KR20130077184A - Homepage infected with a malware detecting device and method - Google Patents

Homepage infected with a malware detecting device and method Download PDF

Info

Publication number
KR20130077184A
KR20130077184A KR1020110145760A KR20110145760A KR20130077184A KR 20130077184 A KR20130077184 A KR 20130077184A KR 1020110145760 A KR1020110145760 A KR 1020110145760A KR 20110145760 A KR20110145760 A KR 20110145760A KR 20130077184 A KR20130077184 A KR 20130077184A
Authority
KR
South Korea
Prior art keywords
tag
file
infected
web source
homepage
Prior art date
Application number
KR1020110145760A
Other languages
Korean (ko)
Other versions
KR101327865B1 (en
Inventor
조성준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145760A priority Critical patent/KR101327865B1/en
Publication of KR20130077184A publication Critical patent/KR20130077184A/en
Application granted granted Critical
Publication of KR101327865B1 publication Critical patent/KR101327865B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PURPOSE: Apparatus and a method for detecting a homepage compromised by a malicious code are provided to determine the compromised status of a homepage by downloading a web source of the homepage without accessing the homepage for detection. CONSTITUTION: A database (620) stores vulnerability class ID tag values, normal file header values, abnormal iframe tags, image tag size patterns, and malicious shell codes. A class ID tag search part (632) searches a web source for a class ID tag, and a file header value search part (638) searches the web source for a file header value. An iframe and image tag search part (634) searches the web source for an iframe tag or an image tag. A malicious shell code search part (636) searches the web source for a malicious shell code and determines whether a homepage is compromised by a malicious code. [Reference numerals] (612) Web source download part; (614) File download part; (620) Database; (632) Class ID tag search part; (634) Iframe and image tag search part; (636) Malicious shell code search part; (638) File header value search part; (642) First comparison part; (644) Second comparison part; (646) Third comparison part; (650) Quantification part; (AA) Homepage; (BB,EE) Web source; (CC) Class id tag; (DD,GG,LL,NN) Malicious code-compromised Y/N; (FF) My frame tag, image tag; (HH) File; (II) Chance of being compromised by a malicious code; (JJ) Malicious shell code; (KK) File header value; (MM) Vulnerable point class id tag value; (OO) Abnormal iframe and image tag size pattern; (PP) Normal file header value

Description

악성코드에 감염된 홈페이지 탐지 장치 및 방법{Homepage infected with a malware detecting device and method}Homepage infected with a malware detecting device and method}

본 발명은 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting homepage infected with malware.

악성코드(malware)는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 과거에는 디스크 복제 등 저장매체를 통해 악성코드가 전파되었으나 최근에는 네트워크가 발달함에 따라 이메일이나 웹사이트를 통해 악성코드에 감염되는 경우가 증가하고 있다.Malware is a generic term for all software that can harm your computer. In the past, malicious code has been spread through storage media such as disk cloning, but recently, as the network develops, the number of malicious codes has been increased through e-mail or websites.

특히, 해커들은 웹사이트의 홈페이지를 해킹한 후 악성코드를 설치하여, 사용자들이 해당 홈페이지에 접속하면 사용자의 컴퓨터가 악성코드에 감염되도록 한다. 컴퓨터가 악성코드에 감염되면 컴퓨터의 성능이 저하될 뿐만 아니라 개인 정보가 유출될 위험도 있기 때문에 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 방법이 필요하다.In particular, hackers hack a website's homepage and install malicious code so that when a user accesses the homepage, the user's computer is infected with the malware. If a computer is infected with malware, not only the performance of the computer will be degraded, but also personal information may be leaked. Therefore, a method for determining whether the homepage is infected with malware is necessary.

본 발명이 해결하고자 하는 과제는 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 장치 및 방법을 제공하는 것이다.The problem to be solved by the present invention is to provide an apparatus and method for determining whether the homepage is infected with malware.

본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with malicious code according to the first embodiment of the present invention includes downloading a web source from a home page, class ID tag values and prestored vulnerability class ID tag values included in the web source. And comparing the class ID tag value included in the web source with the vulnerability class ID tag value, and determining that the homepage is infected with a malicious code.

본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계. 상기 웹소스에 삽입된 파일을 다운로드하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 및 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with a malicious code according to a second embodiment of the present invention includes downloading a web source from a home page. Downloading a file inserted into the web source, comparing a header value of the file with a header value of a normal file previously stored, and if the header value of the file does not match the header value of the normal file, the homepage And determining that it is infected with malware.

본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 및 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with a malicious code according to a third embodiment of the present invention includes downloading a web source from a home page, an iframe tag or an image tag included in the web source, stored in advance. Checking whether the tag is used as a tag size pattern, and determining that the homepage is infected with a malicious code when the iframe tag or the image tag is used as a pre-stored abnormal tag size pattern.

본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다. According to a fourth embodiment of the present invention, there is provided a method for detecting a home page infected with malicious code, the method including downloading a web source from a home page, checking whether the web source includes pre-stored malicious shell codes, and the web source is If it contains a malicious shell code includes the step of determining that the home page is infected with malware.

본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계, 상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.A method for detecting a home page infected with a malicious code according to a fifth embodiment of the present invention includes the steps of downloading a web source from a home page, downloading the file when a file is inserted into the web source, and the web source is a class ID. comparing a class ID tag value included in the web source with a prestored vulnerability class ID tag value when comparing a classid tag, comparing a header value of the file with a header value of a normal file stored in advance; If the web source includes an iframe tag or an img tag, checking whether the iframe tag or image tag is used as a pre-stored abnormal tag size pattern, and the pre-stored malicious shellcode Verifying that it contains the data, and the class ID tag value included in the web source. And the vulnerability class ID tag value match, the header value of the file and the header value of the normal file do not match, the iframe tag or image tag is used as a pre-stored abnormal tag size pattern, or And determining that the home page is infected with malicious code when the web source includes the malicious shell code.

본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지장치는 홈페이지로부터 웹소스를 다운로드하거나 또는 상기 웹소스에 삽입된 파일을 다운로드하는 다운로드부, 취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스, 상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부, 및 상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함한다.The homepage detection apparatus infected with malicious code according to an embodiment of the present invention includes a download unit for downloading a web source from a home page or downloading a file inserted into the web source, a vulnerability class ID tag value, a normal file header value, A database in which at least one of an abnormal iframe tag and an img tag size pattern, and malicious shell code are stored, a class ID tag search unit for searching for a class ID tag from the web source, and a file header value from the web source A file header value search unit for searching for an iframe and an image tag search unit for searching an iframe tag or an image tag from the web source, and a search for the malicious shellcode from the web source. Malicious shellcode search unit to determine whether the malware is infected The search unit and the value of the class ID tag and the vulnerability class ID tag value, the file header value and the normal file header value, the iframe tag and image tag is the abnormal iframe tag and image tag size And a comparison discrimination unit for determining whether the home page is infected with malicious code according to the comparison and the verification result.

본 발명의 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 의하면,According to the homepage detection device and method infected with the malware of the present invention,

탐지하고자 하는 홈페이지에 접속하지 않고 홈페이지의 웹소스를 다운로드하여 특정 패턴(또는 규칙)을 검출하고, 검출된 특정 패턴이 악성코드가 설치된 경우의 패턴과 일치하는 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다.It detects a specific pattern (or rule) by downloading the web source of the homepage without accessing the homepage to be detected and determines that the homepage is infected with malware when the detected specific pattern matches the pattern when the malicious code is installed. can do.

도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.1 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a first embodiment of the present invention.
2 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a second embodiment of the present invention.
3 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a third embodiment of the present invention.
4 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fourth embodiment of the present invention.
5 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention.
6 is a block diagram illustrating an apparatus for detecting a homepage infected with a malicious code according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between .

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.

도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.1 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a first embodiment of the present invention.

도 1을 참조하면, 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 110). Referring to FIG. 1, in the method for detecting a home page infected with a malicious code according to a first embodiment of the present invention, a web source is first downloaded from a home page (step 110).

그 다음, 다운로드된 웹소스에 클래스 아이디 태그(<classid=)가 존재하는지 검색한다(단계 120). Then, it is searched whether a class ID tag (<classid =) exists in the downloaded web source (step 120).

검색결과, 클래스 아이디 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 140). 해커들은 웹 페이지 내에 취약점이 존재하는 클래스 아이디를 삽입하여 악성코드를 설치하기 때문에, 웹소스에 이러한 취약점 클래스 아이디 태그가 존재하는 경우에는 해당 홈페이지가 악성코드에 감염되었을 가능성이 높다. 따라서 웹소스에 취약점 클래스 아이디 태그가 존재하는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 취약점 클래스 아이디 태그값은 데이터베이스 등에 미리 저장될 수 있다. 취약점 클래스 아이디 리스트는 아래의 <표 1>과 같다.If the class ID tag does not exist as a result of the search, it is determined that the homepage is not infected with the malicious code (step 130), and the process ends. If the class ID tag exists, it is compared whether the retrieved class ID tag value matches a prestored vulnerability class ID tag value (step 140). Since hackers install malicious code by inserting class IDs with vulnerabilities in web pages, if the vulnerability class ID tag exists in the web source, the home page is likely infected with malware. Therefore, it is possible to determine whether the homepage is infected with malicious code based on whether the vulnerability class ID tag exists in the web source. The vulnerability class ID tag value may be stored in advance in a database. The list of vulnerability class IDs is shown in Table 1 below.

취약점 클래스 아이디 리스트Vulnerability Class ID List ClassidClassid 취약점weakness C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61 HTTP C6 Messenger ActiveX File OverwriteHTTP C6 Messenger ActiveX File Overwrite BD96C556-65A3-11D0-983A-00C04FC29E36BD96C556-65A3-11D0-983A-00C04FC29E36 MS06-014MS06-014 AB9BCEDD-EC7E-47E1-9322-D4A210617116AB9BCEDD-EC7E-47E1-9322-D4A210617116 MS06-014MS06-014 0006F033-0000-0000-C000-0000000000460006F033-0000-0000-C000-000000000046 MS06-014MS06-014 6e32070a-766d-4ee6-879c-dc1fa91d2fc36e32070a-766d-4ee6-879c-dc1fa91d2fc3 MS06-014MS06-014 6414512B-B978-451D-A0D8-FCFDF33E833C6414512B-B978-451D-A0D8-FCFDF33E833C WUWebControl ClassWUWebControl Class 7F5B7F63-F06F-4331-8A26-339E03C0AE3D 7F5B7F63-F06F-4331-8A26-339E03C0AE3D MS06-014, MS06-073, MS07-016MS06-014, MS06-073, MS07-016 06723E09-F4C2-43c8-8358-09FCD1DB076606723E09-F4C2-43c8-8358-09FCD1DB0766 MS06-014MS06-014 639F725F-1B2D-4831-A9FD-874847682010639F725F-1B2D-4831-A9FD-874847682010 MS06-014MS06-014 BA018599-1DB3-44f9-83B4-461454C84BF8BA018599-1DB3-44f9-83B4-461454C84BF8 MS06-014MS06-014 D0C07D56-7C69-43F1-B4A0-25F5A11FAB19D0C07D56-7C69-43F1-B4A0-25F5A11FAB19 MetasploitMetasploit E8CCCDDF-CA28-496b-B050-6C07C962476BE8CCCDDF-CA28-496b-B050-6C07C962476B MetasploitMetasploit

웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값을 비교한 결과 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 150).When the class ID tag value retrieved from the web source is compared with the vulnerability class ID tag value, if the detected class ID tag value and the vulnerability class ID tag value do not match, the homepage is determined to be not infected with malware (step 130). Terminate the process. On the other hand, if the searched class ID tag value and the vulnerability class ID tag value match, it is determined that the homepage is infected with malicious code (step 150).

도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.2 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a second embodiment of the present invention.

도 2를 참조하면, 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 210).Referring to FIG. 2, in the method for detecting a home page infected with a malicious code according to a second embodiment of the present invention, a web source is first downloaded from a home page (step 210).

그 다음, 웹소스에 삽입된 파일을 다운로드한다(단계 220). 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함한다. 미디어 파일은 확장자가 jpg, gif, swf 등인 파일들을 포함하고, PE 파일은 확장자가 exe 인 파일을 포함한다. Next, the file inserted in the web source is downloaded (step 220). The file includes a media file and a portable executable file. Media files include files with extensions jpg, gif, swf, and so on, and PE files include files with extension exe.

다음으로, 파일의 헤더(header)값과 정상 파일의 헤더값을 비교한다(단계 230). 해커들은 앞서 예시한 바와 같은 jpg, gif, swf, exe 등의 파일 확장자를 갖는 파일들을 웹 페이지에 삽입하는데 이러한 파일들은 실제로는 악성코드 링크 등을 포함하는 경우가 많다. 따라서 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 정상 파일의 헤더값은 데이터베이스 등에 미리 저장될 수 있다. jpg, gif, swf, exe 등의 확장자를 갖는 정상 파일의 헤더값은 아래의 <표 2>에 개시되어 있다.Next, the header value of the file is compared with the header value of the normal file (step 230). Hackers insert files with file extensions such as jpg, gif, swf, and exe into the web page as described above, and these files often include malware links. Therefore, if the header value of the file inserted into the web source and the header value of the normal file do not match, it can be determined that the home page is infected with malware. The header value of the normal file may be stored in advance in a database or the like. Header values of a normal file having an extension of jpg, gif, swf, exe, etc. are disclosed in Table 2 below.

정상 파일의 헤더값Normal file header value 파일 종류File type 파일 헤더File header jpgjpg FF D8 FFFF D8 FF gifgif 47 49 46 3847 49 46 38 swfswf 43 57 5343 57 53 exeexe 4D 5A4D 5A

웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 240) 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 250). If the header value of the file inserted into the web source and the header value of the normal file match, it is determined that the homepage is not infected with the malicious code (step 240), and the process ends. On the other hand, if the header value of the file inserted into the web source and the header value of the normal file do not match, it is determined that the home page is infected with malicious code (step 250).

도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a third embodiment of the present invention.

도 3을 참조하면, 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 310).Referring to FIG. 3, in the method of detecting a homepage infected with a malicious code according to a third embodiment of the present invention, first, a web source is downloaded from a homepage (step 310).

그 다음, 다운로드된 웹소스에 아이프레임(iframe) 태그 또는 이미지(img) 태그가 존재하는지를 검색한다(단계 320).Then, it is searched whether an iframe tag or an img tag exists in the downloaded web source (step 320).

검색결과, 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 아이프레임 태그 또는 이미지 태그가 존재하는 경우에는 검색된 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 340). 해커들은 웹 페이지 내의 이미지 태그 사이즈의 넓이 또는 높이 값을 이용하여 악성코드 링크를 삽입한다. 예를 들면, 정상적인 이미지 태그의 링크 파일은 홈페이지 내에 존재하지만 이미지 태그에 악성코드 링크가 삽입된 경우에는 외부 주소를 사용하며 유관으로는 확인할 수 없는 1 또는 널(null) 사이즈의 값 등을 이용한 패턴으로 사용되는 경우가 많다. 따라서 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 비정상 태그 사이즈 패턴은 데이터베이스 등에 미리 저장될 수 있다. 비정상 아이프레임 이미지 태그 사이즈 규칙 리스트는 아래의 <표 3>과 같다.If there is no iframe tag or image tag as a result of the search, it is determined that the homepage is not infected with the malicious code (step 330), and the process ends. If the iframe tag or image tag exists, it is checked whether the searched iframe tag or image tag is used as an abnormal tag size pattern (step 340). Hackers insert malware links using the width or height values of image tag sizes in Web pages. For example, if a link file of a normal image tag exists in the homepage, but a malware link is inserted in the image tag, an external address is used, and a pattern using a value of 1 or null size that cannot be identified by a related line Often used as. Therefore, it is possible to determine whether the corresponding homepage is infected with malware based on whether an iframe tag or an image tag is used as an abnormal tag size pattern. The abnormal tag size pattern may be stored in advance in a database or the like. An abnormal iframe image tag size rule list is shown in Table 3 below.

비정상 아이프레임, 이미지 태그 사이즈 규칙 리스트Unusual iframe, image tag size rule list 탐지 패턴Detection pattern 비고Remarks img 및 iframe + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이나 높이=0img and iframe + external address (format: ASCII, hex, utf encoding) + width but height = 0 iframe + 외부주소(아스키) + 넓이나 높이=0(넓이와 높이=0)
iframe + 외부주소(hex 인코딩) + 넓이나 높이=0(넓이와 높이=0)
iframe + 외부주소(utf 인코딩) + 넓이나 높이=0(넓이와 높이=0)
iframe + external address (ascii) + width but height = 0 (width and height = 0)
iframe + external address (hex encoding) + width but height = 0 (width and height = 0)
iframe + external address (utf encoding) + width but height = 0 (width and height = 0)
img + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이와 높이=1img + external address (format: ASCII, hex, utf encoding) + width and height = 1 img + 외부주소(아스키) + 넓이와 높이=1
img + 외부주소(hex 인코딩) + 넓이와 높이=1
img + 외부주소(utf 인코딩) + 넓이와 높이
img + external address (ascii) + width and height = 1
img + external address (hex encoding) + width and height = 1
img + external address (utf encoding) + width and height
img + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이나 높이=1,500 (x≥500)img + external address (format: ASCII, hex, utf encoding) + width but height = 1,500 (x≥500) img + 외부주소(아스키) + 넓이나 높이=1, 500
img + 외부주소(hex 인코딩) + 넓이나 높이=1, 500
img + 외부주소(utf 인코딩) + 넓이나 높이=1, 500img + external address (ascii) + width but height = 1, 500
img + external address (hex encoded) + width but height = 1, 500
img + external address (utf encoding) + width but height = 1, 500 OBJECT width=0 외부주소(형식:아스키,hex,utf 인코딩)OBJECT width = 0 external address (format: ASCII, hex, utf encoding) OBJECT width=0 외부주소(아스키)
OBJECT width=0 외부주소(hex 인코딩)
OBJECT width=0 외부주소(utf 인코딩)
OBJECT width = 0 external address (ascii)
OBJECT width = 0 external address (hex encoding)
OBJECT width = 0 external address (utf encoding)
EMBED width=0 외부주소(형식:아스키,hex,utf 인코딩)EMBED width = 0 external address (format: ASCII, hex, utf encoding) EMBED width=0 외부주소(아스키)
EMBED width=0 외부주소(hex 인코딩)
EMBED width=0 외부주소(utf 인코딩)
EMBED width = 0 External Address (ASCII)
EMBED width = 0 external address (hex encoding)
EMBED width = 0 external address (utf encoded)

웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 350).If the iframe tag or image tag retrieved from the web source is not used as an abnormal tag size pattern, it is determined that the homepage is not infected with malicious code (step 330), and the process ends. On the other hand, if the retrieved iframe tag or image tag is used as an abnormal tag size pattern, it is determined that the homepage is infected with malicious code (step 350).

도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fourth embodiment of the present invention.

도 4를 참조하면, 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 410).Referring to FIG. 4, in the method for detecting a home page infected with a malicious code according to a fourth embodiment of the present invention, a web source is first downloaded from a home page (step 410).

그 다음, 웹소스가 악성 쉘코드를 포함하는지 검색한다(단계 420). 해커들은 웹 페이지 내에 악성코드를 삽입하기 위해 쉘코드를 이용한다. 따라서 웹소스 내에 악성 쉘코드가 포함되어 있는 경우에는 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 악성 쉘코드 리스트는 데이터베이스 등에 미리 저장될 수 있다. 악성 쉘코드 리스트는 아래의 <표 4>와 같다.Next, the web source is searched for containing malicious shellcode (step 420). Hackers use shellcode to inject malicious code into web pages. Therefore, if a malicious shell code is included in the web source, it can be determined that the homepage is infected with the malicious code. The malicious shellcode list may be stored in advance in a database or the like. The list of malicious shell codes is shown in Table 4 below.

악성 쉘코드 리스트Malicious Shell Code List 종류Kinds unescape("%u0D0D%u0D0Dunescape ("% u0D0D% u0D0D unescape("%u9090%u9090unescape ("% u9090% u9090 eval(function(p,a,c,k,e,d)eval (function (p, a, c, k, e, d) document.write(unescape(document.write (unescape ( Eval(gzinflate(base64_decode(Eval (gzinflate (base64_decode (

검색결과, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 430) 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 440).As a result of the search, if the web source does not contain the malicious shellcode, it is determined that the homepage is not infected with the malicious code (step 430), and the process ends. On the other hand, if the web source contains a malicious shell code, it is determined that the home page is infected with the malicious code (step 440).

도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention.

본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 앞서 도 1 내지 도 4에서 설명한 제1 내지 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 조합하여 수행한다. The method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention is performed by combining the method of detecting a home page infected with a malicious code according to the first to fourth embodiments described above with reference to FIGS. 1 to 4. .

도 5를 참조하면, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 510).Referring to FIG. 5, in the method for detecting a home page infected with a malicious code according to a fifth embodiment of the present invention, a web source is first downloaded from a home page (step 510).

그 다음, 웹소스에 파일이 삽입된 경우 삽입된 파일을 다운로드한다(단계 520).If the file is inserted into the web source, the inserted file is then downloaded (step 520).

다음으로, 다운로드된 웹소스에 클래스 아이디 태그가 존재하는지 검색한다(단계 530).Next, it is searched whether a class ID tag exists in the downloaded web source (step 530).

검색결과, 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 532). As a result of the search, if the class ID tag exists, the searched class ID tag value is compared with a previously stored vulnerability class ID tag value (step 532).

비교결과, 웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 두 번째 악성코드 감염 판별 조건 즉, 파일 헤더값과 정상 파일의 헤더값을 비교한다(단계 540). 단계 530에서 다운로드된 웹소스에 클래스 아이디 태그가 존재하지 않는 경우에도 단계 540을 수행한다. As a result of the comparison, if the class ID tag value retrieved from the web source and the vulnerability class ID tag value match, it is determined that the homepage is infected with the malicious code (step 570), and the process ends. On the other hand, if the searched class ID tag value and the vulnerability class ID tag value do not match, the second malware infection determination condition, that is, the file header value and the header value of the normal file are compared (step 540). If the class ID tag does not exist in the web source downloaded in step 530, step 540 is performed.

비교결과, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 웹소스가 세 번째 악성코드 감염 판별 조건 즉, 아이프레임 태그 또는 이미지 태그 조건을 만족하는지를 판별한다. As a result of the comparison, when the header value of the file inserted into the web source and the header value of the normal file do not match, it is determined that the home page is infected with the malicious code (step 570), and the process ends. On the other hand, if the header value of the file inserted into the web source and the header value of the normal file match, it is determined whether the web source satisfies the third malicious code infection determination condition, that is, the iframe tag or image tag condition.

웹소스에 아이프레임 태그 또는 이미지 태그가 존재하는지를 검색하고(단계 550), 검색결과 아이프레임 태그 또는 이미지 태그가 존재하는 경우 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 552). Search whether the iframe tag or image tag exists in the web source (step 550), and if the iframe tag or image tag exists in the search result, check whether the retrieved iframe tag or image tag is used as an abnormal tag size pattern ( Step 552).

웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 네 번째 악성코드 감염 판별 조건 즉, 웹소스가 악성 쉘코드를 포함하는지를 검색한다(단계 560). 단계 550에서 다운로드된 웹소스에 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에도 단계 560을 수행한다. If the iframe tag or image tag retrieved from the web source is used as an abnormal tag size pattern, it is determined that the homepage is infected with malicious code (step 570), and the process ends. On the other hand, if the retrieved iframe tag or image tag is not used as an abnormal tag size pattern, it is searched for the fourth malicious code infection determination condition, that is, whether the web source contains malicious shellcode (step 560). If the iframe tag or the image tag does not exist in the web source downloaded in step 550, step 560 is performed.

검색결과, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 비로소 홈페이지가 악성코드에 감염되지 않은 것으로 판별한다(단계 580). As a result of the search, if the web source contains malicious shellcode, it is determined that the homepage is infected with the malicious code (step 570), and the process ends. On the other hand, when the web source does not contain malicious shell code, it is determined that the home page is not infected with the malicious code (step 580).

이와 같이, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에 의하면 도 1 내지 도 4에서 설명한 네 가지의 악성코드 감염 판별 조건을 모두 만족하지 않는 경우에만 홈페이지가 악성코드에 감염되지 않은 것으로 판별함으로써 홈페이지가 악성코드에 감염되지 않은 경우에 좀 더 정확한 판별이 가능하다. 각 악성코드 감염 판별 조건을 검사하는 순서 즉, 단계 530 내지 560을 수행하는 순서는 적절하게 변경될 수 있고 도 5에서 설명한 순서에 한정되는 것은 아니다. As described above, according to the method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention, the homepage is not provided with the malicious code only when all four malicious code infection determination conditions described in FIGS. 1 to 4 are not satisfied. By determining that it is not infected, more accurate identification is possible when the homepage is not infected with malicious code. The order of checking each malicious code infection determination condition, that is, the order of performing steps 530 to 560 may be appropriately changed and is not limited to the order described in FIG. 5.

한편, 도 5에서는 홈페이지가 악성코드에 감염되었는지 여부만을 판별하였으나, 홈페이지가 악성코드에 감염되었을 확률을 산출하는 것도 가능하다. 이를 위해, 각 악성코드 감염 판별 조건을 검사하고, 각 악성코드 감염 판별 조건이 충족되는 개수에 기초하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수 있다. 예를 들면, 4개의 악성코드 감염 판별 조건들이 충족되는 개수가 각각 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 25%, 50%, 75%, 100%로 출력할 수 있다. 또한, 각 악성코드 감염 판별 조건에 가중치를 적용하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수도 있다. 이때에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력한다.In FIG. 5, only the homepage is determined whether the homepage is infected with malicious code, but it is also possible to calculate the probability that the homepage is infected with the malicious code. To this end, each malicious code infection determination condition may be examined, and the probability that the homepage is infected with the malicious code may be output based on the number of times that each malicious code infection determination condition is satisfied. For example, if 1, 2, 3, or 4 each of the four malware infection determination criteria is met, the probability that the homepage is infected with malware is 25%, 50%, 75%, 100%. Can be printed as In addition, a weight may be applied to each malicious code infection determination condition to output a probability that the homepage is infected with the malicious code. At this time, according to the applied weight, the probability that the homepage is infected with the malicious code is properly calculated and output.

도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.6 is a block diagram illustrating an apparatus for detecting a homepage infected with a malicious code according to an embodiment of the present invention.

도 6을 참조하면, 악성코드에 감염된 홈페이지 탐지 장치(600)는 다운로드부(610), 데이터베이스(620), 검색부(630), 및 비교판별부(640)를 포함하고, 수치화부(650)를 더 포함할 수 있다.Referring to FIG. 6, the homepage detecting apparatus 600 infected with a malicious code includes a download unit 610, a database 620, a search unit 630, and a comparison discriminator 640, and a digitizer 650. It may further include.

다운로드부(610)는 웹소스 다운로드부(612)와 파일 다운로드부(614)를 포함한다. 웹소스 다운로드부(612)는 홈페이지로부터 웹소스를 다운로드하여 출력한다. 파일 다운로드부(614)는 웹소스 다운로드부(612)로부터 출력된 웹소스로부터 파일을 다운로드하여 출력한다. 파일은 jpg, gif, 또는 swf 등의 확장자를 가질 수 있다.The download unit 610 includes a web source download unit 612 and a file download unit 614. The web source download unit 612 downloads and outputs a web source from a homepage. The file download unit 614 downloads and outputs a file from a web source output from the web source download unit 612. The file may have an extension of jpg, gif, or swf.

데이터베이스(620)는 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드를 저장한다. 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 태그 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드 등은 이미 도 1 내지 도4에서 이미 설명하였으므로 부가적인 설명은 생략하기로 한다.Database 620 stores vulnerability class ID tag values, normal file header values, iframe and image tag size patterns, or malicious shellcode. Since the vulnerability class ID tag value, the normal file header value, the iframe tag and the image tag size pattern, or the malicious shellcode have already been described with reference to FIGS. 1 to 4, additional descriptions will be omitted.

검색부(630)는 클래스 아이디 태그 검색부(632), 아이프레임 및 이미지 태그 검색부(634), 악성 쉘코드 검색부(636), 및 파일 헤더값 검색부(638)를 포함한다. 클래스 아이디 태그 검색부(632)는 웹소스로부터 클래스 아이디 태그를 검색하여 출력한다. 파일 헤더값 검색부(638)는 파일의 헤더값을 검색하여 출력한다. 아이프레임 및 이미지 태그 검색부(634)는 웹소스로부터 아이프레임 태그 및 이미지 태그를 검색하여 출력한다. 악성 쉘코드 검색부(636)는 데이터베이스(620)로부터 악성 쉘코드 리스트를 입력받아 웹소스에 악성 쉘코드가 존재하는지를 검색하고, 그 검색 결과에 따라 홈페이지가 악성코드에 감염되었는지를 판별한다. 즉, 웹소스에 악성 쉘코드가 포함된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. The search unit 630 includes a class ID tag search unit 632, an iframe and image tag search unit 634, a malicious shell code search unit 636, and a file header value search unit 638. The class ID tag search unit 632 searches for and outputs a class ID tag from a web source. The file header value search unit 638 retrieves and outputs a file header value. The iframe and image tag search unit 634 searches for and outputs the iframe tag and image tag from a web source. The malicious shellcode search unit 636 receives a list of malicious shellcodes from the database 620 and searches whether a malicious shellcode exists in the web source, and determines whether the homepage is infected with the malicious code according to the search result. In other words, if a malicious shell code is included in the web source, the corresponding homepage is determined to be infected with malicious code.

비교판별부(640)는 제1 내지 제3 비교판별부(642, 644, 646)를 포함한다. 제1 비교판별부(642)는 클래스 아이디 태그 검색부(632)가 출력한 클래스 아이디 태그의 값과 데이터베이스(620)에 저장된 취약점 클래스 아이디 태그값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 클래스 아이디 태그값이 취약점 클래스 아이디 태그값과 일치하는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제2 비교판별부(644)는 아이 프레임 및 이미지 태그 검색부(634)가 출력한 아이프레임 태그 및 이미지 태그가 데이터베이스(620)에 저장된 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하고, 확인 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 아이프레임 태그 및 이미지 태그가 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제3 비교판별부(646)는 파일 헤더값 검색부(638)가 출력한 파일의 헤더값과 데이터베이스(620)에 저장된 정상 파일 헤더값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 파일 헤더값이 정상 파일 헤더값과 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. The comparison discrimination unit 640 includes first to third comparison discrimination units 642, 644, and 646. The first comparison unit 642 compares the value of the class ID tag output by the class ID tag search unit 632 with the vulnerability class ID tag value stored in the database 620, and the corresponding homepage is malware based on the comparison result. Determine if you have been infected. In detail, when the class ID tag value matches the vulnerability class ID tag value, it is determined that the corresponding homepage is infected with malicious code. The second comparison determiner 644 confirms whether the iframe tag and the image tag output by the iframe and image tag search unit 634 are used as an abnormal iframe and image tag size pattern stored in the database 620. Based on the result of the check, it is determined whether the homepage is infected with malicious code. In detail, when the iframe tag and the image tag are used as an abnormal iframe and image tag size pattern, it is determined that the corresponding homepage is infected with malicious code. The third comparison determiner 646 compares the header value of the file output by the file header value search unit 638 with the normal file header value stored in the database 620, and the homepage is infected with the malicious code according to the comparison result. Determine if Specifically, when the file header value does not match the normal file header value, it is determined that the home page is infected with malicious code.

본 발명의 악성코드에 감염된 홈페이지 탐지 장치(600)는 수치화부(650)를 더 포함할 수 있다. The homepage detection apparatus 600 infected with the malicious code of the present invention may further include a digitizer 650.

수치화부(650)는 악성 쉘코드 검색부(632)로부터 입력된 악성코드 감염 여부 판별 결과값과 제1 내지 제3 비교 판별부(642, 644, 646)로부터 입력된 판별 결과값을 수치화하고, 각 판별 결과값에 가중치를 적용하여 해당 홈페이지가 악성 코드에 감염되었을 확률을 출력한다. 예를 들면, 가중치를 적용하지 않는 경우 악성코드에 감염된 것으로 판별한 결과값들이 0개, 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 0%, 25%, 50%, 75%, 100%로 출력할 수 있다. 각 판별 결과값에 가중치를 적용하는 경우에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력할 수 있다.The digitizing unit 650 digitizes the malicious code infection determination result value input from the malicious shell code search unit 632 and the determination result value input from the first to third comparison determination units 642, 644, and 646, The weight is applied to each determination result to output the probability that the corresponding homepage is infected with malicious code. For example, if the weight is not applied, the result of determining that it is infected with malware is 0, 1, 2, 3, or 4, and the probability that the homepage is infected with malware is 0% and 25%. You can output 50%, 75% or 100%. When weights are applied to each determination result value, the probability that the corresponding homepage is infected with malicious code can be properly calculated and output according to the applied weight.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

610: 다운로드부
612: 웹소스 다운로드부
614: 파일 다운로드부
620: 데이터베이스
630: 검색부
632: 클래스 아이디 태그 검색부
634: 아이프레임 및 이미지 태그 검색부
636: 악성쉘코드 검색부
638: 파일 헤더값 검색부
640: 비교판별부
642: 제1 비교판별부
644: 제2 비교판별부
646: 제3 비교판별부
650: 수치화부 610: Download section
612: Download web source
614: file download unit
620:
630: search unit
632: class ID tag search unit
634: iframe and image tag search unit
636: Malware shell code search unit
638: file header value search unit
640: comparison judgment
642: First Comparative Determination Unit
644: second comparative determination
646: third comparative section
650: numerical department

Claims (16)

홈페이지로부터 웹소스를 다운로드하는 단계;
상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계; 및
상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Comparing a class ID tag value included in the web source with a prestored vulnerability class ID tag value; And
And determining that the homepage is infected with malicious code when the class ID tag value included in the web source and the vulnerability class ID tag value match.
How to detect homepages infected with malware. 제1항에 있어서, 상기 취약점 클래스 아이디 태그값은
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 1, wherein the vulnerability class ID tag value is
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e3207091dcfc , 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-444849983 , D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B "
How to detect homepages infected with malware. 홈페이지로부터 웹소스를 다운로드하는 단계;
상기 웹소스에 삽입된 파일을 다운로드하는 단계;
상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계; 및
상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Downloading a file inserted into the web source;
Comparing a header value of the file with a header value of a normal file stored in advance; And
And determining that the home page is infected with a malicious code when the header value of the file and the header value of the normal file do not match.
How to detect homepages infected with malware. 제3항에 있어서, 상기 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함하고,
상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
상기 PE 파일은 exe 파일을 포함하고,
정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
정상 swf 파일의 헤더값은 "43 57 53" 이고,
정상 exe 파일의 헤더값은 "4D 5A" 인
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 3, wherein the file comprises a media file and a portable executable file (PE),
The media file includes a jpg, gif, swf file,
The PE file includes an exe file,
The header value of a normal jpg file is "FF D8 FF".
The header value of a normal gif file is "47 49 46 38".
The header value of a normal swf file is "43 57 53".
The header value of a normal exe file is "4D 5A"
How to detect homepages infected with malware. 홈페이지로부터 웹소스를 다운로드하는 단계;
상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계; 및
상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Checking whether an iframe tag or an img tag included in the web source is used as a pre-stored abnormal tag size pattern; And
Determining that the homepage is infected with a malicious code when the iframe tag or image tag is used as a pre-stored abnormal tag size pattern.
How to detect homepages infected with malware. 제5항에 있어서, 상기 비정상 태그 사이즈 패턴은
"img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 5, wherein the abnormal tag size pattern is
"img and iframe + external address (format: ASCII, hex, utf encoding) + width or height = 0, img + external address (format: ASCII, hex, utf encoding) + width and height = 1, img + external address ( Format: ASCII, hex, utf encoding) + width but height = 1,500, OBJECT width = 0 external address (format: ASCII, hex, utf encoding), EMBED width = 0 external address (format: ASCII, hex, utf encoding) " Selected from the group consisting of
How to detect homepages infected with malware. 홈페이지로부터 웹소스를 다운로드하는 단계;
상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Checking whether the web source contains pre-stored malicious shellcodes; And
Determining that the homepage is infected with malicious code when the web source includes the malicious shellcode.
How to detect homepages infected with malware. 제7항에 있어서, 상기 악성 쉘코드는
"unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 7, wherein the malicious shell code is
"unescape ("% u0D0D% u0D0D, unescape ("% u9090% u9090, eval (function (p, a, c, k, e, d), document.write (unescape (, Eval (gzinflate (base64_decode ("
Selected from the group consisting of
How to detect homepages infected with malware. 홈페이지로부터 웹소스를 다운로드하는 단계;
상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계;
상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계;
상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계;
상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계;
상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Downloading the file when the file is inserted into the web source;
Comparing the class ID tag value included in the web source with prestored vulnerability class ID tag values when the web source includes a class ID tag;
Comparing a header value of the file with a header value of a normal file stored in advance;
When the web source includes an iframe tag or an img tag, checking whether the iframe tag or an image tag is used as a pre-stored abnormal tag size pattern;
Checking whether the web source contains pre-stored malicious shellcodes; And
When the class ID tag value included in the web source and the vulnerability class ID tag value match, when the header value of the file does not match the header value of the normal file, the iframe tag or image tag is stored in advance Determining that the home page is infected with malicious code when used as an abnormal tag size pattern or when the web source includes the malicious shell code.
How to detect homepages infected with malware. 제9항에 있어서, 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계에서,
상기 홈페이지가 악성코드에 감염된 것으로 판별할 수 있는 조건들이 충족되는 개수에 기초하여 상기 홈페이지가 악성코드에 감염되었을 확률을 출력하는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 9, wherein in the step of determining that the home page is infected with malicious code,
Outputting a probability that the home page is infected with malicious code based on the number of conditions for determining the home page is infected with malware;
How to detect homepages infected with malware. 홈페이지로부터 웹소스를 다운로드하거나 또는 상기 웹소스에 삽입된 파일을 다운로드하는 다운로드부;
취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스;
상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부; 및
상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함하는
악성코드에 감염된 홈페이지 탐지 장치.A download unit for downloading a web source from a homepage or downloading a file inserted into the web source;
A database storing at least one of a vulnerability class ID tag value, a normal file header value, an abnormal iframe tag and an image tag size pattern, and malicious shell code;
A class ID tag search unit for searching a class ID tag from the web source, a file header value search unit for searching a file header value from the web source, an iframe and an image for searching an iframe tag or an image tag from the web source A search unit including a tag search unit and a malicious shell code search unit for searching the malicious shell code from the web source and determining whether the homepage is infected with the malicious code according to the result; And
Compares the value of the class ID tag with the vulnerability class ID tag value, the file header value and the normal file header value, and determines whether the iframe tag and the image tag are used as the abnormal iframe tag and image tag size pattern. And a comparison discrimination unit for determining whether the home page is infected with malicious code according to the comparison and the verification result.
Homepage detection device infected with malware. 제11항에 있어서, 상기 악성 쉘코드 검색부 및 상기 비교판별부로부터 입력되는 판별 결과값을 수치화하고 수치화된 각 판별 결과값에 가중치를 적용하여 상기 홈페이지가 악성 코드에 감염되었을 확률을 출력하는 수치화부를 더 포함하는
악성코드에 감염된 홈페이지 탐지 장치.12. The method of claim 11, wherein the numerical value of the discrimination result input from the malicious shellcode search unit and the comparison discrimination unit is digitized and a weight is applied to each quantized discrimination result value to output a probability that the homepage is infected with the malicious code. Containing more wealth
Homepage detection device infected with malware. 제11항에 있어서, 상기 취약점 클래스 아이디 태그값은
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the vulnerability class ID tag value is
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e3207091dcfc , 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-444849983 , D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B "
Homepage detection device infected with malware. 제11항에 있어서, 상기 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함하고,
상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
상기 PE 파일은 exe 파일을 포함하고,
정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
정상 swf 파일의 헤더값은 "43 57 53" 이고,
정상 exe 파일의 헤더값은 "4D 5A" 인
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the file comprises a media file and a portable executable file (PE),
The media file includes a jpg, gif, swf file,
The PE file includes an exe file,
The header value of a normal jpg file is "FF D8 FF".
The header value of a normal gif file is "47 49 46 38".
The header value of a normal swf file is "43 57 53".
The header value of a normal exe file is "4D 5A"
Homepage detection device infected with malware. 제11항에 있어서, 상기 비정상 태그 사이즈 패턴은
"img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the abnormal tag size pattern is
"img and iframe + external address (format: ASCII, hex, utf encoding) + width or height = 0, img + external address (format: ASCII, hex, utf encoding) + width and height = 1, img + external address ( Format: ASCII, hex, utf encoding) + width but height = 1,500, OBJECT width = 0 external address (format: ASCII, hex, utf encoding), EMBED width = 0 external address (format: ASCII, hex, utf encoding) " Selected from the group consisting of
Homepage detection device infected with malware. 제11항에 있어서, 상기 악성 쉘코드는
"unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.
The method of claim 11, wherein the malicious shellcode is
"unescape ("% u0D0D% u0D0D, unescape ("% u9090% u9090, eval (function (p, a, c, k, e, d), document.write (unescape (, Eval (gzinflate (base64_decode ("
Selected from the group consisting of
Homepage detection device infected with malware.
KR1020110145760A 2011-12-29 2011-12-29 Homepage infected with a malware detecting device and method KR101327865B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145760A KR101327865B1 (en) 2011-12-29 2011-12-29 Homepage infected with a malware detecting device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145760A KR101327865B1 (en) 2011-12-29 2011-12-29 Homepage infected with a malware detecting device and method

Publications (2)

Publication Number Publication Date
KR20130077184A true KR20130077184A (en) 2013-07-09
KR101327865B1 KR101327865B1 (en) 2013-11-12

Family

ID=48990487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145760A KR101327865B1 (en) 2011-12-29 2011-12-29 Homepage infected with a malware detecting device and method

Country Status (1)

Country Link
KR (1) KR101327865B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150064331A (en) * 2013-12-03 2015-06-11 주식회사 케이티 Device for monitoring web server and analysing malicious code
WO2016127858A1 (en) * 2015-02-10 2016-08-18 阿里巴巴集团控股有限公司 Method and device for identifying webpage intrusion script features
CN112580034A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Method and device for verifying unshelled file, storage medium and computer equipment

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof
KR101110308B1 (en) * 2008-12-22 2012-02-15 한국전자통신연구원 Apparatus and method for detecting malicious code using packed file properties
KR101052443B1 (en) * 2009-05-15 2011-07-28 주식회사 엔에스에이치씨 Malware Analysis Method and System

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150064331A (en) * 2013-12-03 2015-06-11 주식회사 케이티 Device for monitoring web server and analysing malicious code
WO2016127858A1 (en) * 2015-02-10 2016-08-18 阿里巴巴集团控股有限公司 Method and device for identifying webpage intrusion script features
CN112580034A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Method and device for verifying unshelled file, storage medium and computer equipment
CN112580034B (en) * 2019-09-30 2022-04-22 奇安信安全技术(珠海)有限公司 Method and device for verifying unshelled file, storage medium and computer equipment

Also Published As

Publication number Publication date
KR101327865B1 (en) 2013-11-12

Similar Documents

Publication Publication Date Title
US9965630B2 (en) Method and apparatus for anti-virus scanning of file system
JP5511097B2 (en) Intelligent hash for centrally detecting malware
RU2607231C2 (en) Fuzzy whitelisting anti-malware systems and methods
US10140451B2 (en) Detection of malicious scripting language code in a network environment
US9953162B2 (en) Rapid malware inspection of mobile applications
US20120174227A1 (en) System and Method for Detecting Unknown Malware
JP5779334B2 (en) Output control device, output control program, output control method, and output control system
WO2007078981A2 (en) Forgery detection using entropy modeling
JP6039826B2 (en) Unauthorized access detection method and system
EP3076327B1 (en) Analyzing a password-protected file for malware
US8726377B2 (en) Malware determination
JP6691240B2 (en) Judgment device, judgment method, and judgment program
KR101327865B1 (en) Homepage infected with a malware detecting device and method
JP6297425B2 (en) Attack code detection apparatus, attack code detection method, and program
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
US8132258B1 (en) Remote security servers for protecting customer computers against computer security threats
KR101526500B1 (en) Suspected malignant website detecting method and system using information entropy
CN114003907A (en) Malicious file detection method and device, computing equipment and storage medium
TWI807451B (en) Malware scans
JP2017168146A (en) Connection destination information determination device, connection destination information determination method, and program
CN108205624B (en) Electronic device and method for detecting malicious file
Gundoor Identification Of Dominant Features in Non-Portable Executable Malicious File

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191105

Year of fee payment: 7