 발생하는 방법이다. 이와 같은 방법은 실제 사이트와 유사하기 때문에 사용자가 사이트의 위·변조 여부를 직접 판단하기 어려움이 있다. 국내에서는 사이버 위협에 대응하기 위해 ‘국가 사이버 안전센터(NCSC)’를 중심으로 분야별 사이버 보안을 담당하는 부문 보안관제 센터를 구축·운영하고 있으나, 보안관제 센터의 대상기관 수가 증가함에 따라 실시간으로 위·변조를 탐지하고 대응하는데 있어서 한계가 있다.
피싱(Phishing)이란 개인정보(Private data)와 낚시(Fishing)의 합성어로 개인으로부터 금융기관이나 공공기관으로 가장해 전화나 이메일로 웹페이지에서 금융거래 가능한 정보를 요구하는 수법이다.
파밍(Pharming)이란 피싱(Phishing)과 조작(Farming)의 합성어로 악성프로그램에 감염된 PC를 조작하여 피해자가 정상 사이트로 접속하더라도 가짜 은행사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 수법을 말한다. 도 1은 금융감독원 사칭 파밍악성코드 유포과정을 나타낸 블록도를 도시한 것이다.
공격자는 다수의 웹사이트를 해킹해보며 보안이 취약한 웹사이트에 파밍 악성코드를 감염시키고 보안에 약한 이용자가 해당 웹사이트를 접근 시 악성코드가 설치된다. 최근에는 대표적으로 금융감독원을 사칭한 플로팅 배너기법을 사용하여 공격을 시도하는데, 배너에 포함된 파밍사이트 또한 위·변조된 파밍 국내 금융 사이트이며, 이를 통해 공격자는 이용자들의 개인정보(공인인증서, 보안카드 번호, 아이디 및 패스워드 등)를 탈취하려는데 목적이 있다.
또한, hosts 파일은 파일 내에 URL 주소와 대응하는 IP 주소를 기록하며, DNS 서버 접근 이전에 확인하여 해당 URL이 hosts 파일 목록에 존재 한다면 그 URL에 해당하는 IP 주소로 연결시킨다. hosts.ics 파일은 인터넷 연결 공유 (ICS: Internet Connection Sharing) 시 해당 시스템의 네트워크 주소를 강제로 지정하는 기능을 하는 것이다. 이 파일은 일반 hosts 파일보다 우선순위가 높기 때문에 hosts 파일과 hosts.ics 파일이 같이 존재할 경우 hosts.ics 파일을 먼저 참조하게 되며, hosts.ics 파일이 존재하지 않을 경우 hosts 파일을 바로 참조한다. 도 2는 웹사이트 접속 시 참조되는 우선순위를 나타낸 흐름도를 도시한 것이다.
그리고, 플로팅 배너 기법은 광고배너에 파밍 광고를 넣어 이를 클릭하면 파밍 사이트로 연결하는 악성코드이다. 도 3은 홈페이지 유포 파밍형 악성코드 감염사례를 나타낸 사진을 도시한 것이다.
공격자는 다수의 웹사이트를 해킹해보며 보안이 취약한 웹사이트에 파밍 악성코드를 감염시키고 보안에 약한 이용자가 해당 웹사이트를 접근 시 악성코드가 설치된다. 최근에는 대표적으로 금융감독원을 사칭한 플로팅 배너기법을 사용하여 공격을 시도하는데, 배너에 포함된 파밍사이트 또한 위·변조된 파밍 국내 금융 사이트이며, 이를 통해 공격자는 이용자들의 개인정보(공인인증서, 보안카드 번호, 아이디 및 패스워드 등)를 탈취하려는데 목적이 있다
종래 웹사이트 위변조 탐지 및 대응기술로서, pageres는 PhantomJS를 이용해서 웹사이트를 지정한 해상도 별로 스크린 샷을 찍어 주는 node.js 커맨드라인 도구이며, 반응형 웹을 개발할 때 많이 사용되는 프로그램이다. 도 4는 pageres 해상도별 스크린샷의 사진을 도시한 것이다.
또한, 단일 픽셀 비교 방식은 이미지 1개의 픽셀의 RGB(Red, Green, Blue)값이 모두 같을 때 동일한 픽셀로 판단한다. 그리고, 인접 픽셀 비교방식은 이미지 1개의 픽셀에 인접한 픽셀들의 RGB(Red, Green, Blue)값까지 동일해야 동일한 이미지로 판단한다. 인접픽셀방식은 단일픽셀 방식과는 달리 인접한 픽셀들의 값까지 비교하기 때문에 정확도는 높지만, 신속성이 떨어지는 문제점이 있다
공개특허 제2015-0071289호 등록특허 제1264280호 등록특허 제912794호 공개특허 제2009-0044202호
따라서 본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 일실시예에 따르면, 웹사이트 위·변조 공격의 유형을 분석하여 효율 적으로 탐지하고 예방할 수 있는 시스템을 제안한다. 제안된 시스템은 사용자가 웹사이트 위·변조를 통한 금융정보 탈취 목적을 가진 악성코드에 감염된 후 특정 금융 웹사이트에 접속 시 사용자가 접속한 웹사이트의 캡처 이미지와 정상 웹사이트의 캡처 이미지의 유사도를 비교분석하여 웹사이트 위·변조 여부를 탐지하고 정상인 경우 분석을 종료하지만 비정상으로 판단될 경우 이를 사용자에게 메시지를 통해 현재의 탐지 결과를 알려줌으로써 위·변조된 웹사이트를 통해서 추가적인 금융정보 유출 사고가 발생하지 않도록 사전에 방지할 수 있는 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법을 제공하는데 그 목적이 있다.
한편, 본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 목적은, 위변조 웹사이트 탐지 시스템에 있어서, 설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하는 데이터 베이스; 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하는 접속감지수단; 상기 특정 웹사이트에 접속한 경우, 상기 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하는 캡처수단; 및 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하는 비교분석수단;을 포함하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템으로서 달성될 수 있다.
또한, 상기 비교분석수단에 의해 판단된 결과데이터를 출력하는 알림수단을 더 포함하는 것을 특징으로 할 수 있다.
그리고, 상기 알림수단은, 상기 결과데이터를 메시지로 사용자에게 출력하는 메시지출력수단과, 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하는 비정상알림수단을 포함하는 것을 특징으로 할 수 있다.
또한, 상기 데이터베이스에는 정상 특정 웹사이트의 URL이 저장되고, 상기 접속감지수단은, 사용자 PC가 접속한 특정 웹사이트의 URL을 크롤링하여 상기 정상 특정 웹사이트의 URL과 비교하여 분석시작여부를 결정하는 것을 특징으로 할 수 있다.
그리고, 상기 데이터베이스에는 상기 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터가 저장되고, 상기 캡처수단은, 사용자가 접속한 상기 특정 웹사이트의 웹페이지 별 이미지를 캡처하는 것을 특징으로 할 수 있다.
또한, 상기 캡처수단은, 상기 데이터베이스에 저장된 상기 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하는 것을 특징으로 할 수 있다.
그리고, 상기 비교분석수단은 피처매칭기법을 적용하여, 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하고, 위변조되었다고 판단된 위변조 웹사이트 정보는 상기 데이터베이스에 저장되는 것을 특징으로 할 수 있다.
또 다른 카테고리로서 본 발명의 목적은, 위변조 웹사이트 탐지 방법에 있어서, 데이터 베이스는, 설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하고, 접속감지수단이, 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하는 단계; 캡처수단이 상기 접속감지수단에 의해 상기 특정 웹사이트에 접속하였다고 판단하면, 상기 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하는 단계; 비교분석수단이 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하는 단계; 메시지출력수단이 상기 비교분석수단이 분석한 결과데이터를 메시지로 사용자에게 출력하는 단계; 및 비정상알림수단이 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하는 단계; 을 포함하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 방법으로서 달성될 수 있다.
그리고, 상기 데이터베이스는 정상 특정 웹사이트의 URL를 저장하고, 상기 감지하는 단계는, 사용자 PC가 접속한 특정 웹사이트의 URL을 크롤링하여 상기 정상 특정 웹사이트의 URL과 비교하여 분석시작여부를 결정하는 것을 특징으로 할 수 있다.
또한, 상기 데이터베이스는 상기 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터를 저장하고, 상기 생성하는 단계는, 사용자가 접속한 상기 특정 웹사이트의 웹페이지 별 이미지를 캡처하는 것을 특징으로 할 수 있다.
그리고, 상기 생성하는 단계는, 상기 데이터베이스에 저장된 상기 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하는 것을 특징으로 할 수 있다.
또한, 상기 위변조되었는지는 판단하는 단계는, 피처매칭기법을 적용하여, 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하고, 상기 비교분석수단에 의해 위변조되었다고 판단된 위변조 웹사이트 정보는 상기 데이터베이스에 저장되는 단계를 더 포함하는 것을 특징으로 할 수 있다.
본 발명의 일실시예에 따르면, 웹사이트 위·변조 공격의 유형을 분석하여 효율 적으로 탐지하고 예방할 수 있는 시스템을 제안한다. 제안된 시스템은 사용자가 웹사이트 위·변조를 통한 금융정보 탈취 목적을 가진 악성코드에 감염된 후 특정 금융 웹사이트에 접속 시 사용자가 접속한 웹사이트의 캡처 이미지와 정상 웹사이트의 캡처 이미지의 유사도를 비교분석하여 웹사이트 위·변조 여부를 탐지하고 정상인 경우 분석을 종료하지만 비정상으로 판단될 경우 이를 사용자에게 메시지를 통해 현재의 탐지 결과를 알려줌으로써 위·변조된 웹사이트를 통해서 추가적인 금융정보 유출 사고가 발생하지 않도록 사전에 방지할 수 있는 효과를 갖는다.
한편, 본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 일실시예를 예시하는 것이며, 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석 되어서는 아니 된다.
도 1은 금융감독원 사칭 파밍 악성코드 유포과정을 나타낸 블록도,
도 2는 웹사이트 접속시 참조되는 우선순위를 나타낸 흐름도,
도 3은 홈페이지 유포 파밍형 악성코드 감염사례를 나타낸 사진,
도 4는 pageres 해상도 별 스크린 샷,
도 5는 피처매칭방식을 나타낸 사진,
도 6은 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템의 블록도,
도 7은 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 방법의 흐름도,
도 8은 본 발명의 일실시예에 따른 페이지별 캡처 이미지,
도 9는 본 발명의 일실시예에 따른 이미지 유사도 비교결과,
도 10은 본 발명의 일실시예에 따른 웹사이트 위변조 탐지결과,
도 11은 본 발명의 일실시예에 따른 탐지결과에 따른 메시지 출력화면을 도시한 것이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 통상의 기술자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.
본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다. 또한 도면들에 있어서, 구성요소들의 두께는 기술적 내용의 효과적인 설명을 위해 과장된 것이다.
본 명세서에서 기술하는 실시예들은 본 발명의 이상적인 예시도인 단면도 및/또는 평면도들을 참고하여 설명될 것이다. 도면들에 있어서, 막 및 영역들의 두께는 기술적 내용의 효과적인 설명을 위해 과장된 것이다. 따라서 제조 기술 및/또는 허용 오차 등에 의해 예시도의 형태가 변형될 수 있다. 따라서 본 발명의 실시예들은 도시된 특정 형태로 제한되는 것이 아니라 제조 공정에 따라 생성되는 형태의 변화도 포함하는 것이다. 예를 들면, 직각으로 도시된 영역은 라운드지거나 소정 곡률을 가지는 형태일 수 있다. 따라서 도면에서 예시된 영역들은 속성을 가지며, 도면에서 예시된 영역들의 모양은 소자의 영역의 특정 형태를 예시하기 위한 것이며 발명의 범주를 제한하기 위한 것이 아니다. 본 명세서의 다양한 실시예들에서 제1, 제2 등의 용어가 다양한 구성요소들을 기술하기 위해서 사용되었지만, 이들 구성요소들이 이 같은 용어들에 의해서 한정되어서는 안 된다. 이들 용어들은 단지 어느 구성요소를 다른 구성요소와 구별시키기 위해서 사용되었을 뿐이다. 여기에 설명되고 예시되는 실시예들은 그것의 상보적인 실시예들도 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.
<탐지시스템 구성 및 탐지방법>
이하에서는 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)의 구성 및 기능 그리고, 탐지방법에 대해 설명하도록 한다. 이러한 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)은, 사용자가 웹사이트 위·변조를 통한 금융정보 탈취 목적을 가진 악성코드에 감염된 후 특정 금융 웹사이트에 접속할 경우, 사용자가 접속한 웹사이트와 정상 웹사이트를 비교분석하여 웹사이트 위·변조 여부를 탐지하고 이를 사용자에게 알려줌으로써 금융정보 유출 사고를 사전에 방지하게 된다.
도 5는 피처매칭 방식의 예를 도시한 것이고, 도 6은 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)의 구성을 나타낸 블록도를 도시한 것이며, 도 7은 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 방법의 흐름도를 도시한 것이다.
본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)은 피처 매칭방식을 적용하여 이미지를 비교분석하게 된다. 먼저, OpenCV(Open Computer Vision)은 오픈 소스 컴퓨터 비전 C 라이브러리이지만 최신 OpenCV3.0버전은 java 라이브러리도 지원한다. 원래는 인텔이 개발하였으며, 윈도우, 리눅스 등의 여러 플랫폼에서 사용할 수 있다. OpenCV는 실시간 이미지 프로세싱에 중점을 둔 라이브러리이며, 응용 기술의 예로는 인간과 컴퓨터 상호 작용(HCI), 물체 인식, 안면인식, 모바일 로보틱스, 제스처 인식 등이 있다.
OpenCV는 세가지 이미지 비교방식(Comparing Histograms, Template Matching, Feature Matching)이 있다.
또한, 피처 매칭은 이미지 유사성을 비교할 때 가장 효과적인 방식이다. 이미지로부터 수많은 피처(Feature)를 추출하며, 피처 부분이 회전, 확대/축서, 찌그러짐이 발생하더라도 동일한 피처로 인식하도록 보장한다. 추출된 피처들을 다른 이미지의 피처셋과 비교하면서 유사성을 검사하게 된다. 도 5에 도시된 바와 같이, 두 개의 이미지에서 추출한 피처셋이 높은 비율로 일치한다면, 동일하거나 유사한 이미지로 볼 수 있다.
본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)은 도 6에 도시된 바와 같이, 전체적으로 데이터베이스(40), 접속감지수단(10), 캡처수단(20), 비교분석수단(30), 알림수단(50) 등을 포함하여 구성될 수 있다.
데이터베이스(40)는, 설정된 정상 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하게 된다. 이러한 특정 웹사이트는 특정 금융 웹사이트일 수 있고, 예를 들어 농협 인터넷뱅킹, KB국민은행 인터넷뱅킹, 우리은행 인터넷뱅킹, 신한은행 인터넷뱅킹 등의 제1금융권 인터넷 뱅킹 웹사이트일 수 있다.
접속감지수단(10)은, 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하게 된다. 또한, 캡처수단(20)은, 특정 웹사이트에 접속한 경우, 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하게 된다.
또한, 비교분석수단(30)은, 캡처수단(20)에서 생성한 캡처이미지데이터와, 상기 데이터베이스(40)에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하게 된다.
그리고, 비교분석수단(30)에 의해 판단된 결과데이터를 출력하게 된다. 구체적으로, 알림수단(50)은, 메시지출력수단과 비정상알림수단을 포함하여 구성될 수 있다. 메시지출력수단은, 비교분석수단(30)에 의해 판단된 결과데이터를 메시지로서 사용자에게 출력하게 되고, 비정상알림수단은 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하게 된다.
구체적으로, 데이터베이스(40)에는 정상 특정 웹사이트의 URL이 저장되게 되고, 접속감지수단(10)은, 분석을 수행하기 전에 해커로부터 악성코드에 감염된 사용자 PC가 특정 웹사이트에 접근하게 되는 경우, 사용자가 접촉한 특정 웹사이트의 URL을 크롤링하여 정상 특정 웹사이트의 URL과 비교하게 되며, 비교된 결과를 토대로 분석을 수행 할지 여부를 결정하게 된다.
또한, 데이터베이스(40)에는 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터가 저장되게 되고, 특정 주기마다 업데이트하여 저장되게 된다. 또한, 비교분석수단(30)에 의해 위변조 웹사이트라고 판단된 경우 위변조 정보들을 저장할 수 있다.
그리고, 캡처수단(20)은, 사용자가 접속한 특정 웹사이트의 웹페이지 별 이미지를 캡처하게 되고, 데이터베이스(40)에 저장된 상기 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하게 된다.
즉, 사용자가 특정 웹사이트에 접속하였다면 이미지 분석을 위해 웹페이지 별로 이미지를 캡처하게 되고, 페이지 별 이미지 캡쳐는 사용자가 접속한 특정 웹사이트의 메인 페이지, 로그인 페이지, 보안카드 번호 입력 페이지를 이동할 때 마다 웹 페이지를 캡처하게되며, 사용자 마다 해상도가 다를 수 있기 때문에, pageres를 이용하여 정상 특정 웹사이트로부터 업데이트되어 데이터베이스(40)에 저장된 캡쳐이미지데이터와 동일한 해상도로 웹페이지를 캡처하게 된다.
그리고, 비교분석수단(30)은 피처매칭기법을 적용하여, 캡처수단(20)에서 생성한 캡처이미지데이터와, 데이터베이스(40)에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하게 된다. 그리고, 위변조되었다고 판단된 위변조 웹사이트 정보는 데이터베이스(40)에 저장되게 된다.
즉, pageres로 부터 수집된 이미지를 사전에 업데이트 해놓은 정상 웹사이트 이미지와 비교하게 된다. 비교는 OpenCV ‘피처 매칭’을 사용하였으며, 각각의 이미지 분석결과는 다음과 같이 나타낸다.
이미지가 같은 경우 정상을 의미하는 ‘1’, 이미지가 다른 경우 ‘0’의 값을 담지결과 알림 단계로 보내게 된다.
탐지 결과 통보는 이미지 분석을 통해 얻어진 결과를 토대로 정상인 경우 분석을 종료하고, 비정상인 경우 사용자 본인이 접속한 페이지가 비정상임을 확실히 알고 추가적인 개인정보 입력하지 않도록 메시지를 출력해준다.
이하에서는 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 방법에 대해 설명하도록 한다.
데이터 베이스(40)는, 설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하고, 정상 특정 웹사이트의 URL를 저장하고, 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터를 저장하게 된다.
그리고, 접속감지수단(10)은 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하게 된다(S1). 이러한 감지하는 단계는, 사용자 PC가 접속한 특정 웹사이트의 URL을 크롤링하여 상기 정상 특정 웹사이트의 URL과 비교하여 분석시작여부를 결정하게 된다.
그리고, 캡처수단(20)은 접속감지수단(10)에 의해 특정 웹사이트에 접속하였다고 판단하면, 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하게 된다(S2). 즉, 캡처수단(20)은, 사용자가 접속한 상기 특정 웹사이트의 웹페이지 별 이미지를 캡처하게 되고, 데이터베이스(40)에 저장된 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하게 된다.
그리고, 비교분석수단(30)이 캡처수단(20)에서 생성한 캡처이미지데이터와, 데이터베이스(40)에 저장된 정상캡처이미지데이터를 비교분석하여 특정웹사이트가 위변조되었는지는 판단하게 된다(S3). 즉 비교분석수단(30)은, 피처매칭기법을 적용하여, 캡처수단(20)에서 생성한 캡처이미지데이터와, 데이터베이스(40)에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하게 된다. 또한, 비교분석수단(30)에 의해 위변조되었다고 판단된 위변조 웹사이트 정보는 상기 데이터베이스(40)에 저장되게 된다.
그리고, 메시지출력수단은, 비교분석수단(30)이 분석한 결과데이터를 메시지로 사용자에게 출력하게 되고(S4), 비정상알림수단이 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하게 된다(S5).
<실험데이터>
이하에서는 앞서 언급한 본 발명의 일실시예에 따른 이미지를 이용한 위변조 웹사이트 탐지 시스템(100)을 적용한 실험데이터 결과에 대해 설명하도록 한다.
실험 대상은 이용고객수가 가장 높은 실제의 농협인터넷뱅킹, 국민은행인터넷뱅킹의 웹사이트로 하였으며, WINDOWS 7 운영체제를 사용하였다. 또한 이미지 분석을 위한 OpenCV3.0 라이브러이와 개발언어는 JAVA를 사용하였다.
먼저, 페이지별 이미지를 캡처하기 위해서 pageres를 사용하였으며, 캡처한 이미지는 농협인터넷뱅킹의 메인 페이지와 로그인 페이지, 계좌 이체 페이지 부분이다. 도 8은 특정 웹사이트 웹페이지별 캡처이미지를 도시한 것이다. 도 8에 도시된 바와 같이 캡처된 이미지를 통해 이미지 유사도 분석을 진행하게 된다.
또한, 도 9는 비교분석수단(30)에 의해 이미지 유사도 비교 결과를 도시한 것이다. 즉, 도 9는 OpenCV를 이용한 피쳐매칭(feature matching) 결과를 나타내며, 분석결과를 자세히 확인하기 위해 ‘매칭 수’의 값과 ‘매칭 시간’ 값을 출력하였다.
‘매칭 수’는 피쳐매칭(feature matching)을 통해서 매칭(Matching)된 요소(feature)의 수를 나타낸다. ‘매칭 시간’은 이미지를 매칭(Matching)하는데 걸리는 시간을 나타낸다.
도 9에 도시된 바와 같이, 이미지는 총 세가지 페이지를 캡처한 이미지를 비교하였으며, 이미지 1과 이미지 2의 분석결과는 매칭시간에는 다소 차이가 있었지만 매칭 수는 동일하게 비교되었다. 하지만 이미지 3번과 같은 경우, 두 웹페이지의 이미지가 다르다고 판단되었다. 확인한 결과 비교되어진 두 이미지는 보안카드 번호입력을 요구하는 페이지이지만, 사용자가 접속한 페이지는 위·변조 된 사이트의 보안카드번호 입력을 요구하는 페이지이며, 정상웹사이트와는 전혀 다른 웹페이지 구조와 보안카드번호 전체를 입력하도록 유도하는 부분이 포함되어 있음을 확인하였다.
그리고, 도 10은 메시지출력수단에 의해 출력되는 웹사이트 위변조 탐지 결과데이터를 도시한 것이다. 도 11은 비정상 알림수단에 의해 출력되는 탐지결과에 따른 메시지 출력화면을 도시한 것이다.
즉, 도 10은 캡처된 이미지의 유사도 비교 결과를 보여주고 있으며, 이미지 1과 2는 정상, 이미지 3은 비정상으로 분석되었으며, 비정상으로 판단된 경우 도 11과 같이 사용자에게 메시지를 출력해준다.
앞서 언급한 실시예와 실험예에서와 같이 본 발명은 사용자가 웹사이트 위·변조를 통한 금융정보 탈취 목적을 가진 악성코드에 감염된 후 특정 금융 웹사이트(예를 들어, 제1금융권 인터넷 뱅킹 웹사이트)에 접속 시 사용자가 접속한 웹사이트의 캡처 이미지와 정상 웹사이트의 캡처 이미지의 유사도를 비교분석하여 웹사이트 위·변조 여부를 탐지하고 정상인 경우 분석을 종료하지만 비정상으로 판단될 경우 이를 사용자에게 메시지를 통해 현재의 피해 상태를 알려줌으로써 위·변조된 웹사이트를 통해서 추가적인 금융정보 유출 사고가 발생하지 않도록 사전에 방지할 수 있게 된다.
한편, 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 그리고, 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
또한, 상기와 같이 설명된 장치 및 방법은 상기 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10:접속감지수단
20:캡처수단
30:비교분석수단
40:데이터베이스
50:알림수단
100:이미지를 이용한 위변조 웹사이트 탐지 시스템

Claims (13)

  1. 위변조 웹사이트 탐지 시스템에 있어서,
    설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하는 데이터 베이스;
    사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하는 접속감지수단;
    상기 특정 웹사이트에 접속한 경우, 상기 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하는 캡처수단;
    상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하는 비교분석수단; 및
    상기 비교분석수단에 의해 판단된 결과데이터를 출력하는 알림수단을 포함하고,
    상기 알림수단은, 상기 결과데이터를 메시지로 사용자에게 출력하는 메시지출력수단과, 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하는 비정상알림수단을 포함하며,
    상기 데이터베이스에는 정상 특정 웹사이트의 URL이 저장되고,
    상기 접속감지수단은, 사용자 PC가 접속한 특정 웹사이트의 URL을 크롤링하여 상기 정상 특정 웹사이트의 URL과 비교하여 분석시작여부를 결정하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제 1항에 있어서,
    상기 데이터베이스에는 상기 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터가 저장되고,
    상기 캡처수단은,
    사용자가 접속한 상기 특정 웹사이트의 웹페이지 별 이미지를 캡처하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템.
  6. 제 5항에 있어서,
    상기 캡처수단은,
    상기 데이터베이스에 저장된 상기 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템.
  7. 제 6항에 있어서,
    상기 비교분석수단은 피처매칭기법을 적용하여, 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하고,
    위변조되었다고 판단된 위변조 웹사이트 정보는 상기 데이터베이스에 저장되는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 시스템.
  8. 위변조 웹사이트 탐지 방법에 있어서,
    데이터 베이스는, 설정된 특정 웹사이트 주소들과, 정상 특정 웹사이트 각각의 화면을 캡처한 정상 캡처이미지데이터를 저장하고,
    접속감지수단이, 사용자 PC가 설정된 특정 웹사이트에 접속하였는지 여부를 감지하는 단계;
    캡처수단이 상기 접속감지수단에 의해 상기 특정 웹사이트에 접속하였다고 판단하면, 상기 특정 웹사이트의 이미지를 캡처하여 캡처이미지데이터를 생성하는 단계;
    비교분석수단이 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하는 단계;
    메시지출력수단이 상기 비교분석수단이 분석한 결과데이터를 메시지로 사용자에게 출력하는 단계; 및
    비정상알림수단이 접속한 특정 웹사이트의 위변조여부를 사용자에게 출력하는 단계; 을 포함하고,
    상기 데이터베이스는 정상 특정 웹사이트의 URL를 저장하고,
    상기 감지하는 단계는, 사용자 PC가 접속한 특정 웹사이트의 URL을 크롤링하여 상기 정상 특정 웹사이트의 URL과 비교하여 분석시작여부를 결정하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 방법.
  9. 삭제
  10. 제 8항에 있어서,
    상기 데이터베이스는 상기 정상 특정 웹사이트의 웹페이지 별 캡처이미지데이터를 저장하고,
    상기 생성하는 단계는, 사용자가 접속한 상기 특정 웹사이트의 웹페이지 별 이미지를 캡처하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 방법.
  11. 제 10항에 있어서,
    상기 생성하는 단계는, 상기 데이터베이스에 저장된 상기 정상 특정 웹사이트의 캡처이미지데이터와 동일한 해상도로 사용자가 접속한 상기 특정 웹사이트의 이미지를 캡처하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 방법.
  12. 제 11항에 있어서,
    상기 위변조되었는지는 판단하는 단계는, 피처매칭기법을 적용하여, 상기 캡처수단에서 생성한 캡처이미지데이터와, 상기 데이터베이스에 저장된 정상캡처이미지데이터를 비교분석하여 상기 특정웹사이트가 위변조되었는지는 판단하고,
    상기 비교분석수단에 의해 위변조되었다고 판단된 위변조 웹사이트 정보는 상기 데이터베이스에 저장되는 단계를 더 포함하는 것을 특징으로 하는 이미지를 이용한 위변조 웹사이트 탐지 방법.
  13. 컴퓨터에 의해 판독되어,
    제 8항 및 제10항 내지 제 12항 중 어느 한 항에 따른 탐지 방법을 실행시키는 것을 특징으로 하는 기록매체.
KR1020160073331A 2016-06-13 2016-06-13 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법 KR101761513B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160073331A KR101761513B1 (ko) 2016-06-13 2016-06-13 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160073331A KR101761513B1 (ko) 2016-06-13 2016-06-13 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법

Publications (1)

Publication Number Publication Date
KR101761513B1 true KR101761513B1 (ko) 2017-07-26

Family

ID=59426954

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160073331A KR101761513B1 (ko) 2016-06-13 2016-06-13 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법

Country Status (1)

Country Link
KR (1) KR101761513B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190024145A (ko) * 2017-08-31 2019-03-08 충남대학교산학협력단 사용자 단말, 화면 표시 모니터링 방법, 및 컴퓨터 판독가능 기록 매체
KR20190099816A (ko) * 2018-02-20 2019-08-28 주식회사 디로그 웹 페이지 위변조 탐지 방법 및 시스템
WO2022131441A1 (ko) * 2020-12-18 2022-06-23 주식회사 에이아이디비 블록체인 네트워크를 이용하여 웹페이지를 저장 및 검증하는 방법 및 시스템
JP7431086B2 (ja) 2020-03-31 2024-02-14 株式会社日本総合研究所 ユーザの金融機関の口座取引を監視する見守装置、見守システム、方法、及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101464736B1 (ko) 2013-07-10 2014-11-27 (주) 에스씨에이시스템 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101464736B1 (ko) 2013-07-10 2014-11-27 (주) 에스씨에이시스템 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190024145A (ko) * 2017-08-31 2019-03-08 충남대학교산학협력단 사용자 단말, 화면 표시 모니터링 방법, 및 컴퓨터 판독가능 기록 매체
KR102000342B1 (ko) 2017-08-31 2019-07-15 충남대학교산학협력단 사용자 단말, 화면 표시 모니터링 방법, 및 컴퓨터 판독가능 기록 매체
KR20190099816A (ko) * 2018-02-20 2019-08-28 주식회사 디로그 웹 페이지 위변조 탐지 방법 및 시스템
KR102022058B1 (ko) * 2018-02-20 2019-11-04 주식회사 디로그 웹 페이지 위변조 탐지 방법 및 시스템
JP7431086B2 (ja) 2020-03-31 2024-02-14 株式会社日本総合研究所 ユーザの金融機関の口座取引を監視する見守装置、見守システム、方法、及びプログラム
WO2022131441A1 (ko) * 2020-12-18 2022-06-23 주식회사 에이아이디비 블록체인 네트워크를 이용하여 웹페이지를 저장 및 검증하는 방법 및 시스템

Similar Documents

Publication Publication Date Title
US9191411B2 (en) Protecting against suspect social entities
US10999130B2 (en) Identification of vulnerability to social phishing
US9621566B2 (en) System and method for detecting phishing webpages
Tramèr et al. Adversarial: Perceptual ad blocking meets adversarial machine learning
Kraetzer et al. Modeling attacks on photo-ID documents and applying media forensics for the detection of facial morphing
RU2607229C2 (ru) Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества
US20130263263A1 (en) Web element spoofing prevention system and method
KR101761513B1 (ko) 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법
US20090228780A1 (en) Identification of and Countermeasures Against Forged Websites
CN113315637B (zh) 安全认证方法、装置及存储介质
US8341744B1 (en) Real-time behavioral blocking of overlay-type identity stealers
CN110035075A (zh) 钓鱼网站的检测方法、装置、计算机设备及存储介质
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
CN111385270A (zh) 基于waf的网络攻击检测方法及装置
Rajalingam et al. Prevention of phishing attacks based on discriminative key point features of webpages
CN116366338B (zh) 一种风险网站识别方法、装置、计算机设备及存储介质
CN109902611B (zh) 目标证件的检测方法、装置和终端设备
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
CN112541181A (zh) 一种检测服务器安全性的方法和装置
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN111435391A (zh) 自动确定gui中待交互的交互式gui元素的方法和设备
Wang et al. Verilogo: Proactive phishing detection via logo recognition
Lam et al. Counteracting phishing page polymorphism: An image layout analysis approach
KR101654797B1 (ko) 피싱 대응 상호 작용 캡차 시스템
Kaur et al. Five-tier barrier anti-phishing scheme using hybrid approach

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant