KR20120124638A - Malignant code detecting system and method based on action - Google Patents

Malignant code detecting system and method based on action Download PDF

Info

Publication number
KR20120124638A
KR20120124638A KR1020110042414A KR20110042414A KR20120124638A KR 20120124638 A KR20120124638 A KR 20120124638A KR 1020110042414 A KR1020110042414 A KR 1020110042414A KR 20110042414 A KR20110042414 A KR 20110042414A KR 20120124638 A KR20120124638 A KR 20120124638A
Authority
KR
South Korea
Prior art keywords
code
information
website
file
detection system
Prior art date
Application number
KR1020110042414A
Other languages
Korean (ko)
Inventor
조상현
김정웅
이상신
허규
이희국
주성범
Original Assignee
엔에이치엔비즈니스플랫폼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔에이치엔비즈니스플랫폼 주식회사 filed Critical 엔에이치엔비즈니스플랫폼 주식회사
Priority to KR1020110042414A priority Critical patent/KR20120124638A/en
Priority to JP2012100899A priority patent/JP2012234540A/en
Publication of KR20120124638A publication Critical patent/KR20120124638A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PURPOSE: An action based malignant code detection system and a malignant code detection method are provided to compose an emulator of an environment which is similar to a user terminal and access to a web site and confirm execution action of a program, thereby detecting an attacking code. CONSTITUTION: A website connection control unit(310) accesses to a web site corresponding to link information by using the link information. When execution action is detected through a code included in the web site, a malignant code detection unit(320) detects a malignant code in the code and a file downloaded through the code.. When the file is automatically downloaded, installed or executed through the code, the malignant code detection unit detects the execution action. An information collection unit(330) collects information about at least one of the website, the code, the file and a server. When at least one of the code and the file is detected as the malignant code, an information provision unit(340) provides the information about at least the recorded one to a manager. [Reference numerals] (310) Website connection control unit; (320) Malignant code detection unit; (330) Information collection unit; (340) Information provision unit

Description

행위 기반의 악성코드 탐지 시스템 및 악성코드 탐지 방법{MALIGNANT CODE DETECTING SYSTEM AND METHOD BASED ON ACTION}Behavior-based malware detection system and malware detection method {MALIGNANT CODE DETECTING SYSTEM AND METHOD BASED ON ACTION}

본 발명의 실시예들은 행위 기반의 악성코드 탐지 시스템 및 악성코드 탐지 방법에 관한 것이다.Embodiments of the present invention relate to a behavior-based malware detection system and a malware detection method.

악성코드란 사용자의 의사와 이익에 반해 시스템을 파괴하거나 또는 정보를 유츨하는 등 악의적인 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 대표적인 악성코드 유포 경로는 인터넷에서 쉽게 구할 수 있는 각종 무료 소프트웨어에 의한 것이다. 파일 공유 프로그램인 경우가 많은데, 해당 프로그램 설치 중에 악성코드가 같이 설치되도록 하는 것이다. 이러한 프로그램들은 이미 장기간 인터넷에 노출되어 있어 컴퓨터 백신 프로그램에서 탐지하는 경우가 많다.Malware is software that is intentionally designed to perform malicious activities, such as destroying the system or exposing information against the user's intentions and interests. The typical malware distribution route is due to various free softwares that are easily available on the Internet. It is often a file-sharing program, which allows malware to be installed during the program installation. These programs are already exposed to the Internet for long periods of time and are often detected by computer antivirus programs.

그러나, 이러한 감염 경로 이외에 웹사이트에 악성코드가 삽입되어 있는 경우도 있다. 도 1은 종래기술에 있어서, 웹사이트를 통한 악성코드 감염 경로를 설명하기 위한 일례이다. 도 1은 사용자 단말기(110), 웹사이트(120), 웹 서버(130) 및 공격자 서버(140)를 도시하고 있다.However, in addition to these infection paths, malicious code may be inserted into websites. 1 is an example for explaining a malicious code infection path through a website in the prior art. 1 shows a user terminal 110, a website 120, a web server 130, and an attacker server 140.

사용자가 사용자 단말기(110)를 통해 웹사이트(120)를 방문하고자 요청하는 경우, 웹 서버(130)는 사용자 단말기(110)로 웹사이트(120)를 제공할 수 있다. 이때, 사용자가 방문한 웹사이트(120)가 보안에 취약하여 공격자의 악성코드가 숨겨져 있다면, 사용자가 단순히 웹사이트(120)의 특정 페이지를 방문하는 것만으로도 특정 페이지에 숨겨져 있는 악성코드가 실행되어 악성코드 링크(150)를 통해 사용자 단말기(110)가 공격자 서버(140)에 접근하게 되고, 공격자 서버(140)로부터 악성 프로그램(160)을 다운로드 받아 설치하게 된다. 이때, 종래기술에서는 이러한 악성코드의 설치 및 실행을 미리 탐지할 수 없는 실정이다.When the user requests to visit the website 120 through the user terminal 110, the web server 130 may provide the website 120 to the user terminal 110. At this time, if the website 120 visited by the user is vulnerable to security and the attacker's malicious code is hidden, the malicious code hidden in the specific page is executed simply by visiting the specific page of the website 120. The user terminal 110 accesses the attacker server 140 through the malicious code link 150, and downloads and installs the malicious program 160 from the attacker server 140. At this time, in the prior art, the installation and execution of such malicious code cannot be detected in advance.

이러한 공격코드를 익스플로잇(exploit)이라고 하며, 자바스크립트(JavaScript)로 작성된 경우가 많고, 보통 코드 난독화(obfuscation)을 통해 코드를 읽기 어렵게 만들어 놓은 경우가 많다. 심지어 사용자가 해당 페이지에 방문할 때마다 동적으로 변경되는 속성을 갖기도 한다.Such exploits are called exploits, often written in JavaScript, and often made code hard to read through code obfuscation. It even has a property that changes dynamically every time the user visits the page.

이런 형태의 공격코드는 컴퓨터 백신에서 탐지하기 위한 패턴화 작업을 어렵게 만들며 특히, 동적으로 자동 변경되는 코드는 백신에서 탐지를 하지 못하는 경우가 대부분이다.This type of attack code makes patterning difficult for computer vaccines to detect, especially for dynamically changing code that cannot be detected by the vaccine.

이러한 공격코드들은 대부분 운영체제나 액티브 엑스(ActiveX), 웹 플러그인(플래쉬 등) 모듈의 취약점을 이용하며 보안패치가 발표되지 않은 신규 취약점을 이용하는 공격코드(제로 데이 익스플로잇(Zero-Day-Exploit))로 쉽게 변경 가능하여 심각한 문제점을 유발한다.Most of these exploits take advantage of operating system, ActiveX, and web plug-in (Flash, etc.) modules. Easily changeable causes serious problems.

본 명세서에서는 보다 효율적으로 악성코드를 탐지할 수 있는 시스템 및 방법이 제안된다.In the present specification, a system and method for more efficiently detecting malicious codes are proposed.

사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있는 악성코드 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a malicious code detection system and method for configuring an emulator in an environment similar to a user terminal, accessing a website, and detecting an attack code by checking whether a program is executed.

악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있는 악성코드 탐지 시스템 및 방법에 관한 것이다.Instead of detecting malicious codes according to the patterns of malicious codes, malicious codes are detected according to the actions performed according to malicious codes. Thus, code obfuscation makes malware difficult to read and dynamically changes automatically. It also relates to a malicious code detection system and method that can be easily detected.

링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속하는 웹사이트 접속 제어부 및 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 코드 및 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 악성코드 탐지부를 포함하는 악성코드 탐지 시스템이 제공된다.At least one of a website access control unit that accesses a website corresponding to the link information using the link information and execution of execution through the code included in the website is detected. A malicious code detection system including a malicious code detection unit for detecting as malicious code is provided.

일측에 따르면, 악성코드 탐지부는 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 실행 행위를 탐지할 수 있다.According to one side, the malware detection unit is connected to any server through the code, when the file is automatically downloaded and installed or executed, it can detect the execution behavior.

다른 측면에 따르면, 악성코드 탐지 시스템은 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 정보 수집부를 더 포함할 수 있다.According to another aspect, the malware detection system may further include an information collection unit for collecting and recording information about at least one of a website, a code, a file, and a server.

또 다른 측면에 따르면, 악성코드 탐지 시스템은 코드 및 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 정보 제공부를 더 포함할 수 있다.According to another aspect, the malware detection system may further include an information providing unit that provides the administrator with information on at least one recorded when at least one of the code and the file is detected as the malicious code.

링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속하는 단계 및 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 코드 및 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계를 포함하는 악성코드 탐지 방법이 제공된다.At least one of a code and a file downloaded through the code is detected as malicious code when a step of accessing a website corresponding to the link information using the link information and execution of execution through the code included in the website is detected. There is provided a malicious code detection method comprising the step of detecting.

사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있다.An emulator with an environment similar to that of a user terminal can be configured to access a website, and detect an attack code by checking whether a program is executed.

악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있다.Instead of detecting malicious codes according to the patterns of malicious codes, malicious codes are detected according to the actions performed according to malicious codes. Thus, code obfuscation makes malware difficult to read and dynamically changes automatically. Can be easily detected.

도 1은 종래기술에 있어서, 웹사이트를 통한 악성코드 감염 경로를 설명하기 위한 일례이다.
도 2는 본 발명의 일실시예에 있어서, 웹사이트를 통한 악성코드를 탐지하는 전체적인 구성을 도시한 도면이다.
도 3은 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다.
도 4는 본 발명의 일실시예에 있어서, 악성코드 탐지 방법을 도시한 흐름도이다.
도 5는 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템이 에뮬레이터를 통해 수집한 정보를 나타낸 일례이다.1 is an example for explaining a malicious code infection path through a website in the prior art.
2 is a diagram illustrating the overall configuration of detecting malicious code through a website according to an embodiment of the present invention.
3 is a block diagram illustrating an internal configuration of a malware detection system according to an embodiment of the present invention.
4 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.
FIG. 5 illustrates an example of information collected through an emulator by a malware detection system according to an exemplary embodiment of the present invention.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 일실시예에 있어서, 웹사이트를 통한 악성코드를 탐지하는 전체적인 구성을 도시한 도면이다. 도 2는 악성코드 탐지 시스템(210), 웹사이트(220), 웹 서버(230) 및 공격자 서버(240)를 도시하고 있다.2 is a diagram illustrating the overall configuration of detecting malicious code through a website according to an embodiment of the present invention. 2 illustrates a malware detection system 210, a website 220, a web server 230, and an attacker server 240.

우선, 악성코드 탐지 시스템(210)은 사용자 단말기와 유사한 환경의 에뮬레이터를 포함할 수 있다. 여기서, 에뮬레이터는 어떤 하드웨어나 소프트웨어의 기능을 다른 종류의 하드웨어나 소프트웨어로 모방하여 실현시키기 위한 장치나 프로그램으로서 악성코드 탐지 시스템(210)은 웹 서버(230)를 통해 웹사이트(220)에 접근하기 위한 사용자 단말기의 기능을 모방하여 실현시킨 장치 또는 프로그램일 수 있다. 즉, 악성코드 탐지 시스템(210)은 웹사이트(220)에 접근하기 위해 사용자 단말기의 기능을 모방하여 구성된 에뮬레이터를 포함할 수 있다. 여기서, 악성코드 탐지 시스템(210)은 URL과 같은 링크 정보를 이용하여 웹사이트(220)에 접근할 수 있다.First, the malware detection system 210 may include an emulator in an environment similar to a user terminal. Here, the emulator is a device or program for emulating a hardware or software function by another type of hardware or software, and the malware detection system 210 accesses the website 220 through the web server 230. It can be a device or a program that emulates the function of the user terminal for realization. That is, the malware detection system 210 may include an emulator configured to mimic the function of the user terminal to access the website 220. Here, the malware detection system 210 may access the website 220 by using link information such as a URL.

이때, 악성코드 탐지 시스템(210)은 이러한 에뮬레이터를 이용하여 웹 서버(230)를 통해 웹사이트(220)에 접속할 수 있다. 만약, 해당 웹사이트(220)에 악성코드가 포함되어 있어서, 악성코드 링크(250)를 공격자 서버(240)로 접속되고, 악성 프로그램(260) 등의 다운로드와 실행이 이루어진다면, 악성코드 탐지 시스템(210)는 접속한 웹사이트(220)에 대한 정보, 악성코드 링크(250)에 대한 정보, 악성 프로그램(260)에 대한 정보 등을 얻을 수 있다. 이때, 악성코드 탐지 시스템(210)은 얻어진 정보를 분석하여 악성코드 유포 행위를 탐지할 수 있을 뿐만 아니라, 이러한 악성코드 유포 행위에 대한 정보를 관리자에게 통보함으로써, 관리자가 해당 웹사이트(220)에 악성코드가 숨겨져 있음을 탐지할 수 있게 된다.In this case, the malware detection system 210 may access the website 220 through the web server 230 using the emulator. If a malicious code is included in the website 220, the malicious code link 250 is connected to the attacker server 240, and if the malicious program 260 is downloaded and executed, the malicious code detection system is executed. Reference numeral 210 may obtain information about the accessed website 220, information on the malware link 250, information on the malicious program 260, and the like. At this time, the malicious code detection system 210 can analyze the obtained information to detect the malicious code distribution behavior, as well as notify the administrator of the information about the malicious code distribution behavior, the administrator to the website 220 It can detect that malware is hidden.

도 3은 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다. 본 실시예에 따른 악성코드 탐지 시스템(300)은 도 2를 통해 설명한 악성코드 탐지 시스템(210)에 대응될 수 있고, 웹사이트 접속 제어부(310) 및 악성코드 탐지부(320)를 포함할 수 있다. 또한, 악성코드 탐지 시스템(300)은 필요에 따라 도 3에 도시된 정보 수집부(330) 및 정보 제공부(340)를 더 포함할 수도 있다.3 is a block diagram illustrating an internal configuration of a malware detection system according to an embodiment of the present invention. The malicious code detection system 300 according to the present embodiment may correspond to the malicious code detection system 210 described with reference to FIG. 2, and may include a website access control unit 310 and a malicious code detection unit 320. have. In addition, the malware detection system 300 may further include the information collecting unit 330 and the information providing unit 340 shown in FIG. 3 as needed.

웹사이트 접속 제어부(310)는 링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속한다. 여기서, 링크 정보는 웹사이트의 URL과 같이 해당 웹사이트를 식별 및 접속하기 위한 정보를 포함할 수 있다.The website access control unit 310 accesses a website corresponding to the link information by using the link information. Here, the link information may include information for identifying and accessing the corresponding website, such as the URL of the website.

악성코드 탐지부(320)는 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지할 수 있다. 즉, 이미 설명한 바와 같이 웹상에서의 공격 행위는 사용자의 단말기에 악성코드를 설치하기 위해 필히 실행 행위를 유발한다. 따라서, 악성코드 탐지부(320)는 악성코드의 패턴을 이용하여 악성코드를 탐지하는 것이 아니라 악성코드의 실행 행위를 탐지하여 해당 코드나 코드를 통해 다운로드 되는 파일이 악성코드임을 탐지할 수 있다. 예를 들어, 악성코드 탐지부(320)는 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지할 수 있다.The malware detection unit 320 may detect at least one of the code and a file downloaded through the code as the malicious code when the execution behavior through the code included in the website is detected. In other words, as described above, an attack on the web necessarily causes an execution to install malicious code on a user's terminal. Therefore, the malicious code detection unit 320 may not detect the malicious code using the pattern of the malicious code but may detect the execution behavior of the malicious code to detect that the file downloaded through the corresponding code or the code is malicious code. For example, the malware detection unit 320 may detect the execution behavior when the server is connected to any server through a code and the file is automatically downloaded and installed or executed.

정보 수집부(330)는 상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록할 수 있다. 예를 들어, 정보 수집부(330)는 웹사이트의 URL이나 상기 코드 자체에 대한 정보 또는 상기 파일명 또는 상기 파일이 다운로드 또는 설치된 경로, 상기 서버의 IP 주소와 같은 정보를 수집하여 기록할 수 있다.The information collecting unit 330 may collect and record information about at least one of the website, the code, the file, and the server. For example, the information collecting unit 330 may collect and record information such as a URL of a website, information about the code itself, a file name or a path where the file is downloaded or installed, and an IP address of the server.

정보 제공부(340)는 상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공한다. 즉, 정보 제공부(340)는 악성코드가 탐지되었음을 관리자에게 알림과 동시에 악성코드와 연관된 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 관리자에게 알려줌으로써, 관리자가 악성코드에 대응하도록 할 수 있다.If at least one of the code and the file is detected as a malicious code, the information providing unit 340 provides the administrator with information on at least one recorded. That is, the information providing unit 340 notifies the administrator that the malicious code is detected, and informs the administrator of at least one of websites, codes, files, and servers related to the malware, so that the administrator can respond to the malicious code. can do.

도 4는 본 발명의 일실시예에 있어서, 악성코드 탐지 방법을 도시한 흐름도이다. 본 실시예에 따른 악성코드 탐지 방법은 도 3을 통해 설명한 악성코드 탐지 시스템(300)에 의해 수행될 수 있다. 도 4에서는 악성코드 탐지 시스템(300)에 의해 각각의 단계가 수행되는 과정을 설명함으로써, 악성코드 탐지 방법을 설명한다.4 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention. The malware detection method according to the present embodiment may be performed by the malware detection system 300 described with reference to FIG. 3. In FIG. 4, the malicious code detection method will be described by describing a process in which each step is performed by the malicious code detection system 300.

단계(410)에서 악성코드 탐지 시스템(300)은 링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속한다. 여기서, 링크 정보는 웹사이트의 URL과 같이 해당 웹사이트를 식별 및 접속하기 위한 정보를 포함할 수 있다.In operation 410, the malware detection system 300 accesses a website corresponding to the link information by using the link information. Here, the link information may include information for identifying and accessing the corresponding website, such as the URL of the website.

단계(420)에서 악성코드 탐지 시스템(300)은 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지할 수 있다. 즉, 이미 설명한 바와 같이 웹상에서의 공격 행위는 사용자의 단말기에 악성코드를 설치하기 위해 필히 실행 행위를 유발한다. 따라서, 악성코드 탐지 시스템(300)은 악성코드의 패턴을 이용하여 악성코드를 탐지하는 것이 아니라 악성코드의 실행 행위를 탐지하여 해당 코드나 코드를 통해 다운로드 되는 파일이 악성코드임을 탐지할 수 있다. 예를 들어, 악성코드 탐지 시스템(300)은 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지할 수 있다.In operation 420, when the malicious code detection system 300 detects execution behavior through code included in a website, the malware detection system 300 may detect at least one of the code and a file downloaded through the code as malware. Can be. In other words, as described above, an attack on the web necessarily causes an execution to install malicious code on a user's terminal. Accordingly, the malicious code detection system 300 may detect that the malicious code is executed using a pattern of the malicious code, but not a malicious code, and detect that the file downloaded through the corresponding code or code is malicious code. For example, the malware detection system 300 may detect the execution behavior when the server is connected to an arbitrary server through code and the file is automatically downloaded and installed or executed.

단계(430)에서 악성코드 탐지 시스템(300)은 상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록할 수 있다. 예를 들어, 악성코드 탐지 시스템(300)은 웹사이트의 URL이나 상기 코드 자체에 대한 정보 또는 상기 파일명 또는 상기 파일이 다운로드 또는 설치된 경로, 상기 서버의 IP 주소와 같은 정보를 수집하여 기록할 수 있다.In operation 430, the malware detection system 300 may collect and record information about at least one of the website, the code, the file, and the server. For example, the malware detection system 300 may collect and record information such as a URL of a website, information about the code itself, a file name or a path where the file is downloaded or installed, and an IP address of the server. .

단계(440)에서 악성코드 탐지 시스템(300)은 상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공한다. 즉, 악성코드 탐지 시스템(300)은 악성코드가 탐지되었음을 관리자에게 알림과 동시에 악성코드와 연관된 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 관리자에게 알려줌으로써, 관리자가 악성코드에 대응하도록 할 수 있다.In operation 440, when at least one of the code and the file is detected as the malicious code, the malicious code detection system 300 provides the administrator with information about the recorded at least one. That is, the malicious code detection system 300 notifies the administrator that the malicious code has been detected and simultaneously informs the administrator of information on at least one of a website, code, a file, and a server related to the malicious code, so that the administrator responds to the malicious code. You can do that.

도 3 내지 도 4에서 생략된 내용은 도 2를 참조할 수 있다.3 to 4 may refer to FIG. 2.

도 5는 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템이 에뮬레이터를 통해 수집한 정보를 나타낸 일례이다.FIG. 5 illustrates an example of information collected through an emulator by a malware detection system according to an exemplary embodiment of the present invention.

표(500)는 도 2 내지 도 5를 통해 설명한 악성코드 탐지 시스템(210 또는 300)에서 수집 가능한 정보를 나타내고 있다. 우선, 'Target URL'은 악성코드 탐지 시스템(210 또는 300)이 접속하여 악성코드의 존재 유무를 분석하고자 하는 웹사이트의 URL을 의미할 수 있다. 또한, 'Analysis Date Time'는 분석이 이루어진 날짜와 시각을 나타내고, 'Top Level'는 위험 정도를 나타내는 레벨의 최고 레벨을 의미할 수 있다.Table 500 shows information that can be collected by the malware detection system 210 or 300 described with reference to FIGS. 2 to 5. First, 'Target URL' may refer to a URL of a website to which the malicious code detection system 210 or 300 is connected to analyze the presence of malicious code. In addition, 'Analysis Date Time' may indicate the date and time of the analysis, 'Top Level' may mean the highest level of the level indicating the degree of risk.

'Type Code'는 기록된 정보들의 종류를 나타내고, 'Result Code'는 기록된 정보들이 악성코드 가능 여부를 나타낼 수 있다. 또한, 'Risk Level'은 기록된 정보들의 위험 정도를 나타낼 수 있으며, 'Info'는 실제 기록된 정보들이 어떠한 정보들에 관한 것인가를 나타낼 수 있다. 'Type Code'에서 'CDR'은 서로 다른 도메인간의 요청(request)이 발생했음을 나타낸다. 예를 들어, aaa.com 사이트를 방문했을 때, bbb.com의 데이터를 수신하는 상황이 발생하는 경우, CDR(Cross-Domain-Request)이 발생했다고 할 수 있다. 'FILE'은 기록된 정보에 따른 행위가 파일이 다운로드되는 행위임을 나타내며, 'EXECUTION'은 기록된 정보에 따른 행위가 파일 또는 관련 프로그램이 실행되는 행위임을 나타낼 수 있다. 또한, 'Result Code'에서 'Malcode Distribution Possibility'는 기록된 정보가 악성코드의 배포와 관련되었을 가능성이 존재함을 나타낸다.'Type Code' may indicate the type of recorded information, and 'Result Code' may indicate whether the recorded information is capable of malware. In addition, the 'Risk Level' may indicate the degree of danger of the recorded information, and the 'Info' may indicate what information the recorded information relates to. 'CDR' in 'Type Code' indicates that a request between different domains has occurred. For example, if a user visits aaa.com site and receives data of bbb.com, a CDR (Cross-Domain-Request) has occurred. 'FILE' may indicate that the action based on the recorded information is the act of downloading the file, and 'EXECUTION' may indicate that the action according to the recorded information is the act of executing the file or related program. In addition, 'Malcode Distribution Possibility' in 'Result Code' indicates that there is a possibility that the recorded information is related to the distribution of malicious code.

이때, 표(500)를 참조하면, 사용자가 웹사이트 'www.aaa.kr'를 방문하는 경우, 'www.bbb.com'와 관련하여 악성코드가 포함된 'sky.html' 및 'ko1.jtm'와 같은 경로가 웹사이트 'www.aaa.kr'에 포함되어 있으며, 이러한 악성코드가 'www.bbb.com.cn'에 대응하는 공격자 서버로부터 's.exe'fmf 자동으로 다운로드 받아 해당하는 프로그램을 실행 또는 설치하는 실행 행위를 수행함을 알 수 있다.At this time, referring to the table 500, when the user visits the website 'www.aaa.kr', 'sky.html' and 'en1. jtm 'is included on the website' www.aaa.kr ', and this malware is automatically downloaded from the attacker's server corresponding to' www.bbb.com.cn '. It can be seen that the execution of executing or installing a program is performed.

즉, 악성코드 탐지 시스템(210 또는 300)은 특정 웹사이트에 접속하여 웹사이트에 포함된 코드가 파일을 다운로드하여 설치 또는 실행되도록 제어하는가 여부에 따라 악성코드를 탐지할 수 있다.That is, the malicious code detection system 210 or 300 may detect malicious code depending on whether a code included in the website is controlled to download, install, or execute a file by accessing a specific website.

이와 같이, 본 발명의 실시예들에 따르면, 사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있고, 악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있다. 또한, 백신 등으로 탐지가 불가능한 제로 데이 익스플로잇(Zero-Day-Exploit)과 같은 악성코드들의 탐지가 가능해진다.As described above, according to the embodiments of the present invention, an emulator in an environment similar to a user terminal may be configured to access a website, and to detect an attack code by checking whether a program is executed, and according to a pattern of malicious code. By detecting malicious codes according to the actions performed according to the malicious code, not malicious code, the code obfuscation can easily detect malicious codes or dynamically changing malicious code. . It can also detect malware such as zero-day exploits that cannot be detected by vaccines.

본 발명의 실시예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 또한, 상술한 파일 시스템은 컴퓨터 판독이 가능한 기록 매체에 기록될 수 있다.Methods according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. In addition, the above-described file system can be recorded in a computer-readable recording medium.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

210: 악성코드 탐지 시스템
220: 웹사이트
230: 웹 서버
240: 공격자 서버
250: 악성코드 링크
260: 악성 프로그램210: malware detection system
220: website
230: web server
240: attacker server
250: malware link
260: malware

Claims (9)

링크 정보를 이용하여 상기 링크 정보에 대응하는 웹사이트에 접속하는 웹사이트 접속 제어부; 및
상기 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 악성코드 탐지부
를 포함하는 악성코드 탐지 시스템.A website access control unit which accesses a website corresponding to the link information using link information; And
Malware detection unit that detects at least one of the code and the file downloaded through the code as a malicious code when the execution behavior through the code included in the website is detected
Malware detection system comprising a. 제1항에 있어서,
상기 악성코드 탐지부는,
상기 코드를 통해 임의의 서버로 접속되고, 상기 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지하는 것을 특징으로 하는, 악성코드 탐지 시스템.The method of claim 1,
The malware detection unit,
When connected to any server through the code, the file is automatically downloaded and installed or executed, characterized in that for detecting the execution behavior, malware detection system. 제2항에 있어서,
상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 정보 수집부
를 더 포함하는 악성코드 탐지 시스템.The method of claim 2,
An information collecting unit collecting and recording information about at least one of the website, the code, the file, and the server
Malware detection system further comprising a. 제3항에 있어서,
상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 상기 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 정보 제공부
를 더 포함하는 악성코드 탐지 시스템.The method of claim 3,
When at least one of the code and the file is detected as a malicious code, an information providing unit for providing information on the recorded at least one to the administrator
Malware detection system further comprising a. 링크 정보를 이용하여 상기 링크 정보에 대응하는 웹사이트에 접속하는 단계; 및
상기 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계
를 포함하는 악성코드 탐지 방법.Accessing a website corresponding to the link information by using the link information; And
Detecting execution as at least one of the code and a file downloaded through the code, when execution is detected through code included in the website;
Malware detection method comprising a. 제5항에 있어서,
상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계는,
상기 코드를 통해 임의의 서버로 접속되고, 상기 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지하는 것을 특징으로 하는, 악성코드 탐지 방법.The method of claim 5,
Detecting at least one of the code and a file downloaded through the code as malicious code,
Connecting to any server through the code, and detecting the execution behavior when the file is automatically downloaded and installed or executed. 제6항에 있어서,
상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 단계
를 더 포함하는 악성코드 탐지 방법.The method according to claim 6,
Collecting and recording information about at least one of the website, the code, the file, and the server
Malware detection method further comprising a. 제7항에 있어서,
상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 상기 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 단계
를 더 포함하는 악성코드 탐지 방법.The method of claim 7, wherein
If at least one of the code and the file is detected as malicious code, providing information about the recorded at least one to an administrator
Malware detection method further comprising a. 제5항 내지 제8항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of any one of claims 5 to 8.
KR1020110042414A 2011-05-04 2011-05-04 Malignant code detecting system and method based on action KR20120124638A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110042414A KR20120124638A (en) 2011-05-04 2011-05-04 Malignant code detecting system and method based on action
JP2012100899A JP2012234540A (en) 2011-05-04 2012-04-26 Malicious code detection system and malicious code detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110042414A KR20120124638A (en) 2011-05-04 2011-05-04 Malignant code detecting system and method based on action

Publications (1)

Publication Number Publication Date
KR20120124638A true KR20120124638A (en) 2012-11-14

Family

ID=47434740

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110042414A KR20120124638A (en) 2011-05-04 2011-05-04 Malignant code detecting system and method based on action

Country Status (2)

Country Link
JP (1) JP2012234540A (en)
KR (1) KR20120124638A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101589652B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR101589656B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR20190014918A (en) * 2017-08-04 2019-02-13 국방과학연구소 Apparatus and method for the detection of drive-by download using unusual behavior monitoring

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10097567B2 (en) 2013-05-20 2018-10-09 Nippon Telegraph And Telephone Corporation Information processing apparatus and identifying method
CN115037490B (en) * 2021-11-12 2023-12-15 国网浙江省电力有限公司衢州供电公司 Cross-network communication system for detecting malicious codes of transformer substation

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101589652B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR101589656B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR20190014918A (en) * 2017-08-04 2019-02-13 국방과학연구소 Apparatus and method for the detection of drive-by download using unusual behavior monitoring

Also Published As

Publication number Publication date
JP2012234540A (en) 2012-11-29

Similar Documents

Publication Publication Date Title
Nikiforakis et al. You are what you include: large-scale evaluation of remote javascript inclusions
KR101514984B1 (en) Detecting system for detecting Homepage spreading Virus and Detecting method thereof
Rastogi et al. Are these Ads Safe: Detecting Hidden Attacks through the Mobile App-Web Interfaces.
CA2919727C (en) Dynamic application security verification
Zhou et al. Detecting repackaged smartphone applications in third-party android marketplaces
CN102413011B (en) A kind of method and system of LAN safety assessment
Chen et al. WebPatrol: Automated collection and replay of web-based malware scenarios
Alosefer et al. Honeyware: a web-based low interaction client honeypot
Zheng et al. DroidRay: a security evaluation system for customized android firmwares
Hsu et al. Browserguard: A behavior-based solution to drive-by-download attacks
US9450980B2 (en) Automatic malignant code collecting system
Perrotta et al. Botnet in the browser: Understanding threats caused by malicious browser extensions
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
US20160134658A1 (en) Unauthorized access detecting system and unauthorized access detecting method
CN106663171B (en) Browser simulator device, browser simulator building device, browser simulation method, and browser simulation building method
KR20120124638A (en) Malignant code detecting system and method based on action
KR20150075550A (en) System and method for real-time malware detection based on web browser plugin
KR101541244B1 (en) System and method for pharming attack prevention through dns modulation such as the pc and access point
Kazdagli et al. Morpheus: Benchmarking computational diversity in mobile malware
Pradeep et al. Not your average app: A large-scale privacy analysis of android browsers
KR101781780B1 (en) System and Method for detecting malicious websites fast based multi-server, multi browser
KR20120070025A (en) Web / email for distributing malicious code through the automatic control system and how to manage them
KR20160061141A (en) Method and apparatus for blocking web page attack
Chinprutthiwong et al. The service worker hiding in your browser: The next web attack target?
Dai et al. Holography: a behavior‐based profiler for malware analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment