KR20070049514A - 악성 코드 감시 시스템 및 이를 이용한 감시 방법 - Google Patents

악성 코드 감시 시스템 및 이를 이용한 감시 방법 Download PDF

Info

Publication number
KR20070049514A
KR20070049514A KR1020050106697A KR20050106697A KR20070049514A KR 20070049514 A KR20070049514 A KR 20070049514A KR 1020050106697 A KR1020050106697 A KR 1020050106697A KR 20050106697 A KR20050106697 A KR 20050106697A KR 20070049514 A KR20070049514 A KR 20070049514A
Authority
KR
South Korea
Prior art keywords
malicious
code
malicious code
unit
suspect
Prior art date
Application number
KR1020050106697A
Other languages
English (en)
Inventor
이홍섭
김우한
심원태
박성우
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020050106697A priority Critical patent/KR20070049514A/ko
Publication of KR20070049514A publication Critical patent/KR20070049514A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

여기에는 악성 코드 감시 시스템 및 이를 이용한 감시 방법이 개시된다. 본 발명에 따른 악성 코드 감시 시스템은 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 링크 코드 수집부; 상기 수집된 링크 코드들 중 악성 코드 존재 여부 확인을 위한 악성 코드 정보를 저장하는 악성 코드 기준 데이터베이스; 상기 수집된 링크 코드들 중 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보와 형태가 동일한 악성 의심 코드가 존재하는지 여부를 검색하는 악성 코드 검색부; 그리고 상기 웹 사이트에 상기 악성 코드 검색부의 악성 의심 코드 검색 결과를 통보하는 악성 코드 알림부를 포함한다. 따라서, 복수의 웹 사이트에 존재하는 악성 코드를 조기에 발견할 수 있으므로, 신속한 대처가 가능해진다.
악성, 코드, 사이트, 발견, malignant code, web

Description

악성 코드 감시 시스템 및 이를 이용한 감시 방법{Malignant Code Monitor System And Monitoring Method Using Thereof}
도 1은 본 발명의 실시예에 따른 악성 코드 감시 시스템을 이용한 악성 코드 감시 방법을 도시하는 구성도.
도 2는 본 발명의 실시예에 따른 악성 코드 감시 시스템의 구성도.
도 3 및 도 4는 악성 코드가 삽입된 코드의 예시도.
도 5는 본 발명의 실시예에 따른 악성 코드 감시 방법의 흐름도.
<도면의 주요부분에 대한 부호의 설명>
100 : 악성 코드 감시 시스템 110 : 링크 코드 수집부
120 : 악성 코드 검색부 121 : 악성 코드 기준 데이터베이스
130 : 악성 코드 알림부 140 : 악성 코드 검증부
150 : 이력관리부 160 : 사후 모니터링부
본 발명은 복수의 웹 사이트들의 악성 코드 감염 여부를 감시할 수 있는 감시 시스템 및 감시 방법에 관한 것이다.
악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor)를 지칭하는 해킹툴, 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다.
인터넷이 발달함에 따라 웹 사이트의 수는 폭발적으로 증가하고 있으며, 모든 웹 사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어렵게 되었다. 따라서, 최근에는 보안 상태가 취약한 웹 사이트를 해킹하여 악성 코드를 숨겨놓고, 상기 웹 사이트에 방문하거나 상기 웹 사이트와 링크된 사이트에 방문하는 방문자들이 악성 코드에 감염되도록 하는 신종 해킹 수법이 증가하고 있다. 특히 악성 코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터 시스템이나 보안에 치명적인 피해를 가할 수 있다.
하지만, 새로이 만들어지는 악성 코드는 기존에 만들어진 컴퓨터 백신으로 검사하거나 치유할 수 없는 경우가 대부분이다. 따라서, 사용자가 주의를 기울이지 않으면, 해당 웹 사이트 서버의 관리자 및 해당 사이트 방문자가 악성 코드 감염 여부를 느끼지 못한 상태에서, 네트워크를 통하여 악성 코드가 빠른 속도로 확산된다.
그러나, 현재까지는 악성 코드로 인하여 실질적으로 피해를 입은 웹 사이트 서버 관리자 또는 사용자들이 해킹 피해 사이트나 백신 제조 사이트에 이를 신고함 으로써, 후속 조치들이 이루어지는 것이 일반적이다. 즉, 악성 코드의 발견 및 대응이 전적으로 사용자 신고 위주로 되어있어 침해 사이트를 발견하고 악성 코드 유포를 방지하는 작업이 신속하게 이루어질 수 없었다.
따라서, 실질적으로 피해자가 피해 사실을 인지하기까지 이미 급속도로 악성 코드가 번져나간 상태인 경우가 대부분이므로, 최초 유포자를 찾아내 처벌하거나 악성 코드에 감염된 모든 컴퓨터 시스템 및 서버를 치유하고 복구하는 것은 현실적으로 불가능했다. 그러므로, 이러한 악성 코드 감염에 의한 피해 확산을 방지하기 위해서는 조기에 악성 코드 감염 여부를 발견할 수 있는 시스템 개발이 필요하다.
본 발명은 상기의 문제점을 해결하기 위한 것으로서, 복수의 웹 사이트들에 링크된 정보들의 코드들을 주기적으로 수집하여 미리 저장된 악성 코드 데이터베이스에 저장된 악성 코드들과 비교하여 악성 의심 코드들을 검색하고 이를 상기 웹 사이트에 통보함으로써, 조기에 악성 코드를 발견하고 확산을 방지할 수 있는 악성 코드 감시 시스템 및 이를 이용한 감시 방법을 제공하는데 있다.
본 발명의 다른 실시예에 따르면, 주기적으로 복수의 웹 사이트들의 링크 코드들을 자동으로 수집하여 악성 코드 존재 여부를 검사함으로써, 악성 코드 피해자의 신고 없이도 악성 코드를 발견할 수 있는 악성 코드 감시 시스템 및 이를 이용한 감시 방법을 제공하는데 있다.
본 발명의 다른 실시예에 따르면, 악성 코드 데이터베이스에 저장된 악성 코드들과 70% 이상 동일한 코드들도 악성 의심 코드로 분류하고, 분류된 악성 의심 코드들을 실제 구동하여 악성 코드로 확인된 악성 의심 코드는 상기 악성 코드 데이터베이스에 저장함으로써, 이후 악성 코드 검사에 사용할 수 있고 변종 악성 코드에 대비할 수 있도록 하는 악성 코드 감시 시스템 및 이를 이용한 감시 방법을 제공하는데 있다.
본 발명의 다른 실시예에 따르면, 웹 사이트마다 악성 코드 검사 기록을 데이터베이스화시켜 저장함으로써 다른 웹 사이트로의 악성 코드 유출을 막고, 웹 사이트에 악성 의심 코드 검색 결과 통보 후 악성 의심 코드 삭제가 이루어졌는지 여부를 지속적으로 감시하고 블랙리스트를 작성함으로써, 다 각도로 웹 사이트의 보안 관리가 이루어질 수 있도록 하는 악성 코드 감시 시스템 및 이를 이용한 감시 방법을 제공하는데 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 악성 코드 감시 시스템은 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 링크 코드 수집부; 상기 수집된 링크 코드들 중 악성 코드 존재 여부 확인을 위한 악성 코드 정보를 저장하는 악성 코드 기준 데이터베이스; 상기 수집된 링크 코드들 중 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보와 형태가 동일한 악성 의심 코드가 존재하는지 여부를 검색하는 악성 코드 검색부; 그리고 상기 웹 사이트에 상기 악성 코드 검색부의 악성 의심 코드 검색 결과를 통보하는 악성 코드 알림부를 포함하는 것을 특징으로 한다.
본 발명의 다른 특징에 따른 악성 코드 감시 방법은 링크 코드 수집부가 복 수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 제 1 단계; 악성 코드 검색부가 상기 수집된 링크 코드들과 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보를 비교하여, 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보와 형태가 동일한 악성 의심 코드가 존재하는지 여부를 검색하는 제 2 단계; 그리고 악성 코드 알림부가 상기 웹 사이트에 상기 악성 코드 검색부의 악성 의심 코드 검색 결과를 통보하는 제 3 단계를 포함하는 것을 특징으로 한다.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명의 실시예에 따른 악성 코드 감시 시스템을 이용한 악성 코드 감시 방법을 도시하는 구성도이다.
도 1을 참조하면, 악성 코드 유포자는 유포자 단말(10)을 통하여, 보안이 취악한 악성 코드 은닉 서버(40)를 해킹하고 상기 악성 코드 은닉 서버(40)에 악성 코드 및 백도어(back door) 등을 설치한다. 이렇게 설치된 악성 코드는 악성 코드 은닉 서버(40)와 링크된 악성 코드 유포 서버(50)까지 감염시킨다.
이때, 이러한 사실을 모르는 사용자가 단말(20)로 인터넷(30)에 접속하여 상기 악성 코드 은닉 서버(40) 또는 악성 코드 유포 서버(50)에서 제공하는 웹 사이트에 방문하는 경우, 점선으로 도시된 바와 같이 사용자의 정보가 유포자 단말(10)로 유출될 수 있다.
본 발명의 악성 코드 감시 시스템(100)은 악성 코드 은닉 서버(40) 또는 악성 코드 유포 서버(50)로부터 악성 코드 확산 및 이로 인한 피해들을 미연에 방지하기 위하여, 웹 사이트들에서 제공되는 정보를 나타내는 링크 코드들을 수집하여 악성 코드가 존재하는지 여부를 확인하고 상기 웹 사이트에 통보하는 역할을 한다.
좀 더 구체적인 악성 코드 감시 시스템(100)의 구성은 도 2를 참조하여 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 악성 코드 감시 시스템의 구성도이다.
본 발명에 따른 악성 코드 감시 시스템(100)은 링크 코드 수집부(110), 악성 코드 검색부(120), 악성 코드 기준 데이터베이스(121) 및 악성 코드 알람부(130)를 포함한다.
링크 코드 수집부(110)는 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 기능을 한다. 링크 코드 수집부(110)에서는 주기적으로 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하여 악성 코드 존재 여부를 조기에 발견할 수 있다.
이를 위하여 악성 코드 감시 시스템(100)은 복수의 웹 사이트들의 도메인 정보(예를 들면, www.kkkk.co.kr)를 저장하는 도메인 데이터베이스(111)를 더 포함할 수 있다. 링크 코드 수집부(110)에서는 상기 도메인 데이터베이스(111)로부터 도메인 정보를 획득하고 상기 도메인에 접속하여 각 웹 사이트에 링크된 정보를 나타내는 링크 코드들을 수집할 수 있다. 예를 들면, 상기 도메인에 접속하여 웹 사이트 의 첫 화면 즉, 메인 페이지(main page)에서 제공되는 정보들의 링크 코드들을 수집하는 것이다. 상기 악성 코드 감시 시스템(100)에는 수집된 링크 코드들을 저장하기 위한 링크 코드 데이터베이스(113)가 추가로 포함될 수도 있다.
수집된 링크 코드들은 악성 코드 검색부(120)에서 악성 코드가 존재하는지 여부가 검사된다. 악성 코드 검색부(120)에서는 악성 코드 기준 데이터베이스(121)로부터 악성 코드를 확인할 수 있는 악성 코드 정보를 제공받아 악성 코드 존재 여부를 검사한다. 악성 코드 검색부(120)에서는 악성 코드 기준 데이터베이스(121)로부터 제공받은 악성 코드 정보와 상기 수집된 링크 코드들을 비교하여 동일한 코드 즉, 악성 의심 코드가 존재하는지 여부를 검색한다.
일반적으로 악성 코드는 서버, 컴퓨터 또는 네트워크 등의 취약한 부분을 공략하여 침투할 수 있도록 일정한 패턴을 가지고 형성되는 것이 대부분이다. 따라서 이러한 일정한 패턴 및 기존에 발견된 악성 코드의 패턴을 분석한 자료를 데이터베이스화시켜 상기 악성 코드 기준 데이터베이스(121)에 저장하고, 악성 코드 검색에 이용하는 것이다.
악성 코드 검색부(120)에서는 상기 링크 코드들을 분석하여 악성 코드를 포함하는 특정 문자열 및 스크립터가 존재하는지 여부를 파악하여 상기 악성 의심 코드를 검색한다. 악성 코드는 정상적인 하이퍼텍스트 생성 언어(HTML) 소스, 프로그램 다운, 이미지 다운 및 팝업창 생성의 소스 중에 위장되어 삽입되는 형태로 나타난다. 악성 코드 삽입의 구체적인 예는 도 3 내지 도 4를 참조하여 설명하기로 한다.
도 3은 iframe 태그를 이용하여 악성 코드를 삽입하는 예를 보인 것이다.
HTML 문서 내에 다른 HTML 문서를 삽입할 수 있도록 하는 iframe 태그를 이용하여, 제 1 웹 사이트에 제 2 웹 사이트의 도메인을 연결함으로써, 사용자가 제 1 웹 사이트에 접속하면 제 2 웹 사이트로 자동 연결되도록 하는 악성 코드 삽입 방식이다.
도 4는 시작 페이지를 고정하는 악성 코드가 삽입된 예를 보인 것이다.
"mk:@MSITStore:mhtml:c:\."이라는 악성 코드열을 삽입함으로써, 설정을 변경하더라도 인터넷 시작 페이지가 일정한 웹 사이트만으로 고정되도록 하는 대표적인 악성 코드의 예이다.
상기 도 3 및 도 4는 악성 코드의 일 예를 보인 것이며, 이것에 한정되지 않고 다양한 형태의 악성 코드에 대한 정보가 악성 코드 기준 데이터베이스(121) 내에 저장될 수 있다.
악성 코드는 유포 과정에서 그 형태가 변형되는 경우가 있으므로, 기존 악성 코드 기준 데이터베이스 내에 저장된 악성 코드 정보와 비교하여 70% 이상의 동일성이 존재하는 경우까지 악성 의심 코드로 검색된다.
악성 코드 알림부(130)는 상기 악성 코드 검색부(120)의 검색 결과 악성 의심 코드로 검색되는 코드들이 존재하는 웹 사이트에 검색 결과를 통보한다. 이러한 통보에 따라 각 웹 사이트에서는 상기 의심 코드가 삽입된 HTML 또는 프로그램, 이미지, 팝업창 등을 생성하는 소스 코드를 삭제하거나, 상기 정보들을 유포하는 도메인을 차단하여 악성 코드의 확산을 막기 위한 조치들이 이루어진다.
상기 악성 코드 감시 시스템(100)에는 악성 의심 코드로 분류된 코드들이 실제로 악성 코드가 맞는지 여부를 정밀하게 검사하기 위하여 악성 코드 검증부(140)를 추가로 포함할 수 있다. 악성 코드 검증부(140)에서는 악성 의심 코드들을 실제로 구동하여 악성 코드가 확실한지 여부를 검사한다. 그리고 실제로 악성 코드가 맞다고 검사된 악성 의심 코드들은 악성 코드 기준 데이터베이스(121)에 제공하여, 이후 악성 코드 검색에 자료로 사용되도록 한다.
또한 상기 악성 코드 감시 시스템(100)에는 상기 악성 코드 검색부(120)의 악성 의심 코드 검색 내역, 상기 악성 코드 알림부(130)의 악성 의심 코드 검색 결과 통보 내역 및 상기 악성 코드 검증부(140)의 악성 의심 코드 검사 내역 등을 저장하는 이력관리부(150)를 더 포함할 수 있다. 이와 같이 이력관리부(150)에 각 웹 사이트마다 악성 코드 감시 내역을 저장함에 따라, 지속적으로 악성 코드의 발견 및 방어가 이루어질 수 있으며, 악성 코드 동향을 파악하여 보안상 취약한 부분을 파악할 수도 있다.
상기 악성 코드 감시 시스템(100)은 사후 모니터링부(160)를 더 포함하여, 악성 코드 알림부(130)에서 악성 의심 코드 발견 사실을 통보한 이후에 후속 조치가 이루어졌는지 여부를 모니터링할 수 있다. 상기 사후 모니터링부(160)에서는 악성 의심 코드가 발견되어 악성 코드 알림부(130)에서 통보가 이루어진 웹 사이트에 재접속하여 악성 의심 코드가 삭제되었는지 여부를 검색하고, 악성 의심 코드가 계속 존재하는 경우에는 상기 웹 사이트에 악성 의심 코드 존재 사실을 재통보한다.
이때, 상기 재통보에도 불구하고 지속적으로 악성 의심 코드가 삭제되지 않 는 웹 사이트들에 대해서는 블랙리스트를 작성하여, 악성 코드 유포가 의심되는 사이트임을 인터넷 사용자들에게 통보할 수도 있다.
악성 코드 감시 시스템(100)에 보안이 위탁된 웹 사이트의 경우에는 상기 사후 모니터링부(160)에서 상기 악성 의심 코드를 삭제하는 조치를 취하여 더 이상 악성 코드가 확산되는 것을 방지할 수도 있다.
도 5는 본 발명의 실시예에 따른 악성 코드 감시 방법의 흐름도이다.
먼저, 링크 정보 수집부(110)는 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집한다(S100). 이때 상기 링크 코드 수집부(110)는 상기 복수의 웹 사이트들의 도메인 정보를 저장하는 도메인 데이터베이스(111)로부터 도메인 정보를 제공받아, 각 도메인에 접속한 후 각 웹 사이트에 링크된 정보를 나타내는 링크 코드들을 수집할 수 있다. 상기 링크 코드 수집부(110)는 주기적으로 복수의 웹 사이트들의 링크 코드들을 수집하여 악성 코드를 조기에 발견하고 치유하도록 한다.
다음으로, 악성 코드 검색부(120)는 상기 수집된 링크 코드들과 악성 코드 기준 데이터베이스(121)에 저장된 악성 코드 정보를 비교하여 동일한 형태를 가진 악성 의심 코드를 검색한다(S110). 이때 상기 악성 코드 검색부(120)는 악성 코드의 형태 변화 등을 고려하여 악성 코드 기준 데이터베이스(121)에 저장된 악성 코드 정보와 70% 이상 동일한 코드까지 악성 의심 코드로 검색한다.
다음으로, 악성 코드 알람부(130)는 상기 악성 코드 검색부(120)에서 악성 의심 코드로 검색된 링크 코드를 포함하는 웹 사이트에 상기 검색 결과를 통보한다(S120). 악성 코드 알림부(130)의 통보에 따라, 상기 웹 사이트에서는 악성 의심 코드를 삭제하거나 악성 의심 코드를 제공하는 사이트와의 링크를 끊는 등의 조치가 취해진다.
다음으로, 악성 코드 검증부(140)는 악성 의심 코드로 분류된 링크 코드들을 실제로 구동하여 악성 코드인지 여부를 검증한다(S130).
다음으로, 악성 코드 검증부(140)는 상기 검증 결과 악성 의심 코드 중 악성 코드로 판별된 코드들을 악성 코드 기준 데이터베이스(121)에 저장한다(S140). 이와 같이 악성 코드 기준 데이터베이스(121)에 저장된 악성 의심 코드는 이후 웹 사이트들의 악성 코드 검색 정보로 제공된다.
다음으로, 이력관리부(150)는 상기 악성 코드 검색부(120)의 악성 의심 코드 검색 내역, 상기 악성 코드 알림부(130)의 악성 의심 코드 검색 결과 통보 내역 및 상기 악성 코드 검증부(140)의 악성 의심 코드 검사 내역 등을 저장한다(S150). 각 웹 사이트마다 악성 코드에 관한 감시 기록을 저장함으로써, 지속적인 악성 코드에 대한 보안이 이루어지고, 악성 코드의 동향을 파악하여 후속적인 악성 코드의 공격에 대비할 수 있다.
마지막으로, 사후 모니터링부(160)는 상기 악성 코드 알림부에서 악성 의심 코드 검색 결과를 통보한 웹 사이트에 재접속하여 상기 웹 사이트에서 상기 악성 의심 코드가 삭제되었는지 여부를 검색하고, 상기 악성 의심 코드가 존재하는 경우 상기 웹 사이트에 상기 악성 의심 코드 존재를 재통보한다(S160). 이때, 악성 의심 코드 존재를 재통보한 이후에도 악성 의심 코드를 삭제하지 않는 웹 사이트들은 블 랙리스트로 작성하여, 웹 사이트 이용자들에게 악성 코드 유포가 의심되는 사이트이므로 주의하도록 통보하는 자료로 활용할 수 있다.
상술한 바와 같은 악성 코드 감시 시스템 및 이를 이용한 감시 방법에 의하면, 복수의 웹 사이트들에 링크된 정보들의 코드들을 주기적으로 수집하여 미리 저장된 악성 코드 데이터베이스에 저장된 악성 코드들과 비교하여 악성 의심 코드들을 검색하고 이를 상기 웹 사이트에 통보함으로써, 조기에 악성 코드를 발견하고 확산을 방지할 수 있다.
특히, 주기적으로 복수의 웹 사이트들의 링크 코드들을 자동으로 수집하여 악성 코드 존재 여부를 검사함으로써, 악성 코드 피해자의 신고 없이도 악성 코드를 발견할 수 있다.
그리고, 악성 코드 데이터베이스에 저장된 악성 코드들과 70% 이상 동일한 코드들도 악성 의심 코드로 분류하고, 분류된 악성 의심 코드들을 실제 구동하여 악성 코드로 확인된 악성 의심 코드는 상기 악성 코드 데이터베이스에 저장함으로써, 이후 악성 코드 검사에 사용할 수 있고 변종 악성 코드에 대비할 수 있다.
또한, 웹 사이트마다 악성 코드 검사 기록을 데이터베이스화시켜 저장함으로써 다른 웹 사이트로의 악성 코드 유출을 막고, 웹 사이트에 악성 의심 코드 검색 결과 통보 후 악성 의심 코드 삭제가 이루어졌는지 여부를 지속적으로 감시하고 블랙리스트를 작성함으로써, 다 각도로 웹 사이트의 보안 관리가 이루어질 수 있다.
아울러 본 발명의 바람직한 실시예들은 예시의 목적을 위해 개시된 것이며, 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가 등이 가능할 것이며, 이러한 수정, 변경, 부가 등은 이하의 특허청구의 범위에 속하는 것으로 보아야 할 것이다.

Claims (18)

  1. 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 링크 코드 수집부;
    상기 수집된 링크 코드들 중 악성 코드 존재 여부 확인을 위한 악성 코드 정보를 저장하는 악성 코드 기준 데이터베이스;
    상기 수집된 링크 코드들 중 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보와 형태가 동일한 악성 의심 코드가 존재하는지 여부를 검색하는 악성 코드 검색부; 그리고
    상기 웹 사이트에 상기 악성 코드 검색부의 악성 의심 코드 검색 결과를 통보하는 악성 코드 알림부를 포함하는 악성 코드 감시 시스템.
  2. 제 1 항에 있어서, 상기 악성 코드 검색부는,
    상기 수집된 링크 코드들과 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보를 비교하여 설정치 이상 형태가 동일한 것으로 검색되는 코드를 악성 의심 코드로 더 검색하는 악성 코드 감시 시스템.
  3. 제 2 항에 있어서,
    상기 설정치는 70% 인 것을 특징으로 하는 악성 코드 감시 시스템.
  4. 제 1 항 또는 제 2 항에 있어서, 상기 링크 코드 수집부는,
    상기 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 주기적으로 수집하는 악성 코드 감시 시스템.
  5. 제 1 항 또는 제 2 항에 있어서, 상기 악성 코드 감시 시스템은,
    상기 검색된 악성 의심 코드를 구동하여 상기 악성 의심 코드가 악성 코드인지 여부를 검사하는 악성 코드 검증부를 더 포함하는 악성 코드 감시 시스템.
  6. 제 5 항에 있어서, 상기 악성 코드 검증부는,
    상기 검색된 악성 의심 코드 검사 결과 상기 악성 의심 코드가 악성 코드로 검사된 경우 상기 악성 코드 기준 데이터베이스에 상기 검사된 악성 의심 코드를 저장하는 악성 코드 감시 시스템.
  7. 제 5 항에 있어서, 상기 악성 코드 감시 시스템은,
    상기 악성 코드 검색부의 악성 의심 코드 검색 내역, 상기 악성 코드 알림부의 악성 의심 코드 검색 결과 통보 내역 및 상기 악성 코드 검증부의 악성 의심 코드 검사 내역을 저장하는 이력 관리부를 더 포함하는 악성 코드 감시 시스템.
  8. 제 1 항 또는 제 2 항에 있어서, 상기 악성 코드 감시 시스템은,
    상기 악성 코드 알림부에서 악성 의심 코드 검색 결과를 통보한 웹 사이트에 재접속하여 상기 웹 사이트에서 상기 악성 의심 코드가 삭제되었는지 여부를 검색하고, 상기 악성 의심 코드가 존재하는 경우 상기 웹 사이트에 상기 악성 의심 코드 존재를 재통보하는 사후 모니터링부를 더 포함하는 악성 코드 감시 시스템.
  9. 제 8 항에 있어서, 상기 사후 모니터링부는,
    상기 악성 의심 코드 존재 재통보 이후에도 상기 악성 의심 코드가 삭제되지 않는 상기 웹 사이트의 블랙리스트를 작성하는 악성 코드 감시 시스템.
  10. 링크 코드 수집부가 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 수집하는 제 1 단계;
    악성 코드 검색부가 상기 수집된 링크 코드들과 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보를 비교하여, 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보와 형태가 동일한 악성 의심 코드가 존재하는지 여부를 검색하는 제 2 단계; 그리고
    악성 코드 알림부가 상기 웹 사이트에 상기 악성 코드 검색부의 악성 의심 코드 검색 결과를 통보하는 제 3 단계를 포함하는 악성 코드 감시 방법.
  11. 제 10 항에 있어서, 상기 제 2 단계에서는,
    상기 수집된 링크 코드들과 상기 악성 코드 기준 데이터베이스에 저장된 악성 코드 정보를 비교하여 설정치 이상 형태가 동일한 것으로 검색되는 코드를 악성 의심 코드로 더 검색하는 악성 코드 감시 방법.
  12. 제 11 항에 있어서,
    상기 설정치는 70% 인 것을 특징으로 하는 악성 코드 감시 방법.
  13. 제 10 항 또는 제 11 항에 있어서, 제 1 단계에서는,
    상기 복수의 웹 사이트들로부터 상기 웹 사이트들에 링크된 정보를 나타내는 링크 코드들을 주기적으로 수집하는 악성 코드 감시 방법.
  14. 제 10 항 또는 제 11 항에 있어서, 상기 악성 코드 감시 방법은,
    악성 코드 검증부가 상기 검색된 악성 의심 코드를 구동하여 상기 악성 의심 코드가 악성 코드인지 여부를 검사하는 제 4 단계를 더 포함하는 악성 코드 감시 방법.
  15. 제 14 항에 있어서, 상기 제 4 단계는,
    상기 검색된 악성 의심 코드 검사 결과 상기 악성 의심 코드가 악성 코드로 검사된 경우 상기 악성 코드 기준 데이터베이스에 상기 검사된 악성 의심 코드를 저장하는 제 5 단계를 더 포함하는 악성 코드 감시 방법.
  16. 제 14 항에 있어서, 상기 제 4 단계 이후에,
    이력 관리부가 상기 악성 코드 검색부의 악성 의심 코드 검색 내역, 상기 악성 코드 알림부의 악성 의심 코드 검색 결과 통보 내역 및 상기 악성 코드 검증부의 악성 의심 코드 검사 내역을 저장하는 제 6 단계를 더 포함하는 악성 코드 감시 방법.
  17. 제 10 항 또는 제 11 항에 있어서, 제 3 단계 이후에,
    사후 모니터링부가 상기 악성 코드 알림부에서 악성 의심 코드 검색 결과를 통보한 웹 사이트에 재접속하여 상기 웹 사이트에서 상기 악성 의심 코드가 삭제되었는지 여부를 검색하고, 상기 악성 의심 코드가 존재하는 경우 상기 웹 사이트에 상기 악성 의심 코드 존재를 재통보하는 제 7 단계를 더 포함하는 악성 코드 감시 방법.
  18. 제 17 항에 있어서, 상기 제 7 단계는,
    상기 악성 의심 코드 존재 재통보 이후에도 상기 악성 의심 코드가 삭제되지 않는 상기 웹 사이트의 블랙리스트를 작성하는 제 8 단계를 더 포함하는 악성 코드 감시 방법.
KR1020050106697A 2005-11-08 2005-11-08 악성 코드 감시 시스템 및 이를 이용한 감시 방법 KR20070049514A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050106697A KR20070049514A (ko) 2005-11-08 2005-11-08 악성 코드 감시 시스템 및 이를 이용한 감시 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050106697A KR20070049514A (ko) 2005-11-08 2005-11-08 악성 코드 감시 시스템 및 이를 이용한 감시 방법

Publications (1)

Publication Number Publication Date
KR20070049514A true KR20070049514A (ko) 2007-05-11

Family

ID=38273484

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050106697A KR20070049514A (ko) 2005-11-08 2005-11-08 악성 코드 감시 시스템 및 이를 이용한 감시 방법

Country Status (1)

Country Link
KR (1) KR20070049514A (ko)

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009035803A1 (en) * 2007-09-11 2009-03-19 Yahoo! Inc. Safe web based interactions
KR100915202B1 (ko) * 2007-11-27 2009-09-02 유디코스모 주식회사 악성코드 수집 방법 및 장치
KR100954353B1 (ko) * 2008-03-10 2010-04-21 주식회사 안철수연구소 악성 코드명 제공 시스템 및 그 방법, 그리고 이에적용되는 서버
KR100959277B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 커널계층에서 통제리스트를 이용한 mbr공격차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
KR100959276B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
KR100987354B1 (ko) * 2008-05-22 2010-10-12 주식회사 이베이지마켓 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법
WO2011043627A2 (ko) * 2009-10-09 2011-04-14 주식회사 안철수연구소 악성 사이트 치료를 위한 방법, 장치 및 네트워크 기반의 악성 사이트 치료 시스템
KR101052443B1 (ko) * 2009-05-15 2011-07-28 주식회사 엔에스에이치씨 악성코드 분석 방법 및 시스템
WO2011090329A2 (ko) * 2010-01-22 2011-07-28 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
WO2012008669A1 (ko) * 2010-07-16 2012-01-19 주식회사 파수닷컴 Drm 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
KR101115250B1 (ko) * 2011-08-11 2012-02-15 주식회사 반딧불소프트웨어 Qr코드의 안전도 검사 장치 및 방법
US8464340B2 (en) 2007-09-04 2013-06-11 Samsung Electronics Co., Ltd. System, apparatus and method of malware diagnosis mechanism based on immunization database
WO2013115603A1 (ko) * 2012-02-01 2013-08-08 주식회사 안랩 사용자 장치 및 이를 이용한 악성 코드 진단 방법
KR101327865B1 (ko) * 2011-12-29 2013-11-12 주식회사 시큐아이 악성코드에 감염된 홈페이지 탐지 장치 및 방법
KR101514984B1 (ko) * 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
RU2701040C1 (ru) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Cited By (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8464340B2 (en) 2007-09-04 2013-06-11 Samsung Electronics Co., Ltd. System, apparatus and method of malware diagnosis mechanism based on immunization database
WO2009035803A1 (en) * 2007-09-11 2009-03-19 Yahoo! Inc. Safe web based interactions
KR100915202B1 (ko) * 2007-11-27 2009-09-02 유디코스모 주식회사 악성코드 수집 방법 및 장치
KR100954353B1 (ko) * 2008-03-10 2010-04-21 주식회사 안철수연구소 악성 코드명 제공 시스템 및 그 방법, 그리고 이에적용되는 서버
KR100987354B1 (ko) * 2008-05-22 2010-10-12 주식회사 이베이지마켓 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법
KR101052443B1 (ko) * 2009-05-15 2011-07-28 주식회사 엔에스에이치씨 악성코드 분석 방법 및 시스템
WO2011043627A3 (ko) * 2009-10-09 2011-08-25 주식회사 안철수연구소 악성 사이트 치료를 위한 방법, 장치 및 네트워크 기반의 악성 사이트 치료 시스템
WO2011043627A2 (ko) * 2009-10-09 2011-04-14 주식회사 안철수연구소 악성 사이트 치료를 위한 방법, 장치 및 네트워크 기반의 악성 사이트 치료 시스템
KR101044275B1 (ko) * 2009-10-09 2011-06-28 주식회사 안철수연구소 악성 사이트 치료 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체
KR100959276B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
KR100959277B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 커널계층에서 통제리스트를 이용한 mbr공격차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
US8813229B2 (en) 2010-01-22 2014-08-19 Ahnlab, Inc. Apparatus, system, and method for preventing infection by malicious code
WO2011090329A2 (ko) * 2010-01-22 2011-07-28 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
WO2011090329A3 (ko) * 2010-01-22 2011-12-01 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
WO2012008669A1 (ko) * 2010-07-16 2012-01-19 주식회사 파수닷컴 Drm 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
KR101115250B1 (ko) * 2011-08-11 2012-02-15 주식회사 반딧불소프트웨어 Qr코드의 안전도 검사 장치 및 방법
KR101327865B1 (ko) * 2011-12-29 2013-11-12 주식회사 시큐아이 악성코드에 감염된 홈페이지 탐지 장치 및 방법
WO2013115603A1 (ko) * 2012-02-01 2013-08-08 주식회사 안랩 사용자 장치 및 이를 이용한 악성 코드 진단 방법
KR101514984B1 (ko) * 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
NL2024002A (en) 2018-12-28 2020-07-10 Trust Ltd Method and computing device for informing about malicious web resources
RU2701040C1 (ru) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Similar Documents

Publication Publication Date Title
KR20070049514A (ko) 악성 코드 감시 시스템 및 이를 이용한 감시 방법
KR101514984B1 (ko) 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9311476B2 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US8745703B2 (en) Identifying exploitation of vulnerabilities using error report
US7269851B2 (en) Managing malware protection upon a computer network
Borgolte et al. Delta: automatic identification of unknown web-based infection campaigns
US20140053267A1 (en) Method for identifying malicious executables
KR100912794B1 (ko) 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
Wang et al. NetSpy: Automatic generation of spyware signatures for NIDS
CN101127638A (zh) 一种具有主动性的病毒自动防控系统和方法
CN102369532A (zh) 管理网络中的安全性
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
KR100961149B1 (ko) 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체
CN111625821A (zh) 一种基于云平台的应用攻击检测系统
US9860261B2 (en) System for analyzing and maintaining data security in backup data and method thereof
JP2014056563A (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
Mahmoud et al. APTHunter: Detecting advanced persistent threats in early stages
Shan et al. Tracer: enforcing mandatory access control in commodity OS with the support of light-weight intrusion detection and tracing
Mohammadmoradi et al. Making whitelisting-based defense work against badusb
KR101968633B1 (ko) 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
Payet et al. Ears in the wild: large-scale analysis of execution after redirect vulnerabilities
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
Stavrou et al. Keep your friends close: the necessity for updating an anomaly sensor with legitimate environment changes
JP2009098968A (ja) 管理システム,管理サーバおよび管理プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application