KR101803841B1 - Method for determining maliciousness of file being transmitted into web server and network device using the same - Google Patents

Method for determining maliciousness of file being transmitted into web server and network device using the same Download PDF

Info

Publication number
KR101803841B1
KR101803841B1 KR1020170000431A KR20170000431A KR101803841B1 KR 101803841 B1 KR101803841 B1 KR 101803841B1 KR 1020170000431 A KR1020170000431 A KR 1020170000431A KR 20170000431 A KR20170000431 A KR 20170000431A KR 101803841 B1 KR101803841 B1 KR 101803841B1
Authority
KR
South Korea
Prior art keywords
file
extension
web server
network device
received
Prior art date
Application number
KR1020170000431A
Other languages
Korean (ko)
Inventor
문병주
장동호
이경헌
Original Assignee
주식회사 파이오링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파이오링크 filed Critical 주식회사 파이오링크
Priority to KR1020170000431A priority Critical patent/KR101803841B1/en
Application granted granted Critical
Publication of KR101803841B1 publication Critical patent/KR101803841B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F17/30699
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Abstract

The present invention relates to a method for determining maliciousness of a file transmitted/ received to/from a web server, and a network apparatus for performing the same. Specifically, the network device that relays transmission/reception between a client terminal and the web server extracts the extension of a weak file from the configuration information of the web server or learns the extension of the weak file through the profiling of the web server, stores a clue list including the extracted extension in a database and determines a blocking condition that determines whether the extension of a file transmitted/received to/from the web server corresponds to the clue list, based on the clue list stored in the database.

Description

웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법 및 이를 수행하는 네트워크 장치{METHOD FOR DETERMINING MALICIOUSNESS OF FILE BEING TRANSMITTED INTO WEB SERVER AND NETWORK DEVICE USING THE SAME}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a method for determining maliciousness of a file transmitted / received to / from a web server,

본 발명은 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법 및 이를 수행하는 네트워크 장치에 관한 것으로서, 구체적으로, 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, 상기 웹 서버의 설정 정보로부터 취약한 파일의 확장자를 추출하거나 상기 웹 서버의 프로파일링을 통하여 상기 취약한 파일의 확장자를 학습하고, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하며, 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 방법 및 이를 수행하는 네트워크 장치에 관한 것이다.The present invention relates to a method for determining maliciousness of a file transmitted to and / or received from a web server, and a network device for performing the method. More particularly, the present invention relates to a network device for relaying transmission / reception between a client terminal and the web server, Extracting an extension of a weak file from information or learning an extension of the vulnerable file through profiling of the web server, storing a list of clues including the extracted extension in a database, And a network device for performing the method and a method for determining a blocking condition that determines whether an extension of a file transmitted to and / or received from the web server corresponds to the list of clues.

웹 서버는 클라이언트, 즉 웹 서버에 월드와이드웹(이하 “웹”이라고 함) 서비스를 요구하는 엔티티로부터 HTTP(Hyper-Text Transfer Protocol) 요청을 받아들이고, 상기 HTTP 요청에 대한 응답, 즉 웹 페이지 등의 컨텐츠를 상기 클라이언트에 제공하는 서버를 의미한다. 또한, 웹 애플리케이션 서버(web application server; WAS)는 웹 서버와 연동하여 네트워크 상에서 HTTP를 통하여 클라이언트에 대하여 애플리케이션을 수행해 주는 역할을 하는 서버를 지칭한다.The Web server accepts a Hyper-Text Transfer Protocol (HTTP) request from an entity requesting a World Wide Web service (hereinafter referred to as " Web ") service to a client, that is, a Web server, Means a server for providing content to the client. Also, a web application server (WAS) refers to a server that performs an application to a client through HTTP in a network in cooperation with a web server.

웹 서비스를 제공하기 위하여 웹 애플리케이션 서버와 웹 서버가 연동되는 웹 애플리케이션 서버(web application server; WAS) 환경에서는 악성 코드로 작성된 실행 가능한 확장자의 파일이 업로드되는 때에 그 악성 코드가 실행되는 취약점(vulnerability)이 존재하며, 악성 코드를 이용하는 크래커(cracker)는 이를 통하여 서버 조작, DB 정보 탈취, 백도어(backdoor) 설치 및 악성 파일 업로드 등의 다양한 공격을 수행할 수 있는 문제점이 있다.In a web application server (WAS) environment in which a web application server and a web server are interlocked to provide a web service, a malicious code is executed when a file of an executable extension written in malicious code is uploaded. And a cracker using malicious code can perform various attacks such as server manipulation, DB information acquisition, backdoor installation, and malicious file upload through the use of the malicious code.

본 발명은 상술한 문제점들을 모두 해결하는 것을 그 목적으로 한다. SUMMARY OF THE INVENTION The present invention has been made to solve all the problems described above.

특히, 본 발명은 웹 서버의 설정 파일을 통하여 실행 가능하거나 취약한 것으로 판정된 파일 확장자(extension)에 대하여 업로드(upload)하는 때에는 차단을 시행하여 그 업로드가 진행되지 않도록 하는 것을 목적으로 한다.Particularly, the present invention aims to block the uploading of a file extension that is executable or vulnerable through a configuration file of a web server to prevent the upload from proceeding.

이를 위하여 본 발명은 서버의 프로파일링(profiling)에 의하여 학습된 확장자에 대하여, 웹 서버에서 실행 가능하거나 취약한 파일 확장자에 대하여, 차단하는 것을 목적으로 한다.To this end, the present invention aims to block executable or weak file extensions on the web server for extensions learned by profiling the server.

상기 목적을 달성하기 위한 본 발명의 대표적인 구성은 다음과 같다.In order to accomplish the above object, a representative structure of the present invention is as follows.

본 발명의 일 태양에 따르면, 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법이 제공되는바, 그 방법은, (a) 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, (i) 상기 웹 서버의 설정 정보로부터 취약한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 단계; (b) 상기 네트워크 장치가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계; 및 (c) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of determining maliciousness of a file transmitted to and / or received from a web server, the method comprising: (a) determining whether a network device relaying transmission / performing at least one of the following: i) extracting an extension of a weak file from the configuration information of the web server; and ii) learning the extension of the weak file through profiling of the web server. (b) the network device storing a list of clues including the extracted extension in a database; And (c) determining, based on the list of clues stored in the database, whether or not the extension of the file transmitted and received to the web server corresponds to the list of clues based on the list of clues stored in the database.

본 발명의 다른 태양에 따르면, 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치가 제공되는바, 그 네트워크 장치는, 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 통신부; 및 (i) 상기 웹 서버의 설정 정보로부터 취약한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 프로세서를 포함하고, 상기 프로세서는, (iii) 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 프로세스, 및 (iv) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 프로세스를 더 수행한다.According to another aspect of the present invention, there is provided a network apparatus for performing a method of determining maliciousness of a file transmitted to and / or received from a web server, the network apparatus comprising: a communication unit for relaying transmission / reception between the client terminal and the web server; And a processor for performing at least one of the following: (i) extracting an extension of a weak file from configuration information of the web server; and (ii) a process of learning an extension of the weak file through profiling of the web server (Iii) a process of storing a list of clues including the extracted extension in a database, and (iv) a process of extracting the extension of the file transmitted to and received from the web server based on the list of clues stored in the database And further judges whether a blocking condition is included in the list of clues.

본 발명에 의하면, 다음과 같은 효과가 있다.The present invention has the following effects.

본 발명은 크래커(cracker)가 서버 조작, DB 정보 탈취, 백도어(backdoor) 설치 및 악성 파일 업로드 등의 다양한 공격을 수행하는 수단이 될 수 있는 악성 코드의 업로드를 방지할 수 있다.The present invention can prevent a malicious code from being uploaded, which may be a means by which a cracker can perform various attacks such as server manipulation, DB information acquisition, backdoor installation, and malicious file upload.

특히, 본 발명에 의하면 웹 서버의 설정 파일을 통하여 판정된 실행 가능하거나 취약한 파일 확장자(extension)에 대하여 업로드(upload)를 시도하는 때에는 그 업로드가 차단되는 효과가 있다.In particular, according to the present invention, when an attempt is made to upload an executable or weak file extension determined through a configuration file of a web server, the upload is blocked.

본 발명은 서버의 프로파일링(profiling)에 의하여 학습된 확장자에 대하여, 웹 서버에서 실행 가능하거나 취약한 파일 확장자에 대하여, 차단하는 효과가 있다.The present invention has the effect of blocking executable or weak file extensions on the web server for extensions learned by profiling the server.

구체적으로, 본 발명에 의하면 파일 확장자, 컨텐트 유형(Content-type), 본문(body)의 시그니처(signature) 값을 비교, 대조 내지 판정함으로써 프로파일링을 수행하고 그러한 프로파일링의 결과를 기초로 하여 악성 코드의 가능성이 있는 파일의 업로드를 차단하는 효과가 있다.Specifically, according to the present invention, profiling is performed by comparing, comparing, or determining signature values of a file extension, a content-type, and a body, and based on the results of such profiling, It has the effect of blocking the upload of files with possibility of code.

본 발명의 실시예들에서 기술적 해법을 더 분명하게 보여주기 위하여 실시예들의 설명에 이용될 필요가 있는 도면들이 아래에서 간단히 설명될 것이다. 물론, 아래에 제시된 도면들은 본 발명의 실시예들 중 단지 일부일 뿐이며, 해당 기술분야의 통상의 기술자에게 있어서는 발명적 작업이 이루어짐 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치를 개략적으로 도시한 개념도이다.
도 2는 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치, 상기 웹 서버 및 사용자 단말의 상호 작용을 개략적으로 도시한 개념도이다.
도 3은 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 개략적으로 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 방법을 수행하는 대상이 되는 HTTP 요청 정보를 예시적으로 도시한 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS [0029] The drawings, which need to be used for explaining embodiments in order to more clearly illustrate a technical solution in embodiments of the present invention, will be briefly described below. Of course, the drawings presented below are only a few of the embodiments of the present invention, and those skilled in the art will be able to obtain other drawings based on these drawings without any inventive work being done.
FIG. 1 is a conceptual diagram schematically illustrating a network device that performs a method of determining maliciousness of a file transmitted to and / or received from a web server according to an embodiment of the present invention.
FIG. 2 is a conceptual diagram schematically illustrating a network device performing a method of determining maliciousness of a file transmitted to and / or received from a web server according to an embodiment of the present invention, and the interaction between the web server and the user terminal.
3 is a flowchart schematically illustrating a method of determining maliciousness of a file transmitted to and / or received from a web server according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating exemplary HTTP request information to be performed according to an exemplary embodiment of the present invention. Referring to FIG.

후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 통상의 기술자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of example, specific embodiments in which the invention may be practiced in order to clarify the objects, technical solutions and advantages of the invention. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention.

본 발명의 상세한 설명 및 청구항들에 걸쳐, ‘취약하다’라는 단어 및 그것의 변형은 네트워크 보안의 측면에서 취약성(vulnerability)을 가지고 있다는 의미로 의도된 것인바, 취약성이라고 함은 크래커(cracker)라고 통칭되는 외부 공격자가 대상 시스템을 자신의 의도대로 익스플로잇(exploit)하는 데 이용될 수 있는 약점을 지칭한다. 통상적으로 취약한 파일이라고 함은, 실행 가능한 파일임을 필요조건으로 하는바, 실행 가능한 파일에 포함된 코드의 실행에 의하여 그러한 코드의 보안상 취약성이 이용될 수 있기 때문이다.Throughout the description and claims of the present invention, the word " vulnerable " and its variations are intended to mean a vulnerability in terms of network security, a vulnerability is a cracker Refers to a weakness that can be used to exploit a target system as an intended attacker. Typically, a vulnerable file is an executable file, as the security vulnerability of such code can be exploited by the execution of code contained in executable files.

그리고 본 발명의 상세한 설명 및 청구항들에서 ‘학습’은 절차에 따라 머신 러닝(machine learning)을 수행함을 일컫는 용어인바, 인간의 교육 활동과 같은 정신적 작용을 지칭하도록 의도된 것이 아님을 통상의 기술자는 이해할 수 있을 것이다.It should be noted that in the detailed description and claims of the present invention, 'learning' is a term referring to performing machine learning in accordance with a procedure, and it is not intended to refer to a mental operation such as a human educational activity, You will understand.

또한, 본 발명의 상세한 설명 및 청구항들에 걸쳐, ‘포함하다’라는 단어 및 그것의 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다.Also, throughout the description and claims of this invention, the word 'comprise' and variations thereof are not intended to exclude other technical features, additions, elements or steps. Other objects, advantages and features of the present invention will become apparent to those skilled in the art from this description, and in part from the practice of the invention. The following examples and figures are provided by way of illustration and are not intended to limit the invention.

더욱이 본 발명은 본 명세서에 표시된 실시예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다. Moreover, the present invention encompasses all possible combinations of embodiments shown herein. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Unless otherwise indicated herein or clearly contradicted by context, items referred to in the singular are intended to encompass a plurality unless otherwise specified in the context. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention.

도 1은 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치를 개략적으로 도시한 개념도이며, 도 2는 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치, 상기 웹 서버 및 사용자 단말의 상호 작용을 개략적으로 도시한 개념도이다.FIG. 1 is a conceptual diagram schematically showing a network device for performing a method of determining maliciousness of a file transmitted to and / or received from a web server according to an embodiment of the present invention. FIG. 3 is a conceptual diagram schematically illustrating the interaction between the web server and the user terminal.

도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 장치(100)는 통신부(110) 및 프로세서(120)를 포함하며, 도 2에 도시된 바와 같이 웹 서버, 상기 웹 서버를 이용하고자 하는 사용자의 단말인 사용자 단말과 간접 또는 직접적으로 통신할 수 있다.Referring to FIG. 1, a network device 100 according to an embodiment of the present invention includes a communication unit 110 and a processor 120, and includes a web server, And can indirectly or directly communicate with a user terminal that is a terminal of a user.

구체적으로, 네트워크 장치(100), 웹 서버, 사용자 단말 등은 전형적인 컴퓨팅 장치(예컨대, 컴퓨터 프로세서, 메모리, 스토리지, 입력 장치 및 출력 장치, 기타 기존의 컴퓨팅 장치의 구성요소들을 포함할 수 있는 장치; 라우터, 스위치 등과 같은 전자 통신 장치; 네트워크 부착 스토리지(NAS) 및 스토리지 영역 네트워크(SAN)와 같은 전자 정보 스토리지 시스템)와 컴퓨터 소프트웨어(즉, 컴퓨팅 장치로 하여금 특정의 방식으로 기능하게 하는 인스트럭션들)의 조합을 이용하여 원하는 시스템 성능을 달성하는 것일 수 있다. In particular, the network device 100, web server, user terminal, and the like may be a conventional computing device (e.g., a computer processor, memory, storage, input device and output device, Electronic information storage systems such as network attached storage (NAS) and storage area network (SAN)) and computer software (i.e., instructions that cause the computing device to function in a particular manner) Lt; RTI ID = 0.0 > desired system performance. ≪ / RTI >

또한, 네트워크 장치의 통신부(110)는 연동되는 타 컴퓨팅 장치와 요청과 응답을 송수신할 수 있는바, 일 예시로서 그러한 요청과 응답은 동일한 TCP 세션에 의하여 이루어질 수 있지만, 이에 한정되지는 않는바, 예컨대 UDP 데이터그램으로서 송수신될 수도 있을 것이다. In addition, the communication unit 110 of the network device may send and receive requests and responses to and from other interworking computing devices. As an example, such requests and responses may be made by the same TCP session, For example, as a UDP datagram.

또한 네트워크 장치의 프로세서(120)는 MPU(Micro Processing Unit) 또는 CPU(Central Processing Unit), 캐쉬 메모리(Cache Memory), 데이터 버스(Data Bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.The processor 120 of the network device may include a hardware configuration such as a micro processing unit (MPU) or a central processing unit (CPU), a cache memory, and a data bus. It may further include a software configuration of an operating system and an application that performs a specific purpose.

도 2에서는 설명의 편의상 중앙에 도시된 네트워크 장치가 하나의 사용자 단말과 하나의 웹 서버 사이의 송수신을 중계하는 것(1:1 중계)으로 도시되어 있으나, 1:N, N:1, N:N 중계도 가능함을 통상의 기술자가 이해할 수 있을 것이다. 요컨대, 본 발명에 따른 네트워크 장치에 의한 중계의 대상이 되는 사용자 단말과 웹 서버의 수는 한정되지 않는다.In FIG. 2, for convenience of explanation, the network device shown in the center is shown relaying transmission / reception between one user terminal and one web server (1: 1 relay) It will be understood by those of ordinary skill in the art that N repeating is also possible. In short, the number of user terminals and web servers to be relayed by the network device according to the present invention is not limited.

이제 본 발명에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 설명하기로 한다.Now, a method for determining maliciousness of a file transmitted to and / or received from a web server according to the present invention will be described.

도 3은 본 발명의 일 실시예에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 개략적으로 도시한 흐름도이다.3 is a flowchart schematically illustrating a method of determining maliciousness of a file transmitted to and / or received from a web server according to an embodiment of the present invention.

도 3을 참조하면, 본 발명에 따라 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법은, 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치(100)가, (i) 상기 웹 서버의 설정 정보로부터 취약한 파일의 확장자를 추출하는 프로세스(S310a; 미도시) 및 (ii) 상기 웹 서버의 프로파일링을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스(S310b; 미도시) 중 적어도 하나를 수행하는 단계(S310)를 포함한다. Referring to FIG. 3, a method for determining maliciousness of a file transmitted to and / or received from a web server according to the present invention includes the steps of (i) (S310a; not shown) for extracting the extension of the vulnerable file from the setting information of the vulnerable file (S310b: not shown) through the profiling of the web server (S310).

예를 들어, 상기 취약한 파일의 확장자는, php, asp, aspx, jsp 등일 수 있으나 이에 한정되지 않으며, 통상의 기술자는 웹 서버에 의하여 실행될 수 있는 파일의 확장자에는 어떠한 것들이 있을 수 있는지 잘 알 수 있을 것이다.For example, the extension of the vulnerable file may be php, asp, aspx, jsp, or the like, but the present invention is not limited thereto. The ordinary descriptor can be a file will be.

일 실시예에서, 프로세스(S310a)는, 상기 네트워크 장치(100)가 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자를 추출하는 단계(S311a; 미도시); 및 상기 네트워크 장치(100)가, 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자를 추출하는 단계(S312a; 미도시)를 포함할 수 있다.In an embodiment, the process S310a comprises the step (S311a; not shown) of the network device 100 extracting the extension of the vulnerable file from the configuration information of the web server; And extracting an extension of a file executable for each directory from the setting information of the web server (S312a; not shown).

구체적으로, 대표적인 웹 서버 중의 하나인 아파치(Apache) 서버를 예시로서 설명하자면, 아파치의 설정 정보를 담고 있는 설정 파일은 “AddType” 지시어(directive)를 포함하고 있으며, AddType 지시어 가운데 “application/x-httpd-php .php .php5”가 포함되어 있다면, 해당 웹 서버 내부에서 실행 가능한 확장자로서 “php” 및 “php5”를 추출해낼 수 있다.Specifically, an example of a typical web server is an Apache server. The configuration file containing Apache configuration information includes an " AddType " directive, and an " application / x- httpd-php .php .php5 ", you can extract" php "and" php5 "as executable extensions from within the web server.

또한, 아파치 서버의 설정 파일에 포함된 디렉토리(directory) 또는 파일(file) 지시어의 옵션(option)으로부터, 또는 “AddType” 지시어의 내용으로부터 디렉토리 별로 실행 가능한 파일의 확장자를 추출할 수 있다.Extensions of executable files can also be extracted from the directory or file directive options in the configuration file of the Apache server, or from the contents of the "AddType" directive.

실행 가능한 확장자 별로 예를 들자면, “php”와 관련하여 아파치 서버의 설정 정보에 포함될 수 있는 지시어에는 “AddType application/x-httpd-php .php”, “AddType application/x-httpd-php-source .phps” 등이 있을 수 있으며, “jsp”와 관련한 지시어에는 “LoadModule jk_modules/mod_jk.so”, “JkMount /*.jsp worker1”, “JkMount /*/servlet/* worker1” 등이 있을 수 있다. 또한, “asp”와 관련한 지시어에는 “LoadModule asp_module modules/apasp136.dll”, “text/x-asp asp” 등이 있을 수 있다.For example, the directives that can be included in the Apache server configuration information for "php" include "AddType application / x-httpd-php.php", "AddType application / x-httpd-php-source. jkMount / * / servlet / * worker1 ", etc. The directives relating to" jsp "may include" LoadModule jk_modules / mod_jk.so "," JkMount /*.jsp worker1 " In addition, directives related to "asp" may include "LoadModule asp_module modules / apasp136.dll" and "text / x-asp asp".

다른 일 예시로서, 대표적인 웹 서버 중의 하나인 엔진(nginx) 서버의 경우에서는, 엔진 애플리케이션(nginx)의 http, server의 location block을 분석함으로써 상기 실행 가능한 파일의 확장자를 추출할 수 있다는 점을 통상의 기술자가 이해할 수 있을 것이다.As another example, in the case of an engine (nginx) server which is one of representative web servers, it is possible to extract the extension of the executable file by analyzing the location block of http and server of the engine application (nginx) The technician will understand.

엔진(nginx)에 있어서는 대부분 설정 위치(config location) 정보를 통하여 분석될 수 있는바, 예를 들어 “php” 관련 정보에는, “location ~ \.php$”, “fastcgi_pass unix:/dev/shm/php5-fpm.sock;” 등이 있을 수 있고, “jsp” 관련 정보에는, “location ~ \.jsp$ {”, “location ^~/servlets/”, “location ~ \.do$” 등이 있을 수 있다.For example, for "php" related information, "location ~ \ .php $", "fastcgi_pass unix: / dev / shm / php5-fpm.sock; ", and the" jsp "related information may include" location ~ \ .jsp $ {"," location ^ ~ / servlets / "," location ~ \ .do $ " .

이와 같이 웹 서버의 설정 정보를 분석함으로써 디렉토리 또는 파일 별로 실행 가능한 확장자를 추출해낼 수 있는바, 그 추출된 정보를 데이터베이스에 저장하는 단계에 관하여는 후술하기로 한다.By analyzing the setting information of the web server as described above, executable extensions can be extracted for each directory or file, and the step of storing the extracted information in the database will be described later.

일 실시예에서, 프로세스(S310b)는, 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL 정보로부터 상기 파일 확장자를 학습하는 프로세스(S311b; 미도시), 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습하는 프로세스(S312b; 미도시), 및 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자를 학습하는 프로세스(S313b; 미도시) 중 적어도 하나를 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스일 수 있다.In an embodiment, the process S310b comprises: a process (S311b; not shown) of learning the file extension from the URL information included in the HTTP request information for the web server; an HTTP response a process S312b (not shown) for learning server information included in a header of response information and a link included in a body of HTTP response information from the web server, And a process of learning (S313b; not shown) to learn the extension of the vulnerable file.

이를 구체적으로 설명하면, HTTP 프로토콜(protocol)에 있어서 HTTP 요청(request) 정보를 규정하고 있는 HTTP 프로토콜 규격(웹페이지 https://tools.ietf.org/html/rfc2616#page-35 참조)에서 시작 라인(start line)에서 Request-URI를 추출할 수 있으며, 이 때 Request-URI에서 마지막 마침표(.)를 기준으로 확장자를 추출함으로써 상기 학습을 할 수 있는데, 정적인 확장자(예컨대 이미지 파일과 같은 것)는 제외되고 실행 가능한 파일 확장자만이 추출될 수 있다.Specifically, the HTTP protocol specification (see the web page https://tools.ietf.org/html/rfc2616#page-35) that defines HTTP request information in the HTTP protocol The request-URI can be extracted from the line (start line), and the learning can be performed by extracting the extension based on the last period (.) In the Request-URI. The static extension (for example, ) Are excluded and only executable file extensions can be extracted.

예를 들어 HTTP 요청 정보는 전형적으로 다음 표 1과 같은 모습으로 되어 있을 수 있다.For example, the HTTP request information may typically be as shown in Table 1 below.

GET /books/search.asp HTTP/1.1
Accept: image/gif, image/xxbitmap, image/jpeg, image/pjpeg,
application/xshockwaveflash, application/vnd.msexcel,
application/vnd.mspowerpoint, application/msword, */*
Referer: http://wahh-app.com/books/default.asp
Accept-Language: en-gb,en-us;q=0.5
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Host: wahh-app.com
Cookie: lang=en; JSESSIONID=0000tI8rk7joMx44S2Uu85nSWc_:vsnlc502GET /books/search.asp HTTP / 1.1
Accept: image / gif, image / xxbitmap, image / jpeg, image / pjpeg,
application / xshockwaveflash, application / vnd.msexcel,
application / vnd.mspowerpoint, application / msword, * / *
Referer: http://wahh-app.com/books/default.asp
Accept-Language: en-gb, en-us; q = 0.5
Accept-Encoding: gzip, deflate
User-Agent: Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Host: wahh-app.com
Cookie: lang = en; JSESSIONID = 0000tI8rk7joMx44S2Uu85nSWc_: vsnlc502

이 예시에 포함되어 있는 URL 정보는 “/books/search.asp”와 “http://wahh-app.com/books/default.asp”인바, 프로세스(S311b)에 의하면, 네트워크 장치(100)가, 각각의 URL 정보로부터 파일 확장자 “asp”와 “asp” 각각을 학습할 수 있다.The URL information included in this example is "/books/search.asp" and "http://wahh-app.com/books/default.asp", and according to the process S311b, the network device 100 , And the file extensions " asp " and " asp " can be learned from the respective URL information.

또한, HTTP 프로토콜에 있어서 HTTP 응답 정보는 전형적으로 다음 표 2와 같은 모습으로 되어 있을 수 있다.In addition, the HTTP response information in the HTTP protocol may typically be as shown in Table 2 below.

HTTP/1.1 200 OK
Date: Sat, 19 May 2007 13:49:37 GMT
Server: IBM_HTTP_SERVER/1.3.26.2 Apache/1.3.26 (Unix)
Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSWc
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Content-Type: text/html;charset=ISO-8859-1
Content-Language: en-US
Content-Length: 24246
... (body) ...HTTP / 1.1 200 OK
Date: Sat, 19 Mar 2007 13:49:37 GMT
Server: IBM_HTTP_SERVER / 1.3.26.2 Apache / 1.3.26 (Unix)
Set-Cookie: tracking = tI8rk7joMx44S2Uu85nSWc
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Content-Type: text / html; charset = ISO-8859-1
Content-Language: en-US
Content-Length: 24246
... (body) ...

이 예시에 있어서 서버 정보는 “Server”로 시작되는 행에 표시된 정보를 지칭하는바, 그 서버 정보는 “IBM_HTTP_SERVER/1.3.26.2 Apache/1.3.26 (Unix)”이다. 이는 Apache 1.3.26을 사용하는 IBM 서버임을 나타낸다.In this example, the server information refers to the information displayed in the line beginning with " Server ", whose server information is " IBM_HTTP_SERVER / 1.3.26.2 Apache / 1.3.26 (Unix) ". This indicates an IBM server using Apache 1.3.26.

다른 예시로서, 상기 서버 정보는, “Server”, “X-Powered-by”, “Microsoftofficewebserver”, “X-AspNet-version”, “X-AspNetMvc-version” 등일 수 있다. 일 예시인 “X-AspNet-version”과 같은 경우에는 웹 서버에서 “asp”가 실행 가능한 파일의 확장자로 설정되어 있을 것이므로, 프로세스(S312b)에 의하면 파일 확장자 “asp”가 학습될 수 있다.As another example, the server information may be "Server", "X-Powered-by", "Microsoft Office Web Server", "X-AspNet-version", "X-AspNetMvc-version" In the case of "X-AspNet-version" which is an example, the file extension "asp" can be learned according to the process S312b since "asp" is set as an extension of the executable file in the web server.

서버 정보 별로 예를 들자면, 상기 서버 정보가 “Server: Microsoft-IIS/6.0”인 경우에는 iis server 6.0을 사용하는 서버임을 나타내고, “Server: nginx/1.9.6”은 서버가 nginx를 사용하고 nginx의 버전은 1.9.6 버전임을 나타내며, “Server: Apache/2.4.9 (Unix) PHP/5.5.12”는 Apache 2.4.9를 사용하고, PHP는 5.5.12 버전을 이용함을 나타내는 것이다. 또한, “X-Powered-by” 항목에 의하여도 서버 정보를 알아낼 수 있는바, “X-Powered-By : PHP/5.12-1+b1”은 서버가 PHP를 사용하는 것을 확인할 수 있게 하며, “X-Powered-By : ASP.NET”은 ASP를 사용하는 것을 알 수 있게 하고, “X-Powered-By : Servlet/2.5 JSP/2.1”은 JSP를 사용하는 것을 알 수 있게 한다. 그리고 “Microsoftofficewebserver”의 항목에 의해서 서버 정보를 확인할 수 있는바, 예컨대 그러한 항목의 예시로서 “Microsoftofficewebserver : 5.0_Pub”가 있을 수 있으며, “X-AspNet-version”에 의하여 ASP의 사용 버전을 알 수 있는바, 그러한 항목의 예시로서 “X-AspNet-Version : 2.0.50727”가 있을 수 있다. 기타 “X-AspNetMvc-version” 항목 등에 의하여 서버 정보를 알 수 있을 것이다.For example, if the server information is "Server: Microsoft-IIS / 6.0", it indicates that the server is using iis server 6.0, "Server: nginx / 1.9.6" indicates that the server uses nginx, Indicates that the version is 1.9.6, "Server: Apache / 2.4.9 (Unix) PHP / 5.5.12" uses Apache 2.4.9, and PHP uses version 5.5.12. You can also find server information by "X-Powered-by" item, "X-Powered-By: PHP / 5.12-1 + b1" X-Powered-By: ASP.NET "lets you know that you are using ASP, and" X-Powered-By: Servlet / 2.5 JSP / 2.1 " The server information can be confirmed by an item of "Microsoft office website", for example, there can be "Microsoft office website: 5.0_Pub" as an example of such an item, and the use version of ASP by "X-AspNet-version" Bar, "X-AspNet-Version: 2.0.50727" may be an example of such an item. Other "X-AspNetMvc-version" item will be able to know server information.

그리고 프로세스(S313b)에 의하면, HTTP 프로토콜에 있어서 HTTP 응답 정보가 포함하는 본문(body)이 텍스트의 형식으로 되어 있는 때에 그 텍스트에 포함된 내부 링크의 정보로부터 파일 확장자를 알아낼 수 있다. HTTP 응답 정보가 전형적인 HTML 파일을 되돌려주는 것이라면, 텍스트의 형식으로 되어 있는 HTML 파일 가운데, “<a href=…>” HTML 태그에 의한 링크가 획득될 수도 있을 것인바, 그 링크의 정보로부터 파일 확장자가 학습될 수 있다.According to the process S313b, when the body included in the HTTP response information is in the form of text, the file extension can be obtained from the information of the internal link included in the text. If the HTTP response information is to return a typical HTML file, you can use the "<a href = ... > "HTML tag may be obtained, so that the file extension can be learned from the information of the link.

다시 도 3을 참조하면, 본 발명에 따른 파일의 악성 여부 판정 방법은, 상기 네트워크 장치(100)가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계(S320)를 더 포함한다. Referring again to FIG. 3, the method for determining malicious nature of a file according to the present invention further includes a step S320 of storing the list of clues including the extracted extension in the database by the network device 100 (S320).

상기 데이터베이스는 통상의 기술자에게 잘 알려져 있는 기술에 의하여 구현되는 것이므로, 이에 대한 불필요한 세부는 생략하기로 한다. 상기 데이터베이스는 상기 네트워크 장치(100)에 의하여 구현될 수 있지만 이에 한정되지는 않는바, 상기 네트워크 장치(100)에 연동되는 타 장치에 의하여 구현될 수도 있음을 이해할 수 있을 것이다.Since the database is implemented by a technique well known to those skilled in the art, unnecessary detail thereof will be omitted. It will be appreciated that the database may be implemented by the network device 100, but not limited thereto, by other devices associated with the network device 100.

일 실시예에서, 상기 단서 목록은 상기 취약한 파일의 확장자, 컨텐트 유형(Content-type) 및 본문(body) 시그니처(signature) 값의 트리플렛(triplet)을 포함할 수 있는바, 이는 도 4를 참조하여 더 구체적으로 설명하기로 한다.In one embodiment, the clue list may include a triplet of the vulnerable file's extension, content-type, and body signature values, More specifically, it will be described.

도 4는 본 발명의 일 실시예에 따른 방법을 수행하는 대상이 되는 HTTP 요청 정보를 예시적으로 도시한 도면이다. 이 도면에서 확인할 수 있는 정보 중에서 filename=“autotools.ppt”로부터 파일의 확장자 “ppt”가 추출될 수 있으며, Content-Type: application/vnd.ms-powerpoint로부터 컨텐트 유형 “application/vnd.ms-powerpoint”이 추출될 수 있다. 여기에서 본문 시그니처 값은 컨텐트 유형 “application/vnd.ms-powerpoint”의 “ppt” 파일임을 식별해 낼 수 있게 하는 HTTP 요청 정보 본문의 바이너리 데이터(binary data)를 지칭한다. FIG. 4 is a diagram illustrating exemplary HTTP request information to be performed according to an exemplary embodiment of the present invention. Referring to FIG. The file extension "ppt" can be extracted from filename = "autotools.ppt" from the information that can be seen in this drawing and the content type "application / vnd.ms-powerpoint" from Content-Type: application / vnd.ms- Quot; can be extracted. Herein, the body signature value refers to binary data in the HTTP request information body which enables identification of the file "ppt" of the content type "application / vnd.ms-powerpoint".

파일의 업로드 시에 본문(body)은 실제 파일의 데이터를 지칭한다. 실제 파일의 데이터는 사용자 단말(client)이 업로드하는 실제 파일에 대응되는 것이며, 본문 시그니처 값은 그 파일의 시그니처에 해당된다.When uploading a file, the body refers to the data of the actual file. The data of the actual file corresponds to the actual file uploaded by the user terminal, and the body signature value corresponds to the signature of the file.

파일의 시그니처에 관하여 더 구체적으로 설명하면, 파일의 시그니처는 특정 컨텐트 유형, 특정 파일 확장자에 대응되는 특징적 정보인바, 실제 파일의 바이너리 데이터로부터 이와 같은 파일의 시그니처를 획득함으로써 파일 별로 컨텐트 유형과 파일 확장자를 구분해낼 수 있다. 이와 같이 파일의 시그니처를 획득하는 기능의 예시는 예를 들어 리눅스 운영체제(Linux Operating System)에서는 file이라는 명령어에서 찾을 수 있는바, 통상의 기술자는 리눅스 운영체제의 file 명령어를 통하여 실제 파일의 바이너리 데이터가 해당 컨텐트 유형과 파일 확장자에 대응되는지를 검사할 수 있다는 점을 잘 알 수 있을 것이다.More specifically, the signature of the file is characteristic information corresponding to a specific content type, a particular file extension, and by obtaining the signature of such a file from the binary data of the actual file, the content type and the file extension . An example of the function of acquiring the signature of a file is found in a command file in the Linux operating system, for example. In the case of a normal descriptor, binary data of the actual file is obtained through the file command of the Linux operating system. It is possible to check whether the content type corresponds to the content type and the file extension.

이와 같은 파일의 확장자, 컨텐트 유형 및 본문 시그니처 값을 포함하는 트리플렛(triplet), 즉, 3가지의 조합은 그 데이터베이스화를 통하여, 향후 송수신될 파일이 악성 코드일 수 있는 잠재적 가능성을 가지는 경우 이를 차단하기 위한 것이다.The triplet including the extension of the file, the content type, and the body signature value, that is, the combination of the three types, is used to block the file to be transmitted / received in the future if the file has potential potential to be malicious code .

상기 단서 목록이 상기 트리플렛을 포함하는 이 실시예에서, 전술한 프로세스(S310a)의 단계(S311a)는 더 구체적으로 상기 네트워크 장치가 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 단계일 수 있으며, 단계(S312a)는 더 구체적으로 상기 네트워크 장치가 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 단계일 수 있다.In this embodiment, where the list of clues includes the triplet, step S311a of the above-described process S310a further comprises, from the configuration information of the web server, the network device to the extension of the vulnerable file and the content type Extracting at least one of the extension of the executable file and the content type for each directory from the setting information of the web server, and more particularly, the step (S312a) .

또한 상기 단서 목록이 상기 트리플렛을 포함하는 이 실시예에서, 전술한 프로세스(S311b)는 더 구체적으로 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL(Uniform Resource Locator) 정보로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스일 수 있으며, 프로세스(S312b)는 더 구체적으로 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습함으로써 상기 HTTP 응답 정보로부터 상기 파일 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값 중 적어도 하나를 학습하는 프로세스일 수 있고, 프로세스(S313b)는 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스일 수 있다. 이 경우에, 전술한 프로세스(310b)는 이와 같은 프로세스들(S311b 내지 S313b) 중 적어도 하나를 통하여 상기 단서 목록을 학습하는 프로세스일 수 있다.Also, in this embodiment in which the list of clues includes the triplet, the above-described process S311b may further include, from Uniform Resource Locator (URL) information included in HTTP request information for the web server, And the content type, and the process S312b may be a process of learning at least one of the HTTP response and the content type by learning server information contained in a header of HTTP response information from the web server, (S313b) may be a process of learning at least one of the file extension, the content type, and the body signature value from the information, and the process (S313b) may be a process of learning a link included in the body of the HTTP response information from the web server, And at least one of the file extension and the content type. In this case, the above-described process 310b may be a process of learning the list of clues through at least one of these processes S311b through S313b.

또 도 3을 참조하면, 본 발명에 따른 파일의 악성 여부 판정 방법은, 다음으로, 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치(100)가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계(S330)를 더 포함한다. 3, the file maliciousness determination method according to the present invention is characterized in that the network device 100 determines whether the malicious file is malicious or not based on the list of clues stored in the database, (S330) a blocking condition that determines whether the extension corresponds to the list of clues.

일 실시예에서, 상기 단계(S330)는, 상기 네트워크 장치가, 상기 송수신되는 파일이 상기 단서 목록에 포함된 상기 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값에 대응되는지 여부를 판정하는 단계(S331)를 포함할 수 있다.In step S330, the network device determines whether the file to be transmitted / received corresponds to the extension, the content type, and the body signature value included in the list of clues (S331) . &Lt; / RTI &gt;

상기 단계(S330)는, 단계(S331)의 수행에 의하여 상기 대응되는 것으로 판정되면, 상기 네트워크 장치(100)가, 상기 송수신되는 파일의 상기 컨텐트 유형이 상기 송수신되는 파일의 데이터에 매칭되는지 여부를 판정하는 단계(S332a)를 더 포함할 수 있으며, 이 경우 상기 매칭되지 않는 것으로 판정되면, 상기 네트워크 장치(100)가, 상기 차단 조건을 참인 것으로 판정(S333a)할 수 있다The network device 100 determines whether the content type of the file to be transmitted and received matches the data of the file to be transmitted / received, if it is determined in step S330 that the correspondence is made by performing step S331 (S332a). In this case, if it is determined that the matching is not made, the network device 100 may determine (S333a) that the blocking condition is true

한편, 상기 단계(S330)는, 단계(S331)의 수행에 의하여 상기 대응되지 않는 것으로 판정되면, 상기 네트워크 장치(100)가, 상기 송수신되는 파일의 데이터로부터 획득된 시그니처 값이 상기 데이터베이스에 저장된 특정 트리플렛의 상기 본문 시그니처 값과 일치하는지 여부를 판정하는 단계(S332b)를 더 포함할 수 있으며, 이 경우 상기 일치하는 것으로 판정되면, 상기 네트워크 장치(100)가, 상기 차단 조건을 참인 것으로 판정(S333b)할 수 있다.In step S330, if it is determined in step S331 that the correspondence does not correspond, the network device 100 determines whether the signature value obtained from the data of the transmitted / (S333b) determining whether the network device 100 matches the body signature value of the triplet (S332b). If the network device 100 determines that the matching is true, )can do.

또한, 다른 일 실시예에서 상기 단계(S330)는, 상기 차단 조건이 참이면, 상기 네트워크 장치(100)가, 상기 웹 서버에 송수신되는 파일의 송수신을 차단하는 것을 특징으로 할 수도 있다.In another embodiment, the step (S330) may be such that, when the blocking condition is true, the network device 100 blocks transmission / reception of a file transmitted / received to / from the web server.

전술한 본 발명의 모든 실시예들에 걸쳐, 서버 조작, DB 정보 탈취, 백도어(backdoor) 설치 및 악성 파일 업로드 등의 다양한 공격을 수행하는 수단이 될 수 있는 악성 코드의 업로드를 방지할 수 있는 효과가 있다.It is possible to prevent the uploading of malicious code which may be a means for performing various attacks such as server operation, DB information acquisition, backdoor installation and malicious file upload, etc., over all the embodiments of the present invention described above .

상기 실시예들로서 여기에서 설명된 기술의 이점은, 웹 서버의 설정 파일로부터 추출되거나 서버의 프로파일링(profiling)에 의하여 학습된 단서 목록에 대응되는 파일의 업로드를 방지함으로써 웹 서버 시스템의 보안성이 크게 강화된다는 점이다.An advantage of the techniques described herein as the above embodiments is that the security of the web server system can be improved by preventing the uploading of files corresponding to the list of learned cues extracted from the configuration file of the web server or profiling of the server It is greatly strengthened.

위 실시예의 설명에 기초하여 통상의 기술자는, 본 발명이 소프트웨어 및 하드웨어의 결합을 통하여 달성되거나 하드웨어만으로 달성될 수 있다는 점을 명확하게 이해할 수 있다. 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 자료 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 CPU나 GPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고 받을 수 있는 통신부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.Based on the description of the above embodiments, one of ordinary skill in the art can clearly understand that the present invention can be accomplished through a combination of software and hardware, or achieved by hardware alone. Objects of the technical solution of the present invention or portions contributing to the prior art can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, etc., alone or in combination. The program instructions recorded on the computer-readable recording medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa. The hardware device may include a processor, such as a CPU or a GPU, coupled to a memory, such as ROM / RAM, for storing program instructions, and configured to execute instructions stored in the memory, And a communication unit. In addition, the hardware device may include a keyboard, a mouse, and other external input devices for receiving commands generated by the developers.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, Those skilled in the art will appreciate that various modifications, additions and substitutions are possible, without departing from the scope and spirit of the invention as disclosed in the accompanying claims.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be construed as being limited to the above-described embodiments, and all of the equivalents or equivalents of the claims, as well as the following claims, I will say.

100: 네트워크 장치
110: 통신부
120: 프로세서100: Network device
110:
120: Processor

Claims (20)

삭제delete 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법에 있어서,
(a) 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, (i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 단계;
(b) 상기 네트워크 장치가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계; 및
(c) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계;
를 포함하되,
상기 (a) 단계의 상기 (i) 프로세스는,
(i-1) 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자를 추출하는 단계; 및
(i-2) 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자를 추출하는 단계
를 포함하는 방법.A method for determining whether a file transmitted to and / or received from a web server is malicious,
(a) a network device that relays transmission / reception between a client terminal and the web server, comprising: (i) a process of extracting a vulnerable file extension from configuration information of the web server; and (ii) Performing at least one of a process of learning the extension of the vulnerable file through profiling;
(b) the network device storing a list of clues including the extracted extension in a database; And
(c) determining, based on the list of clues stored in the database, the blocking condition that the network device determines whether an extension of a file transmitted to and / or received from the web server corresponds to the clue list;
, &Lt; / RTI &
The process (i) of the step (a)
(i-1) the network device extracting the extension of the vulnerable file from the setting information of the web server; And
(i-2) extracting an extension of a file executable for each directory from the setting information of the web server
&Lt; / RTI &gt; 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법에 있어서,
(a) 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, (i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 단계;
(b) 상기 네트워크 장치가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계; 및
(c) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계;
를 포함하되,
상기 (a) 단계의 상기 (ii) 프로세스는,
(ii-1) 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL(Uniform Resource Locator) 정보로부터 상기 파일 확장자를 학습하는 프로세스,
(ii-2) 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습하는 프로세스, 및
(ii-3) 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자를 학습하는 프로세스
중 적어도 하나를 통하여 상기 취약한 파일의 확장자를 학습하는 것을 특징으로 하는 방법.A method for determining whether a file transmitted to and / or received from a web server is malicious,
(a) a network device that relays transmission / reception between a client terminal and the web server, comprising: (i) a process of extracting a vulnerable file extension from configuration information of the web server; and (ii) Performing at least one of a process of learning the extension of the vulnerable file through profiling;
(b) the network device storing a list of clues including the extracted extension in a database; And
(c) determining, based on the list of clues stored in the database, the blocking condition that the network device determines whether an extension of a file transmitted to and / or received from the web server corresponds to the clue list;
, &Lt; / RTI &
The process (ii) of the step (a)
(ii-1) a process of learning the file extension from URL (Uniform Resource Locator) information included in HTTP request information for the web server,
(ii-2) a process of learning server information contained in a header of HTTP response information from the web server, and
(ii-3) a process of learning the file extension from a link included in a body of HTTP response information from the web server
And the extension of the vulnerable file is learned through at least one of the following. 제2항에 있어서,
상기 (c) 단계는,
상기 차단 조건이 참이면, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 송수신을 차단하는 것을 특징으로 하는 방법.3. The method of claim 2,
The step (c)
And if the blocking condition is true, the network device blocks transmission / reception of a file transmitted / received to / from the web server. 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법에 있어서,
(a) 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, (i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 단계;
(b) 상기 네트워크 장치가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계; 및
(c) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계;
를 포함하되,
상기 단서 목록은,
상기 취약한 파일의 확장자, 컨텐트 유형(Content-type) 및 본문(body) 시그니처(signature) 값의 트리플렛(triplet)을 포함하는 것을 특징으로 하는 방법.A method for determining whether a file transmitted to and / or received from a web server is malicious,
(a) a network device that relays transmission / reception between a client terminal and the web server, comprising: (i) a process of extracting a vulnerable file extension from configuration information of the web server; and (ii) Performing at least one of a process of learning the extension of the vulnerable file through profiling;
(b) the network device storing a list of clues including the extracted extension in a database; And
(c) determining, based on the list of clues stored in the database, the blocking condition that the network device determines whether an extension of a file transmitted to and / or received from the web server corresponds to the clue list;
, &Lt; / RTI &
The above-
And a triplet of the extension, content-type and body signature value of the vulnerable file. 제5항에 있어서,
상기 (a) 단계의 상기 (i) 프로세스는,
(i-1') 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 단계; 및
(i-2') 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 단계
를 포함하는 방법.6. The method of claim 5,
The process (i) of the step (a)
(i-1 ') extracting at least one of the extension of the vulnerable file and the content type from the setting information of the web server; And
(i-2 ') extracting at least one of an extension of a file executable for each directory and the content type from the setting information of the web server
&Lt; / RTI &gt; 제5항에 있어서,
상기 (a) 단계의 상기 (ii) 프로세스는,
(ii-1') 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL 정보로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스,
(ii-2') 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습함으로써 상기 HTTP 응답 정보로부터 상기 파일 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값 중 적어도 하나를 학습하는 프로세스, 및
(ii-3') 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스
중 적어도 하나를 통하여 상기 단서 목록을 학습하는 것을 특징으로 하는 방법.6. The method of claim 5,
The process (ii) of the step (a)
(ii-1 ') learning at least one of the file extension and the content type from URL information included in HTTP request information for the web server,
(ii-2 ') at least one of the file extension, the content type, and the body signature value from the HTTP response information by learning server information contained in a header of HTTP response information from the web server , &Lt; / RTI &gt; and
(ii-3 ') a process of learning at least one of the file extension and the content type from a link contained in a body of HTTP response information from the web server
And the list of clues is learned through at least one of the list of clues. 제5항에 있어서,
상기 (c) 단계는,
(c1) 상기 네트워크 장치가, 상기 송수신되는 파일이 상기 단서 목록에 포함된 상기 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값에 대응되는지 여부를 판정하는 단계;
(c2) 상기 대응되는 것으로 판정되면, 상기 네트워크 장치가, 상기 송수신되는 파일의 상기 컨텐트 유형이 상기 송수신되는 파일의 데이터에 매칭되는지 여부를 판정하는 단계; 및
(c3) 상기 매칭되지 않는 것으로 판정되면, 상기 네트워크 장치가, 상기 차단 조건을 참인 것으로 판정하는 단계
를 포함하는 것을 특징으로 하는 방법.6. The method of claim 5,
The step (c)
(c1) determining whether the network device corresponds to the extension, the content type, and the body signature value of the transmitted / received file included in the list of clues;
(c2) if the corresponding correspondence is determined, the network device determining whether the content type of the file to be transmitted and received matches the data of the file to be transmitted / received; And
(c3) if it is determined that the match does not match, the network device determines that the cutoff condition is true
&Lt; / RTI &gt; 제5항에 있어서,
상기 (c) 단계는,
(c1) 상기 네트워크 장치가, 상기 송수신되는 파일이 상기 단서 목록에 포함된 상기 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값에 대응되는지 여부를 판정하는 단계;
(c2') 상기 대응되지 않는 것으로 판정되면, 상기 네트워크 장치가, 상기 송수신되는 파일의 데이터로부터 획득된 시그니처 값이 상기 데이터베이스에 저장된 특정 트리플렛의 상기 본문 시그니처 값과 일치하는지 여부를 판정하는 단계; 및
(c3') 상기 일치하는 것으로 판정되면, 상기 네트워크 장치가, 상기 차단 조건을 참인 것으로 판정하는 단계
를 포함하는 것을 특징으로 하는 방법.6. The method of claim 5,
The step (c)
(c1) determining whether the network device corresponds to the extension, the content type, and the body signature value of the transmitted / received file included in the list of clues;
(c2 ') determining that the network device does not match the signature value obtained from the data of the file to be transmitted / received, if the signature value is not matched with the body signature value of the specific triplet stored in the database; And
(c3 ') if said match is found, said network device determines that said cutoff condition is true
&Lt; / RTI &gt; 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법에 있어서,
(a) 클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 네트워크 장치가, (i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 단계;
(b) 상기 네트워크 장치가, 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 단계; 및
(c) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 네트워크 장치가, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 단계;
를 포함하되,
상기 취약한 파일의 확장자는, php, asp, aspx, jsp를 포함하는 일 군으로부터 선택되는 것을 특징으로 하는 방법.A method for determining whether a file transmitted to and / or received from a web server is malicious,
(a) a network device that relays transmission / reception between a client terminal and the web server, comprising: (i) a process of extracting a vulnerable file extension from configuration information of the web server; and (ii) Performing at least one of a process of learning the extension of the vulnerable file through profiling;
(b) the network device storing a list of clues including the extracted extension in a database; And
(c) determining, based on the list of clues stored in the database, the blocking condition that the network device determines whether an extension of a file transmitted to and / or received from the web server corresponds to the clue list;
, &Lt; / RTI &
Wherein the extension of the vulnerable file is selected from the group consisting of php, asp, aspx, jsp. 삭제delete 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치에 있어서,
클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 통신부; 및
(i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 프로세서를 포함하되,
상기 프로세서는,
(iii) 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 프로세스, 및 (iv) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 프로세스를 수행하며,
상기 (i) 프로세스는,
(i-1) 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자를 추출하는 프로세스; 및
(i-2) 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자를 추출하는 프로세스
를 포함하는 네트워크 장치.A network device for performing a method for determining whether a file transmitted to and / or received from a web server is malicious,
A communication unit for relaying transmission and reception between the client terminal and the web server; And
(i) a process of extracting a vulnerable file extension from configuration information of the web server and (ii) a process of learning the extension of the vulnerable file through profiling of the web server Comprising:
The processor comprising:
(iii) a step of storing a list of clues including the extracted extension in a database, and (iv) an extension of a file transmitted to and received from the web server based on the list of clues stored in the database, And a determination is made as to whether or not the blocking condition is satisfied,
The process (i)
(i-1) extracting an extension of the weak file from the setting information of the web server; And
(i-2) extracting an extension of a file executable for each directory from the setting information of the web server
&Lt; / RTI &gt; 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치에 있어서,
클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 통신부; 및
(i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 프로세서를 포함하되,
상기 프로세서는,
(iii) 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 프로세스, 및 (iv) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 프로세스를 수행하며,
상기 (ii) 프로세스는,
(ii-1) 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL 정보로부터 상기 파일 확장자를 학습하는 프로세스,
(ii-2) 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습하는 프로세스, 및
(ii-3) 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자를 학습하는 프로세스
중 적어도 하나를 통하여 상기 취약한 파일의 확장자를 학습하는 것을 특징으로 하는 네트워크 장치.A network device for performing a method for determining whether a file transmitted to and / or received from a web server is malicious,
A communication unit for relaying transmission and reception between the client terminal and the web server; And
(i) a process of extracting a vulnerable file extension from configuration information of the web server and (ii) a process of learning the extension of the vulnerable file through profiling of the web server Comprising:
The processor comprising:
(iii) a step of storing a list of clues including the extracted extension in a database, and (iv) an extension of a file transmitted to and received from the web server based on the list of clues stored in the database, And a determination is made as to whether or not the blocking condition is satisfied,
The process (ii)
(ii-1) a process of learning the file extension from URL information included in HTTP request information for the web server,
(ii-2) a process of learning server information contained in a header of HTTP response information from the web server, and
(ii-3) a process of learning the file extension from a link included in a body of HTTP response information from the web server
And the extension of the weak file is learned through at least one of the following. 제12항에 있어서,
상기 프로세서는,
상기 차단 조건이 참이면, 상기 웹 서버에 송수신되는 파일의 송수신을 차단하는 것을 특징으로 하는 네트워크 장치.13. The method of claim 12,
The processor comprising:
And if the blocking condition is true, blocking transmission / reception of a file transmitted / received to / from the web server. 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치에 있어서,
클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 통신부; 및
(i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 프로세서를 포함하되,
상기 프로세서는,
(iii) 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 프로세스, 및 (iv) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 프로세스를 수행하며,
상기 단서 목록은,
상기 취약한 파일의 확장자, 컨텐트 유형(Content-type) 및 본문(body) 시그니처(signature) 값의 트리플렛(triplet)을 포함하는 것을 특징으로 하는 네트워크 장치.A network device for performing a method for determining whether a file transmitted to and / or received from a web server is malicious,
A communication unit for relaying transmission and reception between the client terminal and the web server; And
(i) a process of extracting a vulnerable file extension from configuration information of the web server and (ii) a process of learning the extension of the vulnerable file through profiling of the web server Comprising:
The processor comprising:
(iii) a step of storing a list of clues including the extracted extension in a database, and (iv) an extension of a file transmitted to and received from the web server based on the list of clues stored in the database, And a determination is made as to whether or not the blocking condition is satisfied,
The above-
And a triplet of the extension, content-type and body signature value of the vulnerable file. 제15항에 있어서,
상기 (i) 프로세스는,
(i-1') 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 상기 취약한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 프로세스; 및
(i-2') 상기 네트워크 장치가, 상기 웹 서버의 상기 설정 정보로부터 디렉토리 별로 실행 가능한 파일의 확장자 및 상기 컨텐트 유형 중 적어도 하나를 추출하는 프로세스
를 포함하는 네트워크 장치.16. The method of claim 15,
The process (i)
(i-1 ') the network device extracting at least one of the extension of the vulnerable file and the content type from the setting information of the web server; And
(i-2 ') extracting at least one of an extension of a file executable for each directory and the content type from the setting information of the web server
&Lt; / RTI &gt; 제15항에 있어서,
상기 (ii) 프로세스는,
(ii-1') 상기 웹 서버에 대한 HTTP 요청(request) 정보에 포함된 URL(Uniform Resource Locator) 정보로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스,
(ii-2') 상기 웹 서버로부터의 HTTP 응답(response) 정보의 헤더(header)에 포함된 서버 정보를 학습함으로써 상기 HTTP 응답 정보로부터 상기 파일 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값 중 적어도 하나를 학습하는 프로세스, 및
(ii-3') 상기 웹 서버로부터의 HTTP 응답 정보의 본문(body)에 포함된 링크(link)로부터 상기 파일 확장자 및 상기 컨텐트 유형 중 적어도 하나를 학습하는 프로세스
중 적어도 하나를 통하여 상기 단서 목록을 학습하는 것을 특징으로 하는 네트워크 장치.16. The method of claim 15,
The process (ii)
(ii-1 ') a process of learning at least one of the file extension and the content type from URL (Uniform Resource Locator) information included in HTTP request information for the web server,
(ii-2 ') at least one of the file extension, the content type, and the body signature value from the HTTP response information by learning server information contained in a header of HTTP response information from the web server , &Lt; / RTI &gt; and
(ii-3 ') a process of learning at least one of the file extension and the content type from a link contained in a body of HTTP response information from the web server
And the list of clues is learned through at least one of the list of clues. 제15항에 있어서,
상기 프로세서는,
(iii-1) 상기 송수신되는 파일이 상기 단서 목록에 포함된 상기 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값에 대응되는지 여부를 판정하는 프로세스;
(iii-2) 상기 대응되는 것으로 판정되면, 상기 송수신되는 파일의 상기 컨텐트 유형이 상기 송수신되는 파일의 데이터에 매칭되는지 여부를 판정하는 프로세스; 및
(iii-3) 상기 매칭되지 않는 것으로 판정되면, 상기 차단 조건을 참인 것으로 판정하는 프로세스
를 수행하는 것을 특징으로 하는 네트워크 장치.16. The method of claim 15,
The processor comprising:
(iii-1) determining whether the file to be transmitted and received corresponds to the extension, the content type, and the body signature value included in the list of clues;
(iii-2) determining whether the content type of the file to be transmitted and received matches the data of the file to be transmitted / received, if it is determined that the corresponding file is received; And
(iii-3) judging that the cutoff condition is true if it is determined not to match
To the network device. 제15항에 있어서,
상기 프로세서는,
(iii-1) 상기 송수신되는 파일이 상기 단서 목록에 포함된 상기 확장자, 상기 컨텐트 유형 및 상기 본문 시그니처 값에 대응되는지 여부를 판정하는 프로세스;
(iii-2') 상기 대응되지 않는 것으로 판정되면, 상기 송수신되는 파일의 데이터로부터 획득된 시그니처 값이 상기 데이터베이스에 저장된 특정 트리플렛의 상기 본문 시그니처 값과 일치하는지 여부를 판정하는 프로세스; 및
(iii-3') 상기 일치하는 것으로 판정되면, 상기 차단 조건을 참인 것으로 판정하는 프로세스
를 수행하는 것을 특징으로 하는 네트워크 장치.16. The method of claim 15,
The processor comprising:
(iii-1) determining whether the file to be transmitted and received corresponds to the extension, the content type, and the body signature value included in the list of clues;
(iii-2 ') determining whether the signature value obtained from the data of the file to be transmitted and received matches the body signature value of the specific triplet stored in the database, if it is determined that the file does not correspond; And
(iii-3 ') judging that the cutoff condition is true
To the network device. 웹 서버에 송수신되는 파일의 악성 여부를 판정하는 방법을 수행하는 네트워크 장치에 있어서,
클라이언트 단말과 상기 웹 서버 사이의 송수신을 중계하는 통신부; 및
(i) 상기 웹 서버의 설정 정보로부터 취약(vulnerable)한 파일의 확장자를 추출하는 프로세스 및 (ii) 상기 웹 서버의 프로파일링(profiling)을 통하여 상기 취약한 파일의 확장자를 학습하는 프로세스 중 적어도 하나를 수행하는 프로세서를 포함하되,
상기 프로세서는,
(iii) 추출된 상기 확장자를 포함하는 단서 목록을 데이터베이스에 저장하는 프로세스, 및 (iv) 상기 데이터베이스에 저장된 상기 단서 목록을 기초로 하여, 상기 웹 서버에 송수신되는 파일의 확장자가 상기 단서 목록에 해당되는지 여부인 차단 조건을 판정하는 프로세스를 수행하며,
상기 취약한 파일의 확장자는, php, asp, aspx, jsp를 포함하는 일 군으로부터 선택되는 것을 특징으로 하는 네트워크 장치.A network device for performing a method for determining whether a file transmitted to and / or received from a web server is malicious,
A communication unit for relaying transmission and reception between the client terminal and the web server; And
(i) a process of extracting a vulnerable file extension from configuration information of the web server and (ii) a process of learning the extension of the vulnerable file through profiling of the web server Comprising:
The processor comprising:
(iii) a step of storing a list of clues including the extracted extension in a database, and (iv) an extension of a file transmitted to and received from the web server based on the list of clues stored in the database, And a determination is made as to whether or not the blocking condition is satisfied,
Wherein the extension of the vulnerable file is selected from the group comprising php, asp, aspx, jsp.
KR1020170000431A 2017-01-02 2017-01-02 Method for determining maliciousness of file being transmitted into web server and network device using the same KR101803841B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170000431A KR101803841B1 (en) 2017-01-02 2017-01-02 Method for determining maliciousness of file being transmitted into web server and network device using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170000431A KR101803841B1 (en) 2017-01-02 2017-01-02 Method for determining maliciousness of file being transmitted into web server and network device using the same

Publications (1)

Publication Number Publication Date
KR101803841B1 true KR101803841B1 (en) 2017-12-04

Family

ID=60921463

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170000431A KR101803841B1 (en) 2017-01-02 2017-01-02 Method for determining maliciousness of file being transmitted into web server and network device using the same

Country Status (1)

Country Link
KR (1) KR101803841B1 (en)

Similar Documents

Publication Publication Date Title
US8515918B2 (en) Method, system and computer program product for comparing or measuring information content in at least one data stream
US8819819B1 (en) Method and system for automatically obtaining webpage content in the presence of javascript
US9614863B2 (en) System and method for analyzing mobile cyber incident
Borders et al. Quantifying information leaks in outbound web traffic
US11899819B2 (en) Machine-driven crowd-disambiguation of data resources
US20190104025A1 (en) Systems and methods for detecting, identifying and categorizing intermediate nodes
Jabiyev et al. T-reqs: Http request smuggling with differential fuzzing
US11962610B2 (en) Automated security testing system and method
US8789177B1 (en) Method and system for automatically obtaining web page content in the presence of redirects
US11709900B2 (en) Automated web page accessing
KR101803841B1 (en) Method for determining maliciousness of file being transmitted into web server and network device using the same
CN108259416A (en) Detect the method and relevant device of malicious web pages
US20220329567A1 (en) User interface for web server risk awareness
JP5682181B2 (en) COMMUNICATION DEVICE, METHOD, AND PROGRAM HAVING COMMUNICATION CONTROL FUNCTION
Kisa et al. Analysis of http security headers in turkey
Gaitatzis Learn REST APIs
JP2015011659A (en) Communication device, access control method, and program
Klein Divide and conquer
Massar et al. Jumpbox–a seamless browser proxy for tor pluggable transports
US10754944B2 (en) Processing system, and processing method and program
AU2018101260B4 (en) Automated Security Testing System and Method
US20220272127A1 (en) Automatic insertion of security policies for web applications
Nu1L Team Advanced Web
Studiawan Forensic analysis of iOS binary cookie files
Oezer “The Evil Karmetasploit Upgrade

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant