KR20090031393A - 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 - Google Patents

패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 Download PDF

Info

Publication number
KR20090031393A
KR20090031393A KR1020090018679A KR20090018679A KR20090031393A KR 20090031393 A KR20090031393 A KR 20090031393A KR 1020090018679 A KR1020090018679 A KR 1020090018679A KR 20090018679 A KR20090018679 A KR 20090018679A KR 20090031393 A KR20090031393 A KR 20090031393A
Authority
KR
South Korea
Prior art keywords
file
web
web shell
detection
server
Prior art date
Application number
KR1020090018679A
Other languages
English (en)
Other versions
KR101068931B1 (ko
Inventor
김동규
유효선
Original Assignee
김동규
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김동규 filed Critical 김동규
Priority to KR1020090018679A priority Critical patent/KR101068931B1/ko
Publication of KR20090031393A publication Critical patent/KR20090031393A/ko
Application granted granted Critical
Publication of KR101068931B1 publication Critical patent/KR101068931B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 웹서버에 불법적으로 설치되어 해킹에 이용되는 웹쉘 프로그램의 유무를 탐지하고, 웹쉘이 탐지된 경우 이에 대한 실시간 통보 및 관리자 대응이 가능하도록 해주는 방법으로, 더 상세하게는 웹서버에 의해 실행되는 웹 프로그램의 소스 코드 내에서 웹쉘 프로그램과 관련된 코드의 존재 유무를 탐지하고, 웹서버의 접속 로그를 분석하여 이미 해당 웹서버에 설치되어 있는 웹쉘 프로그램을 실행시킨 흔적을 탐지하고, 업로드가 허용되지 않는 파일의 확장자를 감시하는 탐지 단계, 탐지된 결과를 주기적으로 별도의 웹쉘 관제 서버로 전송하여 데이터베이스에 저장하는 보고 단계, 데이터베이스에 저장된 탐지 결과를 분석하고 그 결과를 관리자에게 알려주는 통보 단계, 웹쉘이 탐지된 웹서버의 웹 프로그램을 관리자가 원격에서 실시간으로 확인하고 수정 또는 검역할 수 있도록 해주는 대응 단계를 포함한다.
본 발명에 의해 기존 바이러스 백신이나 취약점 분석 소프트웨어를 통해서도 탐지되지 않는 웹쉘이라는 특수한 해킹 기술에 대한 대응책을 마련할 수 있으며, 중앙 집중적 관제 체계를 통해 다수의 웹서버에 대한 웹쉘 존재 유무를 효율적으로 관제할 수 있다.
또한, 기존 관제 시스템이 관제 결과를 관리자에게 알려주는 통보 단계까지만 지원하는 데 반해, 웹쉘이 탐지된 웹서버의 웹 프로그램을 원격에서 직접 통제할 수 있도록 함으로써, 즉각적인 대응이 가능하도록 해준다.
웹쉘, 해킹, 관제, 웹서버, Web Shell

Description

패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 {Web Shell Monitoring System and Method based on Pattern Detection}
본 발명은 웹서버에 불법적으로 설치되어 해킹에 이용되는 웹쉘 프로그램의 고유한 패턴을 탐지하여 웹서버 상의 웹쉘 존재 유무를 탐지하고, 웹쉘이 탐지된 경우 이에 대한 실시간 통보를 통하여 관리자가 즉각적으로 대응이 가능하도록 해주는 시스템 및 그 방법에 관한 것이다.
대부분의 웹 서비스는 게시판과 자료실처럼 사용자가 파일을 첨부하여 게시물을 등록하는 기능을 제공한다. 이때, 일반적으로 업로드가 허용되는 txt, zip, jpg, gif, bmp 등의 파일 형식 이외에 해킹을 위해 악의적으로 생성된 웹쉘이라는 스크립트 파일을 업로드하여 웹서버를 해킹하는 사례가 자주 발생하고 있다.
웹쉘은 서버가 지원하는 각종 시스템 명령을 실행하도록 만들어지므로, 웹쉘을 업로드한 뒤 이를 실행시킴으로써 서버의 관리자 권한을 획득하여 다양한 공격이 가능해진다.
2007년도 기준으로 해킹에 의해 피해를 입은 웹서버 중 91%에 웹쉘이 발견되었으며, 일반적인 컴퓨터 바이러스와 달리 스크립트 기반으로 동작하는 웹쉘은 코 드 변경이 쉽기 때문에 그 형태를 자유롭게 변경할 수 있다.
최근에는 권한 획득을 위한 코드 이외에도 데이터베이스를 직접 접근하여 조작할 수 있는 형태로 진화하고 있으며, 웹쉘의 핵심 부분만 업로드한 뒤 실행 과정에서 나머지 필요한 코드를 추가하여 실행하도록 하는 등 그 방법이 갈수록 지능화되고 있기 때문에, 기존의 바이러스 백신 소프트웨어만으로는 실질적으로 웹쉘 탐지가 불가능한 상황이다.
상술한 바와 같이 기존 바이러스 백신 소프트웨어만으로는 웹쉘을 탐지하기가 어려운 상황이므로, 웹쉘만을 전문적으로 탐지하고 즉각적인 대응을 할 수 있는 시스템이 절실히 요구되고 있는 시점이다.
이에, 본 발명의 기술적 과제는 상술한 문제점을 해결하기 위해 안출한 것으로, 웹서버에 존재하는 웹 프로그램의 소스 코드를 분석하여 웹쉘에서 자주 사용되는 패턴을 검사하고, 웹서버의 로그를 분석하여 실제로 웹쉘을 실행시킨 흔적이 있는지 확인함으로써 웹쉘의 존재 여부를 보다 정확히 탐지할 수 있도록 하고, 탐지 결과에 따라 웹쉘로 의심되는 웹 프로그램을 관리자가 원격에서 확인 및 검역할 수 있도록 해주는 새로운 방법을 제공한다.
또한, 업로드되는 파일의 확장자를 실시간으로 확인하여 업로드가 허용되지 않는 확장자인 경우 미리 정해진 규칙에 따라 자동 또는 수동으로 해당 파일을 검역할 수 있도록 해주는 효율적인 방법을 제공한다.
상기 목적을 달성하기 위한 본 발명의 일 관점은 웹서버에 의해 실행되는 웹 프로그램의 소스 코드 내에서 웹쉘 프로그램과 관련된 코드의 존재 유무를 탐지하고, 웹서버의 접속 로그를 분석하여 이미 해당 웹서버에 설치되어 있는 웹쉘 프로그램을 실행시킨 흔적을 검사하고, 업로드가 허용되지 않는 파일의 확장자를 감시하는 탐지 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 관점은 탐지된 결과를 주기적으로 별도의 웹쉘 관제 서버로 전송하여 데이터베이스에 저장하는 보고 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 관점은 웹쉘 관제 서버의 데이터베이스에 저장된 탐지 결과를 분석하여 그 결과를 관리자에게 알려주는 통보 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 관점은 웹쉘이 탐지된 웹서버의 웹 프로그램을 관리자가 원격에서 실시간으로 확인하고 수정 또는 검역할 수 있도록 해주는 대응 단계를 포함하는 것을 특징으로 한다.
이상과 같이 본 발명은 통상의 보안 소프트웨어만으로는 탐지할 수 없는 웹쉘 프로그램의 존재 여부를 패턴탐지 기반으로 확인하고, 그 결과에 따라 실시간으로 관리자에게 통보함으로써 다수의 웹서버에 대한 웹쉘 존재 여부를 효율적으로 관제할 수 있도록 해준다.
또한, 관리자가 직접 웹서버의 웹 프로그램을 원격에서 확인 및 검역할 수 있도록 함으로써, 웹쉘 공격에 대한 즉각적인 대응이 가능하다.
본 발명에서 사용되는 주요 용어를 정의한다.
웹쉘이란 악의적 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 파일을 총칭하는 용어로 정의한다.
웹 프로그램이란 웹브라우저를 통해 웹서버 상에서 실행되는 프로그램을 통칭하는 용어로 정의한다.
코드패턴이란 악의적 공격자가 웹쉘을 실행하기 위해서 웹 프로그램 내부에 추가한 명령문 코드로 정규식에 의해 표현되는 웹쉘 실행코드 패턴을 총칭하는 용어로 정의한다.
실행패턴이란 악의적 공격자가 실제로 웹서버에 접속하여 할 때 웹쉘을 실행할 때 기록되는 웹서버 로그 상의 실행흔적 패턴을 총칭하는 용어로 정의한다.
웹쉘관제에이전트란 웹쉘을 탐지하기 위해 웹서버에 설치되는 프로그램을 의미하는 용어로 정의한다.
웹쉘관제콘솔이란 관리자가 웹쉘 탐지결과를 조회 및 분석하고, 웹쉘 탐지 시 알림을 확인하고, 원격제어 처리를 할 수 있도록 관리자 컴퓨터에 설치되는 프로그램을 의미하는 용어로 정의한다.
웹쉘관제서버란 웹쉘관제에이전트와 웹쉘관제콘솔 사이에서 웹쉘 탐지결과를 저장하고, 관리자에 의한 확인 및 원격제어를 지원하는 별도의 서버 프로그램을 의미하는 용어로 정의한다.
이하, 첨부된 도면을 참조하여 본 발명의 동작원리를 상세히 설명한다.
도 1은 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법의 전체 구성도로서, 웹 프로그램이 설치되어 실행되는 웹서버(10)와, 웹서버(10)에 설치되어 웹쉘을 탐지하는 웹쉘관제에이전트(12)와, 웹쉘 탐지결과를 저장하고 관리하기 위한 웹쉘관제서버(14)와, 관리자 컴퓨터(16)와, 관리자 컴퓨터(16)에 설치되어 웹쉘 탐지 결과를 확인 및 분석하고 필요할 경우 원격제어를 실행할 수 있는 웹쉘관제콘솔(18)로 구성된다.
여기서, 상기 웹쉘관제에이전트(12)에는 패턴탐지모듈(121), 시그너춰탐지모듈(122), 업로드필터링모듈(123), 탐지결과전송모듈(124), 원격제어모듈(125)가 포함되어 있고, 상기 웹쉘관제서버(14)에는 탐지결과저장모듈(141), 탐지결과알림모듈(142), 탐지규칙관리모듈(143), 원격제어모듈(144), 웹쉘탐지데이터베이스(145)가 포함되어 있고, 상기 웹쉘관제콘솔(18)에는 탐지결과확인모듈(181), 탐지규칙관리모듈(182), 원격제어모듈(183)이 포함된다.
이러한 구성을 가진 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법에서 웹쉘관제에이전트(12)가 웹서버(10)에 존재하는 웹쉘을 탐지하는 과정을 자세히 살펴보면 다음과 같다.
도 2는 본 발명에서 웹쉘관제에이전트(12)가 웹서버(10)에 존재하는 웹쉘을 탐지하는 과정을 설명한 처리 흐름도이다.
제1단계(①)로서, 웹쉘을 탐지할 시간이 되었는지 확인한다. 웹쉘 탐지 주기는 전역규칙 GR(dt)로 정의되며, 이는 모든 웹쉘관제에이전트(12)에 공통적으로 적용되는 규칙이다. 웹쉘 탐지 주기가 되지 않은 경우에는 대기 상태를 유지한다.
제2단계(②)로서, 상기 단계에서 웹쉘 탐지 주기가 도래한 경우, 웹서버(10)에 존재하는 웹 프로그램 중에서 코드패턴 탐지를 수행하기 위해서 지역규칙 LR로부터 코드패턴 탐지 대상폴더 LR(cf1)~LR(cfn), 코드패턴 탐지 대상파일 확장자 LR(fe1)~LR(fem), 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk), 그리고 탐지 패턴 LR(cp1)~LR(cpr)를 획득하여 다음과 같이 코드패턴 탐지를 수행한다.
먼저, i는 1로 설정한다.
다음, LR(cfi)에 해당되는 폴더로 이동한다.
다음, LR(cfi) 및 그 하위 폴더에 존재하는 파일의 개수를 p라 할 때, 모든 파일 Fj(1 jp )에 대하여 각각의 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하는지 확인한다. 만약 속하지 않으면 다음 파일을 확인한다.
다음, 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하는 경우, 해당 파일의 이름 Fj (1 jp )(N)이 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 속하는 지 확인한다. 만약, 코드패턴 탐지 제외파일에 속하면 해당 파일은 코드패턴 탐지를 수행할 필요가 없으므로 다음 파일을 확인한다.
다음, 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하고, 해당 파일의 이름 Fj (1 jp )(N)이 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 속하지 않는 경우, 해당 파일 Fj (1 jp )내에 탐지 패턴 LR(cp1)~LR(cpr)중 하나 이상이 존재하는 지 정규식에 의한 패턴 검사를 수행한다. 만약 탐지 패턴이 존재하지 않으면 다음 파일을 확인한다.
다음, 해당 파일 Fj (1 jp )에 탐지 패턴이 하나 이상 검출된 경우, 해당 파일의 이름 Fj(1 jp )(N), 탐지 패턴이 검출된 라인 번호 Fj (1 jp )(L), 그리고 검출된 탐지 패턴 Fj (1 jp )(P)를 코드패턴 탐지결과 DR(c)에 추가한다.
다음, LR(cfi)에 존재하는 모든 파일 Fj (1 jp )에 대해서 상기 과정을 반복한다. 만약, 더 이상 LR(cfi)에 코드패턴 탐지를 수행할 파일이 존재하지 않으면 i를 1증가하여 다음 대상 폴더로 이동한 뒤 상기 과정을 반복한다.
제3단계(③)로서, 웹서버(10)에 존재하는 웹쉘 실행패턴 탐지를 수행하기 위해서 지역규칙 LR로부터 실행패턴 탐지 대상폴더 LR(ef1)~LR(efn), 최종 실행패턴 탐지일시 LR(et)와 탐지 패턴 LR(ep1)~LR(epr)를 획득하여 다음과 같이 실행패턴 탐지를 수행한다.
먼저, i는 1로 설정한다.
다음, LR(efi)에 해당되는 폴더로 이동한다.
다음, LR(efi)에 존재하는 웹서버 접속로그 파일 중에서 최종수정일시가 최종 실행패턴 탐지일시 LR(et)이후인 파일 Fj (1 jp )내에 탐지 패턴 LR(ep1)~LR(epr)중 하나 이상이 존재하는 지 정규식에 의한 패턴 검사를 수행한다. 만약 탐지 패턴이 존재하지 않으면 다음 파일을 확인한다.
다음, 해당 파일 Fj (1 jp )에 탐지 패턴이 하나 이상 검출된 경우, 해당 파일의 이름 Fj(1jp)(N), 탐지 패턴이 검출된 라인 번호 Fj (1 jp )(L), 그리고 검출된 탐지 패턴 Fj(1jp)(P)를 실행패턴 탐지결과 DR(e)에 추가한다.
다음, LR(efi)에 존재하는 모든 파일 Fj (1 jp )에 대해서 상기 과정을 반복한다. 만약, 더 이상 LR(efi)에 실행패턴 탐지를 수행할 파일이 존재하지 않으면 i를 1증가하여 다음 대상 폴더로 이동한 뒤 상기 과정을 반복한다.
제4단계(④)로서, 상기 제2단계와 제3단계에서 각각 생성된 코드패턴 탐지결과 DR(c)와 실행패턴 탐지결과 DR(e)를 취합하여 최종적인 웹쉘 탐지 결과 DR(ws)를 생성한다.
제5단계(⑤)로서, 상기 단계에서 생성된 웹쉘 탐지 결과 DR(ws)를 웹쉘관제서버(14)로 전송한다.
제6단계(⑥)로서, 웹쉘관제서버(14)로부터 수신한 응답정보에 업데이트된 탐지규칙정보가 포함되어 있는 지 확인한다.
제7단계(⑦)로서, 업데이트된 탐지 규칙정보가 존재하는 경우, 웹쉘관제에이전트(12)에 유지하고 있는 전역규칙 GR과 지역규칙 LR을 업데이트한다.
제8단계(⑧)로서, 웹쉘관제에이전트(12)의 종료 여부를 확인한다.
제9단계(⑨)로서, 웹쉘관제에이전트(12)가 계속 실행되는 경우 전역규칙 GR(dt)에 지정된 웹쉘 탐지 주기만큼 대기한 뒤 상기 단계를 반복한다.
도 3은 본 발명에서 웹쉘관제에이전트(12)가 웹서버(10)로 업로드하는 파일의 확장자를 감시하여 허용되지 않은 확장자 파일이 업로드되는 경우 이를 자동 검역함으로써, 웹쉘 프로그램 파일의 침투를 원천적으로 차단하는 과정을 설명한 처리 흐름도이다.
제1단계(①)로서, 지역규칙 LR에서 업로드 필터링 감시 대상 폴더정보 LR(uf)와 업로드 허용 파일 확장자 LR(ae1)~LR(aen)을 획득한 뒤, LR(uf) 폴더의 변경사항을 감시한다. 이는 윈도우 운영체제인 경우 이벤트 감지 기술을, 기타 운영체제인 경우 폴링 기술을 이용한다.
제2단계(②)로서, 상기 단계에 의해 감지된 LR(uf) 폴더의 변경사항이 새로운 파일이 업로드에 의한 것인지 확인한다. 만약 그 이외의 경우이면 다시 상기 단계로 복귀하여 LR(uf) 폴더를 감시한다.
제3단계(③)로서, 새로운 업로드 파일이 존재하는 경우, 해당 파일의 확장자 UF(e)가 업로드 허용 파일 확장자 LR(ae1)~LR(aen)에 속하는지 확인한다. 만약 업로드 허용 파일 확장자에 속하면, 정상적으로 업로드가 허용되는 파일이므로 무시하고 제1단계로 복귀하여 LR(uf) 폴더를 감시한다.
제4단계(④)로서, 업로드된 파일의 확장자 UF(e)가 업로드 허용 파일 확장자 LR(ae1)~LR(aen)에 속하지 않으면 필터링 대상 파일이므로 해당 파일을 지역규칙 LR에 지정되어 있는 검역폴더 LR(ff)로 이동시킨 뒤 업로드된 파일의 이름 UF(n)과 파일 생성시각 UF(t)를 업로드 파일 필터링 결과 정보 FR에 추가한다. 이때, LR(uf)에 있던 파일은 영구히 삭제한다.
제5단계(⑤)로서, 전역규칙 GR에 지정되어 있는 업로드 필터링 결과 전송 주기 GR(ft)에 도달했는지 확인한다. 만약 업로드 필터링 결과 전송 주기가 아니라면 다시 제1단계로 복귀하여 LR(uf) 폴더를 감시한다.
제6단계(⑥)로서, 상기 단계에서 생성된 업로드 파일 필터링 결과 정보 FR을 웹쉘관제서버(14)로 전송한다.
제7단계(⑦)로서, 업데이트된 필터링 규칙정보가 존재하는 경우, 웹쉘관제에이전트(12)에 유지하고 있는 전역규칙 GR과 지역규칙 LR을 업데이트한다.
제8단계(⑧)로서, 웹쉘관제에이전트(12)의 종료 여부를 확인한다.
제9단계(⑨)로서, 웹쉘관제에이전트(12)가 계속 실행되는 경우 제1단계로 복귀하여 LR(uf) 폴더를 감시한다.
도 4는 본 발명에서 웹쉘관제서버(14)의 웹쉘탐지데이터베이스(145)에 저장되어있는 웹쉘 탐지결과 정보를 웹쉘관제콘솔(18)을 통해 조회하고, 웹쉘이 탐지된 파일을 원격에서 확인하고 수정 및 검역하는 과정을 설명한 처리 흐름도이다.
제1단계(①)로서, 웹쉘관제콘솔(18)에서 웹쉘관제서버(14)로 웹쉘 탐지결과 정보를 요청한다.
제2단계(②)로서, 상기 단계의 요청에 맞는 웹쉘 탐지결과 정보를 웹쉘관제서버(14)가 웹쉘관제콘솔(18)로 전송한다.
제3단계(③)로서, 상기 단계에 의해 수신한 웹쉘 탐지결과 정보를 관리자가 확인하고 웹쉘로 의심 또는 확신되는 파일에 대한 원격 조회를 요청한다.
제4단계(④)로서, 상기 단계에 의해 선택된 파일의 원격 조회 요청을 웹쉘관제서버(14)로 전송한다.
제5단계(⑤)로서, 상기 단계에 의해 전송된 파일이 실제로 존재하는 웹쉘관제에이전트(12)로 해당 파일에 대한 원격 조회 요청을 전송한다.
제6단계(⑥)로서, 상기 단계에 의해 원격 조회 요청을 수신한 웹쉘관제에이 전트(12)는 해당 파일의 내용을 읽어들인다.
제7단계(⑦)로서, 웹쉘관제에이전트(12)는 상기 단계에 의해 획득한 파일의 내용을 웹쉘관제서버(14)로 전송한다.
제8단계(⑧)로서, 웹쉘관제서버(14)는 웹쉘관제에이전트(12)로부터 수신한 파일 내용을 웹쉘관제콘솔(18)로 전송한다.
제9단계(⑨)로서, 웹쉘관제콘솔(18)은 웹쉘관제서버(14)로부터 수신한 파일 내용을 화면에 표시한다. 이때, 관리자는 파일 내용을 직접 확인한 뒤 웹쉘 패턴에 해당되는 코드를 삭제하여 수정된 파일을 저장요청하거나, 해당 파일 자체를 검역요청하거나, 웹쉘이 아니라고 판단한 경우 해당 파일을 코드패턴 탐지 제외파일로 추가요청을 할 수 있다.
제10단계(⑩)로서, 상기 단계에 의해 수정파일 저장요청 또는 파일 검역요청 또는 코드패턴 탐지 제외파일 추가요청을 웹쉘관제서버(14)로 전송한다.
제11단계(⑪)로서, 상기 단계에 의해 웹쉘관제서버(14)가 수신한 수정파일 저장요청 또는 파일 검역요청 또는 코드패턴 탐지 제외파일 추가요청을 웹쉘관제에이전트(12)로 전송한다.
제12단계(⑫)로서, 웹쉘관제에이전트(12)는 수정파일 저장요청인 경우, 상기 단계에 의해 수신한 수정된 파일 내용으로 기존 파일의 내용을 대체하여 저장한다. 이때, 기존 파일은 검역된 파일임을 표시하기 위해 확장자를 변경한다. 파일 검역요청인 경우, 웹쉘관제에이전트(12)는 해당 파일을 지역규칙 LR에 지정되어 있는 검역폴더 LR(ff)로 이동하여 저장하고 원본 파일은 영구히 삭제한다. 코드패턴 탐 지 제외파일 추가요청인 경우, 웹쉘관제에이전트(12)는 해당 파일의 이름을 지역규칙 LR에 지정되어 있는 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 추가한다.
제13단계(⑬)로서, 상기 단계에 의한 처리결과를 웹쉘관제서버(14)로 전송한다.
제14단계(⑭)로서, 상기 단계에 의해 수신한 처리결과를 웹쉘관제콘솔(18)로 전송한다.
도 1은 본 발명에 따라 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법의 전체 구성도.
도 2는 본 발명에서 웹쉘관제에이전트가 웹서버에 존재하는 웹쉘을 탐지하고 그 결과를 보고하는 과정을 설명한 처리 흐름도
도 3은 본 발명에서 웹쉘관제에이전트가 웹서버로 업로드하는 파일의 확장자를 감시하고 그 결과를 보고하는 과정을 설명한 처리 흐름도
도 4는 본 발명에서 관리자가 웹쉘관제콘솔을 통해 웹쉘 탐지결과 정보를 조회하고, 웹쉘이 탐지된 파일을 원격에서 확인하고 수정 및 검역하는 과정을 설명한 처리 흐름도
<도면의 주요부분에 대한 부호의 설명>
10 : 웹서버 12 : 웹쉘관제에이전트
14 : 웹쉘관제서버 16 : 관리자컴퓨터
18 : 웹쉘관제콘솔

Claims (4)

  1. 웹 프로그램이 설치되어 실행되는 웹서버(10)와, 웹서버(10)에 설치되어 웹쉘을 탐지하는 웹쉘관제에이전트(12)와, 웹쉘 탐지결과를 저장하고 관리하기 위한 웹쉘관제서버(14)와, 관리자 컴퓨터(16)와, 관리자 컴퓨터(16)에 설치되어 웹쉘 탐지 결과를 확인 및 분석하고 필요할 경우 원격제어를 실행할 수 있는 웹쉘관제콘솔(18)로 구성되고, 상기 웹쉘관제에이전트(12)에는 패턴탐지모듈(121), 시그너춰탐지모듈(122), 업로드필터링모듈(123), 탐지결과전송모듈(124), 원격제어모듈(125)가 구비되어 있고, 상기 웹쉘관제서버(14)에는 탐지결과저장모듈(141), 탐지결과알림모듈(142), 탐지규칙관리모듈(143), 원격제어모듈(144), 웹쉘탐지데이터베이스(145)가 구비되어 있고, 상기 웹쉘관제콘솔(18)에는 탐지결과확인모듈(181), 탐지규칙관리모듈(182), 원격제어모듈(183)로 이루어진 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법에서,
    웹서버(10)에 의해 실행되는 웹 프로그램의 소스 코드 내에서 웹쉘 프로그램과 관련된 코드의 존재 유무를 탐지하고, 웹서버(10)의 접속 로그를 분석하여 이미 해당 웹서버(10)에 설치되어 있는 웹쉘 프로그램을 실행시킨 흔적을 탐지하고, 업로드가 허용되지 않는 파일의 확장자를 감시하는 탐지 단계;
    탐지된 결과를 주기적으로 웹쉘관제에이전트(12)가 웹쉘관제서버(14)로 전송하여 웹쉘탐지데이터베이스(145)에 저장하는 보고 단계;
    웹쉘관제콘솔(18)을 통하여 웹쉘탐지데이터베이스(145)에 저장된 탐지 결과 를 분석하고 그 결과를 관리자에게 알려주는 통보 단계;
    웹쉘관리자콘솔(18)을 통하여 웹쉘이 탐지된 웹서버(10)의 웹 프로그램을 관리자가 원격에서 실시간으로 확인하고 수정 또는 검역할 수 있도록 해주는 대응 단계를 포함하여 이루어지는 것을 특징으로 하는 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
  2. 제1항에 있어서, 웹쉘에이전트(12)가 웹서버(10)에서 실행되는 웹 프로그램의 소스 코드 내에서 웹쉘 프로그램과 관련된 코드의 존재 유무를 탐지하고, 웹서버의 접속 로그를 분석하여 이미 해당 웹서버에 설치되어 있는 웹쉘 프로그램을 실행시킨 흔적을 탐지하여 그 결과를 웹쉘관제서버(14)에 보고하는 경우,
    웹쉘에이전트(12)가 전역규칙 GR에 정의되어 있는 웹쉘 탐지 주기 GR(dt)의 도달여부를 확인하고, 웹쉘 탐지 주기가 되지 않은 경우에는 대기 상태를 유지하는 제1단계와;
    상기 과정에서 웹쉘 탐지 주기가 도래한 경우,
    먼저, 웹서버(10)에 존재하는 웹 프로그램 중에서 코드패턴 탐지를 수행하기 위해서 지역규칙 LR로부터 코드패턴 탐지 대상폴더 LR(cf1)~LR(cfn), 코드패턴 탐지 대상파일 확장자 LR(fe1)~LR(fem), 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk), 그리고 탐지 패턴 LR(cp1)~LR(cpr)를 획득하고,
    다음, i=1로 설정하고,
    다음, 코드패턴 탐지 대상폴더 LR(cfi)에 해당되는 폴더로 이동하고,
    다음, LR(cfi) 및 그 하위 폴더에 존재하는 파일의 개수를 p라 할 때, 모든 파일 Fj(1jp)에 대하여 각각의 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하는지 확인한다. 만약 속하지 않으면 다음 파일을 확인하고,
    다음, 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하는 경우, 해당 파일의 이름 Fj(1 jp )(N)이 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 속하는 지 확인한다. 만약, 코드패턴 탐지 제외파일에 속하면 해당 파일은 코드패턴 탐지를 수행할 필요가 없으므로 다음 파일을 확인하고,
    다음, 파일 확장자 Fj (1 jp )(E)가 LR(fe1)~LR(fem)에 속하고, 해당 파일의 이름 Fj(1jp)(N)이 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 속하지 않는 경우, 해당 파일 Fj(1 jp )내에 탐지 패턴 LR(cp1)~LR(cpr)중 하나 이상이 존재하는 지 정규식에 의한 패턴 검사를 수행한다. 만약 탐지 패턴이 존재하지 않으면 다음 파일을 확인하고,
    다음, 해당 파일 Fj (1 jp )에 탐지 패턴이 하나 이상 검출된 경우, 해당 파일의 이름 Fj(1 jp )(N), 탐지 패턴이 검출된 라인 번호 Fj (1 jp )(L), 그리고 검출된 탐지 패턴 Fj(1jp)(P)를 코드패턴 탐지결과 DR(c)에 추가하고,
    다음, LR(cfi)에 존재하는 모든 파일 Fj (1 jp )에 대해서 상기 과정을 반복하는 데, 만약 더 이상 LR(cfi)에 코드패턴 탐지를 수행할 파일이 존재하지 않으면 i를 1증가하여 다음 대상 폴더로 이동한 뒤 상기 과정을 반복하는 제2단계와;
    상기 과정에 이어서, 웹서버(10)에 존재하는 웹쉘 실행패턴 탐지를 수행하기 위해서
    먼저, 지역규칙 LR로부터 실행패턴 탐지 대상폴더 LR(ef1)~LR(efn), 최종 실행패턴 탐지일시 LR(et)와 탐지 패턴 LR(ep1)~LR(epr)를 획득하고,
    다음, i=1로 설정하고,
    다음, LR(efi)에 해당되는 폴더로 이동하고,
    다음, LR(efi)에 존재하는 웹서버 접속로그 파일 중에서 최종수정일시가 최종 실행패턴 탐지일시 LR(et)이후인 파일 Fj (1 jp )내에 탐지 패턴 LR(ep1)~LR(epr)중 하나 이상이 존재하는 지 정규식에 의한 패턴 검사를 수행한다. 만약 탐지 패턴이 존재하지 않으면 다음 파일을 확인하고,
    다음, 해당 파일 Fj(1jp)에 탐지 패턴이 하나 이상 검출된 경우, 해당 파일의 이름 Fj(1jp)(N), 탐지 패턴이 검출된 라인 번호 Fj (1 jp )(L), 그리고 검출된 탐지 패턴 Fj(1jp)(P)를 실행패턴 탐지결과 DR(e)에 추가하고,
    다음, LR(efi)에 존재하는 모든 파일 Fj (1 jp )에 대해서 상기 과정을 반복하는데, 만약 더 이상 LR(efi)에 실행패턴 탐지를 수행할 파일이 존재하지 않으면 i를 1 증가하여 다음 대상 폴더로 이동한 뒤 상기 과정을 반복하는 제3단계와;
    상기 과정에서 생성된 코드패턴 탐지결과 DR(c)와 실행패턴 탐지결과 DR(e)를 취합하여 최종적인 웹쉘 탐지 결과 DR(ws)를 생성하는 제4단계와;
    상기 과정에서 생성된 웹쉘 탐지 결과 DR(ws)를 웹쉘관제서버(14)로 전송하여 보고하고 응답정보를 수신하는 제5단계와;
    상기 과정에서 웹쉘관제서버(14)로부터 수신한 응답정보에 업데이트된 탐지규칙정보가 포함되어 있는 지 확인하는 제6단계와;
    상기 과정에서 수신한 응답정보에 업데이트된 탐지 규칙정보가 존재하는 경우, 웹쉘관제에이전트(12)에 유지하고 있는 전역규칙 GR과 지역규칙 LR을 업데이트하는 제7단계와;
    상기 과정에 이어서 웹쉘관제에이전트(12)의 종료 여부를 확인하는 제8단계와;
    상기 과정에서 웹쉘관제에이전트(12)가 계속 실행되는 경우 전역규칙 GR(dt)에 지정된 웹쉘 탐지 주기만큼 대기한 뒤 상기 단계를 반복하는 제9단계를 포함하여 이루어지는 것을 특징으로 하는 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
  3. 제1항에 있어서, 웹쉘에이전트(12)가 업로드가 허용되지 않는 파일의 확장자를 감시하고 그 결과를 웹쉘관제서버(14)로 보고하는 경우,
    상기 웹쉘에이전트(12)가 지역규칙 LR에서 업로드 필터링 감시 대상 폴더정 보 LR(uf)와 업로드 허용 파일 확장자 LR(ae1)~LR(aen)을 획득한 뒤, LR(uf) 폴더의 변경사항을 윈도우 운영체제인 경우 이벤트 감지 기술을, 기타 운영체제인 경우 폴링 기술을 이용하여 감시하는 제1단계와;
    상기 과정에 의해 감지된 LR(uf) 폴더의 변경사항이 새로운 파일이 업로드에 의한 것인지 확인하고, 만약 그 이외의 경우이면 다시 제1단계로 복귀하여 LR(uf) 폴더를 감시하는 제2단계와;
    상기 과정에서 새로운 업로드 파일이 존재하는 경우, 해당 파일의 확장자 UF(e)가 업로드 허용 파일 확장자 LR(ae1)~LR(aen)에 속하는지 확인하고, 만약 업로드 허용 파일 확장자에 속하면, 정상적으로 업로드가 허용되는 파일이므로 무시하고 제1단계로 복귀하여 LR(uf) 폴더를 감시하는 제3단계와;
    상기 과정에서 업로드된 파일의 확장자 UF(e)가 업로드 허용 파일 확장자 LR(ae1)~LR(aen)에 속하지 않으면 필터링 대상 파일이므로 해당 파일을 지역규칙 LR에 지정되어 있는 검역폴더 LR(ff)로 이동시킨 뒤 업로드된 파일의 이름 UF(n)과 파일 생성시각 UF(t)를 업로드 파일 필터링 결과 정보 FR에 추가하고, LR(uf)에 있던 파일은 영구히 삭제하는 제4단계와;
    상기 과정에서 전역규칙 GR에 지정되어 있는 업로드 필터링 결과 전송 주기 GR(ft)에 도달했는지 확인하고, 만약 업로드 필터링 결과 전송 주기가 아니라면 다시 제1단계로 복귀하여 LR(uf) 폴더를 감시하는 제5단계와;
    상기 과정에서 전역규칙 GR에 지정되어 있는 업로드 필터링 결과 전송 주기 GR(ft)에 도달한 경우 제4단계에서 생성된 업로드 파일 필터링 결과 정보 FR을 웹쉘관제서버(14)로 전송하여 보고하고 응답정보를 수신하는 제6단계와;
    상기 과정에서 수신한 응답정보에 업데이트된 필터링 규칙정보가 존재하는 경우, 웹쉘관제에이전트(12)에 유지하고 있는 전역규칙 GR과 지역규칙 LR을 업데이트하는 제7단계와;
    상기 과정에 이어서 웹쉘관제에이전트(12)의 종료 여부를 확인하는 제8단계와;
    상기 과정에서 웹쉘관제에이전트(12)가 계속 실행되는 경우 제1단계로 복귀하여 LR(uf) 폴더를 감시하는 제9단계를 포함하여 이루어지는 것을 특징으로 하는 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
  4. 제1항에 있어서, 관리자가 상기 웹쉘관제콘솔(18)을 통하여 웹쉘탐지데이터베이스(145)에 저장된 탐지 결과를 분석하고, 웹쉘이 탐지된 웹서버(10)의 웹 프로그램을 원격에서 직접 수정 또는 검역하는 경우,
    관리자가 상기 웹쉘관제콘솔(18)에서 웹쉘관제서버(14)로 웹쉘 탐지결과 정보를 요청하는 제1단계와;
    상기 과정의 요청에 맞는 웹쉘 탐지결과 정보를 웹쉘관제서버(14)가 웹쉘관제콘솔(18)로 전송하는 제2단계와;
    상기 과정에서 수신한 웹쉘 탐지결과 정보를 관리자가 확인하고 웹쉘로 의심 또는 확신되는 파일에 대한 원격 조회를 요청하는 제3단계와;
    상기 과정에서 선택된 파일의 원격 조회 요청을 웹쉘관제콘솔(12)에서 웹쉘관제서버(14)로 전송하는 제4단계와;
    상기 과정에서 선택된 파일이 실제로 존재하는 웹쉘관제에이전트(12)로 해당 파일에 대한 원격 조회 요청을 전송하는 제5단계와;
    상기 과정에서 원격 조회 요청을 수신한 웹쉘관제에이전트(12)가 해당 파일의 내용을 읽어들이는 제6단계와;
    상기 과정에서 획득한 파일의 내용을 웹쉘관제에이전트(12)가 웹쉘관제서버(14)로 전송하는 제7단계와;
    상기 과정에서 웹쉘관제에이전트(12)로부터 수신한 파일 내용을 웹쉘관제서버(14)가 웹쉘관제콘솔(18)로 전송하는 제8단계와;
    상기 과정에서 웹쉘관제서버(14)로부터 수신한 파일 내용을 웹쉘관제콘솔(18)이 화면에 표시하고, 관리자는 파일 내용을 직접 확인한 뒤 웹쉘 패턴에 해당되는 코드를 삭제하여 수정된 파일을 저장요청하거나, 해당 파일 자체를 검역요청하거나, 웹쉘이 아니라고 판단한 경우 해당 파일을 코드패턴 탐지 제외파일로 추가요청을 하는 제9단계와;
    상기 과정의 수정파일 저장요청 또는 파일 검역요청 또는 코드패턴 탐지 제외파일 추가요청을 웹쉘관제서버(14)로 전송하는 제10단계와;
    상기 과정에서 수신한 수정파일 저장요청 또는 파일 검역요청 또는 코드패턴 탐지 제외파일 추가요청을 웹쉘관제서버(14)가 웹쉘관제에이전트(12)로 전송하는 제11단계와;
    상기 과정에서 수신한 요청을 웹쉘관제에이전트(12)가 분석하여 수정파일 저장요청인 경우, 수신한 파일 내용으로 기존 파일의 내용을 대체하여 저장한 뒤 기존 파일은 검역된 파일임을 표시하기 위해 확장자를 변경하고, 파일 검역요청인 경우, 해당 파일을 지역규칙 LR에 지정되어 있는 검역폴더 LR(ff)로 이동하여 저장하되 원본 파일은 영구히 삭제하고, 코드패턴 탐지 제외파일 추가요청인 경우, 해당 파일의 이름을 지역규칙 LR에 지정되어 있는 코드패턴 탐지 제외파일 LR(wl1)~LR(wlk)에 추가하는 제12단계와;
    상기 과정에서 수행한 처리결과를 웹쉘관제서버(14)로 전송하는 제13단계와;
    상기 과정에서 수신한 처리결과를 웹쉘관제콘솔(18)로 전송하는 제14단계를 포함하여 이루어지는 것을 특징으로 하는 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
KR1020090018679A 2009-03-05 2009-03-05 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 KR101068931B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090018679A KR101068931B1 (ko) 2009-03-05 2009-03-05 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090018679A KR101068931B1 (ko) 2009-03-05 2009-03-05 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090031393A true KR20090031393A (ko) 2009-03-25
KR101068931B1 KR101068931B1 (ko) 2011-09-29

Family

ID=40697385

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090018679A KR101068931B1 (ko) 2009-03-05 2009-03-05 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101068931B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104331663A (zh) * 2014-10-31 2015-02-04 北京奇虎科技有限公司 web shell的检测方法以及web服务器
KR101865378B1 (ko) 2018-01-31 2018-06-07 주식회사 에프원시큐리티 웹 쉘 탐지 시스템
CN109992967A (zh) * 2019-03-12 2019-07-09 福建拓尔通软件有限公司 一种在文件上传时实现自动检测文件安全性的方法及系统
KR20210066460A (ko) * 2019-11-28 2021-06-07 네이버클라우드 주식회사 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
CN113746784A (zh) * 2020-05-29 2021-12-03 深信服科技股份有限公司 一种数据检测方法、系统及相关设备
KR102555468B1 (ko) 2022-09-15 2023-07-17 주식회사 에프원시큐리티 인공지능 웹 쉘 탐지 시스템 및 그 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101244945B1 (ko) * 2011-06-23 2013-04-05 주식회사 티벨로 메타 패턴을 이용한 웹쉘 탐지 장치
KR101264305B1 (ko) 2011-10-18 2013-05-22 주식회사 잉카인터넷 파일 보호 장치, 파일 보호 방법, 및 컴퓨터 판독가능 기록 매체

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475311B1 (ko) 2002-12-24 2005-03-10 한국전자통신연구원 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104331663A (zh) * 2014-10-31 2015-02-04 北京奇虎科技有限公司 web shell的检测方法以及web服务器
KR101865378B1 (ko) 2018-01-31 2018-06-07 주식회사 에프원시큐리티 웹 쉘 탐지 시스템
CN109992967A (zh) * 2019-03-12 2019-07-09 福建拓尔通软件有限公司 一种在文件上传时实现自动检测文件安全性的方法及系统
KR20210066460A (ko) * 2019-11-28 2021-06-07 네이버클라우드 주식회사 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
US11388182B2 (en) 2019-11-28 2022-07-12 Naver Cloud Corp. Method and system for detecting webshell using process information
CN113746784A (zh) * 2020-05-29 2021-12-03 深信服科技股份有限公司 一种数据检测方法、系统及相关设备
CN113746784B (zh) * 2020-05-29 2023-04-07 深信服科技股份有限公司 一种数据检测方法、系统及相关设备
KR102555468B1 (ko) 2022-09-15 2023-07-17 주식회사 에프원시큐리티 인공지능 웹 쉘 탐지 시스템 및 그 방법

Also Published As

Publication number Publication date
KR101068931B1 (ko) 2011-09-29

Similar Documents

Publication Publication Date Title
KR101068931B1 (ko) 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
CN109688097B (zh) 网站防护方法、网站防护装置、网站防护设备及存储介质
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
CN105553917B (zh) 一种网页漏洞的检测方法和系统
CN104392175A (zh) 一种云计算系统中云应用攻击行为处理方法、装置及系统
CN105631312B (zh) 恶意程序的处理方法及系统
CN101667232B (zh) 基于可信计算的终端可信保障系统与方法
CN103746992B (zh) 基于逆向的入侵检测系统及其方法
KR101080953B1 (ko) 실시간 웹쉘 탐지 및 방어 시스템 및 방법
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
CN102592086B (zh) 在沙箱中浏览网页方法及装置
US8904492B2 (en) Method of controlling information processing system, computer-readable recording medium storing program for controlling apparatus
CN103428212A (zh) 一种恶意代码检测及防御的方法
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
US10701087B2 (en) Analysis apparatus, analysis method, and analysis program
JP5752642B2 (ja) 監視装置および監視方法
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
CN102469098B (zh) 信息安全防护主机
CN108040036A (zh) 一种行业云Webshell安全防护方法
CN102664913B (zh) 网页访问控制方法和装置
KR101234066B1 (ko) 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법
WO2014209889A1 (en) System and method for antivirus protection
Ham et al. Vulnerability monitoring mechanism in Android based smartphone with correlation analysis on event-driven activities

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150810

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160912

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170913

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 8