KR20130032754A - Method, system and computer readable recording medium for web-page monitoring - Google Patents

Method, system and computer readable recording medium for web-page monitoring Download PDF

Info

Publication number
KR20130032754A
KR20130032754A KR1020110096535A KR20110096535A KR20130032754A KR 20130032754 A KR20130032754 A KR 20130032754A KR 1020110096535 A KR1020110096535 A KR 1020110096535A KR 20110096535 A KR20110096535 A KR 20110096535A KR 20130032754 A KR20130032754 A KR 20130032754A
Authority
KR
South Korea
Prior art keywords
web page
user terminal
identification
detection script
web
Prior art date
Application number
KR1020110096535A
Other languages
Korean (ko)
Other versions
KR101480040B1 (en
Inventor
윤근용
Original Assignee
엔에이치엔비즈니스플랫폼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔에이치엔비즈니스플랫폼 주식회사 filed Critical 엔에이치엔비즈니스플랫폼 주식회사
Priority to KR20110096535A priority Critical patent/KR101480040B1/en
Publication of KR20130032754A publication Critical patent/KR20130032754A/en
Application granted granted Critical
Publication of KR101480040B1 publication Critical patent/KR101480040B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

PURPOSE: A webpage falsification identifying method, a system thereof, and a computer-readable recording medium thereof are provided to identify the falsification of a webpage without installing a module or application in a user terminal. CONSTITUTION: A web server(120) receives a webpage request from a user terminal(100) and inserts a detection script and an intrinsic identifier of a webpage into the webpage corresponding to the request. The web server transmits a normal identification value calculated by applying the detection script and the intrinsic identifier to the webpage to a falsification identifying server(130). The falsification identifying server compares the normal identification value with an identification value transmitted from the user terminal based on the intrinsic identifier in order to determine the falsification of the webpage. [Reference numerals] (100) User terminal; (120) Web server; (130) Falsification identifying server;

Description

웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체{METHOD, SYSTEM AND COMPUTER READABLE RECORDING MEDIUM FOR WEB-PAGE MONITORING}METHOD, SYSTEM AND COMPUTER READABLE RECORDING MEDIUM FOR WEB-PAGE MONITORING

본 발명은 웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체에 관한 것으로서, 더욱 상세하게는 웹 페이지의 고유 식별자와 특정 웹 페이지에 삽입되어 해당 웹 페이지의 식별 값을 산출해 낼 수 있는 탐지 스크립트를 이용하여 별도의 어플리케이션을 사용자 단말기에 설치하지 않고 사용자 단말기단에서의 웹 페이지의 변조 여부를 판단할 수 있는 웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체에 관한 것이다.
The present invention relates to a web page modulation identification method, a system and a computer-readable recording medium, and more particularly, to detect a unique identifier of a web page and an insertion value inserted into a specific web page to generate an identification value of the web page. The present invention relates to a web page modulation identification method, a system and a computer-readable recording medium capable of determining whether a web page is tampered with at a user terminal without installing a separate application using a script.

정보통신기술의 발달로 인하여, 현대 사회의 정보전달은 대부분 웹을 이용하여 이루어지고 있다. 이러한 점을 이용하여, 악의적인 목적의 해킹이 급증하고 있으며, 특히 웹 페이지 위변조가 날로 증가하고 있는 추세이다. 해킹에 의한 웹 페이지 위변조란 네트워크 상에서 웹 페이지의 파일 정보를 악의적인 의도에서 변형하는 행위를 의미하며, 이러한 웹 페이지 위변조는 2008년의 경우 인터넷침해사고 대응센터에 신고/접수된 전체 해킹사고 15,940건 중 13.8%에 해당되는 2,204건으로 나날이 증가하고 있는 추세이다. 이러한 웹 페이지 위변조는 일반적으로 해킹을 위한 악성 코드/프로그램의 전파, 개인정보의 무단 수집, 광고 게시, 클릭에 따른 보상 매커니즘 어뷰징, 검색 결과 어뷰징 등의 목적을 위해 이루어지고 있다.Due to the development of information and communication technology, information transmission in modern society is mostly done using the web. Using these points, hacking for malicious purposes is increasing rapidly, and web page forgery is increasing day by day. Web page forgery by hacking refers to the act of transforming web page file information from malicious intention on the network. In 2008, 15,940 total hacking incidents reported / received to the Internet Infringement Response Center 2,204, or 13.8% of the total, are on the rise. Such web page forgery is generally performed for the purpose of spreading malicious codes / programs for hacking, unauthorized collection of personal information, posting advertisements, arranging reward mechanisms based on clicks, and arranging search results.

이러한 웹 페이지 위변조를 방지/예방하기 위하여 다양한 기술이 개발되었다. 한국등록특허 제10-1044291호(실시간 웹페이지 위변조 탐지 및 복구 시스템, 2011.06.28. 공고)는 웹 서버와 웹 서버에서 제공하는 원본 웹 페이지 파일을 저장하고 있는 위변조 복구 서버를 이용하여, 위변조 복구 서버에서 웹 서버에 저장되어 현재 제공되는 웹 페이지 파일과 저장된 원본 웹 페이지 파일을 비교하여 웹 페이지 위변조 여부를 판단하고, 웹 페이지가 위변조된 것으로 판단되는 경우 저장된 원본 웹 페이지 파일을 이용하여 변조된 웹 페이지를 복구하는 기술을 제안하고 있다. Various technologies have been developed to prevent / prevent such web page forgery. Korea Patent Registration No. 10-1044291 (Real-time tampering detection and recovery system of real-time webpage, June 28, 2011.), forgery recovery using a forgery recovery server that stores the original web page files provided by the web server and web server The server compares the currently provided web page file stored in the web server with the stored original web page file to determine whether the web page is forged, and if the web page is forged, the web is modified using the stored original web page file. A technique for restoring pages is proposed.

그러나 이러한 종래기술의 경우 웹 서버단에서의 해킹에 의한 웹 페이지 위변조만을 탐지할 수 있을 뿐, 사용자 단말기단에서 사용자 단말기에 설치된 악성 코드 또는 프로그램에 의해 웹 페이지가 변조되는 경우, 또는 웹 서버로부터 사용자 단말기로 정상적으로 전송되었으나 그 전달 경로 상에서 웹 페이지가 위변조되는 것을 검출해 낼 수 없다는 문제점이 있다. However, such a prior art can only detect web page forgery due to hacking at the web server side, and when the web page is tampered with by malicious code or program installed on the user terminal at the user terminal, or from the web server. Although normally transmitted to the terminal, there is a problem in that it is impossible to detect that the web page is forged on the delivery path.

또한, 전술한 바와 같은 종래기술의 경우 내용이 변화하지 않는 정적인 웹 페이지(static web page)의 경우 적용될 수 있으나, 사용자의 요청에 기초하여 동적으로 생성/제공되는 동적 웹 페이지(dynamic web page)의 경우 적용되기 힘들다는 문제점이 있다. In addition, the prior art as described above may be applied to a static web page whose contents do not change, but a dynamic web page dynamically generated / provided based on a user's request There is a problem that is difficult to apply.

또한, 전술한 바와 같은 종래기술의 경우 별도로 원본 웹 페이지 파일을 저장해야 하며, 원본 웹 페이지 파일과 현재 제공되고 있는 웹 페이지 파일 전체를 비교하여 위변조를 식별하므로 많은 시스템 자원이 필요하고, 실시간으로 수행되기 어렵다는 문제점이 있다.In addition, in the case of the prior art as described above, the original web page file must be stored separately, and forgery is identified by comparing the original web page file with the entire currently provided web page file, thus requiring a lot of system resources and performing in real time. There is a problem that is difficult.

한편, 사용자 단말기 상에서의 웹 페이지 위변조를 식별/검출하기 위하여, 다양한 보안/백신 어플리케이션, 모듈 등이 개발되어 서비스되고 있으나, 이러한 기술의 경우 별도의 어플리케이션, 모듈 등을 사용자 단말기에 설치해야하고, 이미 알려진 유형의 악성 코드 등이 웹 페이지에 삽입되었는지 여부 등만을 판단하므로 알려지지 않은 유형의 웹 페이지 위변조의 경우 식별하기 힘들다는 문제점이 있다.
Meanwhile, in order to identify / detect web page forgery on a user terminal, various security / vaccine applications, modules, etc. have been developed and serviced. However, in the case of such technology, a separate application, module, etc. must be installed on the user terminal, and Since only a known type of malicious code is inserted into a web page or the like, there is a problem that it is difficult to identify an unknown type of web page forgery.

본 발명의 목적은 위에서 언급한 종래기술의 문제점을 해결하는 것이다. An object of the present invention is to solve the above-mentioned problems of the prior art.

본 발명의 일 목적은, 사용자 단말기에 별도의 어플리케이션 또는 모듈을 설치하지 않고 웹 페이지의 위변조를 식별할 수 있는 웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체를 제공하는 것이다.An object of the present invention is to provide a web page modulation identification method, a system and a computer-readable recording medium capable of identifying forgery of a web page without installing a separate application or module in a user terminal.

본 발명의 다른 목적은, 웹 서버로부터 정상적으로 전송된 웹 페이지가 전달 경로 상에서, 또는 사용자 단말기 상에서 위변조되는 것을 식별할 수 있는 웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체를 제공하는 것이다.It is another object of the present invention to provide a web page modulation identification method, system and computer readable recording medium capable of identifying that a web page normally transmitted from a web server is forged on a delivery path or on a user terminal.

본 발명의 또 다른 목적은, 최소한의 시스템 자원을 이용하여 최적화된 웹 페이지 위변조 식별 기능을 제공할 수 있는 웹 페이지 변조 식별방법, 시스템 및 컴퓨터로 판독 가능한 기록매체를 제공하는 것이다.
It is still another object of the present invention to provide a web page forgery identification method, system and computer readable recording medium capable of providing an optimized webpage forgery identification function with minimum system resources.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다. In order to achieve the above-described object of the present invention and to achieve the specific effects of the present invention described below, the characteristic structure of the present invention is as follows.

본 발명의 일 태양에 따르면, 웹 페이지 변조 식별방법에 있어서, (a) 웹 서버가 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하는 단계; (b) 상기 웹 서버가 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자가 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하고, 상기 웹 페이지의 고유 식별자 및 상기 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값을 변조 식별 서버로 전송하는 단계; 및 (c) 상기 변조 식별 서버가 상기 사용자 단말기로부터 전송되는 웹 페이지 고유 식별자 및 웹 페이지 식별 값을 수신하고, 상기 웹 페이지 고유 식별자를 기초로 상기 웹 서버로부터 전송된 정상 식별 값과 상기 사용자 단말기로부터 전송된 식별 값을 비교하여 상기 웹 페이지의 변조 여부를 판단하는 단계를 포함하되, 상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고, 상기 웹 페이지 고유 식별자와 상기 산출된 식별 값을 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별방법이 제공된다.According to an aspect of the present invention, there is provided a web page modulation identification method comprising the steps of: (a) receiving a web page request transmitted from a user terminal by a web server; (b) the web server inserts a detection script including a unique identifier of the web page into a web page corresponding to the request and transmits the detected script to the user terminal, and the unique identifier of the web page and the detection script are transmitted to the web page. Transmitting a normal identification value calculated and applied to the modulation identification server; And (c) the tamper identification server receives a web page unique identifier and a web page identification value transmitted from the user terminal, and from the user terminal and the normal identification value transmitted from the web server based on the web page unique identifier. And comparing the transmitted identification values to determine whether the web page has been tampered with, wherein the detection script is executed on a web browser of the user terminal to calculate an identification value of the web page, Web page modulation identification method is provided, characterized in that for transmitting the calculated identification value to the modulation identification server.

본 발명의 다른 일 태양에 따르면, 웹 페이지 변조 식별방법에 있어서, (A) 웹 서버가 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하는 단계; 및 (B) 상기 웹 서버가 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자 및 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값이 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하는 단계를 포함하되, 상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고 상기 정상 식별 값과 비교하여 상기 웹 페이지의 변조 여부를 판단하는 것을 특징으로 하는 웹 페이지 변조 식별방법이 제공된다.According to another aspect of the present invention, there is provided a web page modulation identification method, comprising: (A) a web server receiving a web page request transmitted from a user terminal; And (B) the web server inserting a detection script into a web page corresponding to the request to the user terminal by inserting a detection script including a unique identifier of the web page and a normal identification value calculated by applying the detection script to the web page. And transmitting, wherein the detection script is executed on a web browser of the user terminal to calculate an identification value of the web page and compare the normal identification value to determine whether the web page is tampered with. A page modulation identification method is provided.

본 발명의 또 다른 일 태양에 따르면, 웹 페이지 변조 식별시스템에 있어서, 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하고, 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자가 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하며, 상기 웹 페이지의 고유 식별자 및 상기 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값을 변조 식별 서버로 전송하는 웹 서버; 및 상기 사용자 단말기로부터 전송되는 웹 페이지 고유 식별자 및 웹 페이지 식별 값을 수신하고, 상기 웹 페이지 고유 식별자를 기초로 상기 웹 서버로부터 전송된 정상 식별 값과 상기 사용자 단말기로부터 전송된 식별 값을 비교하여 상기 웹 페이지의 변조 여부를 판단하는 변조 식별 서버를 포함하되, 상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고, 상기 웹 페이지 고유 식별자와 상기 산출된 식별 값을 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별시스템이 제공된다.According to still another aspect of the present invention, in a web page modulation identification system, a web page request transmitted from a user terminal is received, and a detection script including a unique identifier of the web page is included in a web page corresponding to the request. A web server inserted and transmitted to the user terminal, and transmitting a unique identifier of the web page and a normal identification value calculated by applying the detection script to the web page to a modulation identification server; And receiving a web page unique identifier and a web page identification value transmitted from the user terminal, comparing the normal identification value transmitted from the web server with the identification value transmitted from the user terminal based on the web page unique identifier. And a tamper identification server for determining whether a web page has been tampered with, wherein the detection script is executed on a web browser of the user terminal to calculate an identification value of the web page, and the web page unique identifier and the calculated identification value. Web page modulation identification system is provided, characterized in that for transmitting to the modulation identification server.

본 발명의 또 다른 일 태양에 따르면, 웹 페이지 변조 식별시스템에 있어서, 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하고, 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자 및 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값이 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하는 웹 서버를 포함하되, 상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고 상기 정상 식별 값과 비교하여 상기 웹 페이지의 변조 여부를 판단하는 것을 특징으로 하는 웹 페이지 변조 식별시스템이 제공된다.
According to still another aspect of the present invention, in a web page modulation identification system, a web page request transmitted from a user terminal is received, and the web page corresponding to the request has a unique identifier and a detection script of the web page. And a web server for inserting a detection script including a normal identification value calculated for the page and transmitting the detection script to the user terminal, wherein the detection script is executed on a web browser of the user terminal to determine the identification value of the web page. A web page tamper identification system is provided, characterized in that it is calculated and compared with the normal identification value to determine whether the web page has been tampered with.

상술한 바와 같이 본 발명에 따르면, 사용자 단말기에 별도의 어플리케이션 또는 모듈을 설치하지 않고 웹 페이지의 위변조를 식별할 수 있다는 효과가 있다. As described above, according to the present invention, the forgery of the web page can be identified without installing a separate application or module in the user terminal.

또한, 본 발명에 따르면, 웹 서버로부터 정상적으로 전송된 웹 페이지가 전달 경로 상에서, 또는 사용자 단말기 상에서 위변조되는 것을 식별할 수 있다는 효과가 있다.Further, according to the present invention, there is an effect that it is possible to identify that the web page normally transmitted from the web server is forged on the delivery path or on the user terminal.

또한, 본 발명에 따르면, 최소한의 시스템 자원을 이용하여 최적화된 웹 페이지 위변조 식별 기능을 제공할 수 있다는 효과가 있다.
In addition, according to the present invention, it is possible to provide an optimized web page forgery identification function using a minimum of system resources.

도 1은 본 발명의 바람직한 일 실시예에 웹 페이지 변조 식별시스템의 구성 블록도이다.
도 2a는 본 발명의 바람직한 일 실시예에 웹 서버의 구성 블록도이다.
도 2b는 본 발명의 바람직한 일 실시예에 따른 변조 식별 서버의 구성 블록도이다.
도 3은 본 발명의 바람직한 일 실시예예 따른 웹 페이지 변조 식별시스템에서 수행되는 웹 페이지 변조 식별 과정을 도시한 순서도이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 웹 페이지 변조 식별시스템에 적용될 수 있는 예시적인 HTML 코드를 도시한 예시도이다. 1 is a block diagram of a web page modulation identification system according to a preferred embodiment of the present invention.
2A is a block diagram of a web server in a preferred embodiment of the present invention.
2B is a block diagram of a modulation identification server according to a preferred embodiment of the present invention.
3 is a flowchart illustrating a web page modulation identification process performed in a web page modulation identification system according to an exemplary embodiment of the present invention.
4 is an exemplary diagram showing an exemplary HTML code that can be applied to a web page modulation identification system according to a preferred embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다. DETAILED DESCRIPTION The following detailed description of the invention refers to the accompanying drawings that show, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. Accordingly, the following detailed description is not to be taken in a limiting sense, and the scope of the present invention is defined only by the appended claims, along with the full range of equivalents to which such claims are entitled. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention.

[본 발명의 바람직한 실시예][Preferred Embodiment of the Present Invention]

본 발명의 실시예에서, 용어 "웹 페이지"란 사용자 단말기의 웹 브라우저를 이용해 사용자 단말기 상에 표시될 수 있는 모든 종류의 웹 페이지를 의미하며, 웹 페이지를 구성하는 언어나 웹 페이지 파일의 확장자에 의해 제한되지 않는다. In the embodiment of the present invention, the term "web page" means any kind of web page that can be displayed on the user terminal using a web browser of the user terminal, and the extension of the language or web page file constituting the web page. It is not limited by.

또한, 용어 "웹 페이지 위조" 또는 "웹 페이지 변조"란 원본 웹 페이지 파일의 내용을 변경하거나 또는 원본 웹 페이지 파일에 포함되어 있지 않는 새로운 코드를 삽입하는 등 원본 웹 페이지에 대한 모든 비정규적인 간섭 행위를 통칭한다.
The term "web page forgery" or "web page tampering" also includes any irregular behavior on the original web page, such as altering the contents of the original web page file or inserting new code that is not included in the original web page file. Collectively.

전체 시스템 구성Complete system configuration

도 1은 본 발명의 바람직한 일 실시예에 웹 페이지 변조 식별시스템의 구성 블록도이다. 이하에서, 도 1을 참조하여 본 발명에 따른 웹 페이지 변조 식별시스템의 구성과 기능에 대하여 설명하도록 한다. 1 is a block diagram of a web page modulation identification system according to a preferred embodiment of the present invention. Hereinafter, the configuration and function of the web page modulation identification system according to the present invention will be described with reference to FIG. 1.

도 1에 도시된 바와 같이, 본 발명에 따른 웹 페이지 변조 식별시스템을 포함하는 전체 시스템은, 사용자 단말기(100), 네트워크(110), 웹 서버(120) 및 변조 식별 서버(130)를 포함할 수 있다. As shown in FIG. 1, the entire system including the web page modulation identification system according to the present invention may include a user terminal 100, a network 110, a web server 120, and a modulation identification server 130. Can be.

사용자 단말기(100)는 네트워크(110)를 통해 웹 서버(120)에 접속하여 사용자의 조작에 따라 입력되는 웹 페이지를 웹 서버(120)로 요청하고, 요청에 따라 웹 서버(120)로부터 전송되는 웹 페이지 파일을 수신하여 웹 브라우저를 통해 표시하는 기능을 수행하게 된다. 이러한, 사용자 단말기(100)는 일반적으로 이용되는 개인용 정보통신기기로서, 데스크톱 컴퓨터뿐만 아니라 노트북 컴퓨터, 워크스테이션, 팜톱(palmtop) 컴퓨터, 개인 휴대 정보 단말기(personal digital assistant: PDA), 웹 패드, 스마트 폰을 포함하는 이동 통신 단말기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기라면 얼마든지 본 발명에 따른 사용자 단말기(100)로서 채택될 수 있다. 본 발명에 따른 전체 시스템에 포함되는 사용자 단말기(100) 자체에는 일반적으로 웹 서핑을 수행하고 웹 페이지를 표시하기 위한 웹 브라우저 이외에 별도의 어플리케이션/모듈이 설치되지 않으므로, 사용자 단말기(100)에 대하 더 이상의 상세한 설명은 생략하기로 한다. The user terminal 100 accesses the web server 120 through the network 110 and requests a web page inputted according to a user's operation to the web server 120 and is transmitted from the web server 120 according to the request. It receives a web page file and displays it through a web browser. The user terminal 100 is a personal information communication device that is generally used, as well as a desktop computer, a notebook computer, a workstation, a palmtop computer, a personal digital assistant (PDA), a web pad, a smart phone. Any digital device having a memory means and a microprocessor equipped with a computing capability, such as a mobile communication terminal including a phone, can be adopted as the user terminal 100 according to the present invention. The user terminal 100 itself included in the entire system according to the present invention generally does not have a separate application / module other than a web browser for performing web surfing and displaying a web page. The above detailed description will be omitted.

본 발명의 일 실시예에 따르면, 네트워크(110)는 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다.According to an embodiment of the present invention, the network 110 may be configured without regard to communication modes such as wired and wireless, and may include a personal area network (PAN), a local area network (LAN), It may be configured with various communication networks such as Metropolitan Area Network (MAN) and Wide Area Network (WAN).

한편, 본 발명에 따른 웹 서버(120)는 접속된 사용자 단말기(100)로부터 전송되는 특정 웹 페이지 요청에 대응하여, 요청된 웹 페이지 파일을 사용자 단말기(100)로 전송하여 표시하는 일반적인 웹 서버(120) 기능을 수행하게 된다. 이러한 일반적인 웹 서버 기능에 대해서는 상세한 설명을 생략하기로 하며, 이하에서는 본 발명에 따른 독창적인 기능을 위주로 설명하도록 한다. Meanwhile, the web server 120 according to the present invention transmits the requested web page file to the user terminal 100 in response to a specific web page request transmitted from the connected user terminal 100. 120) The function will be performed. Detailed description of such a general web server function will be omitted, and hereinafter, the description will focus on the original function according to the present invention.

본 발명에 따른 웹 서버(120)와 변조 식별 서버(130)의 구성과 기능을 살펴보기에 앞서, 먼저 본 발명의 기초를 이루고 있는 웹 페이지 변조 식별 방법의 개괄적인 개념을 살펴보도록 한다. 본 발명에 따른 웹 페이지 변조 식별 방법은, 웹 서버(120)로부터 전송되어 정상적으로 사용자 단말기(100)에 표시되는 웹 페이지로부터 생성되는 식별정보와 웹 서버(120)에서 전송되었으나 전송과정에서 또는 사용자 단말기(100)단에서 위조/변조된 웹 페이지로부터 생성되는 식별정보가 다르다는 사실에 기초하여, 웹 서버(120)에서 사용자 단말기(100)로 요청된 웹 페이지 파일을 전송하는 시점에서 해당 웹 페이지의 정상 식별정보를 생성하고, 사용자 단말기(100)로 전송된 웹 페이지 파일에 포함된 탐지 스크립트를 이용하여 현재 사용자 단말기(100) 상에 표시되고 있는 웹 페이지의 식별정보를 생성하여 전송 전 생성된 정상 식별정보와 비교함으로써 웹 페이지의 변조 여부를 판단할 수 있도록 구성된다.Before looking at the configuration and function of the web server 120 and the modulation identification server 130 according to the present invention, the general concept of the web page modulation identification method that forms the basis of the present invention will be described. In the web page modulation identification method according to the present invention, the identification information generated from the web page transmitted from the web server 120 and normally displayed on the user terminal 100 and transmitted from the web server 120, but in the transmission process or the user terminal Based on the fact that the identification information generated from the forged / modulated web page is different at step 100, the normality of the web page at the time when the web server 120 transmits the requested web page file to the user terminal 100. Generate identification information, and generate identification information of the web page currently displayed on the user terminal 100 by using the detection script included in the web page file transmitted to the user terminal 100 to generate a normal identification It is configured to determine whether the web page is tampered with by comparing with the information.

전술한 바와 같은 기능을 수행하기 위하여, 본 발명에 따른 웹 서버(120)는 사용자 단말기(100)로부터 전송되는 특정 웹 페이지 요청이 수신되면, 해당되는 웹 페이지의 웹 페이지 파일을 데이터베이스(122)로부터 추출하고, 추출된 웹 페이지 파일에 탐지 스크립트를 삽입한 후 탐지 스크립트가 삽입된 웹 페이지 파일을 사용자 단말기(100)로 전송하도록 구성된다. 한편, 요청되는 웹 페이지가 동적 웹 페이지인 경우, 웹 서버(120)는 저장된 웹 페이지 파일을 추출하는 것이 아니라, 데이터베이스(122)에 저장된 기초 자료를 근거로 요청에 상응되는 동적 웹 페이지를 생성하게 되며, 생성된 동적 웹 페이지에 탐지 스크립트를 삽입하도록 구성된다.In order to perform the function as described above, when the web server 120 according to the present invention receives a specific web page request transmitted from the user terminal 100, the web page file of the corresponding web page from the database 122 Extract, insert a detection script into the extracted web page file, and transmit the inserted web page file to the user terminal 100. On the other hand, if the requested web page is a dynamic web page, the web server 120 does not extract the stored web page file, but generates a dynamic web page corresponding to the request based on the basic data stored in the database 122. It is configured to insert the detection script into the generated dynamic web page.

이때, 웹 페이지 파일에 삽입되는 탐지 스크립트에는 해당 웹 페이지의 고유 식별자가 삽입되어, 추후 웹 페이지 변조 판단과정에서 이용되도록 구성됨이 보다 바람직하다. 이러한 웹 페이지 고유 식별자는 웹 페이지를 식별할 수 있는 고유정보로서, 해당 웹 페이지의 URL(uniform resource locator) 주소일 수도 있으며, 또는 웹 서버(120)에서 미리 설정해 놓은 식별정보일 수도 있고, 또는 해당 웹 페이지의 전송 시점에서 웹 서버(120)에서 실시간으로 생성되어 해당 웹 페이지에 할당되는 식별정보일 수도 있다. 본 발명에 따른 탐지 스크립트에 대한 상세한 내용은 도 2a를 참조하여 후술하도록 한다. At this time, it is more preferable that the detection script inserted into the web page file is inserted with a unique identifier of the corresponding web page so that it can be used in a web page tampering determination process. The web page unique identifier may be a unique information for identifying a web page, may be a uniform resource locator (URL) address of the web page, or may be identification information set in advance by the web server 120, or It may be identification information generated in real time by the web server 120 at the time of transmission of the web page and assigned to the web page. Details of the detection script according to the present invention will be described later with reference to FIG. 2A.

또한, 본 발명에 따른 웹 서버(120)는 탐지 스크립트가 삽입된 웹 페이지 파일을 사용자 단말기(100)로 전송하는 시점, 또는 전송하기 전의 시점에서 탐지 스크립트가 해당 웹 페이지 파일(즉, 탐지 스크립트가 삽입된 웹 페이지 파일)에 적용되어 산출되는 정상 식별 값을 산출하고, 산출된 정상 식별 값과 해당 웹 페이지의 고유 식별자를 변조 식별 서버(130)로 전송하는 기능을 수행하게 된다. 이러한 웹 페이지의 고유 식별자와 정상 식별 값은 변조 식별 서버(130)에서 해당 웹 페이지의 변조 여부를 식별하는 과정에서 이용된다. In addition, the web server 120 according to the present invention, when the web page file inserted with the detection script is transmitted to the user terminal 100, or before the transmission of the detection script is a corresponding web page file (that is, the detection script is And a calculated normal identification value applied to the inserted web page file) and transmits the calculated normal identification value and the unique identifier of the corresponding web page to the modulation identification server 130. The unique identifier and the normal identification value of the web page are used in the process of identifying whether the web page has been tampered with.

본 발명에 따른 변조 식별 서버(130)는 웹 서버(120)로부터 전송되는 특정 웹 페이지에 대한 고유 식별자와 정상 식별 값을 수신/저장하고, 사용자 단말기(100), 보다 정확하게는 사용자 단말기(100)의 웹 브라우저를 통해 실행된 탐지 스크립트로부터 사용자 단말기(100)를 통해 전송되는 현재 사용자 단말기(100)의 웹 브라우저에 표시되고 있는 웹 페이지의 고유 식별자와 탐지 스크립트 실행에 따라 산출된 현재 웹 페이지의 식별 값을 수신하고, 동일한 고유 식별자를 갖는 웹 페이지의 정상 식별 값과 탐지 스크립트로부터 전송된 식별 값을 비교하여 해당 웹 페이지의 변조 여부를 판단하도록 구성된다. The modulation identification server 130 according to the present invention receives / stores a unique identifier and a normal identification value for a specific web page transmitted from the web server 120, and the user terminal 100, more precisely, the user terminal 100. The unique identifier of the web page displayed in the web browser of the current user terminal 100 transmitted from the detection script executed through the web browser of the user terminal 100 and the identification of the current web page calculated according to the execution of the detection script. Receive a value and compare the normal identification value of the web page with the same unique identifier with the identification value sent from the detection script to determine whether the web page has been tampered with.

또한, 보다 바람직하게, 본 발명에 따른 변조 식별 서버(130)는 웹 서버(120)로부터 고유 식별자와 정상 식별 값을 수신한 후, 미리 설정된 시간(예를 들어 10초) 이내에 사용자 단말기(100)로부터 해당 웹 페이지의 식별자와 식별 값이 전송되지 않는 경우 해당 웹 페이지가 변조된 것으로 판단하도록 구성될 수도 있다. 이러한 경우, 즉, 사용자 단말기(100)로 전송된 웹 페이지에 삽입된 탐지 스크립트가 정상적으로 동작하지 않는 경우, 탐지 스크립트가 웹 페이지 변조에 의해 삭제 또는 손상되었을 가능성이 높기 때문에 이를 기초로 웹 페이지 변조를 판단할 수 있도록 구성되는 것이 타당하다. Further, more preferably, the modulation identification server 130 according to the present invention receives the unique identifier and the normal identification value from the web server 120, and then the user terminal 100 within a preset time (for example, 10 seconds). If the identifier and the identification value of the web page is not transmitted from the web page may be configured to determine that the web page has been modified. In this case, that is, when the detection script inserted in the web page transmitted to the user terminal 100 does not operate normally, since the detection script is likely to be deleted or corrupted by the web page tampering, the web page tampering is performed based on this. It is reasonable to be configured to judge.

웹 페이지 변조 여부를 판단한 결과, 웹 페이지가 변조된 것으로 판단되는 경우, 변조 식별 서버(130)는 웹 서버(120) 및/또는 사용자 단말기(100)로 웹 페이지 변조 정보(웹 페이지 식별자 포함)를 생성하여 전송하도록 더 구성될 수 있다. 이러한 방식으로 구현된 실시예에 있어, 웹 서버(120)는 웹 페이지 변조정보를 수신하고 포함된 웹 페이지 식별자를 이용해 어떤 웹 페이지가 변조되었는지, 또한, 어떠한 사용자 단말기(100)로 전송된 웹 페이지가 변조되었는지 등을 판단하여 관리자 단말기(미도시) 및/또는 사용자 단말기(100)로 관련된 정보를 전송하도록 구성될 수 있다. 또한, 사용자 단말기(100)의 웹 브라우저 상에서 실행되고 있는 탐지 스크립트는 변조 식별 서버(130)로부터 웹 페이지 변조정보가 전송되는 경우, 이를 수신하고 일정한 경고 메시지를 생성하여 사용자 단말기(100)를 통해 출력하도록 구성된다. If it is determined that the web page has been tampered with, and it is determined that the web page has been tampered with, the modulation identification server 130 transmits the web page tampering information (including the web page identifier) to the web server 120 and / or the user terminal 100. It may be further configured to generate and transmit. In an embodiment implemented in this manner, the web server 120 receives the web page tampering information and which web page has been tampered with the included web page identifier, and which web page is sent to which user terminal 100. May be configured to transmit information related to the manager terminal (not shown) and / or the user terminal 100 by determining whether the information has been modified. In addition, the detection script running on the web browser of the user terminal 100, when the web page modulation information is transmitted from the modulation identification server 130, receives it and generates a certain warning message and outputs it through the user terminal 100. It is configured to.

전술한 바와 같은, 본 발명에 따른 변조 식별 서버(130)의 상세 구성과 기능에 대해서는 도 2b를 참조하여 후술하도록 한다. As described above, the detailed configuration and function of the modulation identification server 130 according to the present invention will be described later with reference to FIG. 2B.

한편, 도 1에서 본 발명에 따른 웹 서버(120)와 변조 식별 서버(130)는 물리적으로 하나의 기계 내에 구현될 수도 있고, 일부 또는 그 각각이 물리적으로 다른 기계에 구현될 수도 있거나, 동일한 기능을 하는 물리적으로 복수 개 존재하는 기계가 병렬적으로 존재할 수도 있다. 이렇듯 본 발명은 각 구성부가 설치된 기계 또는 데이터베이스의 물리적인 개수 및 위치에 한정되지 않고 다양한 방식으로 설계 변경될 수 있음은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 자명할 것이다.
Meanwhile, in FIG. 1, the web server 120 and the modulation identification server 130 according to the present invention may be physically implemented in one machine, some or each of which may be physically implemented in another machine, or the same function. There may be a plurality of physical machines that exist in parallel. As such, it will be apparent to those skilled in the art that the present invention can be changed in various ways without being limited to the physical number and location of the machine or database in which each component is installed.

다른 한편으로, 실시예를 구성하기에 따라 본 발명에 따른 웹 페이지 변조 식별시스템은 웹 페이지의 변조 여부를 전술한 바와 같은 변조 식별 서버(130)를 이용하지 않고, 사용자 단말기(100) 단에서 자체적으로 판단하도록 구성될 수도 있다. 이러한 실시예에 있어, 본 발명에 따른 웹 서버(120)는 사용자 단말기(100)로부터 전송된 요청에 대응되는 웹 페이지 파일을 추출하고, 추출된 웹 페이지 파일에 탐지 스크립트를 삽입한 후 탐지 스크립트가 삽입된 웹 페이지 파일을 사용자 단말기(100)로 전송하도록 구성된다. 이때, 웹 페이지 파일에 삽입되는 탐지 스크립트에는 해당 탐지 스크립트가 해당 웹 페이지 파일에 적용되어 산출되어 정상 식별 값이 포함되며, 탐지 스크립트는 사용자 단말기(100)의 웹 브라우저를 통해 실행되어 현재 사용자 단말기(100)의 웹 브라우저에 표시되고 있는 웹 페이지의 식별 값과 웹 서버(120)에서 전송되기 전에 산출/삽입된 정상 식별 값을 비교함으로써 사용자 단말기(100) 단에서 웹 페이지의 변조 여부를 판단하도록 기능하게 된다. 전술한 실시예와 동일하게, 웹 페이지가 변조된 것으로 판단되는 경우, 탐지 스크립트를 일정한 경고 메시지를 생성하여 사용자 단말기(100)를 통해 출력하도록 구성될 수도 있다. On the other hand, according to the configuration of the embodiment, the web page modulation identification system according to the present invention does not use the modulation identification server 130 as described above, and whether the web page has been tampered with, and is used by the user terminal 100 itself. It may be configured to determine. In such an embodiment, the web server 120 according to the present invention extracts a web page file corresponding to a request sent from the user terminal 100, inserts a detection script into the extracted web page file, and then detects the script. And transmit the inserted web page file to the user terminal 100. In this case, the detection script inserted into the web page file includes the normal detection value by applying the detection script to the web page file, and the detection script is executed through the web browser of the user terminal 100 to execute the current user terminal ( The user terminal 100 determines whether the web page has been tampered with by comparing the identification value of the web page displayed on the web browser of step 100 with the normal identification value calculated / inserted before being transmitted from the web server 120. Done. In the same manner as in the above-described embodiment, when it is determined that the web page has been tampered with, the detection script may be configured to generate a predetermined warning message and output the same through the user terminal 100.

한편, 이러한 실시예의 경우, 웹 페이지의 고유 식별자가 탐지 스크립트에 선택적으로 포함될 수도 있으며, 또는 포함되지 않을 수도 있다. 즉, 탐지 스크립트 자체가 웹 페이지의 변조 여부를 판단하도록 구성되므로 웹 페이지 자체의 변조 여부를 판단함에 있어 해당 웹 페이지의 고유 식별자가 필요하지 않을 수도 있으며, 실시예를 구성하기에 따라 탐지 스크립트가 웹 페이지의 변조정보를 웹 서버(120) 및/또는 변조 식별 서버(130)로 전송하도록 구성되는 경우 해당 웹 페이지의 식별이 필요하므로 고유 식별자를 탐지 스크립트에 삽입하도록 구성될 수도 있다.
On the other hand, in this embodiment, the unique identifier of the web page may or may not be optionally included in the detection script. That is, since the detection script itself is configured to determine whether the web page has been tampered with, the unique identifier of the web page may not be required to determine whether the web page has been tampered with. When the modulation information of the page is configured to be transmitted to the web server 120 and / or the tamper identification server 130, since identification of the web page is required, the identification information may be configured to be inserted into the detection script.

웹 서버의 구성Web server configuration

도 2a는 본 발명의 바람직한 일 실시예에 웹 서버의 구성 블록도이다. 이하에서, 도 2a를 참조하여 본 발명에 따른 웹 서버의 상세 구성과 기능에 대하여 설명하도록 한다. 2A is a block diagram of a web server in a preferred embodiment of the present invention. Hereinafter, the detailed configuration and function of the web server according to the present invention will be described with reference to FIG. 2A.

도 2a에 도시된 바와 같이, 본 발명에 따른 웹 서버(120)는 탐지 스크립트 관리부(210), 관리자 설정부(212) 및 웹 페이지 관리부(214)를 포함할 수 있다. As shown in FIG. 2A, the web server 120 according to the present invention may include a detection script managing unit 210, an administrator setting unit 212, and a web page managing unit 214.

탐지 스크립트 관리부(210)는 전술한 바와 같은 기능을 수행하기 위하여, 요청된 웹 페이지 파일에 설정에 따라 미리 생성/저장된 탐지 스크립트 또는 실시간으로 생성된 탐지 스크립트를 삽입하고, 해당 웹 페이지의 고유 식별자와 식별 값을 변조 식별 서버(130)로 전송하는 기능을 수행하게 된다. 이때, 탐지 스크립트 관리부(210)는 해당 웹 페이지의 고유 식별자를 웹 페이지에 삽입될 탐지 스크립트에 포함시키는 기능도 같이 수행하게 되며, 실시예를 구성하기에 따라 식별 값 또한 삽입될 탐지 스크립트에 포함하도록 구성될 수 있다. The detection script management unit 210 inserts a previously generated / stored detection script or a real-time generated detection script according to a setting in a requested web page file, and performs a function as described above, and detects a unique identifier of the corresponding web page. The identification value is transmitted to the modulation identification server 130. At this time, the detection script management unit 210 also performs a function of including the unique identifier of the web page in the detection script to be inserted into the web page, and according to the configuration of the embodiment to include the identification value in the detection script to be inserted Can be configured.

또한, 웹 페이지의 고유 식별자가 실시간으로 생성되도록 구성된 실시예에 있어, 탐지 스크립트 관리부(210)는 웹 페이지의 고유 식별자를 생성/저장하는 기능 또한 수행하도록 구성된다. 웹 페이지 고유 식별자가 실시간으로, 즉, 웹 페이지의 전송 시점과 웹 페이지를 요청한 사용자 단말기에 따라 생성/부여되는 경우, 동적 웹 페이지의 변조 여부를 용이하게 판단할 수 있는 동시에 웹 페이지가 변조된 경우 해당 사용자 단말기(100)를 식별할 수 있다는 점에 있어 유리한 효과를 기대할 수 있다. 예를 들어, 동일한 웹 페이지가 각각 A라는 사용자 단말기(100)로 전송되고, 거의 비슷한 시점에서 B라는 사용자 단말기(100)로 전송되는 경우, 실시간으로 웹 페이지 고유 식별자가 생성/삽입되면 A 단말기로 전송된 웹 페이지의 식별자와 B 단말기로 전송된 웹 페이지의 식별자가 다르기 때문에, 웹 페이지 식별자를 이용하여 어느 단말기로 전송된 웹 페이지가 변조되었는지를 판단할 수 있고, 그에 상응하는 조치(변조된 웹 페이지를 표시하고 있는 단말기의 접속을 차단 또는 경고/점검 메시지를 해당 단말기에 전송 등)를 용이하고 신속하게 취할 수 있다. In addition, in an embodiment configured to generate the unique identifier of the web page in real time, the detection script management unit 210 is configured to perform a function of generating / storing the unique identifier of the web page. When the web page unique identifier is generated / granted in real time, that is, depending on the time of transmission of the web page and the user terminal requesting the web page, it is possible to easily determine whether the web page has been tampered with and the web page has been tampered with. An advantageous effect can be expected in that the user terminal 100 can be identified. For example, when the same web page is transmitted to the user terminal 100 called A, and transmitted to the user terminal 100 called B at about the same time, the terminal A when the web page unique identifier is generated / inserted in real time. Since the identifier of the transmitted web page and the identifier of the web page transmitted to the terminal B are different, it is possible to determine which terminal the web page sent to has been tampered with using the web page identifier, and the corresponding action (modulated web It is possible to easily and quickly disconnect the terminal displaying the page or send a warning / check message to the terminal.

도 4는 본 발명의 바람직한 일 실시예에 따른 웹 페이지 변조 식별시스템에 적용될 수 있는 예시적인 HTML 코드를 통해 구현된 웹 페이지 파일을 도시한 예시도이다. 도 4를 참조하여, 본 발명에 따른 탐지 스크립트에 대하여 상세하게 설명하도록 한다. 본 발명에 따른 탐지 스크립트 관리부(210)에 의해 웹 페이지 파일에 삽입되는 탐지 스크립트는 사용자 단말기(100)의 웹 브라우저에 해당 웹 페이지 파일의 로드가 완료되면 실행되며, 현재 웹 브라우저에 표시되고 있는 웹 페이지(즉, 탐지 스크립트가 삽입된 웹 페이지)의 파일 정보를 이용하여 웹 페이지의 무결성을 검증할 수 있는 식별 값을 산출하는 기능을 수행하게 된다. 4 is an exemplary view showing a web page file implemented through exemplary HTML code that can be applied to a web page modulation identification system according to a preferred embodiment of the present invention. 4, the detection script according to the present invention will be described in detail. The detection script inserted into the web page file by the detection script management unit 210 according to the present invention is executed when the loading of the web page file in the web browser of the user terminal 100 is completed and is currently displayed in the web browser. The file information of the page (ie, the web page into which the detection script is inserted) is used to calculate an identification value for verifying the integrity of the web page.

예시적으로, 본 발명에 따른 탐지 스크립트는 웹 페이지 파일 전체 또는 미리 설정된 부분에 대한 해시 값, 웹 페이지 파일의 설정된 부분에 대한 데이터 값, 웹 페이지 파일의 생성/변경 시점, 웹 페이지 파일의 크기, 웹 페이지 내의 특정 태그의 수 중 적어도 하나 이상을 웹 페이지의 무결성을 검증할 수 있는 식별 값으로 산출하고, 산출된 식별 값을 변조 식별 서버(130)로 전송하도록 구성된다. 이상의 식별 값들은 예시일 뿐 제한적으로 해석되어서는 아니되며, 본 발명의 기술적 요지가 웹 페이지 무결성 검증을 위한 식별 값 산출 자체에 있는 것이 아니므로, 다양한 공지의 식별 값 산출 기법이 적용될 수 있으며, 본 발명의 요지를 포함하고 있는 한 본 발명의 권리범위에 속함은 당업자에게 자명할 것이다. For example, the detection script according to the present invention may include a hash value for all or a predetermined portion of a web page file, a data value for a predetermined portion of the web page file, a time of creation / modification of the web page file, a size of the web page file, And calculating at least one or more of the number of specific tags in the web page as an identification value capable of verifying the integrity of the web page and transmitting the calculated identification value to the modulation identification server 130. The above identification values are only examples and should not be construed as limiting. Since the technical gist of the present invention is not in the identification value calculation itself for verifying the integrity of the web page, various known identification value calculation techniques may be applied. As long as the gist of the present invention is included, it will be obvious to those skilled in the art.

도 4를 참조하면, 도 4의 코드에서, 예를 들어서, 탐지 스크립트는 태그 <div>의 개수를 세서 그 결과를 식별 값으로 출력할 수도 있으며, id가 'logo_ss'인 <map> 태그의 coords 값을 식별하여 그 값을 식별 값으로 출력할 수도 있고, 메타태그의 개수를 세서 그 결과를 식별 값으로 출력할 수도 있으며, 메타태그 <meta http-equiv="X-UA-Compatible" content="IE=edge"/>의 존재 여부 또는 그 내용을 식별 값으로 출력하도록 구성될 수도 있다. 태그 <div>의 개수를 식별 값으로 이용하도록 구성되는 경우, 원본 웹 페이지 파일의 정상 식별 값은 '4'가 되므로 탐지 스크립트의 실행결과 산출된 식별 값이 3인 경우 해당 웹 페이지가 변조되었음을 식별할 수 있게 된다. 또한, id가 'logo_ss'인 <map> 태그의 coords 값을 식별 값으로 이용하도록 구성된 실시예의 경우, 원본 웹 페이지 파일의 정상 식별 값은 '0,0,0,78', '0,0,210,78'이므로, 탐지 스크립트의 실행결과 산출된 식별 값이 이와 다른 경우 해당 웹 페이지가 변조되었음을 식별할 수 있게 된다. 또한, 도 4에 도시된 코드의 전부 또는 그 일부에 대하여 해시 값을 산출하여, 산출된 해시 값을 식별 값으로 이용하도록 구성될 수도 있다. 이러한 해시 값 산출 알고리즘은 MD5, SHA1, SHA224, SHA256, SHA348, SHA512 등 공지된 알고리즘들 중 하나가 필요에 의해 채택될 수 있다. Referring to FIG. 4, in the code of FIG. 4, for example, the detection script may count the number of tag <div> and output the result as an identification value, and coords of the <map> tag whose id is 'logo_ss' You can identify a value and output the value as an identification value, count the number of meta tags, and output the result as an identification value. Meta tag <meta http-equiv = "X-UA-Compatible" content = " It may be configured to output the presence or absence of IE = edge "/> as an identification value. When configured to use the number of tag <div> as the identification value, the normal identification value of the original web page file is '4', so if the identification value calculated as the result of execution of the detection script is 3, the corresponding web page has been tampered with. You can do it. Also, in an embodiment configured to use the coords value of the <map> tag whose id is' logo_ss' as the identification value, the normal identification values of the original web page file are '0,0,0,78', '0,0,210, 78 ', if the identification value calculated as a result of the execution of the detection script is different, it can identify that the web page has been tampered with. In addition, the hash value may be calculated for all or part of the code shown in FIG. 4, and the calculated hash value may be used as an identification value. This hash value calculation algorithm may be adopted as needed by any one of known algorithms such as MD5, SHA1, SHA224, SHA256, SHA348, SHA512.

이러한 탐지 스크립트의 생성/삽입(즉, 웹 페이지 파일의 어떠한 정보를 이용하여 어떠한 알고리즘을 통해 식별 값을 산출할 것인가)은 관리자의 조작에 따라 관리자 단말기(미도시)로부터 전송된 제어명령에 따라 설정/변경되도록 구성될 수 있다. 이러한 기능을 수행하기 위하여, 본 발명에 따른 웹 서버(120)는 연결/인증된 관리자 단말기로 탐지 스크립트 관련 기능을 설정할 수 있는 인터페이스를 제공하고, 관리자 단말기로부터 전송되는 제어명령에 따라 탐지 스크립트 관리부(210)의 기능을 설정하는 관리자 설정부(212)를 포함할 수 있다. The generation / insertion of such a detection script (i.e., what algorithm is used to calculate the identification value using the information of the web page file) is set according to a control command transmitted from an administrator terminal (not shown) according to the operation of the administrator. / Can be configured to change. In order to perform such a function, the web server 120 according to the present invention provides an interface for setting a detection script related function to a connected / authenticated manager terminal, and according to a control command transmitted from the manager terminal, the detection script manager ( It may include a manager setting unit 212 for setting the function of the 210.

한편, 보안성을 제고하기 위하여, 본 발명에 따른 탐지 스크립트 관리부(210)는 설정에 따라 주기적으로 생성/삽입되는 탐지 스트립트의 종류를 변경하도록 구성될 수 있다. 즉, 예를 들어 탐지 스크립트의 종류가 주기적으로 변화하도록 구성된 실시예에 있어, 탐지 스크립트 관리부(210)는 탐지 스크립트 변경 주기의 도래 여부를 판단하고, 변경 주기가 도래하는 경우 현재 이용하고 있는 탐지 스크립트(예를 들어 해시 값을 식별 값으로 산출하는 탐지 스크립트)를 설정에 따라 다른 탐지 스크립트(예를 들어 웹 페이지 내의 특정 태그의 개수를 식별 값으로 산출하는 탐지 스크립트)로 변경하게 된다. 이러한 탐지 스크립트의 변경은 미리 설정된 변경 순서에 따라 순차적으로 변경될 수도 있으며, 또는 이용가능한 탐지 스크립트들 중 랜덤으로 선택된 탐지 스크립트로 변경되도록 구성될 수도 있다. On the other hand, in order to enhance security, the detection script management unit 210 according to the present invention may be configured to change the type of detection script that is generated / inserted periodically according to the setting. That is, for example, in an embodiment configured such that the type of detection script changes periodically, the detection script management unit 210 determines whether a detection script change cycle arrives, and when the change cycle arrives, the detection script currently used. (For example, a detection script that calculates a hash value as an identification value) is changed to another detection script (for example, a detection script that calculates the number of specific tags in a web page as an identification value) according to a setting. The change of the detection script may be changed sequentially according to a preset change order, or may be configured to change to a detection script selected randomly among the available detection scripts.

다른 한편으로, 본 발명에 따른 웹 서버(120)는 미리 설정된 특정 웹 페이지에 대해서만 웹 페이지의 무결성을 검증하기 위한 일련의 과정(탐지 스트립트의 생성/삽입 및 웹 페이지 식별자/식별 값의 산출/전송 등)을 수행하도록 구성될 수도 있다. 이러한 기능을 수행하기 위하여 본 발명에 따른 웹 서버(120)는 변조 여부 탐지 대상이 되는 웹 페이지들의 주소 목록을 데이터베이스에 저장하고 있으며, 사용자 단말기(100)로부터 특정 웹 페이지가 요청되는 경우 요청된 웹 페이지의 URL 주소를 기초로 요청된 웹 페이지가 변조 여부 식별 대상에 해당되는지를 판단하여, 식별 대상에 해당되는 경우에 한하여 탐지 스크립트 관리부(210)를 제어하여 일련의 과정을 수행하는 웹 페이지 관리부(214)를 더 포함하여 구성될 수 있다. On the other hand, the web server 120 according to the present invention is a series of processes for verifying the integrity of the web page only for a specific web page preset (creation / insertion of detection script and calculation / transmission of the web page identifier / identification value) And the like). In order to perform such a function, the web server 120 according to the present invention stores an address list of web pages that are subject to tamper detection in a database, and when a specific web page is requested from the user terminal 100, the requested web The web page manager determines whether the requested web page corresponds to an identification target for tampering or not, based on the URL address of the page, and controls the detection script manager 210 only when the identification target corresponds to the identification target. 214 may be further included.

관리자 설정부(212)는 관리 권한이 인증된 관리자 단말기로 웹 서버(120)의 기능을 설정/제어할 수 있는 관리자 인터페이스를 제공하고, 관리자 단말기로부터 전송되는 제어명령/설정명령에 따라 웹 서버(120)의 웹 페이지 변조 식별 기능(탐지 스크립트 설정/관리, 변조 식별 대상 웹 페이지 정보 설정/관리 등)을 전반적으로 제어하는 기능을 수행하게 된다.
The manager setting unit 212 provides an administrator interface for setting / controlling a function of the web server 120 to an administrator terminal whose management authority is authenticated, and according to a control command / setting command transmitted from the administrator terminal, A function of controlling overall web page tamper identification function (detection script setting / management, tamper identification target web page information setting / management, etc.) of the user 120 is performed.

변조 식별 서버의 구성Configuration of Tamper Identification Servers

도 2b는 본 발명의 바람직한 일 실시예에 따른 변조 식별 서버의 구성 블록도이다. 이하에서, 도 2b를 참조하여 본 발명에 따른 변조 식별 서버의 상세 구성과 기능에 대하여 설명하도록 한다. 2B is a block diagram of a modulation identification server according to a preferred embodiment of the present invention. Hereinafter, with reference to Figure 2b will be described in detail the configuration and function of the modulation identification server according to the present invention.

도 2b에 도시된 바와 같이, 본 발명에 따른 변조 식별 서버(130)는 변조 식별부(220), 식별결과 보고부(222), 변조결과 분석부(224)를 포함할 수 있다. As shown in FIG. 2B, the modulation identification server 130 according to the present invention may include a modulation identification unit 220, an identification result report unit 222, and a modulation result analysis unit 224.

변조 식별부(220)는 웹 서버(120)로부터 전송되는 원본 웹 페이지의 고유 식별자 및 식별 값을 수신하여 데이터베이스에 저장하고, 사용자 단말기(사용자 단말기의 웹 브라우저 상에서 실행되는 탐지 스크립트)로부터 전송되는 현재 사용자 단말기 상에 표시되고 있는 웹 페이지의 고유 식별자와 식별 값을 수신한 후, 동일한 고유 식별자를 갖는 원본 웹 페이지의 식별 값과 사용자 단말기(100)로부터 전송된 식별 값을 비교하여 웹 페이지의 변조 여부를 식별하는 기능을 수행하게 된다. 또한, 전술한 바와 같이, 본 발명에 따른 변조 식별부(220)는 탐지 스크립트가 삽입된 웹 페이지를 전송받은 사용자 단말기(100)로부터 미리 설정된 시간 동안 일정한 응답이 전송되지 않는 경우, 해당 웹 페이지가 변조된 것으로 판단하도록 구성될 수 있다. The modulation identification unit 220 receives the unique identifier and identification value of the original web page transmitted from the web server 120, stores it in the database, and transmits the current identifier transmitted from the user terminal (detection script executed on the web browser of the user terminal). After receiving the unique identifier and the identification value of the web page displayed on the user terminal, by comparing the identification value of the original web page having the same unique identifier and the identification value transmitted from the user terminal 100, whether the web page is tampered with It will perform the function of identifying. In addition, as described above, the modulation identification unit 220 according to the present invention, if a predetermined response is not transmitted for a predetermined time from the user terminal 100 receiving the web page in which the detection script is inserted, the corresponding web page is May be configured to determine as modulated.

식별결과 보고부(222)는 변조 식별부(220)에 의해 특정 웹 페이지가 변조된 것으로 판단되는 경우 사용자 단말기(100)로 웹 페이지 변조 정보를 HTTP 응답으로서 전송하는 기능을 수행하게 되며, 이러한 경우 사용자 단말기(100)의 탐지 스크립트는 웹 페이지 변조 정보를 수신하고 경고 메세지를 생성하여 사용자 단말기(100)의 디스플레이부를 통해 출력하게 된다. 또한, 본 발명에 따른 식별결과 보고부(222)는 특정 웹 페이지의 변조가 탐지되는 경우, 해당 웹 페이지의 식별자를 포함하는 변조 정보를 생성하여 웹 서버(120)로 전송하도록 구성될 수도 있다. 이러한 실시예에 있어, 웹 서버(120)는 변조 정보를 수신하고, 수신된 웹 페이지 변조 정보에 포함되어 있는 웹 페이지 고유 식별자를 이용하여 어떠한 웹 페이지가 변조되었는지, 고유 식별자가 웹 페이지 전송 시각 및 웹 페이지를 요청한 사용자 단말기별로 실시간으로 생성되는 경우 어떠한 사용자 단말기로 전송된 웹 페이지가 변조되었는지에 대한 정보를 분석하고, 그에 상응되는 조치, 즉, 해당 사용자 단말기(100)로 경고 메세지를 생성하여 전송하거나, 해당 사용자 단말기(100)의 접속을 제한하는 조치 등을 취할 수 있게 된다. When the identification result report unit 222 determines that a specific web page is modified by the modulation identification unit 220, the identification result report unit 222 transmits the web page tampering information as an HTTP response to the user terminal 100. The detection script of the user terminal 100 receives the web page tampering information, generates a warning message, and outputs the warning message through the display unit of the user terminal 100. In addition, the identification result report unit 222 according to the present invention may be configured to generate the modulation information including the identifier of the web page and transmit it to the web server 120, if the tampering of a particular web page is detected. In this embodiment, the web server 120 receives the tampering information, determines which web page has been tampered with using the web page unique identifier included in the received web page tampering information, the unique identifier is the time of the web page transmission, and When generated in real time for each user terminal requesting a web page, the information on which web page transmitted to the user terminal is analyzed, and a corresponding action, that is, a warning message is generated and transmitted to the corresponding user terminal 100. Or, it may be possible to take measures to limit the connection of the user terminal 100, and the like.

한편, 실시예를 구현하기에 따라, 사용자 단말기(100) 상에서 실행되고 있는 탐지 스크립트는 변조 식별 서버(130)로부터 웹 페이지 변조 정보를 수신하는 경우, 변조된 웹 페이지 정보를 변조 식별 서버(130)로 전송하도록 구성될 수 있다. 이러한 경우, 변조 식별 서버(130)에 포함된 변조결과 분석부(224)는 탐지 스크립트로부터 전송되는 변조된 웹 페이지 정보를 분석하여 웹 페이지의 어떠한 부분이 변조되었는지, 웹 페이지를 변조한 악성 코드/모듈의 종류가 무엇인지 등을 분석하는 기능을 수행하게 된다. 이러한 변조 결과의 분석을 위하여, 변조 식별 서버(130)는 원본 웹 페이지를 데이터베이스에 저장하거나, 또는, 특정 웹 페이지가 변조된 것으로 판단되는 경우 해당 웹 페이지의 식별자를 이용하여 웹 서버(120)로 웹 페이지 식별자에 상응하는 웹 페이지 파일을 요청하여 수신하고, 탐지 스크립트로부터 전송된 웹 페이지 파일과 웹 서버로부터 전송된 웹 페이지 파일을 비교함으로써 변조 결과의 분석을 수행하도록 구성된다. 또한, 변조 결과의 분석의 위하여, 변조 식별 서버(130)는 웹 페이지를 변조하는 악성 코드/모듈의 유형에 따른 변조유형 정보를 데이터베이스에 저장하고, 변조결과 분석 내용과 변조유형 정보를 비교하여 악성 코드의 종류 등을 식별하도록 구성될 수 있다. 물론, 이러한 변조유형 정보는 외부의 분석 서버(미도시)에 의해 실시간 또는 주기적으로 갱신되며, 저장된 변조유형에 해당되지 않는 웹 페이지 변조가 발생된 경우 관련 정보가 분석 서버로 전송되어 분석되도록 구성된다. Meanwhile, according to an embodiment of the present disclosure, when the detection script executed on the user terminal 100 receives the web page modulation information from the modulation identification server 130, the detection script 130 modulates the modulated web page information. It can be configured to transmit to. In this case, the modulation result analysis unit 224 included in the tamper identification server 130 analyzes the modified web page information transmitted from the detection script to determine what part of the web page has been tampered with. It will analyze the type of module and so on. For analysis of the modulation result, the modulation identification server 130 stores the original web page in a database or, if it is determined that a particular web page has been tampered with, uses the identifier of the web page to send it to the web server 120. Request and receive a web page file corresponding to the web page identifier, and perform analysis of the modulation result by comparing the web page file sent from the detection script with the web page file sent from the web server. In addition, for analysis of the modulation result, the modulation identification server 130 stores the modulation type information according to the type of malicious code / module that modulates the web page in a database, and compares the modulation result analysis content with the modulation type information to malicious It may be configured to identify the type of code and the like. Of course, such modulation type information is updated in real time or periodically by an external analysis server (not shown), and when a web page modulation that does not correspond to the stored modulation type is generated, related information is transmitted to the analysis server for analysis. .

웹 페이지 변조 식별과정의 예시Example of web page tampering identification process

도 3은 본 발명의 바람직한 일 실시예예 따른 웹 페이지 변조 식별시스템에서 수행되는 웹 페이지 변조 식별 과정을 도시한 순서도이다. 이하에서, 도 3을 참조하여 본 발명에 따른 웹 페이지 변조 식별 과정을 상세하게 설명하도록 한다. 3 is a flowchart illustrating a web page modulation identification process performed in a web page modulation identification system according to an exemplary embodiment of the present invention. Hereinafter, a web page modulation identification process according to the present invention will be described in detail with reference to FIG. 3.

먼저, 사용자 단말기(100)는 사용자의 조작에 따라 웹 서버(120)로 특정 웹 페이지를 요청하고(S300), 이 요청을 수신한 웹 서버(120)는 요청에 상응되는 웹 페이지 파일을 추출한 후, 추출된 웹 페이지 파일에 설정에 따른 탐지 스크립트(해당 웹 페이지의 고유 식별자 포함)를 생성하여 삽입한다(S302). First, the user terminal 100 requests a specific web page to the web server 120 according to the user's operation (S300), and the web server 120 receiving the request extracts a web page file corresponding to the request. In operation S302, a detection script (including a unique identifier of the corresponding web page) is generated and inserted into the extracted web page file.

웹 서버는 탐지 스크립트가 삽입된 웹 페이지 파일을 사용자 단말기(100)로 전송(S304)하는 동시에, 해당 웹 페이지의 고유 식별자와 웹 페이지에 삽입된 탐지 스크립트가 해당 웹 페이지 파일에 적용되어 산출되는 정상 식별 값을 변조 식별 서버(130)로 전송한다(S306). The web server transmits the web page file in which the detection script is inserted to the user terminal 100 (S304), and at the same time, the unique identifier of the web page and the detection script inserted in the web page are applied to the web page file and calculated. The identification value is transmitted to the modulation identification server 130 (S306).

사용자 단말기(100)로 전송된 웹 페이지 파일에 포함된 탐지 스크립트는 웹 브라우저에 전송된 웹 페이지 파일의 로드가 완료되면 실행되며(S308), 그 실행결과 산출되는 현재 사용자 단말기(100)에 표시되는 웹 페이지의 식별 값과 포함되어 있는 웹 페이지의 고유 식별자를 변조 식별 서버(130)로 전송한다(S310). The detection script included in the web page file transmitted to the user terminal 100 is executed when the loading of the web page file transmitted to the web browser is completed (S308) and is displayed on the current user terminal 100 calculated as a result of the execution. The identification value of the web page and the unique identifier of the included web page are transmitted to the modulation identification server 130 (S310).

변조 식별 서버(130)는 사용자 단말기(100)로부터 특정 웹 페이지를 나타내는 고유 식별자와 탐지 스크립트의 실행결과 산출된 식별 값이 전송되면 이를 수신하고, 웹 서버(120)로부터 전송받은 동일한 식별 값을 가지는 웹 페이지 파일의 정상 식별 값과 사용자 단말기(100)로부터 전송받은 식별 값을 비교하여 해당 웹 페이지의 변조 여부를 판단한다(S312). The modulation identification server 130 receives a unique identifier indicating a specific web page and an identification value calculated as a result of executing the detection script from the user terminal 100, and has the same identification value transmitted from the web server 120. The normal identification value of the web page file and the identification value received from the user terminal 100 are compared to determine whether the corresponding web page has been tampered with (S312).

변조 여부를 판단한 결과, 특정 사용자 단말기(100)에서 특정 웹 페이지가 변조된 것으로 판단되는 경우(S314), 변조 식별 서버(130)는 해당 사용자 단말기(100)로 웹 페이지 변조 정보를 전송하고(S316), 이를 수신한 사용자 단말기(100)의 탐지 스크립트는 경고 메시지를 생성하여 사용자 단말기(100)를 통해 출력한다(S318).
If it is determined that the modulation is a certain web page in the specific user terminal 100 is determined (S314), the modulation identification server 130 transmits the web page modulation information to the corresponding user terminal 100 (S316) ), The detection script of the user terminal 100 receives the generated warning message and outputs the warning message through the user terminal 100 (S318).

본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(megneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동되도록 구성될 수 있으며, 그 역도 마찬가지다. Embodiments according to the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as a hard disk, a floppy disk, and a magnetic tape; optical media such as CD-ROM and DVD; magnetic recording media such as a floppy disk; Includes hardware devices specifically configured to store and perform program instructions such as megneto-optical media and ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

100 : 사용자 단말기 110 : 네트워크
120 : 웹 서버 130 : 변조 식별 서버100: user terminal 110: network
120: Web server 130: tamper identification server

Claims (21)

웹 페이지 변조 식별방법에 있어서,
(a) 웹 서버가 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하는 단계;
(b) 상기 웹 서버가 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자 및 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하고, 상기 웹 페이지의 고유 식별자 및 상기 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값을 변조 식별 서버로 전송하는 단계; 및
(c) 상기 변조 식별 서버가 상기 사용자 단말기로부터 전송되는 웹 페이지 고유 식별자 및 웹 페이지 식별 값을 수신하고, 상기 웹 페이지 고유 식별자를 기초로 상기 웹 서버로부터 전송된 정상 식별 값과 상기 사용자 단말기로부터 전송된 식별 값을 비교하여 상기 웹 페이지의 변조 여부를 판단하는 단계를 포함하되,
상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고, 상기 웹 페이지 고유 식별자와 상기 산출된 식별 값을 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
In the web page modulation identification method,
(a) the web server receiving a web page request transmitted from the user terminal;
(b) the web server inserts the unique identifier and detection script of the web page into the web page corresponding to the request and transmits it to the user terminal, and the unique identifier of the web page and the detection script for the web page. Transmitting the normal identification value calculated and applied to the modulation identification server; And
(c) the modulation identification server receives a web page unique identifier and a web page identification value transmitted from the user terminal, and transmits from the user terminal a normal identification value transmitted from the web server based on the web page unique identifier Comparing the identified identification values to determine whether the web page has been tampered with;
The detection script is executed on a web browser of the user terminal to calculate an identification value of the web page, and transmits the web page unique identifier and the calculated identification value to the modulation identification server, characterized in that the web page modulation identification Way.
웹 페이지 변조 식별방법에 있어서,
(A) 웹 서버가 사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하는 단계; 및
(B) 상기 웹 서버가 상기 요청에 상응되는 웹 페이지에 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값이 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하는 단계를 포함하되,
상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고 상기 정상 식별 값과 비교하여 상기 웹 페이지의 변조 여부를 판단하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
In the web page modulation identification method,
(A) the web server receiving a web page request sent from the user terminal; And
(B) the web server inserting the detection script containing the normal identification value calculated by applying the detection script to the web page corresponding to the request and transmits the detection script to the user terminal,
And the detection script is executed on a web browser of the user terminal to calculate an identification value of the web page and compare the normal identification value to determine whether the web page has been tampered with.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 전체 또는 미리 설정된 부분에 대한 해시 값을 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script calculates a hash value of the entire or preset portion of the web page as an identification value.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 설정된 부분에 대한 데이터 값을 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script calculates a data value of a set portion of the web page as an identification value.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 크기를 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script calculates the size of the web page as an identification value.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지 내의 미리 설정된 특정 태그의 수를 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script calculates the number of preset specific tags in the web page as an identification value.
청구항 1 또는 2에 있어서,
상기 웹 서버는 상기 사용자 단말기로부터 요청된 웹 페이지가 웹 페이지 변조 판단 목록에 포함된 경우에 한하여 상기 탐지 스크립트를 상기 웹 페이지에 삽입하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the web server inserts the detection script into the web page only when the web page requested from the user terminal is included in the web page tampering determination list.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지가 변조된 것으로 판단되는 경우 경고 메세지를 상기 사용자 단말기에 출력하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script outputs a warning message to the user terminal if it is determined that the web page has been tampered with.
청구항 1 또는 2에 있어서,
상기 탐지 스크립트는 상기 웹 페이지가 변조된 것으로 판단되는 경우 변조된 웹 페이지 정보를 상기 웹 서버 또는 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1 or 2,
And the detection script transmits the modified web page information to the web server or the tamper identification server when it is determined that the web page has been tampered with.
청구항 1에 있어서,
상기 (c) 단계는 상기 변조 식별 서버가 미리 설정된 시간 내에 상기 사용자 단말기로부터 웹 페이지 고유 식별자 및 웹 페이지 식별 값이 전송되지 않는 경우 상기 웹 페이지가 변조된 것으로 더 판단하는 것을 특징으로 하는 웹 페이지 변조 식별방법.
The method according to claim 1,
In the step (c), the webpage modulation further determines that the webpage has been tampered with if the webpage unique identifier and the webpage identification value are not transmitted from the user terminal within a preset time. Identification method.
청구항 1 내지 10 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록매체.
A computer-readable recording medium having recorded thereon a program for performing the method of claim 1.
웹 페이지 변조 식별시스템에 있어서,
사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하고, 상기 요청에 상응되는 웹 페이지에 상기 웹 페이지의 고유 식별자 및 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하며, 상기 웹 페이지의 고유 식별자 및 상기 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값을 변조 식별 서버로 전송하는 웹 서버; 및
상기 사용자 단말기로부터 전송되는 웹 페이지 고유 식별자 및 웹 페이지 식별 값을 수신하고, 상기 웹 페이지 고유 식별자를 기초로 상기 웹 서버로부터 전송된 정상 식별 값과 상기 사용자 단말기로부터 전송된 식별 값을 비교하여 상기 웹 페이지의 변조 여부를 판단하는 변조 식별 서버를 포함하되,
상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고, 상기 웹 페이지 고유 식별자와 상기 산출된 식별 값을 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
In the web page modulation identification system,
Receives a web page request transmitted from a user terminal, inserts the unique identifier and detection script of the web page in the web page corresponding to the request and sends it to the user terminal, the unique identifier of the web page and the detection script A web server for transmitting a normal identification value calculated and applied to the web page to a modulation identification server; And
Receiving a web page unique identifier and a web page identification value transmitted from the user terminal, and comparing the normal identification value transmitted from the web server with the identification value transmitted from the user terminal based on the web page unique identifier. Includes a tamper identification server that determines whether the page has been tampered with,
The detection script is executed on a web browser of the user terminal to calculate an identification value of the web page, and transmits the web page unique identifier and the calculated identification value to the modulation identification server, characterized in that the web page modulation identification system.
웹 페이지 변조 식별시스템에 있어서,
사용자 단말기로부터 전송되는 웹 페이지 요청을 수신하고, 상기 요청에 상응되는 웹 페이지에 탐지 스크립트가 상기 웹 페이지에 대하여 적용되어 산출되는 정상 식별 값이 포함된 탐지 스크립트를 삽입하여 상기 사용자 단말기로 전송하는 웹 서버를 포함하되,
상기 탐지 스크립트는 상기 사용자 단말기의 웹 브라우저 상에서 실행되어 상기 웹 페이지의 식별 값을 산출하고 상기 정상 식별 값과 비교하여 상기 웹 페이지의 변조 여부를 판단하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
In the web page modulation identification system,
Receiving a web page request sent from the user terminal, and inserts a detection script containing a normal identification value calculated by applying the detection script to the web page corresponding to the request to the web page to transmit to the user terminal Include servers,
And the detection script is executed on a web browser of the user terminal to calculate an identification value of the web page and compare the normal identification value to determine whether the web page has been tampered with.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 전체 또는 미리 설정된 부분에 대한 해시 값을 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script calculates a hash value of the entire or preset portion of the web page as an identification value.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 설정된 부분에 대한 데이터 값을 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script calculates a data value of a set portion of the web page as an identification value.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지의 크기를 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script calculates the size of the web page as an identification value.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지 내의 미리 설정된 특정 태그의 수를 식별 값으로 산출하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script calculates the number of preset specific tags in the web page as an identification value.
청구항 12 또는 13에 있어서,
상기 웹 서버는 상기 사용자 단말기로부터 요청된 웹 페이지가 웹 페이지 변조 판단 목록에 포함된 경우에 한하여 상기 탐지 스크립트를 상기 웹 페이지에 삽입하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the web server inserts the detection script into the web page only when the web page requested from the user terminal is included in the web page tampering determination list.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지가 변조된 것으로 판단되는 경우 경고 메세지를 상기 사용자 단말기에 출력하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script outputs a warning message to the user terminal if it is determined that the web page has been tampered with.
청구항 12 또는 13에 있어서,
상기 탐지 스크립트는 상기 웹 페이지가 변조된 것으로 판단되는 경우 변조된 웹 페이지 정보를 상기 웹 서버 또는 상기 변조 식별 서버로 전송하는 것을 특징으로 하는 웹 페이지 변조 식별시스템.
14. The method according to claim 12 or 13,
And the detection script transmits the modified web page information to the web server or the tamper identification server when it is determined that the web page has been tampered with.
청구항 12에 있어서,
상기 변조 식별 서버는 미리 설정된 시간 내에 상기 사용자 단말기로부터 웹 페이지 고유 식별자 및 웹 페이지 식별 값이 전송되지 않는 경우 상기 웹 페이지가 변조된 것으로 더 판단하는 것을 특징으로 하는 웹 페이지 변조 식별시스템. The method of claim 12,
And the tamper identification server further determines that the web page has been tampered with if the web page unique identifier and the web page identification value are not transmitted from the user terminal within a preset time.
KR20110096535A 2011-09-23 2011-09-23 Method, system and computer readable recording medium for web-page monitoring KR101480040B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20110096535A KR101480040B1 (en) 2011-09-23 2011-09-23 Method, system and computer readable recording medium for web-page monitoring

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20110096535A KR101480040B1 (en) 2011-09-23 2011-09-23 Method, system and computer readable recording medium for web-page monitoring

Publications (2)

Publication Number Publication Date
KR20130032754A true KR20130032754A (en) 2013-04-02
KR101480040B1 KR101480040B1 (en) 2015-01-07

Family

ID=48435465

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20110096535A KR101480040B1 (en) 2011-09-23 2011-09-23 Method, system and computer readable recording medium for web-page monitoring

Country Status (1)

Country Link
KR (1) KR101480040B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150144009A (en) * 2014-06-16 2015-12-24 주식회사 예티소프트 Terminal, system and method for verifying falsification of web page using the same
WO2017150791A3 (en) * 2016-02-29 2018-03-08 (주)엠더블유스토리 Digital content monitoring system and processing method therefor
KR20210083916A (en) * 2019-12-27 2021-07-07 주식회사 안랩 Method for detecting forgery of web content and client terminal

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160139914A (en) * 2015-05-29 2016-12-07 삼성에스디에스 주식회사 System and method for detecting software tampering

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100594596B1 (en) * 2004-04-12 2006-06-30 에프앤비씨 (주) On-line sanction service system possible detection of data fabrication and modification, and method thereof, and recording media storing computer program for the method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150144009A (en) * 2014-06-16 2015-12-24 주식회사 예티소프트 Terminal, system and method for verifying falsification of web page using the same
WO2017150791A3 (en) * 2016-02-29 2018-03-08 (주)엠더블유스토리 Digital content monitoring system and processing method therefor
KR20210083916A (en) * 2019-12-27 2021-07-07 주식회사 안랩 Method for detecting forgery of web content and client terminal

Also Published As

Publication number Publication date
KR101480040B1 (en) 2015-01-07

Similar Documents

Publication Publication Date Title
US11570211B1 (en) Detection of phishing attacks using similarity analysis
US9450980B2 (en) Automatic malignant code collecting system
CN105824909A (en) Page generation method and device
CN110035075A (en) Detection method, device, computer equipment and the storage medium of fishing website
CN110929183B (en) Data processing method, device and machine-readable medium
CN104199654A (en) Open platform calling method and device
US20130298233A1 (en) Web page falsification detection apparatus and storage medium
CN108733559B (en) Page event triggering method, terminal equipment and medium
KR101480040B1 (en) Method, system and computer readable recording medium for web-page monitoring
CN104484604A (en) Method, scanner, device and system for identifying webpage distortion
US20230334142A1 (en) Data integrity with trusted code attestation tokens
CN107454041B (en) Method and device for preventing server from being attacked
CN109818906B (en) Equipment fingerprint information processing method and device and server
KR102159399B1 (en) Device for monitoring web server and analysing malicious code
CN107103243B (en) Vulnerability detection method and device
CN112925711A (en) Local joint debugging test method and related device
US20170345056A1 (en) Advertisement data metric determination within mobile applications
KR101725404B1 (en) Method and apparatus for testing web site
CN106161411A (en) A kind of webpage verification using data-hiding technology method and device
CN116451071A (en) Sample labeling method, device and readable storage medium
CN110930193B (en) Advertisement conversion rate evaluation method, advertisement conversion rate evaluation device, computer equipment and storage medium
KR20190020374A (en) Method and apparatus for providing api call information for dynamic analysis of web application
CN109740386B (en) Method and device for detecting static resource file
US20220222342A1 (en) Monitoring method of static object tampering in hybrid environment
CN111107143A (en) Network file transmission detection method, device and system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171012

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191010

Year of fee payment: 6