KR101869264B1 - 피싱 사이트 탐지 장치 및 방법 - Google Patents

피싱 사이트 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101869264B1
KR101869264B1 KR1020180003711A KR20180003711A KR101869264B1 KR 101869264 B1 KR101869264 B1 KR 101869264B1 KR 1020180003711 A KR1020180003711 A KR 1020180003711A KR 20180003711 A KR20180003711 A KR 20180003711A KR 101869264 B1 KR101869264 B1 KR 101869264B1
Authority
KR
South Korea
Prior art keywords
site
suspicious
normal
phishing
image
Prior art date
Application number
KR1020180003711A
Other languages
English (en)
Inventor
김남준
Original Assignee
주식회사 업루트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 업루트 filed Critical 주식회사 업루트
Priority to KR1020180003711A priority Critical patent/KR101869264B1/ko
Application granted granted Critical
Publication of KR101869264B1 publication Critical patent/KR101869264B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/0002Inspection of images, e.g. flaw detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Image Analysis (AREA)

Abstract

본 발명의 일 실시 예에 따른 피싱 사이트 탐지 장치는 정상 사이트의 소스 코드 중 대상 태그에 대응하는 정상 사이트 이미지를 생성하는 정상 사이트 수집부 및 의심 사이트의 소스 코드 중 대상 태그에 대응하는 의심 사이트 이미지를 생성하고, 정상 사이트 이미지 및 의심 사이트 이미지의 유사도가 지정된 임계값 이상인 경우, 의심 사이트를 피싱 사이트로 판별하는 피싱 사이트 탐지부를 포함한다.

Description

피싱 사이트 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING PHISHING SITES}
본 발명은 피싱 사이트를 탐지하는 기술에 관한 것으로 보다 상세하게는 웹 사이트의 특정 태그에 해당하는 영역을 나타낸 이미지를 이용하여 피싱 사이트를 탐지하는 기술에 관한 것이다.
피싱 사이트 탐지 기술은 웹 사이트 내 콘텐츠의 이미지를 추출하여 유사도를 비교하거나, 웹 사이트의 스크린샷을 저장하여 정상 사이트와의 이미지 비교를 통하여 유사도를 추출하는 방식을 사용한다.
그러나, 콘텐츠의 이미지를 비교하는 방식은 동일한 이미지가 정상 사이트 및 의심 사이트에 포함되어 있는 경우, 실제로 피싱 사이트가 아닌 의심 사이트가 피싱 사이트로 탐지되는 오탐이 발생할 수 있다.
또한, 웹 사이트의 스크린샷을 이용하는 방식은 웹 사이트 전체에 대한 이미지를 비교하기 때문에 유사도 산출을 위한 계산 복잡도가 높아 탐지 속도가 상당히 느린 문제가 있다.
본 발명의 배경기술은 대한민국 특허등록공보 제 1473671호에 게시되어 있다.
본 발명은 정상 사이트와 의심 사이트의 특정 태그에 대한 이미지를 생성하여 비교하는 것으로 의심 사이트의 피싱 사이트 해당 여부를 판별하는 피싱 사이트 탐지 장치 및 방법을 제공하는 것이다.
다만, 본 발명의 실시 예가 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 도출될 수 있다.
본 발명의 일 측면에 따르면, 피싱 사이트 탐지 장치가 제공된다.
본 발명의 일 실시 예에 따른 피싱 사이트 탐지 장치는 정상 사이트의 소스 코드 중 대상 태그에 대응하는 정상 사이트 이미지를 생성하는 정상 사이트 수집부 및 의심 사이트의 소스 코드 중 상기 대상 태그에 대응하는 의심 사이트 이미지를 생성하고, 상기 정상 사이트 이미지 및 상기 의심 사이트 이미지의 유사도가 지정된 임계값 이상인 경우, 상기 의심 사이트를 피싱 사이트로 판별하는 피싱 사이트 탐지부를 포함할 수 있다.
상기 피싱 사이트 탐지 장치는 점검 대상 사이트의 소스 코드 내에 사용자 정보를 수집하는 패턴이 포함된 경우, 상기 점검 대상 사이트를 상기 의심 사이트로 설정하는 의심 사이트 수집부를 더 포함할 수 있다.
상기 대상 태그는 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 태그일 수 있다.
상기 정상 사이트 이미지 및 의심 사이트 이미지는 상기 대상 태그에 대응하는 영역을 일 색으로 표시하고 상기 대상 태그의 영역 이외 영역을 타 색으로 표시한 이미지일 수 있다.
상기 피싱 사이트 탐지부는 상기 의심 사이트가 상기 피싱 사이트인 경우, 상기 피싱 사이트가 존재함을 알리는 메시지를 출력할 수 있다.
본 발명의 다른 측면에 따르면, 피싱 사이트 탐지 방법이 제공된다.
본 발명의 일 실시 예에 따른 피싱 사이트 탐지 방법은 정상 사이트의 소스 코드 중 대상 태그에 대응하는 정상 사이트 이미지를 생성하는 단계, 의심 사이트의 소스 코드 중 상기 대상 태그에 대응하는 의심 사이트 이미지를 생성하는 단계, 및 상기 정상 사이트 이미지 및 상기 의심 사이트 이미지의 유사도가 지정된 임계값 이상인 경우, 상기 의심 사이트를 피싱 사이트로 판별하는 단계를 포함하는 상기 피싱 사이트 탐지 방법은 점검 대상 사이트의 소스 코드 내에 사용자 정보를 수집하는 패턴이 포함된 경우, 상기 점검 대상 사이트를 상기 의심 사이트로 설정하는 단계를 더 포함할 수 있다.
상기 대상 태그는 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 태그일 수 있다.
상기 정상 사이트 이미지 및 의심 사이트 이미지는 상기 대상 태그에 대응하는 영역을 일 색으로 표시하고 상기 대상 태그의 영역 이외 영역을 타 색으로 표시한 이미지일 수 있다.
상기 피싱 사이트 탐지 방법은 상기 의심 사이트가 상기 피싱 사이트인 경우, 상기 피싱 사이트가 존재함을 알리는 메시지를 출력하는 단계를 더 포함할 수 있다.
본 발명의 실시 예에 따르면, 낮은 계산 복잡도의 탐지 과정을 통해 피싱 사이트를 탐지할 수 있다.
또한, 본 발명의 실시 예에 따르면, 정상 사이트와 일부 내용이 상이한 변종 피싱 사이트를 탐지할 수 있다.
또한, 본 발명의 실시 예에 따르면, 정상 사이트가 갱신되더라도 갱신되기 전 제작된 피싱 사이트를 탐지할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 피싱 사이트 탐지 장치를 예시한 블록도.
도 2는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 정상 사이트 이미지를 생성하는 과정을 예시한 순서도.
도 3은 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 의심 사이트를 검출하는 과정을 예시한 순서도.
도 4는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 피싱 사이트를 탐지하는 과정을 예시한 도면.
도 5는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 생성하는 정상 사이트 이미지 및 의심 사이트 이미지를 예시한 도면.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
이하에서는 도면들을 참조하여 본 발명의 실시 예들에 대해 설명하도록 한다.
도 1은 본 발명의 일 실시 예에 따른 피싱 사이트 탐지 장치를 예시한 블록도이다.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 피싱 사이트 탐지 장치는 정상 사이트 수집부(110), 의심 사이트 수집부(130) 및 피싱 사이트 탐지부(160)를 포함한다.
정상 사이트 수집부(110)는 정상적인 사이트인 정상 사이트에 대한 이미지(이하, 정상 사이트 이미지라 지칭)를 수집하여 저장한다.
정상 사이트 수집부(110)는 소스 코드 추출부(115), 정상 사이트 이미지 생성부(120) 및 정상 사이트 데이터베이스(125)를 포함한다.
소스 코드 추출부(115)는 정상 사이트의 도메인을 통해 정상 사이트에 접근하여 크롤링을 수행하고, 정상 사이트로부터 소스 코드를 추출한다. 예를 들어, 소스 코드 추출부(115)는 정상 사이트에 접속한 뒤 자바스크립트 렌더링 및 HTML DOM 구성을 통해 실제 브라우저와 동일한 방식으로 정상 사이트의 HTML 소스코드를 추출할 수 있다. 소스 코드 추출부(115)는 추출한 소스 코드를 정상 사이트 이미지 생성부(120)로 전송한다.
정상 사이트 이미지 생성부(120)는 소스 코드 중 이미지에 반영하도록 미리 지정된 태그(이하, 대상 태그라 지칭)를 추출하고, 대상 태그에 대응하는 영역을 일 색으로 표시하고, 대상 태그 이외의 영역을 타 색으로 표시한 정상 사이트 이미지를 생성한다. 정상 사이트 이미지에 대해서는 추후 도 5를 참조하여 상세히 설명하도록 한다. 정상 사이트 이미지 생성부(120)는 정상 사이트 이미지를 정상 사이트 데이터베이스(125)로 전송한다.
정상 사이트 데이터베이스(125)는 정상 사이트 이미지 생성부(120)로부터 수신한 정상 사이트 이미지를 저장한다. 또한, 정상 사이트 데이터베이스(125)는 피싱 사이트 탐지부(160)로 정상 사이트 이미지를 제공한다.
의심 사이트 수집부(130)는 점검 대상이 되는 웹 사이트의 도메인을 나타내는 점검 대상 리스트의 각 웹 사이트에 순차적으로 접근하여, 각 웹 사이트 중 사용자 정보를 수집하는 패턴을 포함하는 웹 사이트를 검출하여 의심 사이트로 설정하고, 의심 사이트의 도메인을 의심 사이트 데이터베이스에 저장한다.
의심 사이트 수집부(130)는 소스 코드 추출부(140), 수집 패턴 검출부(145) 및 의심 사이트 데이터베이스(150)를 포함한다.
소스 코드 추출부(140)는 점검 대상 사이트의 도메인으로 접근하여 크롤링을 수행하고, 점검 대상 사이트로부터 소스 코드를 추출한다. 예를 들어, 소스 코드 추출부(140)는 점검 대상 사이트에 접속한 뒤 자바스크립트 렌더링 및 HTML DOM 구성을 통해 실제 브라우저와 동일한 방식으로 점검 대상 사이트의 HTML 소스 코드를 추출할 수 있다. 소스 코드 추출부(140)는 추출한 소스 코드를 수집 패턴 검출부(145)로 전송한다.
수집 패턴 검출부(145)는 소스 코드 추출부(140)로부터 수신한 점검 대상 사이트의 소스 코드를 분석하여 사용자 정보를 수집하는 패턴이 존재하는지 판단한다. 예를 들어, 수집 패턴 검출부(145)는 User-Agent나 Remote IP Address, 브라우저의 크기, 접속 시간, 운영체제의 종류 등의 사용자 정보를 수집하는 패턴이 소스 코드 내에 포함되어 있는 여부를 판단한다. 수집 패턴 검출부(145)는 소스 코드 내에 사용자 정보를 수집하는 패턴이 존재하는 경우, 해당 점검 대상 사이트를 의심 사이트로 설정하고, 의심 사이트의 도메인을 의심 사이트 데이터베이스(150)로 전송한다.
의심 사이트 데이터베이스(150)는 의심 사이트의 도메인을 수집 패턴 검출부(145)로부터 수신하여 저장한다. 의심 사이트 데이터베이스(150)는 의심 사이트의 도메인을 피싱 사이트 탐지부(160)로 제공한다.
피싱 사이트 탐지부(160)는 의심 사이트에 접근하여 의심 사이트의 특정 태그에 대응하는 의심 사이트 이미지를 생성하고, 의심 사이트 이미지와 정상 사이트 이미지를 비교하여 유사도가 지정된 임계값 이상인 경우, 해당 의심 사이트를 피싱 사이트로 판단하고, 피싱 사이트를 알리는 알림을 출력한다.
피싱 사이트 탐지부(160)는 소스 코드 추출부(165), 의심 사이트 이미지 생성부(170), 이미지 비교부(175) 및 알림부(180)를 포함한다.
소스 코드 추출부(165)는 의심 사이트 데이터베이스(150)에 접근하여 의심 사이트의 도메인을 획득하고, 해당 도메인으로 접근하여 의심 사이트에 대한 소스 코드를 추출한다. 예를 들어, 소스 코드 추출부(165)는 의심 사이트에 접속한 뒤 자바스크립트 렌더링 및 HTML DOM 구성을 통해 실제 브라우저와 동일한 방식으로 점검 대상 사이트의 HTML 소스 코드를 추출할 수 있다. 소스 코드 추출부(165)는 추출한 소스 코드를 의심 사이트 이미지 생성부(170)로 전송한다.
의심 사이트 이미지 생성부(170)는 소스 코드 중 대상 태그를 추출하고, 대상 태그의 영역을 일 색으로 표시하고, 대상 태그의 영역 이외의 영역을 타 색으로 표시한 의심 사이트 이미지를 생성한다. 의심 사이트 이미지를 생성하는 과정에 대해서는 추후 도 5를 참조하여 상세히 설명하도록 한다. 의심 사이트 이미지 생성부(170)는 의심 사이트 이미지를 이미지 비교부(175)로 전송한다.
이미지 비교부(175)는 정상 사이트 데이터베이스(125)로부터 정상 사이트 이미지를 수신하고, 의심 사이트 이미지 생성부(170)로부터 의심 사이트 이미지를 수신한다. 이미지 비교부(175)는 정상 사이트 이미지와 의심 사이트 이미지의 유사도를 산출하고, 유사도가 지정된 임계치 이상인 경우, 해당 의심 사이트를 피싱 사이트로 판정하고, 알림부(180)로 피싱 사이트의 정보를 전송한다. 이 때, 유사도는 의심 사이트 이미지의 전체 픽셀 수와 정상 사이트 이미지와 동일한 값을 가지는 픽셀의 수의 비율일 수 있다.
알림부(180)는 미리 지정된 통신 프로토콜을 통해 지정된 기기(사용자 단말 등)로 피싱 사이트가 존재함을 알리는 알림 메시지를 전송한다.
도 2는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 정상 사이트 이미지를 생성하는 과정을 예시한 순서도이다. 이하, 설명하는 각 과정은 피싱 사이트 탐지 장치를 구성하는 각 기능부를 통해 수행되는 과정이나, 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 피싱 사이트 탐지 장치로 통칭하도록 한다.
도 2를 참조하면, 단계 210에서 피싱 사이트 탐지 장치는 정상 사이트의 도메인으로 접속하여 정상 사이트를 크롤링하여 소스 코드를 추출한다.
단계 220에서 피싱 사이트 탐지 장치는 추출한 소스 코드로부터 대상 태그를 추출한다.
단계 230에서 피싱 사이트 탐지 장치는 대상 태그에 의해 표시되는 화면의 영역을 일 색으로 표시하고 타 영역을 타 색으로 표시한 정상 사이트 이미지를 생성한다.
단계 240에서 피싱 사이트 탐지 장치는 정상 사이트 이미지를 정상 사이트 데이터베이스(125)에 저장한다.
도 3은 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 의심 사이트를 검출하는 과정을 예시한 순서도이다.
도 3을 참조하면, 단계 310에서 피싱 사이트 탐지 장치는 점검 도메인의 웹 사이트를 크롤링하여 점검 대상 사이트의 소스 코드를 추출한다.
단계 320에서 피싱 사이트 탐지 장치는 소스 코드를 분석하여 사용자 정보를 수집하는 패턴을 검출한다.
단계 330에서 피싱 사이트 탐지 장치는 점검 대상 사이트에 사용자 정보를 수집하는 패턴이 존재하는지 판단한다.
단계 330에서 사용자 정보를 수집하는 패턴이 존재하는 경우, 단계 340에서 피싱 사이트 탐지 장치는 해당 점검 대상 사이트를 의심 사이트로 판단하고, 점검 대상 사이트의 도메인을 의심 사이트 데이터베이스(150)에 저장한다.
단계 330에서 사용자 정보를 수집하는 패턴이 존재하지 않는 경우, 단계 350에서 피싱 사이트 탐지 장치는 사용자 정보를 수집하는 패턴 여부를 판단하지 않은 남은 점검 도메인이 존재하는지 판단한다.
단계 350에서 남은 점검 도메인이 존재하는 경우, 피싱 사이트 탐지 장치는 다음 점검 도메인에 대해 단계 310부터의 과정을 반복 수행한다.
단계 350에서 남은 점검 도메인이 존재하지 않는 경우, 피싱 사이트 탐지 장치는 의심 사이트를 검출하는 과정을 종료한다.
도 4는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 피싱 사이트를 탐지하는 과정을 예시한 도면이다. 이하 설명하는 각 과정은 도 2 및 도 3을 참조하여 상술한 과정이 수행된 이후에 수행되는 과정일 수 있다.
도 4를 참조하면, 단계 410에서 피싱 사이트 탐지 장치는 의심 사이트 데이터베이스에서 의심 사이트의 도메인을 검출한다.
단계 420에서 피싱 사이트 탐지 장치는 검출한 도메인에 따라 의심 사이트에 접속하여 의심 사이트를 크롤링하고, 의심 사이트의 소스 코드를 추출한다.
단계 430에서 피싱 사이트 탐지 장치는 소스 코드로부터 대상 태그를 추출한다.
단계 440에서 피싱 사이트 탐지 장치는 대상 태그 기반의 의심 사이트 이미지를 생성한다. 예를 들어, 피싱 사이트 탐지 장치는 대상 태그에 의해 표시되는 화면의 영역을 일 색으로 표시하고, 대상 태그의 영역 이외의 영역을 타 색으로 표시한 의심 사이트 이미지를 생성한다.
단계 450에서 피싱 사이트 탐지 장치는 의심 사이트 이미지와 정상 사이트 이미지의 유사도가 지정된 임계값 이상인지 판단한다.
단계 450에서 유사도가 임계값 이상인 경우, 단계 460에서 피싱 사이트 탐지 장치는 피싱 사이트가 존재함을 알리는 알림 메시지를 지정된 기기로 전송한다.
단계 450에서 유사도가 임계값 미만인 경우, 피싱 사이트 탐지 장치는 피싱 사이트 탐지 과정을 종료한다.
도 5는 본 발명의 일 실시예에 따른 피싱 사이트 탐지 장치가 생성하는 정상 사이트 이미지 및 의심 사이트 이미지를 예시한 도면이다. 이하에서는 의심 사이트가 피싱 사이트임을 가정하여 설명하도록 한다.
도 5를 참조하면, 피싱 사이트 탐지 장치는 정상 사이트와 피싱 사이트의 소스 코드 중에 사용자로부터 입력 값이나 이벤트를 받는 태그(예를 들어, a, input, button, select, img)인 대상 태그를 추출할 수 있다. 피싱 사이트 탐지 장치는 510과 같이 대상 태그의 영역을 흰색으로 나타내고, 대상 태그의 영역 이외 영역을 검은색으로 나타낸 정상 사이트 이미지를 생성할 수 있다. 또한, 피싱 사이트 탐지 장치는 520과 같이 대상 태그의 영역을 흰색으로 나타내고, 대상 태그의 영역 이외 영역을 검은색으로 나타낸 의심 사이트 이미지를 생성할 수 있다. 피싱 사이트 탐지 장치는 정상 사이트 이미지(510)과 의심 사이트 이미지(520)이 픽셀이 상당수 일치하기 때문에 해당 피싱 사이트를 탐지할 수 있다.
또한, 피싱 사이트 탐지 장치는 단순화된 정상 사이트 이미지와 의심 사이트 이미지를 비교하기 때문에, 비교 과정에 대한 계산 복잡도가 낮아 빠른 피싱 사이트 탐지를 수행할 수 있다.
또한, 피싱 사이트 탐지 장치는 피싱 사이트가 정상 사이트의 일부 컨텐츠를 상이하게 표시하거나, 정상 사이트가 컨텐츠를 갱신하는 과정을 수행하여도, 2가지의 색으로 표현한 정상 사이트 이미지(510) 및 의심 사이트 이미지(520)의 비교를 통해 피싱 사이트를 탐지하기 때문에, 피싱 사이트의 탐지가 가능하다.
상술한 본 발명의 실시 예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시 예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시 예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드 등이 기록된 컴퓨터 프로그램은 컴퓨터 판독 가능 기록 매체 또는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 메모리 유닛은 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 프로세서와 데이터를 주고 받을 수 있다.
또한 본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방법으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
더불어 각 블록 또는 각 단계는 특정된 논리적 기능을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (12)

  1. 정상 사이트의 소스 코드 중 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 정상 대상 태그에 대응하는 영역을 일 색으로 표시하고, 상기 정상 대상 태그에 대응되는 영역 이외 영역을 타 색으로 표시한 정상 사이트 이미지를 생성하는 정상 사이트 수집부;
    점검 대상 사이트의 소스 코드 내에 사용자 정보를 수집하는 패턴이 포함된 경우, 상기 점검 대상 사이트를 의심 사이트로 설정하는 의심 사이트 수집부; 및
    의심 사이트의 소스 코드 중 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 의심 대상 태그에 대응하는 영역을 일 색으로 표시하고, 상기 의심 대상 태그에 대응되는 영역 이외 영역을 타 색으로 표시한 의심 사이트 이미지를 생성하고, 상기 정상 사이트 이미지 및 상기 의심 사이트 이미지를 비교하여 의심 사이트 이미지의 전체 픽셀 수와 정상 사이트 이미지와 동일한 값을 가지는 픽셀의 수의 비율인 유사도가 지정된 임계 값 이상인 경우, 상기 의심 사이트를 피싱 사이트로 판별하는 피싱 사이트 탐지부를 포함하되,
    상기 의심 사이트 수집부는
    점검 대상 사이트의 도메인으로 접근하여 크롤링을 수행하고, 점검 대상 사이트로부터 소스 코드를 추출하는 소스코드 추출부; 및
    수신한 점검 대상 사이트의 소스 코드를 분석하여 소스 코드 내에 사용자 정보를 수집하는 패턴이 존재하는지 판단하는 수집 패턴 검출부를 포함하되,
    상기 사용자 정보를 수집하는 패턴은 유저 에이전트(User-Agent), 리모트 아이피 어드레스(Remote IP Address), 브라우저의 크기, 접속 시간 및 운영체제의 종류 중 적어도 하나의 사용자 정보를 수집하는 패턴인 피싱 사이트 탐지 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1 항에 있어서,
    상기 피싱 사이트 탐지부는 상기 의심 사이트가 상기 피싱 사이트인 경우, 상기 피싱 사이트가 존재함을 알리는 메시지를 출력하는 것을 특징으로 하는 피싱 사이트 탐지 장치.
  6. 피싱 사이트 탐지 장치가 피싱 사이트를 탐지하는 방법에 있어서,
    점검 도메인의 웹 사이트를 크롤링하여 점검 대상 사이트의 소스 코드를 추출하는 단계;
    수신한 점검 대상 사이트의 소스 코드를 분석하여 소스 코드 내에 사용자 정보를 수집하는 패턴이 존재하는지 판단하는 단계;
    정상 사이트의 소스 코드 중 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 정상 대상 태그에 대응하는 영역을 일 색으로 표시하고, 상기 정상 대상 태그에 대응되는 영역 이외 영역을 타 색으로 표시한 정상 사이트 이미지를 생성하는 단계;
    점검 대상 사이트의 소스 코드 내에 사용자 정보를 수집하는 패턴이 포함된 경우, 상기 점검 대상 사이트를 의심 사이트로 설정하는 단계;
    의심 사이트의 소스 코드 중 사용자로부터 입력 값을 받거나 이벤트를 받기 위한 의심 대상 태그에 대응하는 영역을 일 색으로 표시하고, 상기 의심 대상 태그에 대응되는 영역 이외 영역을 타 색으로 표시한 의심 사이트 이미지를 생성하는 단계; 및
    상기 정상 사이트 이미지 및 상기 의심 사이트 이미지를 비교하여 상기 의심 사이트 이미지의 전체 픽셀 수와 정상 사이트 이미지와 동일한 값을 가지는 픽셀의 수의 비율인 유사도가 지정된 임계 값 이상인 경우, 상기 의심 사이트를 피싱 사이트로 판별하는 단계를 포함하되,
    상기 사용자 정보를 수집하는 패턴은 유저 에이전트(User-Agent), 리모트 아이피 어드레스(Remote IP Address), 브라우저의 크기, 접속 시간 및 운영체제의 종류 중 적어도 하나의 사용자 정보를 수집하는 패턴인 피싱 사이트 탐지 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 제6 항에 있어서,
    상기 의심 사이트가 상기 피싱 사이트인 경우, 상기 피싱 사이트가 존재함을 알리는 메시지를 출력하는 단계를 더 포함하는 것을 특징으로 하는 피싱 사이트 탐지 방법.
  11. 제6 항 또는 제10 항의 방법을 프로세서가 수행하게 하는 명령어를 포함하는 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록매체.
  12. 제6 항 또는 제10 항의 방법을 프로세서가 수행하게 하는 컴퓨터 판독 가능 기록매체에 저장된 컴퓨터 프로그램.
KR1020180003711A 2018-01-11 2018-01-11 피싱 사이트 탐지 장치 및 방법 KR101869264B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180003711A KR101869264B1 (ko) 2018-01-11 2018-01-11 피싱 사이트 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180003711A KR101869264B1 (ko) 2018-01-11 2018-01-11 피싱 사이트 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101869264B1 true KR101869264B1 (ko) 2018-07-23

Family

ID=63103065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180003711A KR101869264B1 (ko) 2018-01-11 2018-01-11 피싱 사이트 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101869264B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210116125A (ko) * 2020-03-17 2021-09-27 한남대학교 산학협력단 헤더정보와 소스코드를 이용한 불량 웹 판단방법
KR20220129776A (ko) * 2021-03-17 2022-09-26 주식회사 에스투더블유 전자 상거래에서의 이상거래 추적 방법 및 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150064331A (ko) * 2013-12-03 2015-06-11 주식회사 케이티 웹서버 모니터링 및 악성코드 분석 장치
JP2016045754A (ja) * 2014-08-25 2016-04-04 株式会社 ディー・エヌ・エー ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150064331A (ko) * 2013-12-03 2015-06-11 주식회사 케이티 웹서버 모니터링 및 악성코드 분석 장치
JP2016045754A (ja) * 2014-08-25 2016-04-04 株式会社 ディー・エヌ・エー ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210116125A (ko) * 2020-03-17 2021-09-27 한남대학교 산학협력단 헤더정보와 소스코드를 이용한 불량 웹 판단방법
KR102397262B1 (ko) * 2020-03-17 2022-05-11 한남대학교 산학협력단 헤더정보와 소스코드를 이용한 불량 웹 판단방법
KR20220129776A (ko) * 2021-03-17 2022-09-26 주식회사 에스투더블유 전자 상거래에서의 이상거래 추적 방법 및 시스템
KR102580011B1 (ko) * 2021-03-17 2023-09-19 주식회사 에스투더블유 전자 상거래에서의 이상거래 추적 방법 및 시스템

Similar Documents

Publication Publication Date Title
JP5497173B2 (ja) Xss検出方法および装置
EP3726410B1 (en) Interpretation device, interpretation method and interpretation program
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
CN105184159A (zh) 网页篡改的识别方法和装置
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
CN107085549B (zh) 故障信息生成的方法和装置
KR101869264B1 (ko) 피싱 사이트 탐지 장치 및 방법
CN105488400A (zh) 一种恶意网页综合检测方法及系统
KR20110088042A (ko) 악성 코드 자동 판별 장치 및 방법
CN112541181A (zh) 一种检测服务器安全性的方法和装置
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
CN116707965A (zh) 一种威胁检测方法、装置、存储介质以及电子设备
CN113158197A (zh) 一种基于主动iast的sql注入漏洞检测方法、系统
CN112532624A (zh) 一种黑链检测方法、装置、电子设备及可读存储介质
KR102159399B1 (ko) 웹서버 모니터링 및 악성코드 분석 장치
US9607210B2 (en) Video surveillance system and method for fraud detection
CN114048480A (zh) 漏洞检测方法、装置、设备及存储介质
CN114157568A (zh) 一种浏览器安全访问方法、装置、设备及存储介质
KR101473671B1 (ko) 이미지 비교를 통한 피싱 사이트 탐지 방법 및 장치
CN112583827A (zh) 一种数据泄露检测方法及装置
EP3964987A1 (en) Learning device, determination device, learning method, determination method, learning program, and determination program
CN114121049B (zh) 一种数据处理方法、装置以及存储介质
CN109214212A (zh) 信息防泄露方法及装置
CN113076540B (zh) 一种攻击检测的方法、装置、电子设备及存储介质
CN112968887B (zh) 数据处理方法、数据处理装置及相关设备

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant