KR20110129020A - Malicious code prevention system using code analysis technique and method for operating the system - Google Patents

Malicious code prevention system using code analysis technique and method for operating the system Download PDF

Info

Publication number
KR20110129020A
KR20110129020A KR1020100048410A KR20100048410A KR20110129020A KR 20110129020 A KR20110129020 A KR 20110129020A KR 1020100048410 A KR1020100048410 A KR 1020100048410A KR 20100048410 A KR20100048410 A KR 20100048410A KR 20110129020 A KR20110129020 A KR 20110129020A
Authority
KR
South Korea
Prior art keywords
blocking
malicious code
website
code
result
Prior art date
Application number
KR1020100048410A
Other languages
Korean (ko)
Inventor
남기효
Original Assignee
(주)위너다임
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)위너다임 filed Critical (주)위너다임
Priority to KR1020100048410A priority Critical patent/KR20110129020A/en
Publication of KR20110129020A publication Critical patent/KR20110129020A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

PURPOSE: A malignant code blocking system using a cod analysis method and method thereof are provided to prevent the dispersal of a mutant virus by acquiring a source code which forms a web site. CONSTITUTION: GUI(Graphic User Interface)(10-13) outputs a blocking result and establishes the blocking object, category, range, and the command of a malignant code corresponding to user input. A white list creation unit(23) creates a white list according to a result which is created by analyzing the source code pattern of the webpage. A web page collection unit(21) collects the web page of a web server corresponding to the range and category of the blocking object. A malignant code detection unit(17) detects the malignant code by analyzing the content of packets which are transmitted from a user terminal. Databases(26, 27) store the blocking result and information related to the signature of the malignant code.

Description

코드 분석기법을 이용한 악성코드 차단 시스템 및 방법{MALICIOUS CODE PREVENTION SYSTEM USING CODE ANALYSIS TECHNIQUE AND METHOD FOR OPERATING THE SYSTEM}System and method for blocking malicious code using code analysis method {MALICIOUS CODE PREVENTION SYSTEM USING CODE ANALYSIS TECHNIQUE AND METHOD FOR OPERATING THE SYSTEM}

본 발명은 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템 및 방법에 관한 것으로, 더욱 상세하게는 웹페이지의 소스코드 패턴을 분석하고 이를 바탕으로 웹사이트에 등록하고자 하는 콘텐츠 중 어떤 콘텐츠가 악성코드의 위험에 노출되었는지를 파악함으로써 악성코드의 위험에 노출된 콘텐츠를 차단하고 악성코드로부터 안전한 콘텐츠만 웹사이트에 등록시키는 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템 및 방법에 관한 것이다.The present invention relates to a malicious code blocking system and method of a website using a code analysis method, and more particularly, any content of the content to be registered in the website based on the analysis of the source code pattern of the web page The present invention relates to a system and method for blocking malicious code of a website using a code analysis method that blocks content exposed to the risk of malicious code and registers only content that is safe from malicious code on the website by determining whether the computer is exposed to the risk of malicious code.

정보통신 기술의 급속한 발전과 통신 인프라의 확대에 따라 인터넷을 통해 많은 사회적, 경제적 활동이 이루어지고 있으며 이에 따라 불법적인 의도를 가진 인터넷 이용자가 불특정 다수의 인터넷 이용자 단말기를 악성코드에 의해 감염시켜 개인 정보를 유출하거나 감염된 단말기를 악용하는 것은 매우 심각한 문제가 되고 있으며 특히 이용자 단말기를 통한 경제적 활동이 증가함에 따라 이러한 위험을 사전에 방지하는 기술은 매우 중요한 역할을 한다.Due to the rapid development of information and communication technology and the expansion of communication infrastructure, many social and economic activities are being carried out through the Internet. Accordingly, Internet users with illegal intentions infect an unspecified number of Internet users' terminals with malware to protect personal information. Leaking or exploiting infected terminals has become a very serious problem. Especially, as the economic activity through user terminals increases, the technology for preventing such risks plays a very important role.

특히 웹사이트에 포함된 악성코드를 탐지하는 기술은 신종 또는 변종의 악성코드가 지속적으로 발생하고 있으며 특히 웹사이트에 다양한 방법으로 은닉되어 있기 때문에 이를 빠르고 정확하게 탐지해야 하는 난제를 갖고 있다.In particular, the technology for detecting malicious code included in the website is constantly emerging and new types of malicious code, especially since it is concealed in various ways on the website, it is difficult to detect it quickly and accurately.

종래의 웹사이트 악성코드 탐지기술은 검색엔진 기반 악성코드 탐지기법이나, 웹페이지에 포함된 스크립트를 가상 실행함으로써 악성코드의 은닉 여부를 탐지하는 가상화 기법이 주로 적용되었다. 그러나 검색엔진 기반 악성코드 탐지기법은 웹 검색을 통해 확인된 코드를 대상으로 악성코드를 판단함으로써 신종 또는 변종의 악성코드 탐지 정확도가 낮은 문제점이 있으며, 가상화 기법을 이용하는 경우에는 웹사이트에 포함된 모든 스크립트에 대해 가상화 엔진을 구동함으로써 불필요하게 많은 부하가 발생하고 이에 따라 악성코드 탐지시간이 오래 걸리는 문제점이 있다.The conventional website malware detection technology is mainly applied to a search engine-based malware detection technique, or a virtualization technique that detects whether the malicious code is hidden by virtually executing a script included in a web page. However, the search engine-based malware detection technique has a problem that the detection accuracy of new or variant malicious code is low by judging malicious code from the code identified through web search. By running the virtualization engine for scripts, there is a problem that unnecessarily high loads occur and, accordingly, malware detection takes a long time.

본 발명은 상기와 같은 종래 기술을 개선하기 위해 안출된 것으로서, 웹사이트가 악성코드 전파의 주요 경로로 이용되고 있는데 이러한 문제를 보다 근본적으로 해결하기 위해서는 웹사이트에 악성코드가 삽입되기 전에 차단할 필요성이 있으므로 웹사이트를 구성하는 웹페이지의 소스코드 패턴을 분석하고 이를 바탕으로 웹사이트에 등록하고자 하는 콘텐츠 중 어떤 콘텐츠가 악성코드의 위험에 노출되었는지를 파악함으로써 악성코드의 위험에 노출된 콘텐츠가 웹사이트에 삽입되지 않도록 차단할 수 있는 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템 및 방법을 제공하는 것을 목적으로 한다.The present invention has been made to improve the prior art as described above, the website is being used as the main path of malware propagation. To solve this problem more fundamentally, it is necessary to block before the malicious code is inserted into the website Therefore, by analyzing the source code pattern of the web pages constituting the website and based on this, it is possible to identify which of the contents that you want to register on the website is exposed to the risk of malware, An object of the present invention is to provide a malicious code blocking system and method for a website using a code analysis method that can be blocked from being inserted into the web site.

상기의 목적을 이루고 종래기술의 문제점을 해결하기 위하여, 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템은, 사용자 입력에 대응하여 악성코드 차단대상, 차단항목, 차단범위, 및 차단명령 중 어느 하나 이상을 설정하고, 악성코드 차단결과를 웹, 파일, 데이터베이스, 이메일, 및 SMS 중 어느 하나 이상의 포멧으로 출력하는 그래픽 유저 인터페이스부(GUI: Graphic User Interface); 상기 차단대상, 상기 차단항목, 및 상기 차단범위에 해당하는 웹서버의 웹페이지를 수집하고 상기 수집된 웹페이지의 소스코드 패턴을 분석한 결과에 따라 화이트리스트를 생성하며 웹사이트 사용자 단말기에서 전송된 패킷의 내용을 상기 화이트리스트를 기반으로 분석하여 악성코드의 가능 여부를 탐지하고 상기 악성코드의 위험에 노출된 콘텐츠를 차단하면서 상기 악성코드로부터 안전한 콘텐츠를 상기 웹서버에 송신하기 위해 해당 패킷을 재구성하는 제어부; 및 상기 화이트리스트를 포함한 악성코드의 시그니처와 관련한 정보 및 상기 악성코드 차단결과 중 어느 하나 이상이 저장되는 데이터베이스부를 포함한다.In order to achieve the above object and solve the problems of the prior art, the malicious code blocking system of the website using the code analysis method according to an embodiment of the present invention, the malicious code blocking target, blocking items, blocking in response to user input A graphical user interface (GUI) for setting at least one of a range and a blocking command, and outputting a malicious code blocking result in at least one of a web, a file, a database, an email, and an SMS; Collecting web pages of the web server corresponding to the blocking object, the blocking item, and the blocking range, and generating a white list according to a result of analyzing the source code pattern of the collected web page and transmitted from the website user terminal Analyzes the contents of the packet based on the white list to detect the possibility of malicious code and reconstructs the packet to send the safe content from the malicious code to the web server while blocking the contents exposed to the malicious code. A control unit; And a database unit in which any one or more of information related to the signature of the malicious code including the white list and the malicious code blocking result are stored.

또한, 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법은, 사용자 입력에 따라 악성코드의 위험에 노출된 콘텐츠의 삽입을 차단하고자 하는 웹사이트에 대한 정보를 등록하는 차단대상 정보 등록단계; 차단명령을 감지하는 경우, 상기 차단명령을 기반으로 상기 웹사이트의 구조를 분석하여 웹페이지를 수집하고 상기 수집된 웹페이지의 소스코드 패턴을 분석한 결과에 따라 화이트리스트를 생성하며 상기 화이트리스트를 시그니처 데이터베이스에 저장하는 차단대상 웹사이트 학습단계; 상기 웹사이트에 접속한 사용자 단말기에서 전송된 패킷의 내용을 상기 화이트리스트를 기반으로 분석하여 악성코드의 가능 여부를 탐지하고 상기 악성코드의 위험에 노출된 콘텐츠를 차단하면서 상기 악성코드로부터 안전한 콘텐츠를 상기 웹사이트에 등록하기 위해 해당 패킷을 재구성하는 악성코드 차단단계; 및 상기 재구성된 패킷을 상기 웹사이트의 서버에 송신하고 상기 악성코드 차단결과를 웹, 파일, 데이터베이스, 이메일, 및 SMS 중 어느 하나 이상의 포멧으로 출력하는 악성코드 차단결과 출력단계를 포함한다. In addition, the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention, registering information about the website to block the insertion of the content exposed to the risk of malware in accordance with the user input Blocking object information registration step; In the case of detecting a blocking command, the webpage is collected by analyzing the structure of the website based on the blocking command, and a whitelist is generated according to a result of analyzing the source code pattern of the collected webpage. Blocked website learning step of storing in the signature database; By analyzing the contents of the packet transmitted from the user terminal accessing the website based on the white list, it detects the possibility of malicious code and blocks the contents exposed to the risk of the malicious code while safe contents are protected from the malicious code. A malicious code blocking step of reconfiguring the packet to register the website; And outputting the reconstructed packet to a server of the website and outputting the malicious code blocking result in one or more formats of web, file, database, email, and SMS.

본 발명의 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템 및 방법에 따르면, 웹사이트에 악성코드가 원천적으로 삽입되지 않도록 하기 위해 웹사이트를 구성하는 소스코드를 분석하여 학습함으로써 알려진 악성코드뿐 아니라 새로운 변종의 악성코드가 유포되는 것을 막을 수 있도록 하는 효과를 얻을 수 있다.According to the system and method for blocking malicious code of a website using the code analysis method of the present invention, in order to prevent malicious code from being inserted into the website, not only the known malicious code by analyzing the source code constituting the website, This can be used to prevent the spread of new variants of malware.

도 1은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템의 구성을 도시한 블록도.
도 2는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법의 흐름을 도시한 순서도.
도 3은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 차단대상 정보 등록방법의 흐름을 도시한 순서도.
도 4는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 차단대상 웹사이트 학습방법의 흐름을 도시한 순서도.
도 5는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 악성코드 차단방법의 흐름을 도시한 순서도.
도 6은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 악성코드 차단결과 출력방법의 흐름을 도시한 순서도.1 is a block diagram showing the configuration of a malicious code blocking system of a website using a code analysis method according to an embodiment of the present invention.
Figure 2 is a flow chart showing the flow of a malicious code blocking method of a website using a code analysis method according to an embodiment of the present invention.
Figure 3 is a flow chart showing the flow of the blocking target information registration method of the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention.
Figure 4 is a flow chart showing the flow of the blocking method of the website learning method of the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention.
Figure 5 is a flow chart showing the flow of malicious code blocking method of the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention.
6 is a flow chart illustrating a flow of a method for outputting a malicious code blocking result among malicious code blocking methods of a website using a code analysis method according to an exemplary embodiment of the present invention.

이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a malicious code blocking system of a website using a code analysis method according to an embodiment of the present invention.

본 발명의 일실시예에 따른 악성코드 차단 시스템은 악성코드가 숨겨져 있는 웹사이트를 방문한 사용자들의 단말기가 악성코드에 감염되는 문제를 보다 근본적으로 해결하기 위해 각종 악성코드가 웹사이트에 삽입되지 않도록 원천적으로 차단하는 것이다.Malware blocking system according to an embodiment of the present invention is to prevent various types of malicious code is inserted into the website in order to more fundamentally solve the problem that the terminal of users visiting the website where the malicious code is hidden is infected with malware To block.

본 발명의 일실시예에 따른 악성코드 차단 시스템은 그래픽 유저 인터페이스부(GUI: Graphic User Interface), 제어부, 및 데이터베이스부를 포함한다. 그래픽 유저 인터페이스부는 대상설정 그래픽 유저 인터페이스(10), 출력 그래픽 유저 인터페이스(11), 정책설정 그래픽 유저 인터페이스(12), 및 검색설정 그래픽 유저 인터페이스(13)를 포함한다.The malicious code blocking system according to an embodiment of the present invention includes a graphic user interface (GUI), a controller, and a database unit. The graphical user interface unit includes a target setting graphic user interface 10, an output graphic user interface 11, a policy setting graphic user interface 12, and a search setting graphic user interface 13.

그래픽 유저 인터페이스부(GUI: Graphic User Interface)는 악성코드 차단대상, 차단항목, 차단범위, 및 차단명령 중 어느 하나 이상을 설정하고, 악성코드 차단결과를 출력한다. 즉, 대상설정 그래픽 유저 인터페이스(10)는 사용자 입력에 대응하여 상기 차단대상이 되는 웹사이트를 설정한다. 또한, 정책설정 그래픽 유저 인터페이스(12)는 상기 사용자 입력에 대응하여 상기 차단항목 및 상기 차단범위를 설정한다. 또한, 검색설정 그래픽 유저 인터페이스(13)는 상기 사용자 입력에 대응하여 상기 웹사이트의 검색을 설정한다. 또한, 출력 그래픽 유저 인터페이스(11)는 상기 악성코드 차단결과를 웹, 파일, 데이터베이스, 이메일, SMS, 및 MMS 중 어느 하나 이상의 포멧으로 출력한다.The Graphic User Interface (GUI) sets one or more of a malicious code blocking target, a blocking item, a blocking range, and a blocking command, and outputs a malicious code blocking result. That is, the target setting graphic user interface 10 sets a website to be blocked according to a user input. Also, the policy setting graphic user interface 12 sets the blocking item and the blocking range in response to the user input. In addition, the search setting graphic user interface 13 sets a search of the website in response to the user input. In addition, the output graphical user interface 11 outputs the malicious code blocking result in one or more formats of web, file, database, email, SMS, and MMS.

상기 제어부는 관리부(14), 패킷 수집부(15), 패킷 분석부(16), 악성코드 탐지부(17), 악성코드 차단부(18), 패킷 재구성부(19), 패킷 송신부(20), 웹페이지 수집부(21), 패턴 분석부(22), 화이트리스트 생성부(23), 차단 알림부(24), 및 출력부(25)를 포함한다.The control unit 14, packet collection unit 15, packet analysis unit 16, malware detection unit 17, malware blocking unit 18, packet reconstruction unit 19, packet transmission unit 20 , A web page collecting unit 21, a pattern analyzing unit 22, a white list generating unit 23, a blocking notification unit 24, and an output unit 25.

관리부(14)는 상기 그래픽 유저 인터페이스부를 통해 상기 사용자로부터 입력받는 명령에 대응하여 패킷 수집부(15), 패킷 분석부(16), 악성코드 탐지부(17), 악성코드 차단부(18), 패킷 재구성부(19), 패킷 송신부(20), 웹페이지 수집부(21), 패턴 분석부(22), 화이트리스트 생성부(23), 및 차단 알림부(24) 중 어느 하나 이상의 동작을 제어한다.The management unit 14 corresponds to a command received from the user through the graphic user interface unit, the packet collecting unit 15, the packet analyzing unit 16, the malware detection unit 17, the malicious code blocking unit 18, Control the operation of any one or more of the packet reconstruction unit 19, packet transmission unit 20, web page collection unit 21, pattern analysis unit 22, white list generator 23, and blocking notification unit 24 do.

차단 알림부(24)는 악성코드가 포함된 콘텐츠의 업로드가 차단되었음을 웹사이트 사용자 단말기를 통해 상기 사용자에게 알리는 것이다. 패킷 수집부(15)는 상기 웹사이트 사용자 단말기에서 전송된 패킷을 수집한다. 상기 웹사이트 사용자 단말기는 자신이 현재 접속한 웹사이트에 등록하고자 하는 콘텐츠에 대한 패킷을 패킷 수집부(15)로 전송한다. The block notification unit 24 notifies the user through the website user terminal that the upload of the content containing the malicious code is blocked. The packet collecting unit 15 collects packets transmitted from the website user terminal. The website user terminal transmits a packet for the content to be registered in the website which is currently connected to the packet collection unit 15.

패킷 분석부(16)는 상기 패킷의 내용을 분석한다. 악성코드 탐지부(17)는 시그니처 데이터베이스(27)를 참조해서 상기 콘텐츠 내 악성코드가 포함돼 있는지 판단한다. 악성코드 차단부(18)는 상기 악성코드에 감염된 콘텐츠를 차단한다. 패킷 재구성부(19)는 상기 악성코드로부터 안전한 콘텐츠를 상기 웹사이트 사용자 단말기가 접속한 웹서버에 송신하기 위해 상기 패킷을 재구성한다. The packet analyzer 16 analyzes the contents of the packet. The malware detection unit 17 refers to the signature database 27 to determine whether the malicious code is included in the content. The malicious code blocking unit 18 blocks the contents infected with the malicious code. The packet reconstruction unit 19 reconstructs the packet in order to transmit the content secured from the malicious code to a web server accessed by the website user terminal.

패킷 송신부(20)는 상기 재구성된 패킷을 상기 웹서버로 송신한다. 이에, 상기 악성코드가 포함된 콘텐츠는 상기 웹사이트에 등록되지 않도록 하고 상기 악성코드가 포함되지 않은 콘텐츠는 상기 웹사이트에 등록되도록 할 수 있다.The packet transmitter 20 transmits the reconstructed packet to the web server. Accordingly, the content containing the malicious code may not be registered on the website, and the content not containing the malicious code may be registered on the website.

웹페이지 수집부(21)는 상기 차단대상에 대응하는 웹사이트를 학습하기 위해 상기 웹사이트를 검색하여 웹페이지를 수집한다. 패턴 분석부(22)는 상기 수집된 웹페이지의 소스코드 패턴을 분석하여 학습한다. 화이트리스트 생성부(23)는 상기 분석한 결과에 따라 화이트리스트를 생성한 후 이를 시그니처 데이터베이스(27)에 저장한다.The web page collection unit 21 collects web pages by searching the web site to learn a web site corresponding to the blocking object. The pattern analyzer 22 analyzes and learns source code patterns of the collected web pages. The white list generator 23 generates a white list according to the analysis result and stores the white list in the signature database 27.

웹페이지 수집부(21)는 상기 웹사이트의 하위 구조를 추적하여 검색하고 저장한다. 웹페이지 수집부(21)는 상기 웹사이트를 검색하는 과정에서 발견한 웹페이지를 수집한다. 패턴 분석부(22)는 상기 웹페이지의 소스코드 패턴을 분석한다. 즉, 상기 제어부는 패턴정보를 통해 웹사이트 사용자 단말기에서 전송된 패킷에 대해 탐지작업을 진행하여 악성코드가 있는지 여부를 인식하며 상기 인식된 결과에 대하여 선정된 규칙 및 정책과 비교하여 최종적으로 악성코드 여부를 판단할 수 있다.The web page collecting unit 21 tracks, searches and stores the substructure of the web site. The web page collection unit 21 collects web pages found in the process of searching the web site. The pattern analyzer 22 analyzes the source code pattern of the web page. That is, the controller detects whether there is a malicious code by detecting the packet transmitted from the website user terminal through the pattern information, and finally compares the rule with the selected rule and policy for the recognized result. It can be determined.

상기 데이터베이스부에는 상기 화이트리스트를 포함한 악성코드의 시그니처와 관련한 정보 및 상기 악성코드 차단결과 중 어느 하나 이상이 저장된다. 즉, 상기 데이터베이스부는 소스코드 패턴 학습에 활용되는 상기 화이트리스트가 저장되는 시그니처 데이터베이스(27), 및 상기 탐지된 결과 및 이력에 대한 정보가 저장되는 결과 데이터베이스(26)를 포함한다.The database unit stores one or more of information related to the signature of the malicious code including the white list and the malicious code blocking result. That is, the database unit includes a signature database 27 storing the white list utilized for source code pattern learning, and a result database 26 storing information on the detected result and history.

이러한 본 발명의 일실시예에 따른 악성코드 차단 시스템의 구성을 통한 악성코드 차단 방법을 설명하면, 먼저 악성코드의 위험에 노출된 콘텐츠의 삽입을 차단하고자 하는 대상이 되는 웹사이트를 대상설정 그래픽 유저 인터페이스(10)를 통해 등록하면, 이를 관리부(14)에 저장한다. When explaining a method for blocking malicious code through the configuration of a malicious code blocking system according to an embodiment of the present invention, first target a website that is a target to block the insertion of content exposed to the risk of malicious code graphic user When registered through the interface 10, it is stored in the management unit 14.

정책설정 그래픽 유저 인터페이스(12)를 통해 차단 대상의 악성코드 항목 및 범위를 설정한 후, 검색설정 그래픽 유저 인터페이스(13)를 통해 웹사이트 학습 명령을 실행하게 되면, 탐지해야 하는 악성코드 항목들에 대해 패턴을 학습한 후, 시그니처 데이터베이스(27)에 저장한다.After setting the malicious code items and the range of the blocking target through the policy setting graphic user interface 12, and executing the website learning command through the search setting graphic user interface 13, After the pattern is learned, it is stored in the signature database 27.

검색설정 그래픽 유저 인터페이스(13)로부터 받은 검색명령을 바탕으로 상기 웹사이트의 하위 구조를 분석하면서 지속적으로 웹페이지를 추출하고, 상기 추출된 웹페이지를 소스코드로 변환한 후, 상기 소스코드의 패턴을 학습한다. 시그니처 데이터베이스(27)는 상기 학습된 소스코드 패턴을 리스트로 저장할 수 있다. 시그니처 데이터베이스(27)는 악성코드가 포함되지 않은 정상적인 시그니처를 저장할 수 있다.Based on the search command received from the search setting graphic user interface 13, the web page is continuously extracted while analyzing the substructure of the web site, the web page is converted into source code, and then the pattern of the source code is To learn. The signature database 27 may store the learned source code pattern as a list. The signature database 27 may store a normal signature that does not include malicious code.

상기 웹사이트 사용자 단말기에서 전송된 상기 패킷의 내용을 시그니처 데이터베이스(27)에 저장된 소스코드 패턴을 바탕으로 비교 분석한다. 상기 분석한 결과는 정책에 따라 최종적으로 악성코드 여부를 판단한 후, 그 결과는 결과 데이터베이스(26)에 저장된다.The contents of the packet transmitted from the website user terminal are compared and analyzed based on the source code pattern stored in the signature database 27. After the result of the analysis is finally determined whether the malicious code according to the policy, the result is stored in the result database (26).

한편, 출력 시에는 출력 그래픽 유저 인터페이스(11)에 명령을 실행하면, 출력부(25)는 출력하고자 하는 정보를 해당 데이터베이스로부터 제공받아서 이를 바탕으로 출력하고자 하는 형식으로 변환하여 출력정보를 제공한다.On the other hand, during output, if a command is executed on the output graphic user interface 11, the output unit 25 receives the information to be output from the corresponding database and converts it into a format to be output based on the output information.

도 2는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법의 흐름을 도시한 순서도이다. Figure 2 is a flow chart showing the flow of a malicious code blocking method of a website using a code analysis method according to an embodiment of the present invention.

본 발명의 일실시예에 따른 악성코드 차단 시스템은 악성코드를 차단하기 위한 차단대상의 정보를 등록하고(단계(211)), 상기 차단대상의 웹사이트를 학습하며(단계(212)), 상기 웹사이트에 접속한 사용자 단말기에서 전송된 패킷으로부터 악성코드 여부를 파악하여 상기 악성코드에 노출된 콘텐츠를 차단하고(단계(213)), 상기 악성코드를 차단한 차단결과를 출력한다(단계(214)). 단계(211)은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 차단대상 정보 등록방법의 흐름을 도시한 도 3에 상세히 도시되어 있다.The malicious code blocking system according to an embodiment of the present invention registers information of the blocking target for blocking the malicious code (step 211), learns the blocking target website (step 212), and From the packet transmitted from the user terminal connected to the website to determine whether or not malicious code to block the content exposed to the malicious code (step 213), and outputs the blocking result of blocking the malicious code (step 214). )). Step 211 is shown in detail in Figure 3 showing the flow of the method for registering the blocking information of the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention.

또한, 단계(212)는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 차단대상 웹사이트 학습방법의 흐름을 도시한 도 4에 상세히 도시되어 있으며, 단계(213)은 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 악성코드 차단방법의 흐름을 도시한 도 5에 상세히 도시되어 있다.In addition, step 212 is shown in detail in Fig. 4 showing the flow of the target website learning method of blocking the malicious code of the website using a code analysis method according to an embodiment of the present invention, step 213 ) Is shown in detail in FIG. 5 showing the flow of the malicious code blocking method among the malicious code blocking method of the website using the code analysis method according to an embodiment of the present invention.

또한, 단계(214)는 본 발명의 일실시예에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법 중 악성코드 차단결과 출력방법의 흐름을 도시한 도 6에 상세히 도시되어 있다.In addition, step 214 is shown in detail in Figure 6 showing the flow of the malicious code blocking results output method of the malicious code blocking method of the website using a code analysis method according to an embodiment of the present invention.

단계(211)에서, 차단대상 정보 등록은 대상설정 그래픽 유저 인터페이스(10)로부터 입력된 차단대상 웹사이트 정보와 관련 정보와 정책설정 그래픽 유저 인터페이스(12) 및 검색설정 그래픽 유저 인터페이스(13)로부터 입력된 정책 및 검색설정 관련 정보를 관리부(14)에 저장할 수 있다. 즉, 도 3에 도시된 바와 같이, 상기 악성코드 차단 시스템은 차단대상 정보를 등록하고(단계(311)), 차단대상 정보를 저장하며(단계(312)), 정책설정 정보를 입력하고(단계(313)), 검색설정 정보를 입력하며(단계(314)), 입력정보를 저장할 수 있다(단계(315)).In step 211, the blocking target information registration is input from the blocking target website information and related information input from the target setting graphic user interface 10 and from the policy setting graphic user interface 12 and the search setting graphic user interface 13. The policy and the search setting related information may be stored in the management unit 14. That is, as shown in FIG. 3, the malware blocking system registers blocking target information (step 311), stores blocking target information (step 312), and inputs policy setting information (step 312). (313), the search setting information is input (step 314), and the input information can be stored (step 315).

단계(212) 및 단계(213)에서, 악성코드 차단은 웹페이지 수집부(21)로부터 받은 웹페이지를 소스코드로 변환하고, 동시에 패턴 분석부(22)에서 차단항목에 대해 패턴 학습을 수행하여 그 결과를 바탕으로 화이트리스트를 생성할 수 있다. 특히 화이트리스트 생성부(23)는 악성코드로 판단할 수 있는 각 항목별 패턴정보를 시그니처 데이터베이스(27)에 저장하여 웹사이트 사용자 단말기에서 전송된 패킷에 대해서 탐지작업을 진행하면서 악성코드 여부를 인식한 후, 인식된 결과에 대해 규칙 및 정책과 비교하여 최종적으로 악성코드 여부를 판단하고 결과를 결과 데이터베이스(26)에 저장할 수 있다. In steps 212 and 213, the malicious code block converts the web page received from the web page collecting unit 21 into source code, and simultaneously performs pattern learning on the blocking items in the pattern analyzing unit 22. Based on the result, you can create a whitelist. In particular, the white list generator 23 stores pattern information for each item that can be determined as malicious code in the signature database 27 to detect whether or not malicious code is performed while detecting a packet transmitted from a website user terminal. Afterwards, the recognized result may be finally compared with the rule and the policy to determine whether the malicious code is included, and the result may be stored in the result database 26.

즉, 도 4에 도시된 바와 같이, 상기 악성코드 차단 시스템은 차단대상이 입력되는 경우(단계(411)), 차단대상 웹사이트를 검색하고(단계(412)), 웹페이지를 수집하여(단계(413)), 상기 웹페이지로부터 소스코드를 획득하고 상기 소스코드의 패턴을 분석한다(단계(414)), 상기 악성코드 차단 시스템은 상기 분석된 소스코드 패턴을 시그니처 데이터베이스(27)에 저장한다(단계(415)).That is, as shown in Figure 4, the malicious code blocking system when the blocking target is input (step 411), search the blocking target website (step 412), and collects the web page (step (413), the source code is obtained from the web page and the pattern of the source code is analyzed (step 414). The malware blocking system stores the analyzed source code pattern in the signature database 27. (Step 415).

또한, 도 5에 도시된 바와 같이, 상기 악성코드 차단 시스템은 웹사이트 사용자 단말기로부터 패킷을 수신하고(단계(511)), 상기 패킷을 수집하여(단계(512)), 상기 패킷을 분석한다(단계(513)), 상기 악성코드 차단 시스템은 소스코드 패턴 학습을 수행하여 악성코드를 탐지한다(단계(514)). 상기 악성코드 차단 시스템은 악성코드를 탐지한 경우 상기 악성코드를 차단하고(단계(515)), 악성코드를 탐지하지 못한 경우, 상기 패킷을 재구성하여 송신할 수 있다(단계(516)).In addition, as shown in FIG. 5, the malware blocking system receives a packet from a website user terminal (step 511), collects the packet (step 512), and analyzes the packet ( Step 513), the malware blocking system detects malicious code by performing source code pattern learning (step 514). When the malicious code blocking system detects the malicious code, the malicious code may be blocked (step 515). If the malicious code is not detected, the malicious code blocking system may reconstruct and transmit the packet (step 516).

단계(214)에서, 악성코드 차단결과 출력은 출력 그래픽 유저 인터페이스(11)에 명령을 실행하면, 출력부(25)는 출력하고자 하는 정보를 해당 데이터베이스로부터 받아서 이를 출력하고자 하는 형식으로 변환하여 출력정보를 제공할 수 있다.In step 214, when the output of the malicious code blocking result executes a command to the output graphic user interface 11, the output unit 25 receives the information to be output from the corresponding database, converts it into a format to be output, and outputs the output information. Can be provided.

상기와 같이 본 발명에 따르면, 웹사이트에 악성코드가 원천적으로 삽입되지 않도록 하기 위해 웹사이트를 구성하는 소스코드를 분석하여 학습함으로써 알려진 악성코드뿐 아니라 새로운 변종의 악성코드가 유포되는 것을 막을 수 있도록 하는 효과를 얻을 수 있다.As described above, according to the present invention, by analyzing the source code constituting the website in order to prevent the malicious code is not inserted into the website, so as to prevent the spread of new variants of the malicious code as well as known malicious code. You can get the effect.

본 발명에 따른 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The malicious code blocking method of the website using the code analysis method according to the present invention is implemented in the form of program instructions that can be executed by various computer means can be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. The medium may be a transmission medium such as an optical or metal line, a wave guide, or the like, including a carrier wave for transmitting a signal designating a program command, a data structure, or the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above-described embodiments, which can be variously modified and modified by those skilled in the art to which the present invention pertains. Modifications are possible. Accordingly, the spirit of the present invention should be understood only by the claims set forth below, and all equivalent or equivalent modifications thereof will belong to the scope of the present invention.

10: 대상설정 GUI 11: 출력 GUI
12: 정책설정 GUI 13: 검색설정 GUI
14: 관리부 15: 패킷 수집부
16: 패킷 분석부 17: 악성코드 탐지부
18: 악성코드 차단부 19: 패킷 재구성부
20: 패킷 송신부 21: 웹페이지 수집부
22: 패턴 분석부 23: 화이트리스트 생성부
24: 차단 알림부 25: 출력부
26: 결과 DB 27: 시그니처 DB10: Target setting GUI 11: Output GUI
12: Policy Setting GUI 13: Search Setting GUI
14: management unit 15: packet collection unit
16: packet analyzer 17: malware detection unit
18: malware blocking unit 19: packet reconstruction unit
20: packet transmission unit 21: web page collection unit
22: pattern analysis unit 23: white list generation unit
24: blocking notification unit 25: output unit
26: Result DB 27: Signature DB

Claims (2)

사용자 입력에 대응하여 악성코드 차단대상, 차단항목, 차단범위, 및 차단명령 중 어느 하나 이상을 설정하고, 악성코드 차단결과를 웹, 파일, 데이터베이스, 이메일, 및 SMS 중 어느 하나 이상의 포멧으로 출력하는 그래픽 유저 인터페이스부(GUI: Graphic User Interface);
상기 차단대상, 상기 차단항목, 및 상기 차단범위에 해당하는 웹서버의 웹페이지를 수집하고 상기 수집된 웹페이지의 소스코드 패턴을 분석한 결과에 따라 화이트리스트를 생성하며 웹사이트 사용자 단말기에서 전송된 패킷의 내용을 상기 화이트리스트를 기반으로 분석하여 악성코드의 가능 여부를 탐지하고 상기 악성코드의 위험에 노출된 콘텐츠를 차단하면서 상기 악성코드로부터 안전한 콘텐츠를 상기 웹서버에 송신하기 위해 해당 패킷을 재구성하는 제어부; 및
상기 화이트리스트를 포함한 악성코드의 시그니처와 관련한 정보 및 상기 악성코드 차단결과 중 어느 하나 이상이 저장되는 데이터베이스부
를 포함하는 것을 특징으로 하는 코드 분석기법을 이용한 웹사이트의 악성코드 차단 시스템.In response to user input, one or more of the malicious code blocking target, blocking item, blocking range, and blocking command are set, and the malware blocking result is output in one or more formats of web, file, database, email, and SMS. A graphic user interface (GUI);
Collecting web pages of the web server corresponding to the blocking object, the blocking item, and the blocking range, and generating a white list according to a result of analyzing the source code pattern of the collected web page and transmitted from the website user terminal Analyzes the contents of the packet based on the white list to detect the possibility of malicious code and reconstructs the packet to send the safe content from the malicious code to the web server while blocking the contents exposed to the malicious code. A control unit; And
Database unit for storing any one or more of the information related to the signature of the malicious code including the white list and the malicious code blocking result
Malware blocking system of the website using a code analysis method comprising a. 사용자 입력에 따라 악성코드의 위험에 노출된 콘텐츠의 삽입을 차단하고자 하는 웹사이트에 대한 정보를 등록하는 차단대상 정보 등록단계;
차단명령을 감지하는 경우, 상기 차단명령을 기반으로 상기 웹사이트의 구조를 분석하여 웹페이지를 수집하고 상기 수집된 웹페이지의 소스코드 패턴을 분석한 결과에 따라 화이트리스트를 생성하며 상기 화이트리스트를 시그니처 데이터베이스에 저장하는 차단대상 웹사이트 학습단계;
상기 웹사이트에 접속한 사용자 단말기에서 전송된 패킷의 내용을 상기 화이트리스트를 기반으로 분석하여 악성코드의 가능 여부를 탐지하고 상기 악성코드의 위험에 노출된 콘텐츠를 차단하면서 상기 악성코드로부터 안전한 콘텐츠를 상기 웹사이트에 등록하기 위해 해당 패킷을 재구성하는 악성코드 차단단계; 및
상기 재구성된 패킷을 상기 웹사이트의 서버에 송신하고 상기 악성코드 차단결과를 웹, 파일, 데이터베이스, 이메일, 및 SMS 중 어느 하나 이상의 포멧으로 출력하는 악성코드 차단결과 출력단계
를 포함하는 것을 특징으로 하는 코드 분석기법을 이용한 웹사이트의 악성코드 차단 방법.A blocking target information registration step of registering information on a website to block insertion of content exposed to a risk of malicious code according to a user input;
In the case of detecting a blocking command, the webpage is collected by analyzing the structure of the website based on the blocking command, and a whitelist is generated according to a result of analyzing the source code pattern of the collected webpage. Blocked website learning step of storing in the signature database;
By analyzing the contents of the packet transmitted from the user terminal accessing the website based on the white list, it detects the possibility of malicious code and blocks the contents exposed to the risk of the malicious code while safe contents are protected from the malicious code. A malicious code blocking step of reconfiguring the packet to register the website; And
Sending the reconstructed packet to the server of the website and outputting the malicious code blocking result in any one or more formats of web, file, database, email, and SMS
Malware blocking method of the website using a code analysis method comprising the.
KR1020100048410A 2010-05-25 2010-05-25 Malicious code prevention system using code analysis technique and method for operating the system KR20110129020A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100048410A KR20110129020A (en) 2010-05-25 2010-05-25 Malicious code prevention system using code analysis technique and method for operating the system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100048410A KR20110129020A (en) 2010-05-25 2010-05-25 Malicious code prevention system using code analysis technique and method for operating the system

Publications (1)

Publication Number Publication Date
KR20110129020A true KR20110129020A (en) 2011-12-01

Family

ID=45498315

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100048410A KR20110129020A (en) 2010-05-25 2010-05-25 Malicious code prevention system using code analysis technique and method for operating the system

Country Status (1)

Country Link
KR (1) KR20110129020A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101398740B1 (en) * 2012-03-15 2014-05-27 주식회사 코닉글로리 System, method and computer readable recording medium for detecting a malicious domain
JP2016053956A (en) * 2014-09-02 2016-04-14 エスケー インフォセック カンパニー リミテッドSK INFOSEC Co.,Ltd. System and method for detecting web-based malicious codes
CN110555176A (en) * 2018-03-30 2019-12-10 佛山市优特美邦电子商务有限公司 E-commerce platform constructed by adopting internet commodity data analysis and collection method
WO2024019226A1 (en) * 2022-07-22 2024-01-25 주식회사 필상 Method for detecting malicious urls

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101398740B1 (en) * 2012-03-15 2014-05-27 주식회사 코닉글로리 System, method and computer readable recording medium for detecting a malicious domain
JP2016053956A (en) * 2014-09-02 2016-04-14 エスケー インフォセック カンパニー リミテッドSK INFOSEC Co.,Ltd. System and method for detecting web-based malicious codes
CN110555176A (en) * 2018-03-30 2019-12-10 佛山市优特美邦电子商务有限公司 E-commerce platform constructed by adopting internet commodity data analysis and collection method
WO2024019226A1 (en) * 2022-07-22 2024-01-25 주식회사 필상 Method for detecting malicious urls

Similar Documents

Publication Publication Date Title
Alsaheel et al. {ATLAS}: A sequence-based learning approach for attack investigation
US10089464B2 (en) De-obfuscating scripted language for network intrusion detection using a regular expression signature
Lin et al. Identifying android malicious repackaged applications by thread-grained system call sequences
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
Wang et al. Jsdc: A hybrid approach for javascript malware detection and classification
US20130247187A1 (en) Computing device to detect malware
JP2016053956A (en) System and method for detecting web-based malicious codes
Sethi et al. A novel malware analysis framework for malware detection and classification using machine learning approach
Bayazit et al. Malware detection in android systems with traditional machine learning models: a survey
CN106355092B (en) System and method for optimizing anti-virus measurement
Cao et al. JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks
CN103577323A (en) Dynamic key command sequence birthmark-based software plagiarism detecting method
CN113872965B (en) SQL injection detection method based on Snort engine
Udayakumar et al. Dynamic malware analysis using machine learning algorithm
Patel Malware detection in android operating system
CN112688966A (en) Webshell detection method, device, medium and equipment
KR20110129020A (en) Malicious code prevention system using code analysis technique and method for operating the system
Chen et al. Detection, traceability, and propagation of mobile malware threats
Wang et al. A deep learning method for android application classification using semantic features
Surendran et al. Detection of malware applications from centrality measures of syscall graph
KR20210045122A (en) Apparatus and method for generating test input a software using symbolic execution
CN105488399A (en) Script virus detection method and system based on program keyword calling sequence
KR20130074224A (en) Apparatus and method of collecting action pattern of malicious code
Zhang et al. Android malware detection combined with static and dynamic analysis
CN107358106A (en) Leak detection method, Hole Detection device and server

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application