KR102514214B1 - 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 - Google Patents

빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 Download PDF

Info

Publication number
KR102514214B1
KR102514214B1 KR1020210101467A KR20210101467A KR102514214B1 KR 102514214 B1 KR102514214 B1 KR 102514214B1 KR 1020210101467 A KR1020210101467 A KR 1020210101467A KR 20210101467 A KR20210101467 A KR 20210101467A KR 102514214 B1 KR102514214 B1 KR 102514214B1
Authority
KR
South Korea
Prior art keywords
website
host file
identification information
address
website page
Prior art date
Application number
KR1020210101467A
Other languages
English (en)
Other versions
KR20230019664A (ko
Inventor
남궁규정
이형수
손기조
Original Assignee
(주) 코아맥스테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 코아맥스테크놀로지 filed Critical (주) 코아맥스테크놀로지
Priority to KR1020210101467A priority Critical patent/KR102514214B1/ko
Publication of KR20230019664A publication Critical patent/KR20230019664A/ko
Application granted granted Critical
Publication of KR102514214B1 publication Critical patent/KR102514214B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법은 차단 대상 IP주소를 저장하는 단계와, 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와, 상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하는 단계와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하는 단계와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일하지 않은 경우, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버로 전송하는 단계와, 상기 안전DNS서버로부터 웹사이트 IP주소를 수신하는 단계와, 상기 사용자 단말기로부터 추출된 호스트 파일에 대응되는 IP주소와 상기 안전DNS서버로부터 수신된 IP주소를 비교하는 단계와, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 단계와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하는 단계와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하는 단계를 포함하며, 상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되, 상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고, 상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 한다.
본 발명에 의해, 해커에 의한 네트워크 파밍 공격을 신뢰성 있게 방지할 수 있다.
또한, 웹사이트에 복수 개의 DNS 서버들이 이용되는 경우, DNS 서버 변경과 네트워크 파밍을 명확히 구분할 수 있으며, DNS 서버 감시의 정확성과 효율을 높일 수 있다.

Description

빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템{METHOD AND SYSTEM FOR PREVENTING NETWORK PHARMING USING BIG DATA AND ARTIFICIAL INTELLIGENCE}
본 발명은 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템에 관한 발명으로서, 보다 상세하게는 빅데이터와 인공지능 기술을 활용함으로써 네트워크 파밍을 신뢰성 있게 방지하면서도, 웹사이트에 복수 개의 도메인 네임 서버들이 이용되는 경우, 도메인 네임 서버 변경과 네트워크 파밍을 명확히 구분할 수 있고, 서버 감시의 정확성과 효율을 높이도록 구성되는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템에 관한 발명이다.
인터넷의 편리함으로 말미암아 개인과 기업들의 경제활동에서 전자메일, 파일 전송과 같이 간단한 업무 처리뿐 아니라, 전자결재, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다.
이와 같이 인터넷 이용이 일반화되면서, 인터넷 상에서 사용자의 개인 정보 등을 탈취하기 위한 각종 공격들이 성행하고 있다.
이러한 인터넷 네트워크 상의 공격은 예를 들어 파밍(pharming) 공격을 들 수 있다.
인터넷 사용자들은 특정 웹사이트에 접속할 때, 해당 웹사이트의 IP주소 대신 도메인 네임을 입력하여 접속할 수 있는데, DNS(domain name server 또는 domain name system, 이하 DNS)란 특정 사이트에 접속하는 경우에 도메인 네임을 IP 주소로 전환시켜 주는 시스템을 뜻한다.
그런데, 컴퓨터와 같은 단말기는 도메인 네임을 IP주소로 변환할 때 처음부터 DNS를 검색하는 것은 아니고, 컴퓨터 내부에 있는 호스트 파일을 먼저 참조한다.
사용자들이 사용하는 컴퓨터에는 일반적으로 호스트 파일이 존재하는데, 이 파일은 IP주소와 도메인 네임을 매칭 시켜주는 파일에 해당한다.
따라서, 호스트파일에서 원하는 도메인 네임을 찾는다면 더 이상 DNS에 IP주소를 요청하지 않는다.
도 1 은 컴퓨터 또는 스마트폰과 같은 단말기(100)가 자체 장치 내의 호스트(hosts) 파일을 통해서나, 공유기(110)에 저장된 호스트 파일을 통해 해당 웹사이트(150)에 접속하는 과정을 도시한다.
사용자가 특정 웹사이트의 도메인 네임을 입력하는 경우, 단말기(100) 또는 공유기(110)에 기 저장된 호스트 파일(미도시)에 매칭되는 도메인 네임과 IP주소가 있다면, 단말기(100)는 DNS 서버(120)를 호출하지 않고 호스트 파일에서 직접 찾아낸 IP 주소로 웹사이트(150)에 접속하게 된다.
전술한 파밍 공격은 이러한 호스트 파일의 특성을 악용한 사례에 해당한다.
즉, 해커(hacker)의 직접 해킹 또는 악성코드 감염 등으로 인해 사용자 단말기의 호스트 파일이 변조되는 경우, 호스트 파일에는 해커가 의도한 가짜 사이트 주소가 기록된다.
따라서, 사용자가 정확한 도메인 주소를 입력하여 인터넷 접속을 시도하더라도, 단말기는 호스트 파일을 참조하여 가짜 사이트 주소로 이동되어 사용자에게 가짜 사이트를 보여주게 된다.
따라서, 사용자는 가짜 사이트에 접속하여 개인 정보 등을 유출할 수 있다.
한편, 단말기는 사용자들이 입력한 도메인 네임이 호스트 파일에 없는 경우에, 도 1의 (b)에 도시된 바와 같이, 접속하고자 하는 도메인 네임에 해당하는 IP 주소를 DNS 서버(120)에 문의한다(DNS 쿼리 : DNS query)
이 경우, 상기 DNS 서버(120)가 해당 IP 주소를 사용자의 단말기(100)로 전송하게 되며, 단말기(100)는 전송 받은 IP 주소를 사용하여 해당 웹사이트(150)에 접속하게 된다.
그런데, 파밍 공격은 실제 DNS 서버(120) 보다 빨리 공격 대상인 사용자 단말기(100)에게 DNS Response 패킷을 보내, 단말기(100)가 잘못된 IP 주소의 웹사이트로 접속하도록 유도할 수도 있다.
예를 들어, 사용자가 단말기(100)를 통해 DNS 서버(120)로 DNS Query 패킷을 보내는 것을 확인한 경우, 해커는 DNS 서버(120)가 올바른 DNS Response 패킷을 보내기 전에 사용자에게 위조된 DNS Response 패킷을 보낼 수 있다.
이때, 사용자의 단말기(100)는 해커가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹사이트에 접속하게 되며, 이 경우 사용자가 접속한 사이트는 정상 사이트가 아니라 해커가 만든 가짜 사이트에 해당한다.
그런데, 웹사이트의 용량이 큰 경우 이를 유지하기 위해 매우 많은 수의 DNS 서버들이 이용되는 실정이며, 또한 설비 비용 상의 문제로 인해 임대 형식의 클라우드 서버들이 많이 이용된다.
클라우드 서버의 경우, 일정한 사용 기간 경과 후에는 DNS 서버가 변경되는 경우가 빈번한데, 이러한 변경에 의한 새로운 DNS 서버의 이용은 파밍에 의한 가짜 사이트 접속과 구분되어야 한다.
본 발명의 목적은, 빅데이터와 인공지능 기술을 활용하여 네트워크 파밍을 신뢰성 있게 방지하도록 구성되는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템을 제공하는 것이다.
본 발명의 다른 목적은, 웹사이트에 복수 개의 DNS 서버들이 이용되는 경우, DNS 서버 변경과 네트워크 파밍을 명확히 구분할 수 있도록 구성되는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, DNS 서버 감시의 정확성과 효율을 높이도록 구성되는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템을 제공하는 것이다.
상기 목적을 달성하기 위한 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법은 차단 대상 IP주소를 저장하는 단계와, 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와, 상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하는 단계와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하는 단계와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일하지 않은 경우, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버로 전송하는 단계와, 상기 안전DNS서버로부터 웹사이트 IP주소를 수신하는 단계와, 상기 사용자 단말기로부터 추출된 호스트 파일에 대응되는 IP주소와 상기 안전DNS서버로부터 수신된 IP주소를 비교하는 단계와, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 단계와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하는 단계와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하는 단계를 포함하며, 상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되, 상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고, 상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 한다.
바람직하게는, 상기 호스트 파일에 의해 접속되는 웹사이트의 서버 식별정보를 수신받는 단계와, 상기 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 안전DNS서버로 판단하도록 구성된다.
또한, 상기 서버 식별정보가 비고정서버 식별정보일 경우, 비안전DNS서버로 판단하도록 구성될 수 있다.
그리고, 상기 제 1 웹사이트 페이지 컨텐츠는 복수 개의 DNS 서버에 의해 분할 대응되며, 상기 복수 개의 DNS 서버들의 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하도록 구성될 수 있다.
한편, 상기 복수 개의 DNS 서버들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
또한, 상기 복수 개의 DNS 서버들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
그리고, 상기 안전DNS서버의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는 미리 지정된 주기마다 동일 여부가 체크되도록 구성될 수 있다.
바람직하게는, 상기 미리 지정된 주기는 상기 서버 식별정보에 따라 다르게 설정된다.
여기서, 상기 미리 지정된 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성될 수 있다.
또한, 상기 서버 식별정보가 비고정서버 식별정보를 포함하는 경우, 상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성될 수 있다.
한편, 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템은 사용자의 단말기로부터 입력되는 도메인 네임을 감지하는 도메인네임감지모듈과, 상기 사용자 단말기로부터 입력된 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 호스트파일추출모듈과, 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 안전DNS서버관리모듈과, 상기 사용자 단말기로부터 추출된 호스트 파일에 포함된 IP주소와 안전DNS서버로부터 수신된 IP주소를 비교하는 IP주소비교모듈과, 차단 대상 IP주소와 웹사이트 페이지 내용을 저장하기 위한 데이터저장모듈과, 상기 데이터저장모듈에 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 페이지비교모듈과, 상기 웹사이트에 대한 접속 트래픽 수를 저장하기 위한 빅데이터저장모듈과, 상기 접속 트래픽 수에 기초하여 상기 데이터저장모듈에 저장될 웹사이트 페이지를 선정하기 위한 인공지능모듈을 포함하며, 상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하여, 상기 호스트 파일에 대응되는 IP 주소가 상기 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하고, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하여, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하고, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하며, 상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되, 상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고, 상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 한다.
바람직하게는, 상기 호스트 파일에 의해 접속되는 웹사이트의 서버 식별정보를 수신받고, 상기 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 안전DNS 서버로 판단하도록 구성될 수 있다.
여기서, 상기 서버 식별정보가 비고정서버 식별정보일 경우, 비안전DNS 서버로 판단하도록 구성될 수 있다.
그리고, 상기 제 1 웹사이트 페이지 컨텐츠는 복수 개의 DNS 서버에 의해 분할 대응되며, 상기 복수 개의 DNS서버들의 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하도록 구성될 수 있다.
한편, 상기 복수 개의 DNS서버들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
또한, 상기 복수 개의 DNS서버들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
그리고, 상기 안전DNS서버의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는 미리 지정된 주기마다 동일 여부가 체크되도록 구성될 수 있다.
바람직하게는, 상기 미리 지정된 주기는 상기 서버 식별정보에 따라 다르게 설정될 수 있다.
여기서, 상기 미리 지정된 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성될 수 있다.
또한, 상기 서버 식별정보가 비고정서버 식별정보를 포함하는 경우, 상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성될 수 있다.
본 발명에 의해, 해커에 의한 네트워크 파밍 공격을 신뢰성 있게 방지할 수 있다.
또한, 웹사이트에 복수 개의 DNS 서버들이 이용되는 경우, DNS 서버 변경과 네트워크 파밍을 명확히 구분할 수 있다.
또한, DNS 서버 감시의 정확성과 효율을 높일 수 있다.
첨부의 하기 도면들은, 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 이해시키기 위한 것이므로, 본 발명은 하기 도면에 도시된 사항에 한정 해석되어서는 아니 된다.
도 1 은 단말기를 통해 웹 사이트에 접속하는 종래 과정을 도시한 개략도이며,
도 2 는 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템이 사용자 단말기와 네트워크 환경에 의해 연결된 상태를 도시한 개략도이며,
도 3 은 상기 네트워크 파밍 차단 시스템의 블럭도이며,
도 4 는 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 구성을 상세히 설명하기로 한다.
이에 앞서, 본 명세서 및 청구범위에 사용된 용어는 사전적인 의미로 한정 해석되어서는 아니되며, 발명자는 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절히 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
따라서, 본 명세서에 기재된 실시예 및 도면에 도시된 구성은 본 발명의 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 표현하는 것은 아니므로, 본 출원 시점에 있어 이들을 대체할 수 있는 다양한 균등물과 변형예들이 존재할 수 있음을 이해하여야 한다.
도 2 는 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템이 사용자 단말기와 네트워크 환경에 의해 연결된 상태를 도시한 개략도이며, 도 3 은 상기 네트워크 파밍 차단 시스템의 블럭도이며, 도 4 는 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법을 나타내는 순서도이다.
도 2 와 3 을 참조하면, 본 발명에 따른 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템은 사용자의 단말기(10)로부터 입력되는 도메인 네임을 감지하는 도메인네임감지모듈(32)과, 상기 사용자 단말기(10)로부터 입력된 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(10)로부터 추출하는 호스트파일추출모듈(34)과, 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 안전DNS서버관리모듈(36)과, 상기 사용자 단말기(10)로부터 추출된 호스트 파일에 포함된 IP주소와 안전DNS서버(50)로부터 수신된 IP주소를 비교하는 IP주소비교모듈(35)과, 차단 대상 IP주소와 웹사이트 페이지 내용을 저장하기 위한 데이터저장모듈(37)과, 상기 데이터저장모듈(37)에 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 페이지비교모듈(38)과, 상기 웹사이트에 대한 접속 트래픽 수를 저장하기 위한 빅데이터저장모듈(33)과, 상기 접속 트래픽 수에 기초하여 상기 데이터저장모듈(37)에 저장될 웹사이트 페이지를 선정하기 위한 인공지능모듈(31)을 포함하며, 상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하여, 상기 호스트 파일에 대응되는 IP 주소가 상기 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하고, 상기 안전DNS서버(50)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하여, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하고, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하며, 상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되, 상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고, 상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 한다.
본 발명에 따른 상기 네트워크 파밍 차단 시스템은 사용자의 단말기(10)가 인터넷에 접속하는 네트워크 스위치(미도시) 등을 통해 물리적으로 접속될 수 있다.
또한, 본 발명에 따른 네트워크 파밍 차단 시스템은 사용자의 단말기(10)가 호스트 파일의 IP 주소를 통해 웹사이트 서버(40)에 접속하는 경우, 또는 DNS서버(50)로부터 수신된 IP 주소를 통해 웹사이트 서버(40)에 접속하는 경우에 대해, 단말기(10)가 정상적인 웹사이트에 접속하는지를 감시할 수 있다.
상기 사용자 단말기(10)는 PC 또는 스마트폰 단말기일 수 있으며, 보안 관리를 위해 상기 사용자 단말기(10)에는 본 발명에 따른 네트워크 파밍 차단 방법을 구현한 프로그램 또는 앱이 저장될 수도 있고, 또는 일반적인 단말기일 수도 있다.
상기 도메인네임감지모듈(32)은 상기 사용자의 단말기(10)로부터 입력되는 도메인 네임을 감지하는 구성이다.
그리고, 상기 호스트파일추출모듈(34)은 상기 사용자 단말기(10)로부터 입력된 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(10)로부터 추출하는 구성이다.
상기 호스트파일추출모듈(34)은 사용자의 단말기(10)가 인터넷에 접속하는 네트워크 스위치 또는 공유기(20)에 대한 포트 미러링(port mirroring) 방식을 통해, 도메인 네임에 대응되는 웹사이트의 IP 주소를 추출할 수 있다.
상기 호스트파일추출모듈(34)은 포트 미러링 기법을 통해 접속하고자 하는 웹사이트에 대한 출발지 IP, 목적지 IP, HTTP method, HTTP 헤더 정보 등을 분석하여, 도메인 네임에 대응되는 웹사이트의 IP 주소를 단말기(10) 또는 공유기(20)로부터 전달받도록 구성된다.
상기 데이터저장모듈(37)은 사용자가 단말기(100)를 통해 접속하는 웹사이트의 IP 주소들 중 접속을 차단하고자 하는 IP주소와, 상기 IP 주소에 대응되는 도메인 네임을 저장하는 데이터베이스에 해당한다.
또한, 상기 데이터저장모듈(37)에는 사전의 안전성 검증에 의해 올바른 것으로 인정된 웹사이트의 페이지 내용을 저장한다.
상기 웹사이트 페이지 내용은 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함한다.
상기 웹사이트 페이지 내용은 데이터의 효율적인 관리를 위하여 상기 웹사이트의 해시 함수로써 저장된다.
상기 해시 함수(Hash Funtion)는 저장되는 데이터의 효율적인 관리를 목적으로 임의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수이다.
이때, 매핑전 원래의 데이터 값을 키(Key), 매핑 후 데이터의 값을 해시값(Hash value) 또는 해시코드라 하며, 매핑하는 과정 자체를 해싱(Hashing)이라고 한다.
상기 해시 함수의 기본적인 성질은, 두 해시 값이 다르면 원래의 데이터 값도 다르게 판단하는 것이다.
상기 안전DNS서버관리모듈(36)은 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송신하고 또한, DNS서버로부터 상기 도메인 네임과 연관된 IP 주소를 수신받는 구성이다.
또한, 상기 안전DNS서버관리모듈(36)은 DNS서버들 중 검증에 의해 안전성이 담보된 안전DNS서버(50)들의 목록을 저장하면서 이를 관리한다.
그리고, 상기 IP주소비교모듈(35)은 상기 사용자 단말기(10)로부터의 호스트 파일에 의해 추출된 IP주소와, 안전DNS서버(50)로부터 수신된 IP주소를 비교하여 그 동일 여부를 판단하는 구성이다.
또한, 상기 페이지비교모듈(38)은 상기 데이터저장모듈(37)에 미리 저장된 웹사이트 페이지 내용과, 상기 호스트 파일에 의해 접속될 웹사이트의 페이지 내용을 비교하여 그 동일 여부를 판단하는 구성이다.
상기 페이지비교모듈(38)은 상기 미리 저장된 웹사이트 페이지 내용과, 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 상기 헤시 값으로써 비교한다.
그리고, 상기 IP주소비교모듈(35)은 상기 사용자 단말기(10)로부터 추출된 호스트파일에 포함된 IP 주소와, 안전DNS서버(50)로부터 수신된 IP 주소가 일치하는지의 여부를 비교하는 역할을 한다.
상기 안전DNS서버는 사전의 안전성 검증에 의해 진정한 DNS서버로 인정되어 저장된 DNS서버를 의미하며, 상기 안전DNS서버들의 목록은 상기 데이터저장모듈(37)에 저장될 수 있다.
상기 빅데이터저장모듈(33)은 상기 웹사이트에 대한 접속 트래픽 수를 저장한다.
상기 접속 트래픽 수는 상기 웹사이트 중에서 제 1 웹사이트 페이지에 대한 접속 트래픽 수와 제 2 웹사이트 페이지에 대한 접속 트래픽 수를 모두 포함한다.
상기 제 1, 2 웹사이트 페이지에 대한 접속 트래픽 수는 시간의 경과에 따라 변동될 수 있으며, 이러한 변동 상황은 상기 빅데이터저장모듈(33)에 저장된다.
또한, 상기 접속 트래픽 수에 따라 상기 제 1, 2 웹사이트 페이지들 역시 변동될 수 있다.
상기 인공지능모듈(31)은 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지에 대한 접속 트래픽 수에 기초하여 상기 데이터저장모듈(37)에 저장될 웹사이트 페이지를 선정한다.
먼저, 상기 사용자 단말기(100)를 통한 접속을 차단하고자 하는 웹사이트의 IP 주소와, 상기 IP 주소에 대응되는 도메인 네임은 상기 데이터저장모듈(37)에 저장된다.
그리고, 사용자의 단말기(10)로부터 인터넷 네트워크를 통해 접속하고자 하는 웹사이트의 도메인 네임이 입력되는 경우, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(10)로부터 추출한다.
이때, 상기 호스트 파일에 대응되는 IP주소와 상기 데이터저장모듈(37)에 저장된 차단 대상 IP주소를 비교하여, 상기 호스트 파일에 대응되는 IP 주소가 상기 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단한다.
만약, 상기 호스트 파일에 대응되는 IP주소가 상기 데이터저장모듈(37)에 저장된 차단 대상 IP주소와 동일하지 않은 경우에는, 상기 안전DNS서버관리모듈(36)을 통해 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버(50)로 전송한다.
그리고, 상기 안전DNS서버(50)로부터 웹사이트 IP주소를 수신하여, 상기 사용자 단말기(10)로부터 추출된 호스트 파일에 의한 IP 주소와 상기 안전DNS서버(50)로부터 수신된 IP주소를 비교한다.
그리하여, 상기 안전DNS서버(50)로부터 수신된 웹사이트 IP주소와, 상기 호스트 파일로부터 추출된 IP주소가 동일한 경우 상기 웹사이트 접속을 허용한다.
그런데, 만약 상기 안전DNS서버(50)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 서로 다른 경우에는, 상기 데이터저장모듈(37)에 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일로부터 추출된 IP 주소에 의해 접속되는 웹사이트 페이지 내용을 비교한다.
그리고, 상기 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일로부터 추출된 IP 주소에 의해 접속되는 웹사이트 페이지 내용이 서로 상이한 경우에는, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단한다.
그리고, 이러한 사실을 상기 사용자 단말기(10)로 알리고, 상기 안전DNS서버(50)에 저장된 IP주소와 이에 대응되는 도메인 네임을 상기 사용자 단말기(10)로 전송할 수 있다.
상기와 같이 미리 저장된 웹사이트 페이지 내용과 새롭게 변경된 IP 주소에 의해 취득되는 웹사이트 페이지 내용을 비교함으로써, 클라우드 서버 사용기간 만료 등의 사유로 인해 진정한 사용자에 의해 DNS서버가 변경되는지 여부를 판단할 수 있다.
진정한 사용자에 의해 DNS서버가 변경되는 경우, 사용자들의 혼란 방지를 위해 대부분 웹사이트의 초기 화면과 게시판 등의 주요 부분 구조들은 변경되지 않으므로, 이러한 주요 부분 구조의 동일 여부로써 진정한 사용자에 의해 DNS서버가 변경되는지 여부를 판단한다.
상기 미리 저장된 웹사이트 페이지 내용으로서는, 제 1 웹사이트 페이지 내용으로서 상기 웹사이트의 초기 화면 내용 또는 구조가 설정될 수 있고, 제 2 웹사이트 페이지 내용으로서 상기 초기 화면의 일부를 선택하여 접속되는 게시판 화면 또는 로그인 화면의 내용 또는 구조가 설정될 수 있다.
상기 게시판 화면 또는 로그인 화면은, 웹사이트의 초기 화면 접속을 위한 도메인 네임에 비해 그 하류 도메인 네임에 의해 접속될 수 있다.
파밍 공격의 경우 대부분 웹사이트의 초기 화면을 변조시켜 접속을 유도하도록 의도되며, 상기 초기 화면의 하부 페이지까지 변조시키지는 않는다.
왜냐하면, 애초 파밍 공격 자체가 웹사이트의 초기 화면에 혼동을 일으켜 이에 접속하도록 유도하여 개인정보 등을 유출하도록 하기 때문이다.
본 발명에서 상기 인공지능모듈(31)에 의해 선정되는 제 2 웹사이트 페이지로서는, 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 수에 비해 가장 작은 비율의 접속 트래픽 수를 갖는 페이지가 선정된다.
상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대해 높은 비율의 접속 트래픽 수를 갖는 페이지의 경우, 접속자들의 취향과 유행의 변화에 따라 페이지 구성 내용 또는 구조가 변경될 가능성이 높다.
이에 비해, 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 수에 대해, 가장 작은 비율의 접속 트래픽 수를 갖는 페이지의 경우 그 내용 또는 구조가 변경될 가능성이 낮으며, 이러한 페이지를 비교의 기준으로 함으로써 페이지 비교 작업의 신뢰성을 높일 수 있다.
한편, DNS서버의 경우 서버 제공자의 식별 정보가 DNS Response 패킷에 포함되어 전송된다.
상기 서버 제공자로서는 대표적으로 임대 형식의 클라우드 서버를 제공하는 제공자와, 웹사이트 관리 주체가 자체적으로 보유하는 서버 제공자로 분류될 수 있다.
여기서, 웹사이트 관리 주체가 자체적으로 보유하는 서버의 경우 기간 경과에도 변경되지 않는 것이 일반적이고, 임대 형식의 클라우드 서버의 경우 일정 기간 경과 시 변경될 가능성이 높다.
본 발명에서, 웹사이트 제공 주체가 자체적으로 보유하여 거의 변경되지 않는 서버를 "고정서버(52)"로 명명하고, 일정 기간 경과 시 변경의 가능성이 높은 임대 형식의 클라우드 서버를 "비고정서버(54)"로 명명한다.
본 발명에 따른 파밍 차단 시스템에 의해 관리되는 상기 고정서버(52)와 비고정서버(54)들의 식별정보와, 그 제공 주체에 관한 데이터는 미리 상기 데이터저장모듈(37)에 저장된다.
또한, 새롭게 상기 고정서버(52)를 설치할 예정인 제공 주체에 관한 데이터도 상기 데이터저장모듈(37)에 저장될 수 있다.
그리고, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에서, 고정서버(52)로부터의 Response 패킷인지 또는 비고정서버(54)로부터의 Response 패킷인지의 여부를 식별하기 위한 서버 식별정보를 수신한다.
이때, 상기 서버 식별정보가 미리 저장된 고정서버(54) 식별정보와 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS서버를 안전DNS 서버로 판단하며, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지 비교 작업을 수행하지 않는다.
그리하여, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS서버 제공 주체가 데이터저장모듈(37)에 저장된 고정서버 제공 주체와 동일한 것으로 식별될 경우에는, 상기와 같은 페이지 비교 작업을 수행하지 않고 안전DNS 서버로 판단함으로써, 시스템 구동 효율을 높일 수 있다.
그리고, 기존 고정서버 제공 주체에 의해 DNS서버가 추가적으로 설치되거나, 새로운 고정서버 제공 주체에 의해 DNS서버가 설치되는 것인지의 여부를 판단할 수 있다.
그런데, 만약 상기 서버 식별정보가 비고정서버(54) 식별정보로 판단되는 경우에는, 일단 비안전DNS서버로 판단하고, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지 비교 작업을 수행하여 파밍 여부를 판단하도록 구성된다.
그리하여, 파밍 공격의 경우 주로 클라우드 서버들을 이용하여 이루어지는 것을 감안하여, 만약 상기 서버 식별정보가 비고정서버(54)로 판단되는 경우에는, 상기와 같이 웹사이트 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
또한, 상기 제 1 웹사이트 페이지 컨텐츠가 복수 개의 DNS 서버(40)들에 의해 분할 대응되도록 구성되는 경우가 있다.
이때, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 상기 데이터저장모듈(37)에 저장된 고정서버 식별정보와 동일한 상태에서, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 포함되는 서버 식별정보가 상기 고정서버 식별정보와 동일한 경우, 웹사이트 접속을 허용하도록 구성될 수 있다.
그리하여, 기존 고정서버 제공 주체에 의해 새로운 DNS서버가 추가적으로 설치되거나, 또는 안전성이 사전 검증된 새로운 고정서버 제공 주체에 의해 DNS서버가 설치된 것으로 판단되는 경우에는, 웹사이트 접속을 허용하도록 구성된다.
그리고, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 의한 웹사이트 접속을 차단하도록 구성될 수 있다.
고정서버 제공주체의 경우, 웹사이트 내용의 확장 또는 변경 시 주로 동일 제공주체에 의해 관리되는 고정서버를 추가하는 것이 일반적인데, 상기와 같이 DNS서버(40)들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우에는 이례적인 것으로 판단하여, 상기된 바와 같은 웹사이트 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
그리고, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 포함되는 서버 식별정보가 단일의 서버 제공주체를 나타내는 것이 아니고, 서로 다른 서버 제공주체를 나타내는 것으로 판단될 경우에는, 웹사이트 접속을 차단하고 상기와 같은 웹사이트 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
상기 서버 식별정보 역시 서버의 제공 주체를 표시하는 정보를 의미하며, 동일한 고정서버 제공주체 또는 클라우드 서버 제공주체가 아닌 다른 서버 제공주체에 의해 제공되는 DNS서버(40)로 판단되는 경우에는, 보다 신중한 판단을 위해 웹사이트 접속을 차단하고 웹사이트 비교 작업을 수행하도록 구성된다.
또한, 사전 검증에 의해 안전한 DNS서버로 인정된 안전DNS서버에서 미리 지정되어 상기 데이터저장모듈(37)에 저장된 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는 소정의 미리 지정된 주기마다 동일 여부가 체크되도록 구성된다.
그리하여, 일정 주기마다 웹사이트 페이지 비교 작업을 수행함으로써, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지가 정당하게 변경되었는지의 여부를 체크하여 파밍 방지 차단의 정확성을 높이도록 구성된다.
또한, 상기 데이터저장모듈(37)에 저장되는 제 1 웹사이트 페이지와 제 2 웹사이트 페이지 데이터에 대한 정확성을 유지할 수 있다.
바람직하게는, 상기 미리 지정된 주기는 상기 서버 제공주체를 나타내는 식별정보에 따라 다르게 설정될 수 있다.
그리하여, 고정서버 제공주체에 의한 웹사이트 페이지 변경 주기와 클라우드 서버와 같은 비고정서버 제공주체에 의한 웹사이트 페이지 변경 주기의 평균값을 반영하여, 보다 빈번히 웹사이트 페이지 내용이 변경되는 경우에는 상기 웹사이트 비교 작업의 주기를 짧게 설정할 수 있다.
여기서, 상기 웹사이트 페이지 비교 작업의 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성될 수 있다.
그리하여, 웹사이트의 메인 페이지로 설정될 수 있는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽의 크기가 큰 경우에는, 상기 웹사이트 페이지 비교 작업의 주기를 더욱 짧게 설정할 수 있다.
이로써, 인터넷 이용자들에 의해 빈번히 접속되어 보다 많은 데이터 트래픽이 발생되는 웹사이트, 즉 사람들에 의해 더욱 빈번히 이용되어 파밍의 대상이 될 가능성이 더욱 큰 웹사이트의 경우, 웹사이트 페이지 비교 작업의 주기를 더욱 짧게 하여 안전성과 파밍 차단 확률을 높이도록 구성된다.
또한, 상기 서버 식별정보가 비고정서버(54) 식별정보를 포함하는 경우, 상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성될 수 있다.
클라우드 서버와 같은 임대 형식으로 이용하는 비고정서버의 경우, DNS Response 패킷에 상기 비고정서버 사용 기간에 관한 정보를 포함할 수 있다.
그리고, 비고정서버의 잔존 사용 기간 이내에 서버 식별정보가 변경되는 경우에는, 상기 웹페이지 비교 작업을 수행하여 파밍 여부를 신중히 판단하도록 구성된다.
한편, 도 4 를 참조하면, 본 발명에 따른 네트워크 파밍 차단 방법은 차단 대상 IP주소를 저장하는 단계(단계 10)와, 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계(단계20)와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계(단계 30)와, 상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하는 단계(단계 40)와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하는 단계(단계 100)와, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일하지 않은 경우, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버로 전송하는 단계(단계 50)와, 상기 안전DNS서버로부터 웹사이트 IP주소를 수신하는 단계(단계 60)와, 상기 사용자 단말기(10)로부터 추출된 호스트 파일에 대응되는 IP주소와 수신된 IP주소를 비교하는 단계(단계 70)와, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 단계(단계 90)와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하는 단계(단계 80)와, 상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하는 단계(단계 100)를 포함하며, 상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되, 상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고, 상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 한다.
본 발명에 따른 네트워크 파밍 차단 방법은, 상기 데이터저장모듈(37)에 사용자가 단말기(100)를 통한 접속을 차단하고자 하는 IP주소와, 상기 IP 주소에 대응되는 도메인 네임을 저장한다.(단계 10)
그리고, 상기 사용자의 단말기(10)로부터 인터넷 네트워크를 통해 접속하고자 하는 웹사이트의 도메인 네임이 입력되는 경우, 상기 도메인네임감지모듈(32)을 통해 이를 감지한다.(단계 20)
이후, 상기 호스트파일추출모듈(34)을 통해 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(10)로부터 추출한다.(단계 30)
이때, 상기 호스트 파일에 대응되는 IP주소와 상기 데이터저장모듈(37)에 저장된 차단 대상 IP주소를 비교하여(단계40), 만약 상기 호스트 파일에 대응되는 IP 주소가 상기 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단한다.(단계 100)
그리고, 이러한 접속 차단 사실을 상기 사용자 단말기(10)로 알린다.(단계 110)
만약, 상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일하지 않은 경우, 상기 안전DNS서버관리모듈(36)을 통해 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버(50)로 전송한다.(단계 50)
또한, 상기 안전DNS서버관리모듈(36)은 상기 안전DNS서버(50)로부터 상기 도메인 네임과 연관된 웹사이트 IP주소를 수신한다.(단계 60)
그리고, 상기 IP주소비교모듈(35)을 통해, 상기 사용자 단말기(10)로부터 추출된 호스트 파일에 의한 IP 주소와 상기 안전DNS서버(50)로부터 수신된 IP주소를 비교한다.(단계 70)
만약, 상기 안전DNS서버(50)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일로부터 추출된 IP주소가 동일한 경우에는, 상기 웹사이트 접속을 허용한다.(단계 80)
그런데, 만약 상기 안전DNS서버(50)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 서로 다른 경우에는, 상기 데이터저장모듈(37)에 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일로부터 추출된 IP 주소에 의해 접속되는 웹사이트 페이지 내용을 비교한다.(단계 90)
그리고, 만약 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일로부터 추출된 IP 주소에 의해 접속되는 웹사이트 페이지 내용이 서로 상이한 경우에는, 상기 호스트 파일에 의한 웹사이트 IP주소 접속을 차단한다.(단계 100)
그리고, 이러한 사실을 상기 사용자 단말기(10)로 알린다.(단계 110)
그런데, 만약 상기 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일로부터 추출된 IP 주소에 의해 접속되는 웹사이트 페이지 내용이 서로 동일한 경우에는, 상기 호스트 파일에 의한 웹사이트 접속을 허용한다.(단계 80)
이러한 본원발명에 따른 방법에 의해, 상기와 같이 미리 저장된 웹사이트 페이지 내용과 변경된 IP 주소에 의해 취득되는 웹사이트 페이지 내용을 비교함으로써, 클라우드 서버 사용기간 만료 등의 사유로 인한 진정한 사용자에 의한 DNS서버 변경인지, 파밍에 의한 IP 주소 변경인지의 여부를 판단할 수 있다.
상기된 바와 같이, 진정한 사용자에 의해 DNS서버가 변경되는 경우, 사용자들의 혼란 방지를 위해 대부분 웹사이트의 초기 화면과 게시판 등의 주요 부분 구조들은 변경되지 않으므로, 이러한 주요 부분 구조의 동일 여부로써 진정한 사용자에 의한 DNS서버 변경인지 파밍에 의한 변경인지의 여부를 판단한다.
상기된 바와 같이, 상기 미리 저장되는 웹사이트 페이지 내용으로서는, 상기 웹사이트의 초기 화면 내용 또는 구조가 상기 제 1 웹사이트 페이지 내용으로서 설정 저장될 수 있고, 상기 초기 화면의 일부를 선택하여 접속되는 게시판 화면 또는 로그인 화면의 내용 또는 구조가 제 2 웹사이트 페이지 내용으로서 설정 저장될 수 있다.
상기된 바와 같이, 상기 게시판 화면 또는 로그인 화면은 웹사이트의 초기 화면 접속을 유도하는 도메인 네임에 비해 그 하류 도메인 네임을 통해 접속될 수 있다.
그리고, 상기된 바와 같이 상기 제 2 웹사이트 페이지로서는, 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 수에 비해 가장 작은 비율의 접속 트래픽 수를 갖는 페이지가 선정된다.
그리고, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에서, 고정서버(52)로부터의 Response 패킷인지 또는 비고정서버(54)로부터의 Response 패킷인지의 여부를 식별하기 위한 서버 식별정보를 수신한다.
상기 서버 식별정보는 상기 DNS서버 제공자를 식별하기 위한 정보로서, 상기 DNS Response 패킷에 포함되어 전송된다.
상기 DNS서버 제공자로서는 임대 형식의 클라우드 서버를 제공하는 제공자와, 웹사이트 관리 주체가 자체적으로 보유하는 서버 제공자로 분류될 수 있다.
상기와 같이 웹사이트 관리 주체가 자체적으로 보유하는 서버의 경우 기간 경과에도 서버 제공자가 변경되지 않는 것이 일반적이므로, 본 발명에서는 "고정서버(52)"로 명명하고, 임대 형식의 클라우드 서버의 경우 일정 기간 경과 시 서버 제공자가 변경될 가능성이 높으므로, "비고정서버(54)"로 명명한다.
본 발명에 따른 파밍 차단 방법에 의해 관리되는 상기 고정서버(52)와 비고정서버(54)들의 식별정보와 그 제공 주체에 관한 데이터는, 미리 상기 데이터저장모듈(37)에 저장된다.
그리고, 새롭게 상기 고정서버(52)를 설치할 예정인 제공 주체에 관한 데이터도 상기 데이터저장모듈(37)에 저장될 수 있다.
서버 제공자를 나타내는 상기 서버 식별정보가 상기 데이터저장모듈(37)에 미리 저장된 고정서버(54) 식별정보와 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS서버를 안전DNS 서버로 판단한다.
그리하여, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS서버 제공 주체가 데이터저장모듈(37)에 저장된 고정서버 제공 주체와 동일한 것으로 식별될 경우에는, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지 비교 작업을 수행하지 않고, 안전DNS 서버로 판단함으로써 시스템 구동 효율을 높일 수 있다.
또한, 서버 제공자를 나타내는 상기 서버 식별정보가 상기 데이터저장모듈(37)에 미리 저장된 고정서버(54) 식별정보와 동일한 경우, 기존 고정서버 제공 주체에 의해 DNS서버가 추가적으로 설치되거나, 사전에 검증되어 저장된 새로운 고정서버 제공 주체에 의해 DNS서버가 설치되는지 여부를 판단할 수 있다.
그런데, 만약 상기 서버 식별정보가 비고정서버(54) 식별정보로 판단되는 경우에는, 일단 비안전DNS서버로 판단한 후, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지 비교 작업을 수행하여 파밍 여부를 보다 정확히 판단하도록 구성된다.
그리하여, 사전에 미리 저장된 고정서버 제공주체에 의해 제공되는 서버가 아닌 것으로 판단되는 경우, 상기 페이지 비교 작업을 수행하여 파밍 여부를 판단하도록 구성된다.
상기된 바와 같이, 파밍 공격의 경우 주로 클라우드 서버들을 이용하여 이루어지는 것을 감안하여, 만약 상기 서버 식별정보가 비고정서버(54)로 판단되는 경우에는, 상기와 같이 웹사이트 페이지 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
또한, 상기 제 1 웹사이트 페이지 컨텐츠가 복수 개의 DNS 서버(40)들에 의해 분할 대응되도록 구성되는 경우가 있다.
이때, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 상기 데이터저장모듈(37)에 저장된 고정서버 식별정보와 동일한 상태에서, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 포함되는 서버 식별정보가 상기 고정서버 식별정보와 동일한 경우, 안전한 웹사이트로 판단하여 그 접속을 허용하도록 구성될 수 있다.
그리하여, 기존 고정서버 제공 주체에 의해 새로운 DNS서버가 추가적으로 설치되거나, 또는 안전성이 사전 검증된 새로운 고정서버 제공 주체에 의해 DNS서버가 설치된 것으로 판단되는 경우에는, 웹사이트 접속을 허용하도록 구성된다.
그리고, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 의한 웹사이트 접속을 차단하도록 구성된다.
상기된 바와 같이, 고정서버 제공주체의 경우 웹사이트 내용의 확장 또는 변경 시 주로 동일 제공주체에 의해 관리되는 고정서버를 추가하는 것이 일반적임에 비추어, 상기와 같이 DNS서버(40)들의 서버 식별정보가 고정서버(52) 식별정보와 비고정서버(54) 식별정보를 함께 포함하는 경우에는 이례적인 것으로 판단하여, 상기된 바와 같은 웹사이트 페이지 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
그리고, 상기 복수 개의 DNS서버(40)들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성될 수 있다.
상기 호스트 파일에 의해 접속되는 웹사이트의 DNS Response 패킷에 포함되는 서버 식별정보가 단일의 서버 제공주체를 나타내는 것이 아니고, 서로 다른 서버 제공주체를 나타내는 것으로 판단될 경우에는, 웹사이트 접속을 차단하고 상기와 같은 웹사이트 페이지 비교 작업을 통해 파밍 여부를 신중히 판단하도록 구성된다.
그리하여, 웹사이트 제공을 위해 복수의 정당한 DNS서버(40)들이 이용되는 경우에, 복수의 DNS서버들이 파밍에 이용되는 때에 상기와 같이 서버 식별정보로써 일차적으로 웹사이트 접속을 차단하도록 구성된다.
상기 서버 식별정보 역시 서버의 제공 주체를 표시하는 정보를 의미하며, 동일한 고정서버 제공주체 또는 클라우드 서버 제공주체가 아닌 다른 서버 제공주체에 의해 제공되는 DNS서버(40)로 판단되는 경우에는, 보다 신중한 판단을 위해 웹사이트 접속을 차단하고 웹사이트 페이지 비교 작업을 수행하도록 구성된다.
또한, 사전 검증에 의해 안전한 DNS서버로 인정된 안전DNS서버에서, 미리 지정되어 상기 데이터저장모듈(37)에 저장된 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는, 소정의 미리 지정된 주기마다 동일 여부가 체크되도록 구성된다.
그리하여, 일정 주기마다 웹사이트 페이지 비교 작업을 수행함으로써, 상기 제 1 웹사이트 페이지와 제 2 웹사이트 페이지가 동일한 상태로 유지되는지 또는 정당하게 변경되었는지 여부를 체크하여, 파밍 방지 차단의 정확성을 높일 수 있다.
그리고, 상기 데이터저장모듈(37)에 저장되는 제 1 웹사이트 페이지와 제 2 웹사이트 페이지의 정확성을 유지할 수 있다.
상기 미리 지정된 주기는 상기 서버 제공주체를 나타내는 식별정보에 따라 다르게 설정될 수 있으며, 고정서버 제공주체에 의한 웹사이트 페이지 변경 주기와 클라우드 서버와 같은 비고정서버 제공주체에 의한 웹사이트 페이지 변경 주기의 평균값을 반영하여 인공지능 기술을 적용함으로써, 보다 빈번히 웹사이트 페이지 내용이 변경되는 경우에는 상기 웹사이트 비교 작업의 주기를 짧게 설정할 수 있다.
여기서, 상기 웹사이트 페이지 비교 작업의 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성될 수 있다.
그리하여, 웹사이트의 메인 페이지로 설정될 수 있는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽의 크기가 큰 경우에는, 상기 웹사이트 페이지 비교 작업의 주기를 더욱 짧게 설정할 수 있다.
이로써, 인터넷 이용자들에 의해 빈번히 접속되어 보다 많은 데이터 트래픽이 발생되는 웹사이트, 즉 사람들에 의해 더욱 빈번히 이용되어 파밍의 대상이 될 가능성이 더욱 큰 웹사이트의 경우, 웹사이트 페이지 비교 작업의 주기를 더욱 짧게 하여 안전성과 파밍 차단 확률을 높이도록 구성된다.
또한, 상기 서버 식별정보가 비고정서버(54) 식별정보를 포함하는 경우, 상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성될 수 있다.
상기된 바와 같이, 클라우드 서버와 같은 임대 형식으로 이용하는 비고정서버의 경우, DNS Response 패킷에 상기 비고정서버 사용 기간에 관한 정보를 포함할 수 있다.
그리고, 비고정서버의 잔존 사용 기간 이내에 서버 식별정보가 변경되는 경우에는, 상기 웹페이지 비교 작업을 수행하여 파밍 여부를 신중히 판단하도록 구성된다.
이상, 본 발명의 실시예에서 사용된 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다.
본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 상기 실시예는 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이므로, 본 발명의 기술적 사상은 이러한 것에 한정되지 않으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해, 본 발명의 기술적 사상과 하기 될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형 실시가 가능할 것이다.
따라서, 본 발명의 보호 범위는 특허청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
그리고, 본 발명의 목적 범위 내라면 그 모든 구성요소들이 하나 이상 선택적으로 결합되어 구성될 수도 있다.
상기된 "포함된다" 또는 "구성된다" 의 용어는 해당 구성 요소가 포함될 수 있음을 의미하는 것으로, 그 외 다른 구성 요소들을 추가적으로 포함할 수 있는 것으로 해석되어야 한다.
10: 사용자 단말기
20: 네트워크 스위치 또는 공유기
30: 네트워크 파밍 차단 시스템용 서버
40: DNS서버
50: 안전DNS서버

Claims (20)

  1. 차단 대상 IP주소를 저장하는 단계와;
    사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와;
    상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와;
    상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하는 단계와;
    상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하는 단계와;
    상기 호스트 파일에 대응되는 IP 주소가 차단 대상 IP주소와 동일하지 않은 경우, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버로 전송하는 단계와;
    상기 안전DNS서버로부터 웹사이트 IP주소를 수신하는 단계와;
    상기 사용자 단말기로부터 추출된 호스트 파일에 대응되는 IP주소와 상기 안전DNS서버로부터 수신된 IP주소를 비교하는 단계와;
    상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 단계와;
    상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하는 단계와;
    상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하는 단계를 포함하며,
    상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되,
    상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고,
    상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  2. 제 1 항에 있어서,
    상기 호스트 파일에 의해 접속되는 웹사이트의 서버 식별정보를 수신받는 단계와;
    상기 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 안전DNS서버로 판단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  3. 제 2 항에 있어서,
    상기 서버 식별정보가 비고정서버 식별정보일 경우, 비안전DNS서버로 판단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  4. 제 1 항에 있어서,
    상기 제 1 웹사이트 페이지 컨텐츠는 복수 개의 DNS 서버에 의해 분할 대응되며,
    상기 복수 개의 DNS 서버들의 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  5. 제 4 항에 있어서,
    상기 복수 개의 DNS 서버들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  6. 제 5 항에 있어서,
    상기 복수 개의 DNS 서버들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  7. 제 2 항에 있어서,
    상기 안전DNS서버의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는 미리 지정된 주기마다 동일 여부가 체크되도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  8. 제 7 항에 있어서,
    상기 미리 지정된 주기는 상기 서버 식별정보에 따라 다르게 설정되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  9. 제 7 항에 있어서,
    상기 미리 지정된 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  10. 제 5 항에 있어서,
    상기 서버 식별정보가 비고정서버 식별정보를 포함하는 경우,
    상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법.
  11. 사용자의 단말기로부터 입력되는 도메인 네임을 감지하는 도메인네임감지모듈과;
    상기 사용자 단말기로부터 입력된 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 호스트파일추출모듈과;
    상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 안전DNS서버관리모듈과;
    상기 사용자 단말기로부터 추출된 호스트 파일에 포함된 IP주소와 안전DNS서버로부터 수신된 IP주소를 비교하는 IP주소비교모듈과;
    차단 대상 IP주소와 웹사이트 페이지 내용을 저장하기 위한 데이터저장모듈과;
    상기 데이터저장모듈에 미리 저장된 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하는 페이지비교모듈과;
    상기 웹사이트에 대한 접속 트래픽 수를 저장하기 위한 빅데이터저장모듈과;
    상기 접속 트래픽 수에 기초하여 상기 데이터저장모듈에 저장될 웹사이트 페이지를 선정하기 위한 인공지능모듈을 포함하며,
    상기 호스트 파일에 대응되는 IP주소와 차단 대상 IP주소를 비교하여, 상기 호스트 파일에 대응되는 IP 주소가 상기 차단 대상 IP주소와 동일한 경우, 상기 호스트 파일에 대응되는 IP주소 접속을 차단하고,
    상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 미리 저장된 상기 웹사이트 페이지 내용과 상기 호스트 파일에 의해 접속되는 웹사이트 페이지 내용을 비교하여,
    상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 동일한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하고,
    상기 미리 저장된 웹사이트 페이지 내용과 호스트 파일에 의해 접속되는 웹사이트 페이지 내용이 상이한 경우, 상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하며,
    상기 미리 저장된 웹사이트 페이지 내용은 서로 다른 두 개의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지를 포함하되,
    상기 제 2 웹사이트 페이지는 상기 제 1 웹사이트 페이지를 표시하는 도메인 네임의 하류 도메인 네임에 의해 접속되도록 구성되고,
    상기 제 2 웹사이트 페이지의 접속 트래픽 수는 상기 제 1 웹사이트 페이지의 접속 트래픽 수에 대한 비율이 가장 작은 웹사이트 페이지로 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  12. 제 11 항에 있어서,
    상기 호스트 파일에 의해 접속되는 웹사이트의 서버 식별정보를 수신받고, 상기 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우, 안전DNS서버로 판단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  13. 제 12 항에 있어서,
    상기 서버 식별정보가 비고정서버 식별정보일 경우, 비안전DNS서버로 판단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  14. 제 11 항에 있어서,
    상기 제 1 웹사이트 페이지 컨텐츠는 복수 개의 DNS 서버에 의해 분할 대응되며,
    상기 복수 개의 DNS서버들의 서버 식별정보가 미리 저장된 고정서버 식별정보일 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 허용하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  15. 제 14 항에 있어서,
    상기 복수 개의 DNS서버들의 서버 식별정보가 고정서버 식별정보와 비고정서버 식별정보를 함께 포함하는 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  16. 제 15 항에 있어서,
    상기 복수 개의 DNS서버들의 서버 식별정보가 미리 지정된 비율로 다르게 구성되는 경우,
    상기 호스트 파일에 의해 접속되는 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  17. 제 12 항에 있어서,
    상기 안전DNS서버의 제 1 웹사이트 페이지와 제 2 웹사이트 페이지는 미리 지정된 주기마다 동일 여부가 체크되도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  18. 제 17 항에 있어서,
    상기 미리 지정된 주기는 상기 서버 식별정보에 따라 다르게 설정되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  19. 제 17 항에 있어서,
    상기 미리 지정된 주기는 상기 제 1 웹사이트 페이지에 대한 접속 트래픽 크기에 따라 달라지도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
  20. 제 15 항에 있어서,
    상기 서버 식별정보가 비고정서버 식별정보를 포함하는 경우,
    상기 비고정서버 식별정보의 사용기간에 관한 정보를 수신하도록 구성되는 것을 특징으로 하는 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 시스템.
KR1020210101467A 2021-08-02 2021-08-02 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 KR102514214B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210101467A KR102514214B1 (ko) 2021-08-02 2021-08-02 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210101467A KR102514214B1 (ko) 2021-08-02 2021-08-02 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20230019664A KR20230019664A (ko) 2023-02-09
KR102514214B1 true KR102514214B1 (ko) 2023-03-27

Family

ID=85224660

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210101467A KR102514214B1 (ko) 2021-08-02 2021-08-02 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102514214B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11973794B1 (en) * 2023-10-31 2024-04-30 Wiz, Inc. Technique and method for detection and display of the cybersecurity risk context of a cloud environment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101996471B1 (ko) 2019-01-21 2019-07-05 (주)휴먼스타 네트워크 보안장치 및 보안방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101996471B1 (ko) 2019-01-21 2019-07-05 (주)휴먼스타 네트워크 보안장치 및 보안방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌1(강홍구 등, JKMS, 2020.11.30)

Also Published As

Publication number Publication date
KR20230019664A (ko) 2023-02-09

Similar Documents

Publication Publication Date Title
US8533328B2 (en) Method and system of determining vulnerability of web application
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN104301302B (zh) 越权攻击检测方法及装置
KR100935776B1 (ko) 네트워크 어드레스 평가 방법, 컴퓨터 판독 가능한 기록 매체, 컴퓨터 시스템, 네트워크 어드레스 액세스 방법, 컴퓨터 인프라를 활용하는 방법 및 기업의 네트워크 통신 트래픽의 분석을 수행하는 방법
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
US20130263263A1 (en) Web element spoofing prevention system and method
US9305174B2 (en) Electronic clipboard protection
US20070214503A1 (en) Correlation engine for detecting network attacks and detection method
CN108989355B (zh) 一种漏洞检测方法和装置
KR20090019451A (ko) 피싱 및 파밍 알림 방법 및 장치
US20100154055A1 (en) Prefix Domain Matching for Anti-Phishing Pattern Matching
US8448260B1 (en) Electronic clipboard protection
US8955123B2 (en) Method and system for preventing malicious communication
US20090119745A1 (en) System and method for preventing private information from leaking out through access context analysis in personal mobile terminal
KR101996471B1 (ko) 네트워크 보안장치 및 보안방법
CN105430011A (zh) 一种检测分布式拒绝服务攻击的方法和装置
KR100985049B1 (ko) 파밍감지 시스템 및 이를 제어하는 방법
CN104135467B (zh) 识别恶意网站的方法及装置
CN108156270B (zh) 域名请求处理方法和装置
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
KR102408205B1 (ko) 웹사이트의 생애주기 단계 탐지 방법 및 장치
CN104935551A (zh) 一种网页篡改防护装置及方法
KR102514214B1 (ko) 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템
Wang et al. A cost-effective ocr implementation to prevent phishing on mobile platforms
CN101901307B (zh) 一种检测数据库是否遭到跨站脚本攻击的方法及装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant