KR102156340B1 - Method and apparatus for blocking web page attack - Google Patents

Method and apparatus for blocking web page attack Download PDF

Info

Publication number
KR102156340B1
KR102156340B1 KR1020140163685A KR20140163685A KR102156340B1 KR 102156340 B1 KR102156340 B1 KR 102156340B1 KR 1020140163685 A KR1020140163685 A KR 1020140163685A KR 20140163685 A KR20140163685 A KR 20140163685A KR 102156340 B1 KR102156340 B1 KR 102156340B1
Authority
KR
South Korea
Prior art keywords
function
attack
attack detection
memory
web page
Prior art date
Application number
KR1020140163685A
Other languages
Korean (ko)
Other versions
KR20160061141A (en
Inventor
이민정
김현민
박종희
홍승균
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020140163685A priority Critical patent/KR102156340B1/en
Publication of KR20160061141A publication Critical patent/KR20160061141A/en
Priority to KR1020200113912A priority patent/KR102304332B1/en
Application granted granted Critical
Publication of KR102156340B1 publication Critical patent/KR102156340B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1483Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)

Abstract

개시된 웹 페이지를 통한 공격 차단 방법은 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계; 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 메모리의 라이브러리 레이어에 설치하는 단계; 웹 브라우징 중에 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행하는 단계; 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함한다. 따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있는 이점이 있다.The disclosed method for blocking attacks through web pages includes: loading a security library on a memory when the web browser is first executed; Library layer of memory by acquiring an attack detection module that performs an attack detection function from the security library when at least one of the internal command execution function, internal file browsing function, internal file modification function, memory creation function, or memory change function is called. Installing on; During web browsing, the attack detection module detects an attack that includes at least one of an internal command execution attack detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory creation attack detection function, or a memory change attack detection function. Performing a function; And blocking access to the web page where the attack is detected by the attack detection module. Therefore, a drive-by download attack that is automatically executed when a web browser of a mobile terminal that cannot apply technologies such as Active X or plug-in additionally installed in the web browser accesses a web page that causes malicious code through a vulnerability attack. There is an advantage of being able to detect and block attacks using web pages such as, etc. in real time.

Description

웹 페이지 공격 차단 방법 및 장치{METHOD AND APPARATUS FOR BLOCKING WEB PAGE ATTACK}Web page attack blocking method and device {METHOD AND APPARATUS FOR BLOCKING WEB PAGE ATTACK}

본 발명은 웹 페이지 공격 차단 방법 및 장치에 관한 것으로, 더욱 상세하게는 드라이브-바이 다운로드(drive-by download) 공격 등과 같은 웹 페이지를 이용한 공격을 탐지 및 차단하는 웹 페이지 공격 차단 방법 및 장치에 관한 것이다.The present invention relates to a web page attack blocking method and apparatus, and more particularly, to a web page attack blocking method and apparatus for detecting and blocking attacks using web pages such as drive-by download attacks. will be.

최근 안드로이드(Android), i-OS(iPhone Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재된 모바일 플랫폼이 급속도로 성장하면서 모바일 시장의 변화와 함께 웹 서비스 및 클라이언트 접속 환경에 큰 변화가 생기고 있다. 과거 윈도우즈 기반 웹 브라우저가 주를 이루었던 유선 인터넷 환경과 달리 웹킷 엔진을 기반으로 한 다양한 모바일 웹 브라우저의 사용이 기하급수적으로 증가하였다.Recently, as mobile platforms equipped with mobile operating systems such as Android, i-OS (iPhone Operating System), and Windows Mobile have grown rapidly, the mobile market has changed and the web service and client access environment has changed significantly. Is taking place. Unlike the wired Internet environment where Windows-based web browsers were dominated in the past, the use of various mobile web browsers based on the WebKit engine has increased exponentially.

이러한 모바일 환경으로의 변화는 공격자들이 악성코드를 유포하는 방식에도 영향을 주었는데 그 중 하나가 웹 사이트 접속만으로 악성코드를 감염시키는 드라이브-바이 다운로드 공격 기술의 변화이다.This change to the mobile environment has also affected the way attackers distribute malicious codes, one of which is a change in drive-by download attack technology that infects malicious codes only by accessing a website.

모바일 웹 브라우저는 애플리케이션 동작 구조와 운영체제 환경이 기존 PC 환경과는 다르기 때문에 과거 PC를 대상으로 했던 드라이브-바이 다운로드 공격이 불가하며, 이에 따라 공격자들은 기존 PC 환경과는 다른 공격 코드를 사용하여 모바일 기기에서 동작 가능한 익스플로이트(exploit)를 제작하고 있다.Since the mobile web browser has a different application operation structure and operating system environment than the existing PC environment, drive-by download attacks targeting PCs in the past are impossible. Accordingly, attackers use attack codes different from those of the existing PC environment. I am making an exploit that can be operated in.

종래 기술에 따른 웹 브라우저를 통한 악성 행위 차단 기술은 과거 PC를 대상으로 한 드라이브-바이 다운로드 공격에 초점을 두고 있기 때문에 새롭게 변화된 모바일 단말 플랫폼의 웹 브라우저에는 적용이 불가한 한계점이 존재한다.Since the technology for blocking malicious behavior through a web browser according to the prior art focuses on drive-by download attacks targeting PCs in the past, there is a limitation that cannot be applied to the web browser of the newly changed mobile terminal platform.

이러한 종래 기술에 따른 드라이브-바이 다운로드 공격 차단 기술들은 첫 번째로 동작하는 웹 브라우저 및 운영체제 환경을 변경하여 각종 보호 기술을 적용하는 방법, 두 번째로 난독화 된 웹 페이지를 탐지하여 공격을 차단하는 방법, 세 번째로 악성코드 수집을 목적으로 하는 기술 적용 방법 등으로 구분할 수 있다.The drive-by download attack blocking technologies according to the prior art are the first method of applying various protection technologies by changing the operating web browser and operating system environment, and secondly, a method of blocking the attack by detecting obfuscated web pages. , Thirdly, it can be classified into a method of applying technology for the purpose of collecting malicious codes.

그러나, 종래 기술에 따른 첫 번째 방법은 일반 윈도우즈 PC 환경에서만 적용 가능한 기술적 한계점으로 인해 모바일 환경에서는 적용이 불가하다는 문제점과 해당 기술들을 적용하기 위해서는 모바일 단말의 플랫폼 관리자 권한이 필요하다는 문제점 등이 존재한다.However, the first method according to the prior art has a problem that it is not applicable in a mobile environment due to technical limitations applicable only in a general Windows PC environment, and there are problems that platform administrator rights of the mobile terminal are required to apply the technologies. .

이어서 종래 기술에 따른 두 번째 방법은 난독화 여부 탐지를 위한 별도의 난독화 코드 패턴이 필요하다는 점, 최근 발견된 웹 브라우저 취약점을 통해 유포되는 대부분의 공격 코드들이 난독화 되지 않은 상태에서 배포되고 있어 탐지가 불가능하다는 점 등의 문제점이 있다.Subsequently, the second method according to the prior art requires a separate obfuscation code pattern to detect whether or not it is obfuscated, and most of the attack codes distributed through the recently discovered web browser vulnerabilities are distributed without obfuscation. There are problems such as that detection is impossible.

종래 기술에 따른 세 번째 방법은 최소의 권한으로 모바일 웹 브라우저를 보호하기 위해 적용하기에는 그 목적과 기능에 큰 차이가 있고 웹 브라우징 시 운용 중인 시스템이나 통신 성능에 직접적인 영향을 주는 등의 문제점을 가지고 있다.The third method according to the prior art is applied to protect a mobile web browser with the least privilege, and has a problem such as a large difference in its purpose and function, and directly affects the operating system or communication performance during web browsing. .

한국 등록특허공보 제1033932호, 등록일자 2011년 5월 2일.Korean Patent Publication No. 1033932, registration date May 2, 2011. 한국 등록특허공보 제1027928호, 등록일자 2011년 4월 1일.Korean Patent Publication No. 1027928, registration date April 1, 2011. 한국 등록특허공보 제0915202호, 등록일자 2009년 8월 26일.Korean Registered Patent Publication No. 0915202, registration date August 26, 2009.

본 발명의 실시예에 따르면, 웹 브라우저에 추가로 설치되는 엑티브 엑스(activeX)나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있는 웹 페이지 공격 차단 방법 및 장치를 제공한다.According to an embodiment of the present invention, when a web browser of a mobile terminal that cannot apply technologies such as activeX or a plug-in additionally installed in a web browser accesses a web page that causes malicious code through a vulnerability attack Provides a method and apparatus for blocking web page attacks that can detect and block attacks using web pages such as drive-by download attacks that are automatically executed in real time.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The problem to be solved of the present invention is not limited to those mentioned above, and another problem to be solved that is not mentioned will be clearly understood by those of ordinary skill in the art from the following description.

본 발명의 일 관점에 따른 웹 페이지 공격 차단 방법은, 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계; 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 단계; 웹 브라우징 중에 상기 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 단계; 상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함할 수 있다.A web page attack blocking method according to an aspect of the present invention includes the steps of loading a security library on a memory when a web browser is first executed; When at least one of an internal command execution function, an internal file view function, an internal file modulation function, a memory creation function, or a memory change function is called, an attack detection module that performs an attack detection function is obtained from the security library, Installing on the library layer; During web browsing, the attack detection module includes at least one of an internal command execution attack detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function. Performing an attack detection function; It may include the step of blocking access to the web page where the attack is detected by the attack detection module.

본 발명의 다른 관점에 따른 웹 페이지 공격 차단 장치는, 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 공격 탐지자 설치 모듈; 웹 브라우징 중에 상기 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 상기 공격 탐지 모듈; 상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 공격 차단 모듈을 포함할 수 있다.In the web page attack blocking device according to another aspect of the present invention, when a web browser is first executed, a security library is loaded on a memory, and an internal command execution function, an internal file browsing function, an internal file modification function, a memory creation function, or a memory change An attack detector installation module for acquiring an attack detection module performing an attack detection function from the security library when at least one function among functions is called, and installing it in the library layer of the memory; When the at least one function is called during web browsing, at least one of an internal command execution detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function The attack detection module for performing the attack detection function including; It may include an attack blocking module for blocking access to a web page in which an attack is detected by the attack detection module.

본 발명의 실시예에 의하면, 모바일 웹 브라우저 환경을 그대로 지원하면서 동시에 최소의 수정만으로 웹 브라우저 취약점 공격을 통해 이루어지는 드라이브-바이 다운로드 공격 등과 같이 웹 페이지를 이용한 공격을 실시간으로 탐지할 수 있다.According to an embodiment of the present invention, while supporting a mobile web browser environment as it is, an attack using a web page such as a drive-by download attack performed through a web browser vulnerability attack with minimal modification can be detected in real time.

아울러, 모바일 단말 플랫폼의 관리자 권한을 필요로 하는 시스템의 네이티브 라이브러리를 교체하는 등의 물리적인 시스템 변경 방법을 적용하지 않아도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.In addition, even without applying a physical system change method such as replacing the native library of the system that requires administrator rights of the mobile terminal platform, an attack that spreads malicious code through the vulnerability of the web browser can be detected when accessing the web. .

그리고, 악성코드를 탐지하기 위해 성능저하를 유발하면서 통신 과정의 모든 데이터의 내용을 검사하여 공격 코드를 탐지하기 위한 별도의 코드 패턴과 비교하는 모니터링 과정 없이도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.In addition, the malicious code through the vulnerability of the web browser when accessing the web without a monitoring process that checks the contents of all data in the communication process and compares it with a separate code pattern to detect the attack code while causing performance degradation to detect malicious code. It can detect attacks that spread

따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다.Therefore, a drive-by download attack that is automatically executed when a web browser of a mobile terminal that cannot apply technologies such as Active X or plug-in additionally installed in the web browser accesses a web page that causes malicious code through a vulnerability attack. Attacks using web pages such as, etc. can be detected and blocked in real time.

나아가, 난독화 된 웹 페이지에 대해 안전한 접속 제공, 악성코드가 배포되고 있는 악성코드 유포 사이트 및 유해 웹 사이트에 대한 실시간 정보 수집 시스템 등과 같이 클라이언트 모바일 웹 브라우저를 대상으로 한 다양한 공격에 대응할 수 있는 웹 보안 분야의 응용 기술로 확장 구현이 가능한 효과가 있다.Furthermore, a web that can respond to a variety of attacks targeting client mobile web browsers, such as providing secure access to obfuscated web pages, and a system for collecting real-time information on malicious code distribution sites and harmful websites. There is an effect that can be extended and implemented as an application technology in the security field.

도 1은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 수행할 수 있는 웹 페이지 공격 차단 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.1 is a block diagram of a web page attack blocking device capable of performing a web page attack blocking method according to an embodiment of the present invention.
2 is a flowchart illustrating a method of blocking a web page attack according to an embodiment of the present invention.
3 is a flowchart illustrating a process of detecting and blocking an attack when a function related to execution of a command is called in a method for blocking web page attacks according to an embodiment of the present invention.
4 is a flowchart illustrating a process of detecting and blocking an attack when a file browsing-related function is called in a method for blocking web page attacks according to an embodiment of the present invention.
5 is a flowchart illustrating an attack detection and blocking process when a memory related function is called in a web page attack blocking method according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in a variety of different forms, and only these embodiments make the disclosure of the present invention complete, and are common knowledge in the technical field to which the present invention pertains. It is provided to completely inform the scope of the invention to those who have, and the invention is only defined by the scope of the claims. The same reference numerals refer to the same components throughout the specification.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, terms to be described later are terms defined in consideration of functions in an embodiment of the present invention, which may vary according to the intention or custom of users or operators. Therefore, the definition should be made based on the contents throughout this specification.

도 1은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 수행할 수 있는 웹 페이지 공격 차단 장치의 블록 구성도이다.1 is a block diagram of a web page attack blocking device capable of performing a web page attack blocking method according to an embodiment of the present invention.

이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 장치(100)는, 공격 탐지자 설치 모듈(110), 공격 탐지 모듈(120), 공격 차단 모듈(130) 등을 포함한다.As shown, the web page attack blocking device 100 according to the embodiment includes an attack detector installation module 110, an attack detection module 120, an attack blocking module 130, and the like.

공격 탐지자 설치 모듈(110)은 웹 브라우저 애플리케이션이 최초로 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈(120)을 획득하여 메모리의 라이브러리 레이어에 설치한다.When the web browser application is executed for the first time, the attack detector installation module 110 loads a security library in memory, and at least one of an internal command execution function, an internal file browsing function, an internal file modification function, a memory creation function, or a memory change function. When a function is called, the attack detection module 120 that performs an attack detection function is obtained from the loaded security library and installed in the library layer of the memory.

이러한 공격 탐지자 설치 모듈(110)은 공격 탐지 모듈(120)을 메모리의 라이브러리 레이어에 설치할 때에, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 공격 탐지 모듈(120)이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가한다.When the attack detection module 110 is installed in the library layer of the memory, the attack detector installation module 110 includes an internal command execution function, an internal file browsing function, and an internal function included in the basic library loaded on the memory of the web browser processor. A web browser initialization routine code is added so that the attack detection module 120 is called when the function is called by modifying the code of at least one function among the file modulation function, the memory generation function, and the memory change function.

공격 탐지 모듈(120)은 웹 브라우저 애플리케이션의 최초 실행 시에 공격 탐지자 설치 모듈(110)에 의해 메모리의 라이브러리 레이어에 설치되며, 웹 브라우징 중에 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행한다.The attack detection module 120 is installed in the library layer of the memory by the attack detector installation module 110 when the web browser application is first executed, and an internal command execution function, an internal file browsing function, and an internal file modification function during web browsing. , At least one of an internal command execution detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function when at least one of the memory creation function or memory change function is called. It performs an attack detection function including any one function.

이러한 공격 탐지 모듈(120)은 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하고, 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하며, 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악한다. 그리고, 공격 탐지 모듈(120)은 파악된 호출 함수 정보 및/또는 인자 정보를 공격 차단 모듈(130)에게 제공하여 차단 내용 로그에 기록, 표시 또는 전송될 수 있도록 한다.When the internal command execution function is called, the attack detection module 120 checks whether it is a library execution function or a system call execution function, and if a library execution function is a library execution function, it determines the calling function information and parameter information, and the result of the test. If it is a system call execution function according to, parameter information is identified. In addition, the attack detection module 120 provides the identified calling function information and/or factor information to the attack blocking module 130 so that it can be recorded, displayed, or transmitted in the blocking content log.

아울러, 공격 탐지 모듈(120)은 내부 파일 열람 함수 또는 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하고, 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단한다.In addition, when the internal file browsing function or the internal file falsifying function is called, the attack detection module 120 checks whether the path factor of the called function exists in the pre-stored white list, and the path factor of the called function is present in the white list. Otherwise, it is judged as a web page attack.

또한, 공격 탐지 모듈(120)은 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하고, 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단한다.In addition, when the memory creation function or the memory change function is called, the attack detection module 120 checks whether all read, write, and execution rights are included, and if all read, write, and execution rights are included, it is determined as a web page attack.

공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 공격이 탐지된 웹 페이지의 접속을 차단하며, 웹 페이지 차단 내용을 로그로 기록하거나 표시하여 사용자에게 알리거나 수집 서버 등에게 전송한다.The attack blocking module 130 blocks access to a web page in which an attack is detected by the attack detection module 120, and records or displays the web page blocking content as a log to notify the user or transmit it to a collection server.

도 2는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 설명하기 위한 흐름도이다.2 is a flowchart illustrating a method of blocking a web page attack according to an embodiment of the present invention.

이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 웹 브라우저 애플리케이션이 최초로 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계(S201 내지 S205)를 포함한다.As shown, the web page attack blocking method according to the embodiment includes the steps of loading a security library on a memory when the web browser application is first executed (S201 to S205).

이어서, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 메모리의 라이브러리 레이어에 설치하는 단계(S207)를 더 포함한다.Subsequently, an attack detection module that performs an attack detection function is obtained from the security library loaded when at least one of the internal command execution function, internal file browsing function, internal file modification function, memory creation function, or memory change function is called. It further includes installing in the library layer of the memory (S207).

그리고, 웹 브라우징 중에 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행하는 단계(S209)를 더 포함한다.In addition, during web browsing, the attack detection module includes at least one of an internal command execution attack detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function. It further includes a step (S209) of performing an attack detection function.

아울러, 공격 탐지 모듈에 의한 웹 페이지 공격의 탐지 결과에 따라 웹 페이지의 접속을 차단하거나 접속을 허용하는 단계(S211 내지 S217)를 더 포함한다.In addition, it further includes steps (S211 to S217) of blocking or allowing access to the web page according to the detection result of the web page attack by the attack detection module.

도 3은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a process of detecting and blocking an attack when a function related to execution of a command is called in a method for blocking web page attacks according to an embodiment of the present invention.

이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하는 단계(S301 내지 S305)를 포함한다.As shown, the web page attack blocking method according to the embodiment includes the steps of checking whether the internal command execution function is called during function call monitoring (S301 to S305).

이어서, 함수 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하는 단계(S307)를 더 포함한다.Subsequently, if the function is a library execution function according to the result of the function check, the step (S307) of determining call function information and parameter information is further included.

그리고, 함수 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악하는 단계(S309)를 더 포함한다.And, according to the result of the function check, if the function is a system call execution function, it further includes a step (S309) of determining factor information.

아울러, 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하는 단계(S311)를 더 포함한다.In addition, it further includes a step (S311) of blocking access to the web page that called the internal command execution function.

또한, 파악된 호출 함수 정보 또는 인자 정보를 포함하는 차단 내용 로그를 기록, 표시 또는 전송하는 단계(S313)를 더 포함한다.Further, it further includes a step (S313) of recording, displaying, or transmitting a blocking content log including the identified calling function information or factor information.

도 4는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a process of detecting and blocking an attack when a file browsing-related function is called in a method for blocking web page attacks according to an embodiment of the present invention.

이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 내부 파일 열람 함수 또는 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계(S401 내지 S407)를 포함한다.As shown, in the method for blocking web page attacks according to the embodiment, when an internal file browsing function or an internal file altering function is called during function call monitoring, the step of checking whether the path argument of the called function exists in a pre-stored white list ( S401 to S407).

그리고, 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하여 웹 페이지의 접속을 차단하고, 화이트리스트에 존재하면 웹 페이지 접속을 허용하는 단계(S409 내지 S413)를 더 포함한다.And, if the path argument of the called function does not exist in the white list, it is determined as a web page attack, and the access to the web page is blocked, and if it exists in the white list, the steps of allowing access to the web page (S409 to S413) are further included. .

도 5는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating an attack detection and blocking process when a memory related function is called in a web page attack blocking method according to an embodiment of the present invention.

이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하는 단계(S501 내지 S505)를 포함한다.As shown, the web page attack blocking method according to the embodiment includes the steps (S501 to S505) of checking whether all read, write, and execution rights are included when a memory creation function or a memory change function is called during function call monitoring. do.

그리고, 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하여 웹 페이지의 접속을 차단하고, 권한을 모두 포함하지 않으면 웹 페이지 접속을 허용하는 단계(S507 내지 S511)를 더 포함한다.In addition, if all of the read, write, and execution rights are included, the access to the web page is determined as a web page attack, and if all rights are not included, the steps of allowing access to the web page (S507 to S511) are further included.

이하, 도 1 내지 도 5를 참조하여 본 발명의 실시예에 따른 웹 페이지 공격 차단 장치에 의해 수행되는 웹 페이지 공격 차단 방법에 대해 더 자세히 살펴보기로 한다.Hereinafter, a web page attack blocking method performed by the web page attack blocking device according to an embodiment of the present invention will be described in more detail with reference to FIGS. 1 to 5.

모바일 단말을 대상으로 하는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지 공격 방식은 여러가지 형태가 존재하나 대부분은 브라우저의 설계 결함(또는 취약점)에 의해 발생한다. 대표적인 설계 결함으로 인한 공격은 메모리 핸들링 과정에서 발생하는 설계 결함으로 인한 임의 쉘코드 실행 공격과 기능 구현 과정에서 발생하는 설계 결함으로 인한 시스템 내부 명령 실행 공격 등이 있다. 이러한 임의 쉘 코드 실행 공격과 시스템 내부 명령 실행 공격 등을 포함하는 웹 페이지 공격 방식은 네이티브 라이브러리(native library)의 함수를 호출하여 실행하는 공통점이 있으며, 본 발명의 실시예에서는 이러한 공통점을 이용하여 다양한 방식의 웹 페이지 공격을 실시간으로 탐지 및 차단할 수 있도록 한다.There are various types of web page attack methods such as drive-by download attacks targeting mobile terminals, but most of them are caused by design flaws (or weaknesses) in browsers. Typical attacks due to design flaws include arbitrary shellcode execution attacks due to design flaws in the memory handling process and system internal command execution attacks due to design flaws in the function implementation process. Web page attack methods including such arbitrary shell code execution attacks and system internal command execution attacks have a common point of executing by calling a function of a native library, and in the embodiment of the present invention, various It enables real-time detection and blocking of web page attacks.

먼저, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법에 의한 전체적인 공격 탐지 및 차단 과정을 살펴보기로 한다.First, with reference to FIGS. 1 and 2, an overall attack detection and blocking process by a web page attack blocking method according to an embodiment of the present invention will be described.

보안 라이브러리를 포함하도록 수정된 웹 브라우저 애플리케이션이 모바일 단말들을 대상으로 하여 배포되며, 배포된 웹 브라우저 애플리케이션이 모바일 단말에서 최초 실행되면 공격 탐지자 설치 모듈(110)을 실행하며, 메모리 상에 보안 라이브러리를 로드한다. 여기서, 본 발명의 실시예에 따라 보안 라이브러리를 포함하도록 수정된 웹 브라우저와 모바일 단말에 기 설치된 웹 브라우저를 구분하기 위해 "웹 브라우저 애플리케이션"이라고 지칭하였으나 이들은 "웹 브라우저"로 통칭될 수 있다(S201 내지 S205).A web browser application modified to include a security library is distributed to mobile terminals, and when the deployed web browser application is first executed on the mobile terminal, the attack detector installation module 110 is executed, and the security library is stored in the memory. Load. Here, in order to distinguish between a web browser modified to include a security library and a web browser pre-installed in the mobile terminal according to an embodiment of the present invention, it is referred to as "web browser application", but these may be collectively referred to as "web browser" (S201 To S205).

이어서, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈(120)을 획득하여 메모리의 라이브러리 레이어에 설치한다(S207).Subsequently, an attack detection module 120 that performs an attack detection function from the loaded security library when at least one of an internal command execution function, an internal file browsing function, an internal file modification function, a memory generation function, or a memory change function is called. Is acquired and installed in the library layer of the memory (S207).

이렇게, 공격 탐지 모듈(120)을 라이브러리 레이어에 설치할 때에, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 공격 탐지 모듈(120)이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가한다. 즉, 공격자들이 주로 악용하는 유형에 따라 올바르게 공격을 탐지할 수 있도록 각 API 함수의 코드를 패치하는 과정을 거치게 된다.In this way, when the attack detection module 120 is installed in the library layer, an internal command execution function, an internal file browsing function, an internal file modification function, a memory creation function, or a memory change included in the basic library loaded on the memory of the web browser processor A web browser initialization routine code is added so that the attack detection module 120 is called when the function is called by modifying the code of at least one of the functions. In other words, it goes through the process of patching the code of each API function so that attackers can correctly detect the attack according to the type of exploitation.

이때, 내부 명령 실행 탐지를 위해 라이브러리 내에 존재하는 각 명령 실행 함수의 코드들을 수정하고 명령 실행 시스템 콜로 진입하는 코드에 대한 제거 작업을 수행한다. 그리고, 공격자에 의한 정보 유출 및 파일 변조 공격을 효과적으로 탐지하기 위해 내부 파일 열람과 내부 파일 변조 등의 두 가지 공격 유형을 모두 검사할 수 있도록 파일 열람 함수의 코드를 수정하는 작업을 수행한다. 아울러, 웹 브라우저의 메모리 변조 공격을 효과적으로 탐지하기 위해 메모리 생성 함수 및 메모리 변경 함수의 코드를 찾아 수정하는 작업을 수행하게 된다.At this time, to detect internal command execution, the code of each command execution function existing in the library is modified and the code entering the command execution system call is removed. In addition, in order to effectively detect information leakage and file tampering attacks by an attacker, the code of the file browsing function is modified so that both types of attacks, such as internal file browsing and internal file tampering, can be inspected. In addition, in order to effectively detect a memory tampering attack of a web browser, the code of the memory creation function and the memory change function is found and modified.

그러면, 메모리의 라이브러리 레이어에 설치된 공격 탐지 모듈(120)은 웹 브라우징 중에 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 호출되며, 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행한다(S209).Then, the attack detection module 120 installed in the library layer of the memory is called when at least one of an internal command execution function, an internal file browsing function, an internal file modification function, a memory generation function, or a memory change function is called during web browsing. It performs an attack detection function including at least one of an internal command execution detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function (S209). ).

다음으로, 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 탐지되면 공격 차단 모듈(130)은 공격 탐지 결과에 따라 웹 페이지의 접속을 차단하며(S213), 차단 내용을 로그로 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S215). 하지만, 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 탐지되지 않으면 공격 차단 모듈(130)은 웹 페이지의 접속을 허용한다(S217).Next, when a web page attack is detected by the attack detection module 120, the attack blocking module 130 blocks access to the web page according to the attack detection result (S213), and records the blocked content as a log or is recognized by the user. It is displayed so that it can be done or transmitted to a preset external server (S215). However, if a web page attack is not detected by the attack detection module 120, the attack blocking module 130 allows access to the web page (S217).

도 1 및 도 3을 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.A process of detecting and blocking an attack when a function related to execution of a command is called in the web page attack blocking method according to an embodiment will be described with reference to FIGS. 1 and 3.

공격 탐지 모듈(120)은 함수 호출 감시 중에 내부 명령 실행 함수 등의 명령 실행 관련 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사한다(S301 내지 S305).When an instruction execution-related function such as an internal instruction execution function is called during function call monitoring, the attack detection module 120 checks whether it is a library execution function or a system call execution function (S301 to S305).

이어서, 공격 탐지 모듈(120)은 단계 S305에 의한 함수 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하며, 파악된 호출 함수 정보와 인자 정보를 공격 차단 모듈(130)에게 제공한다(S307).Subsequently, the attack detection module 120 determines the calling function information and argument information if it is a library execution function according to the result of the function check in step S305, and provides the identified calling function information and argument information to the attack blocking module 130 Do (S307).

그리고, 공격 탐지 모듈(120)은 단계 S305에 의한 함수 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악하며, 파악된 인자 정보를 공격 차단 모듈(130)에게 제공한다(S309).Then, the attack detection module 120 detects factor information if it is a system call execution function according to the result of the function check in step S305, and provides the identified factor information to the attack blocking module 130 (S309).

여기서, 단계 S307 및 S309를 통해 전달 정보를 다르게 처리하는 것은 실제 드라이브-바이 다운로드 공격의 형태를 구분하고, 어느 레이어에서 공격이 시작되었는지 파악하기 용이하게 하기 위한 것이다.Here, the different processing of the delivery information through steps S307 and S309 is to distinguish the type of actual drive-by download attack, and to make it easy to grasp at which layer the attack started.

다음으로, 공격 차단 모듈(130)은 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하며(S311), 단계 S307 또는 S309를 통해 파악 및 전달된 호출 함수 정보 또는 인자 정보를 포함하는 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S313).Next, the attack blocking module 130 blocks access to the web page that called the internal command execution function (S311), and logs the blocking content including calling function information or argument information identified and transmitted through step S307 or S309. Is recorded, displayed so that the user can recognize it, or transmitted to a preset external server (S313).

도 1 및 도 4를 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.A process of detecting and blocking an attack when a file browsing-related function is called in a web page attack blocking method according to an embodiment will be described with reference to FIGS. 1 and 4.

공격 탐지 모듈(120)은 함수 호출 감시 중에 내부 파일 열람 함수 또는 내부 파일 변조 함수 등의 파일 열람 관련 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계(S401 내지 S407). 여기서, 파일 열람인가 아니면 파일 쓰기인지를 판단하며, 판단 결과에 따라 열람 화이트리스트 또는 쓰기 화이트리스트에 존재하는 지를 검사할 수 있다.The attack detection module 120 checks whether a path factor of the called function exists in a pre-stored white list when a file browsing-related function such as an internal file browsing function or an internal file falsifying function is called during function call monitoring (S401 to S407). Here, it is determined whether the file is read or the file is written, and it is possible to check whether it exists in the read white list or the write white list according to the determination result.

그리고, 공격 탐지 모듈(120)은 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하여 공격 차단 모듈(130)에게 경로 인자를 전달한다.In addition, if the path factor of the called function does not exist in the white list, the attack detection module 120 determines that it is a web page attack and transmits the path factor to the attack blocking module 130.

그러면, 공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 판단된 경우라면 웹 페이지의 접속을 차단하고(S409), 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S411). 하지만, 호출된 함수의 경로 인자가 화이트리스트에 존재하는 경우라면 웹 페이지 접속 및 정상적인 파일 열람을 허용한다(S413).Then, the attack blocking module 130 blocks access to the web page if it is determined that the attack detection module 120 attacks the web page (S409), records the blocking content log, or displays the block so that the user can recognize it. It is transmitted to a preset external server (S411). However, if the path argument of the called function exists in the white list, web page access and normal file browsing are allowed (S413).

도 1 및 도 5를 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.A process of detecting and blocking an attack when a memory-related function is called in a web page attack blocking method according to an embodiment will be described with reference to FIGS. 1 and 5.

공격 탐지 모듈(120)은 함수 호출 감시 중에 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사한다(S501 내지 S505). 여기서, 메모리 생성인가 또는 메모리 변경인가를 먼저 구분한 후에 권한 검사를 수행할 수도 있다.If the memory creation function or the memory change function is called during the function call monitoring, the attack detection module 120 checks whether all read, write, and execution rights are included (S501 to S505). Here, the authority check may be performed after first discriminating whether a memory is created or a memory is changed.

그리고, 공격 탐지 모듈(120)은 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하여 공격 차단 모듈(130)에게 인자를 전달한다. 이는 읽기, 쓰기 및 실행 권한을 모두 포함하는 권한이 정상적인 웹 브라우저라면 필요하지 않다는 추론에 따른 것이다.In addition, the attack detection module 120 determines that a web page attack when all read, write, and execution rights are included and transmits a factor to the attack blocking module 130. This is based on the inference that permissions including read, write, and execute permissions are not necessary for a normal web browser.

그러면, 공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 판단된 경우라면 웹 페이지의 접속을 차단하고(S507), 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S509). 하지만, 읽기, 쓰기 및 실행 권한을 모두 포함하지 않으면 웹 페이지 접속 및 정상적인 메모리 관련 함수의 호출을 허용한다(S511).Then, the attack blocking module 130 blocks access to the web page if it is determined that the attack detection module 120 attacks the web page (S507), and records the blocking content log or displays it so that the user can recognize it. It is transmitted to a preset external server (S509). However, if all read, write, and execution rights are not included, access to the web page and normal memory-related function calls are allowed (S511).

지금까지 설명한 바와 같이, 본 발명의 실시예에 따르면 모바일 웹 브라우저 환경을 그대로 지원하면서 동시에 최소의 수정만으로 웹 브라우저 취약점 공격을 통해 이루어지는 드라이브-바이 다운로드 공격 등과 같이 웹 페이지를 이용한 공격을 실시간으로 탐지할 수 있다.As described so far, according to the embodiment of the present invention, while supporting the mobile web browser environment as it is, it is possible to detect in real time an attack using a web page such as a drive-by download attack performed through a web browser vulnerability attack with minimal modification. I can.

아울러, 모바일 단말 플랫폼의 관리자 권한을 필요로 하는 시스템의 네이티브 라이브러리를 교체하는 등의 물리적인 시스템 변경 방법을 적용하지 않아도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.In addition, even without applying a physical system change method such as replacing the native library of the system that requires administrator rights of the mobile terminal platform, an attack that spreads malicious code through the vulnerability of the web browser can be detected when accessing the web. .

그리고, 악성코드를 탐지하기 위해 성능저하를 유발하면서 통신 과정의 모든 데이터의 내용을 검사하여 공격 코드를 탐지하기 위한 별도의 코드 패턴과 비교하는 모니터링 과정 없이도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.In addition, the malicious code through the vulnerability of the web browser when accessing the web without a monitoring process that checks the contents of all data in the communication process and compares it with a separate code pattern to detect the attack code while causing performance degradation to detect malicious code. It can detect attacks that spread

따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다.Therefore, a drive-by download attack that is automatically executed when a web browser of a mobile terminal that cannot apply technologies such as Active X or plug-in additionally installed in the web browser accesses a web page that causes malicious code through a vulnerability attack. Attacks using web pages such as, etc. can be detected and blocked in real time.

본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each block in the block diagram attached to the present invention and each step in the flowchart may be performed by computer program instructions. Since these computer program instructions can be mounted on the processor of a general purpose computer, special purpose computer, or other programmable data processing equipment, the instructions executed by the processor of the computer or other programmable data processing equipment are shown in each block or flowchart of the block diagram. Each step creates a means to perform the functions described. These computer program instructions can also be stored in computer-usable or computer-readable memory that can be directed to a computer or other programmable data processing equipment to implement a function in a particular way, so that the computer-usable or computer-readable memory It is also possible to produce an article of manufacture in which the instructions stored in the block diagram contain instruction means for performing the functions described in each block or flow chart. Computer program instructions can also be mounted on a computer or other programmable data processing equipment, so a series of operating steps are performed on a computer or other programmable data processing equipment to create a computer-executable process to create a computer or other programmable data processing equipment. It is also possible for the instructions to perform the processing equipment to provide steps for performing the functions described in each block of the block diagram and each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or each step may represent a module, segment, or part of code comprising one or more executable instructions for executing the specified logical function(s). In addition, it should be noted that in some alternative embodiments, functions mentioned in blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially simultaneously, or the blocks or steps may sometimes be performed in the reverse order depending on the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those of ordinary skill in the art to which the present invention pertains will be able to make various modifications and variations without departing from the essential characteristics of the present invention. Accordingly, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain the technical idea, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

본 발명의 실시예에 따르면, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다. 따라서, 모바일 웹 브라우저를 포함하는 스마트폰 등과 같은 각종 모바일 통신 장치 및 관련 기술분야에 이용할 수 있다.According to an embodiment of the present invention, it is automatically executed when a web browser of a mobile terminal that cannot apply technologies such as Active X or a plug-in additionally installed in the web browser accesses a web page that causes malicious code through a vulnerability attack. It can detect and block attacks using web pages such as drive-by download attacks in real time. Therefore, it can be used in various mobile communication devices and related technical fields such as a smart phone including a mobile web browser.

100 : 웹 페이지 공격 차단 장치 110 : 공격 탐지자 설치 모듈
120 : 공격 탐지 모듈 130 : 공격 차단 모듈100: web page attack blocking device 110: attack detector installation module
120: attack detection module 130: attack blocking module

Claims (6)

웹 페이지 공격 차단 장치의 웹 페이지 공격 차단 방법으로서,
웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계;
내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 단계;
웹 브라우징 중에 상기 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 단계; 및
상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함하고,
상기 공격 탐지 모듈을 상기 라이브러리 레이어에 설치하는 단계는,
상기 내부 명령 실행 함수의 코드를 수정하고 명령 실행 시스템 콜로 진입하는 코드에 대한 제거 작업을 수행하고, 내부 파일 열람 공격 유형과 내부 파일 변조 공격 유형을 검사할 수 있도록 상기 내부 파일 열람 함수의 코드를 수정하는 작업을 수행하며, 상기 웹 브라우저의 메모리 변조 공격을 탐지하기 위해 상기 메모리 생성 함수 및 상기 메모리 변경 함수를 수정하는 작업을 수행하는 웹 페이지 공격 차단 방법.As a method of blocking web page attacks by a web page attack blocking device,
Loading a security library on memory when the web browser is first executed;
When at least one of an internal command execution function, an internal file view function, an internal file modulation function, a memory generation function, or a memory change function is called, an attack detection module that performs an attack detection function is obtained from the security library, Installing on the library layer;
During web browsing, the attack detection module includes at least one of an internal command execution attack detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, and a memory change attack detection function. Performing an attack detection function; And
Blocking access to a web page where an attack is detected by the attack detection module,
Installing the attack detection module in the library layer,
Modify the code of the internal command execution function, remove the code entering the command execution system call, and modify the code of the internal file browsing function so that the internal file browsing attack type and the internal file tampering attack type can be checked. And modifying the memory creation function and the memory change function to detect a memory modification attack of the web browser. 제 1 항에 있어서,
상기 공격 탐지 모듈을 상기 라이브러리 레이어에 설치하는 단계는, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 상기 내부 명령 실행 함수, 상기 내부 파일 열람 함수, 상기 내부 파일 변조 함수, 상기 메모리 생성 함수 또는 상기 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 상기 공격 탐지 모듈이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.The method of claim 1,
The step of installing the attack detection module in the library layer includes the internal command execution function, the internal file browsing function, the internal file modification function, and the memory generation function included in a basic library loaded on a memory of a web browser processor. Or modifying a code of at least one function among the memory change functions, and adding a web browser initialization routine code so that the attack detection module is called when a corresponding function is called. 제 1 항에 있어서,
상기 공격 탐지 기능을 수행하는 단계는,
상기 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하는 단계;
상기 검사 결과, 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하는 단계; 및
상기 검사 결과, 시스템 콜 실행 함수이면 상기 인자 정보를 파악하는 단계를 더 포함하며,
상기 웹 페이지의 접속을 차단하는 단계는,
상기 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하는 단계; 및
파악된 상기 호출 함수 정보 또는 상기 인자 정보를 포함하는 차단 내용 로그를 기록, 표시 또는 전송하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.The method of claim 1,
The step of performing the attack detection function,
If the internal command execution function is called, checking whether it is a library execution function or a system call execution function;
As a result of the inspection, if it is a library execution function, determining call function information and parameter information; And
If the test result is a system call execution function, further comprising the step of determining the factor information,
Blocking the access to the web page,
Blocking access to a web page that called the internal command execution function; And
And recording, displaying, or transmitting a blocking content log including the identified calling function information or the parameter information. 제 1 항에 있어서,
상기 공격 탐지 기능을 수행하는 단계는,
상기 내부 파일 열람 함수 또는 상기 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계;
상기 호출된 함수의 경로 인자가 상기 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.The method of claim 1,
The step of performing the attack detection function,
When the internal file browsing function or the internal file modulation function is called, checking whether a path argument of the called function exists in a pre-stored white list;
And determining as a web page attack if the path argument of the called function does not exist in the white list. 제 1 항에 있어서,
상기 공격 탐지 기능을 수행하는 단계는,
상기 메모리 생성 함수 또는 상기 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하는 단계;
상기 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.The method of claim 1,
The step of performing the attack detection function,
If the memory creation function or the memory change function is called, checking whether all of the read, write, and execution rights are included;
And determining that it is a web page attack if all of the read, write, and execution rights are included. 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 공격 탐지자 설치 모듈;
웹 브라우징 중에 상기 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 상기 공격 탐지 모듈; 및
상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 공격 차단 모듈을 포함하고,
상기 공격 탐지자 설치 모듈은,
상기 내부 명령 실행 함수의 코드를 수정하고 명령 실행 시스템 콜로 진입하는 코드에 대한 제거 작업을 수행하고, 내부 파일 열람 공격 유형과 내부 파일 변조 공격 유형을 검사할 수 있도록 상기 내부 파일 열람 함수의 코드를 수정하는 작업을 수행하며, 상기 웹 브라우저의 메모리 변조 공격을 탐지하기 위해 상기 메모리 생성 함수 및 상기 메모리 변경 함수를 수정하는 작업을 수행하는 웹 페이지 공격 차단 장치.
When the web browser is executed for the first time, the security library is loaded into memory, and when at least one of an internal command execution function, an internal file view function, an internal file modification function, a memory creation function, or a memory change function is called, from the security library. An attack detector installation module acquiring an attack detection module performing an attack detection function and installing it in the library layer of the memory;
When the at least one function is called during web browsing, at least one of an internal command execution detection function, an internal file browsing attack detection function, an internal file tampering attack detection function, a memory generation attack detection function, or a memory change attack detection function The attack detection module for performing the attack detection function including; And
An attack blocking module that blocks access to a web page where an attack is detected by the attack detection module,
The attack detector installation module,
Modify the code of the internal command execution function, remove the code entering the command execution system call, and modify the code of the internal file browsing function so that the internal file browsing attack type and the internal file tampering attack type can be checked. A web page attack blocking device that performs a task, and performs a task of modifying the memory creation function and the memory change function to detect a memory tampering attack of the web browser.
KR1020140163685A 2014-11-21 2014-11-21 Method and apparatus for blocking web page attack KR102156340B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140163685A KR102156340B1 (en) 2014-11-21 2014-11-21 Method and apparatus for blocking web page attack
KR1020200113912A KR102304332B1 (en) 2014-11-21 2020-09-07 Method and apparatus for blocking web page attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140163685A KR102156340B1 (en) 2014-11-21 2014-11-21 Method and apparatus for blocking web page attack

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020200113912A Division KR102304332B1 (en) 2014-11-21 2020-09-07 Method and apparatus for blocking web page attack

Publications (2)

Publication Number Publication Date
KR20160061141A KR20160061141A (en) 2016-05-31
KR102156340B1 true KR102156340B1 (en) 2020-09-15

Family

ID=56099096

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140163685A KR102156340B1 (en) 2014-11-21 2014-11-21 Method and apparatus for blocking web page attack

Country Status (1)

Country Link
KR (1) KR102156340B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102040929B1 (en) 2017-08-04 2019-11-27 국방과학연구소 Apparatus and method for the detection of drive-by download using unusual behavior monitoring
CN109697362A (en) * 2018-12-13 2019-04-30 西安四叶草信息技术有限公司 Network hole detection method and device
KR102182397B1 (en) * 2020-01-16 2020-11-24 김욱 Web Service Protection and Automatic Recovery Method and System Thereof
KR102258638B1 (en) 2020-08-06 2021-06-01 주식회사 알파인랩 Systems and methods to block JavaScript-based web automation attacks and sniffing

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101311367B1 (en) * 2013-04-09 2013-09-25 주식회사 안랩 Method and apparatus for diagnosing attack that bypass the memory protection
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101033932B1 (en) 2007-10-12 2011-05-11 한국전자통신연구원 Apparatus and method for monitor and protect system resources from web browsers
KR100915202B1 (en) 2007-11-27 2009-09-02 유디코스모 주식회사 Method and apparatus for collecting malicious codes
KR101027928B1 (en) 2008-07-23 2011-04-12 한국전자통신연구원 Apparatus and Method for detecting obfuscated web page

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof
KR101311367B1 (en) * 2013-04-09 2013-09-25 주식회사 안랩 Method and apparatus for diagnosing attack that bypass the memory protection

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yeu-Pong Lai et al, "The defense in-depth approach to the protection for browsing users against drive-by cache attacks"(2014.10.)*

Also Published As

Publication number Publication date
KR20160061141A (en) 2016-05-31

Similar Documents

Publication Publication Date Title
Xing et al. Upgrading your android, elevating my malware: Privilege escalation through mobile os updating
US10728274B2 (en) Method and system for injecting javascript into a web page
Yang et al. Automated detection and analysis for android ransomware
Sanchez-Rola et al. Extension breakdown: Security analysis of browsers extension resources control policies
KR101442654B1 (en) Systems and methods for behavioral sandboxing
Batyuk et al. Using static analysis for automatic assessment and mitigation of unwanted and malicious activities within Android applications
Wang et al. Unauthorized origin crossing on mobile platforms: Threats and mitigation
JP6326497B2 (en) Dynamic application security verification
KR101739125B1 (en) Apparatus and method for analysing a permission of application for mobile device and detecting risk
US12039034B2 (en) Undetectable sandbox for malware
EP2881877A1 (en) Program execution device and program analysis device
US10911487B2 (en) On-device network protection
KR102156340B1 (en) Method and apparatus for blocking web page attack
Yang et al. {Iframes/Popups} Are Dangerous in Mobile {WebView}: Studying and Mitigating Differential Context Vulnerabilities
Phung et al. Hybridguard: A principal-based permission and fine-grained policy enforcement framework for web-based mobile applications
Čisar et al. The framework of runtime application self-protection technology
CN103970574B (en) The operation method and device of office programs, computer system
Wang et al. Stay in your cage! a sound sandbox for third-party libraries on android
Onarlioglu et al. Sentinel: Securing legacy firefox extensions
KR20160090566A (en) Apparatus and method for detecting APK malware filter using valid market data
CN117032894A (en) Container security state detection method and device, electronic equipment and storage medium
Zhu et al. AdCapsule: Practical confinement of advertisements in android applications
CN102801740A (en) Trojan horse virus prevention method and equipment
KR102304332B1 (en) Method and apparatus for blocking web page attack
Spreitzenbarth Dissecting the Droid: Forensic analysis of android and its malicious applications

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant