KR20140051102A - 링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템 - Google Patents

링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템 Download PDF

Info

Publication number
KR20140051102A
KR20140051102A KR1020137012907A KR20137012907A KR20140051102A KR 20140051102 A KR20140051102 A KR 20140051102A KR 1020137012907 A KR1020137012907 A KR 1020137012907A KR 20137012907 A KR20137012907 A KR 20137012907A KR 20140051102 A KR20140051102 A KR 20140051102A
Authority
KR
South Korea
Prior art keywords
link
reputation
client
server
redirected
Prior art date
Application number
KR1020137012907A
Other languages
English (en)
Other versions
KR101512253B1 (ko
Inventor
러셀 버트란드 카터 3세
프라바트 쿠마 랄
제프 오이트먼트
다보우드 마하
자베드 하산
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20140051102A publication Critical patent/KR20140051102A/ko
Application granted granted Critical
Publication of KR101512253B1 publication Critical patent/KR101512253B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Abstract

링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템이 개시되어 있다. 평판 서버가 복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스를 쿼리하여 리다이렉트된 링크의 평판을 검색한다. 평판 정보는 링크들이 악성 활동과 연관되어 있는지를 나타낼 수 있다. 리다이렉트된 링크의 평판을 최초 링크와 연관시켜 최초 링크의 평판을 생성할 수 있다.

Description

링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템{METHOD AND SYSTEM FOR PROTECTING AGAINST UNKNOWN MALICIOUS ACTIVITIES BY DETERMINING A REPUTATION OF A LINK}
본 발명은 일반적으로 컴퓨터 보안 및 악성 소프트웨어 보호에 관한 것으로, 더 상세하게는, 링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템에 관한 것이다.
인터넷을 통해 액세스할 수 있는 웹사이트들에 대한 등급을 판정하기 위해 사이트 크롤러(site crawlers) 및 웹 등급 보안 애플리케이션(web rating security applications)이 사용될 수 있다. 사이트 크롤러는 웹사이트들을 방문하여 정보(예를 들어, 웹사이트의 콘텐츠)를 모으는 데 사용될 수 있다. 이 정보는 웹 등급 보안 애플리케이션이, 예를 들어, 방문한 각 사이트에 대한 평판을 판정하는 데 사용될 수 있다. 이 평판은 특정 사이트가 안전한 사이트인지 악성 활동과 연관되어 있는지를 판정하는 데 사용될 수 있다.
그러나, 이들 애플리케이션은 몇몇 온라인 보안 위험을 해결하지 못한다. 예를 들어, 사이트 크롤러는 패스워드를 입력해야만 액세스할 수 있는, 소셜 네트워크 내의 사용자 프로파일과 온라인 상호작용 경험 등의, 콘텐츠 및 링크들은 탐지할 수 없다. 게다가, 사이트 크롤러는 전통적으로 사이트를 돌아다니는 것을 통해 콘텐츠를 발견하지만 사이트의 사용자들이 어느 링크를 클릭하는지 그리고 그 링크들의 콘텐츠는 알지 못한다. 많은 해커들은 또한 링크와 연관된 페이로드 또는 목적지를 다수의 리다이렉트 및 단축된 URL(Uniform Resource Locators)의 뒤에 은폐함으로써 웹 등급 보안 애플리케이션을 피하는 법을 알게 되었다.
본 개시 내용에 따르면, 미지의 악성 활동들로부터 보호하는 것과 연관된 불리한 점들과 문제점들이 실질적으로 감소되거나 제거되었다. 특정 실시예에서, 링크의 평판을 판정하는 방법이 평판 서버에 의해 복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스를 쿼리(query)하여 리다이렉트된 링크의 평판을 검색하는 단계를 포함한다. 평판 정보는 링크들이 악성 활동과 연관되어 있는지를 나타낼 수 있다. 리다이렉트된 링크의 평판을 최초 링크와 연관시켜 최초 링크의 평판을 생성한다.
본 개시 내용의 일 실시예에 따르면, 링크의 평판을 판정하는 시스템이 복수의 링크와 연관된 평판 정보를 갖고 있는 데이터베이스, 프로세서, 컴퓨터 판독가능 메모리 및 이 컴퓨터 판독가능 메모리에 인코딩된 프로세싱 명령들을 포함한다. 평판 정보는 링크들이 악성 활동과 연관되어 있는지를 나타낼 수 있다. 프로세싱 명령들은, 프로세서에 의해 실행될 때, 데이터베이스를 쿼리하여 리다이렉트된 링크의 평판을 검색하는 단계와 리다이렉트된 링크의 평판을 최초 링크와 연관시켜 최초 링크의 평판을 생성하는 단계를 포함하는 동작들을 수행하도록 작동될 수 있다.
본 개시 내용의 또 다른 실시예에 따르면, 비일시적 컴퓨터 판독가능 매체가 링크의 평판을 판정하기 위한 명령들을 저장하고 있다. 명령들은, 프로세서에 의해 실행될 때, 클라이언트에서 최초 링크 및 최초 링크와 연관된 리다이렉트된 링크를 기록하고 최초 링크와 리다이렉트된 링크를 평판 서버에 전송하도록 구성되고, 평판 서버는 복수의 링크에 대한 평판 정보를 포함하는 데이터베이스를 쿼리하여 리다이렉트된 링크의 평판에 기초하여 최초 링크의 평판을 판정하도록 작동된다. 평판 정보는 최초 링크가 악성 활동과 연관되어 있는지를 나타낼 수 있다. 명령들은 또한 클라이언트에서 평판 서버로부터 최초 링크가 악성 활동과 연관되어 있는지를 나타내는 최초 링크의 평판을 포함하는 통지를 수신하도록 구성될 수 있다.
본 개시 내용의 추가 실시예에 따르면, 링크의 평판을 판정하는 방법이 평판 서버에 의해 복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스를 쿼리하여 복수의 리다이렉트된 링크 각각의 평판을 검색하는 단계를 포함한다. 평판 정보는 링크들이 악성 활동과 연관되어 있는지를 나타낼 수 있다. 최초 링크의 평판은 복수의 링크 중 최저 평판 점수를 포함하는 리다이렉트된 링크의 평판, 복수의 리다이렉트된 링크의 평판들의 평균 평판 점수 및 최초 링크에 대한 최종 목적지를 나타내는 리다이렉트된 링크의 평판 중 적어도 하나에 기초하여 판정된다.
본 발명과 그의 특징들 및 이점들을 더 완전히 이해하기 위해, 이제 첨부 도면들과 함께 다음의 설명을 참조한다.
도 1은 본 개시 내용의 가르침에 따라 링크의 평판을 판정하여 미지의 악성 활동들로부터 보호하는 보안 애플리케이션을 포함하는 네트워크의 블록도를 예시하고 있다.
도 2는 본 개시 내용의 가르침에 따라 링크의 평판을 판정하여 미지의 악성 활동들로부터 보호하는 보안 애플리케이션을 포함하는 시스템의 블록도를 예시하고 있다.
도 3은 본 개시 내용의 가르침에 따라 복수의 링크에 대한 평판 정보를 포함하는 평판 데이터베이스를 예시하고 있다.
도 4는 본 개시 내용의 가르침에 따라 클라이언트에 보안 애플리케이션이 설치되어 있는 경우 미지의 악성 활동들로부터 보호하는 방법의 순서도를 예시하고 있다.
도 5는 본 개시 내용의 가르침에 따라 클라이언트에 보안 애플리케이션이 설치되어 있지 않은 경우 미지의 악성 활동들로부터 보호하는 방법의 순서도를 예시하고 있다.
도 6은 본 개시 내용의 가르침에 따라 링크의 평판을 판정하는 방법의 순서도를 예시하고 있다.
본 개시 내용의 실시예들과 이들의 이점들은 도 1 내지 도 6을 참조하여 가장 잘 이해되며, 도면들에서는 같고 대응하는 부분들을 지시하기 위해 같은 번호들이 사용된다.
도 1은 본 개시 내용의 가르침에 따라 링크의 평판을 판정하여 미지의 악성 활동들로부터 보호하는 보안 애플리케이션을 포함하는 네트워크의 블록도를 예시하고 있다. 악성 활동들은 시스템에서 원치 않는 활동을 생성하는 디지털 콘텐츠의 형태를 가질 수 있다. 악성 활동들의 유형들은 바이러스, 트로이 목마 바이러스, 웜(worms), 스파이웨어, 청하지 않은 전자 메시지, 피싱(phishing) 시도, 또는 이들의 임의의 조합을 포함할 수 있지만, 이들에 제한되는 것은 아니다.
시스템(100)은 네트워크(108)에 통신 가능하게 연결된 클라이언트들(102), 파트너 서버(104) 및 평판 서버(106)를 포함할 수 있다. 클라이언트들(102)은 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리하도록 구성된 임의의 전자 장치일 수 있으며, 컴퓨터, PDA(personal digital assistant) 또는 전화기를 포함하지만, 이들에 제한되는 것은 아니다. 파트너 서버(104)는 공통의 주소를 사용하여 액세스될 수 있는 데이터의 컬렉션을 포함하는 사이트를 호스팅하도록 구성된 임의의 서버일 수 있다. 예를 들어, 데이터는 HTTP(Hypertext Transfer Protocol), HTTPS(HTTP Secure), FTP(File Transfer Protocol), 텔넷 프로토콜(Telnet Protocol), SSH(Secure Shell Protocol), SMTP(Simple Mail Transfer Protocol), 또는 임의의 다른 이용 가능한 프로토콜 중 하나 이상을 이용하여 인터넷을 통해 데이터에 액세스함으로써 액세스될 수 있다. 평판 서버(106)는 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리하도록 구성될 수 있다. 예시된 실시예에서, 평판 데이터베이스(110)와 파트너 데이터베이스(112)가 평판 서버(106)에 통신 가능하게 연결될 수 있다. 평판 데이터베이스(110)와 파트너 데이터베이스(112)는 하나 이상의 사용자가 액세스할 수 있는 조직화된 데이터의 컬렉션을 저장하도록 구성될 수 있다. 예시된 실시예는 평판 데이터베이스(110)와 파트너 데이터베이스(112)가 평판 서버에 직접 연결되어 있는 것을 보여주고 있지만, 평판 데이터베이스(110)와 파트너 데이터베이스(112)는, 예를 들어, 네트워크(108)를 통해 평판 서버(106)에 원격으로 연결될 수 있다.
특정 네트워크가 도 1에 예시되어 있지만, "네트워크"라는 용어는 통신 신호, 데이터 및/또는 메시지를 송신할 수 있는 임의의 네트워크를 총칭하여 정의하는 것으로 해석될 수 있다. 네트워크(108)는 데이터의 운송 및 전달을 지원하는 통신 장비의 임의의 적당한 컬렉션과 배열을 나타낸다. 예를 들어, 네트워크(108)는 근거리 통신망(LAN), 광역 통신망(WAN), 백홀(back-haul) 네트워크, 인터넷과 같은 전세계적 컴퓨터 네트워크, 또는 무선 및/또는 유선 통신을 제공하기에 적합한 임의의 다른 통신 장비와 연관된 하나의 컴포넌트 또는 컴포넌트들의 컬렉션일 수 있다. 특정 실시예에서, 네트워크(108)는 인터넷 프로토콜(IP) 네트워크일 수 있다.
예시된 실시예에서, 클라이언트(102c)와 평판 서버(106)는 링크와 연관된 평판을 이용하여 미지의 악성 활동들로부터 보호하도록 작동되는 보안 애플리케이션(114)을 포함할 수 있다. 게다가, 파트너 서버(104)는 파트너 서버(104)가 호스팅하는 사이트에 위치한 임의의 아웃바운드 링크들(예를 들어, 파트너 사이트에서 벗어나서 내비게이트(navigate)하는 링크들)을 평판 서버(106)로 포인팅하도록 작동되는 평판 서버 스크립트(116)를 포함할 수 있다.
동작 중에, 시스템(100)은 링크의 평판과 보호 정책에 기초하여 링크가 악성 활동과 연관되어 있는지를 판정할 수 있다. 하나 이상의 링크와 연관된 평판 정보가 평판 서버(106)와 연관된 데이터베이스(110)에 저장될 수 있다. 평판 정보는 링크가 안전한 것으로 평가되었는지 안전하지 못한 것으로 평가되었는지 또는 링크가 알려지지 않은 것인지의 표시, 링크에 대한 평판 점수 및 콘텐츠에 기초한 링크의 분류를 포함할 수 있다. 다른 실시예들에서, 링크에 대한 트래픽 패턴 및 사이트 행동과 같은 링크와 연관된 임의의 다른 적당한 유형의 정보가 평판 정보에 포함될 수 있다. 보호 정책은 클라이언트들(102) 및/또는 평판 서버(106)에 저장될 수 있다. 보호 정책은 클라이언트(102)가 링크로 내비게이트하지 못하게 차단될 수 있는 때를 판정하기 위한 규칙들을 포함할 수 있다. 예를 들어, 그 규칙들은 링크에 대한 평판 정보에 기초할 수 있다. 일 실시예에서, 규칙은 링크가 최저 임계치보다 낮은 평판 점수를 가지고 있는 경우와 분류가 콘텐츠가 악성 활동임을 나타내는 경우 링크가 차단되어야 함을 나타낼 수 있다. 다른 실시예들에서, 규칙들은 평판 데이터베이스(110)에서 발견된 평판 정보의 임의의 조합에 기초할 수 있다.
클라이언트들(102) 중 하나에 있는 사용자가 네트워크(108)를 통해 사이트 상의 데이터에 액세스하기 위하여 링크를 클릭할 수 있다. 링크는 네트워크(108)를 통해 콘텐츠에 액세스하기 위하여 데스크톱 애플리케이션(예를 들어, 브라우저 애플리케이션, 이메일 애플리케이션, 워드 프로세싱 애플리케이션 등), 서버 애플리케이션 및 웹 서비스와 같은 임의의 애플리케이션을 통하여 액세스될 수 있다. 일 실시예에서, 링크는 식별된 리소스가 이용 가능한 곳을 명시하는 URL(Uniform Resource Locator)과 그것을 검색하기 위한 메커니즘을 포함할 수 있다. 다른 실시예에서, 링크는 요구된 정보를 식별하고 그의 위치를 찾아내는 IP 주소를 포함할 수 있다.
일부 실시예들에서, 링크는 데이터에 액세스하기 위한 최종 목적지를 나타낼 수 있고 링크는 1회 이상 리다이렉트될 수 있다. 사용자가 클라이언트(102c)에서 링크를 클릭하면, 클라이언트(102c) 상의 보안 애플리케이션(114)에 의해 임의의 리다이렉션들이 기록될 수 있다. 그 후 링크 및 연관된 리다이렉션들에 대한 정보는 클라이언트(102c)로부터 네트워크(108)를 통해 평판 서버(106)에 전송될 수 있다. 사용자가 클라이언트들(102a 및 102b) 중 어느 하나에서 링크를 클릭하고 링크가 파트너 서버(104)가 호스팅하는 파트너 사이트에 있다면, 평판 서버 스크립트(116)는 그 링크를 평판 서버(106)로 포인팅하도록 작동되고 이에 따라 평판 서버(106) 상의 보안 애플리케이션(114)이 그 링크와 연관된 임의의 리다이렉션들을 기록하게 된다. 링크에 대한 기록된 정보는 URL 또는 IP 주소와 같은 식별 정보를 포함할 수 있지만, 이에 제한되는 것은 아니다.
평판 서버(106)는 링크의 평판을 판정하기 위하여 링크의 URL 또는 IP 주소와 임의의 연관된 리다이렉션들을 이용하여 그 링크 및 임의의 연관된 리다이렉션들과 연관된 평판 정보를 평판 데이터베이스(110)로부터 검색할 수 있다. 일 실시예에서, 링크의 평판은 최저 평판 점수를 가진 리다이렉션에 기초할 수 있다. 다른 실시예에서, 링크에 대한 평판은 그 링크 및 임의의 연관된 리다이렉션들에 대한 평판 점수들의 평균에 기초할 수 있다. 추가 실시예에서, 링크에 대한 평판은 최종 목적지(예를 들어, 마지막 리다이렉션)에 대한 평판 정보에 기초할 수 있다. 평판 서버(106)는 그 후 링크와 연관된 평판을 보호 정책과 비교함으로써 링크에 대한 정책 교차(policy intersection)를 산출할 수 있다. 정책 교차가 링크가 악성 활동과 연관되어 있음을 나타낸다면, 클라이언트(102)는 클라이언트(102)에 있는 사용자에게 링크가 악성 활동과 연관되어 있음을 나타내는 정보를 표시하는 안전한 페이지로 리다이렉트될 것이다. 링크에 대한 평판 정보가 링크가 악성 활동과 연관되어 있지 않음을 나타낸다면, 클라이언트(102)는 요구된 정보를 사용자에게 표시하기 위해 링크와 연관된 사이트로 내비게이트할 것이다.
일 실시예에서, 데이터베이스(110)는 링크 및/또는 연관된 리다이렉션들에 대한 평판 정보를 포함하지 않을 수 있다. 이 경우, 링크 및/또는 연관된 리다이렉션들에 대한 평판 정보는 평판 서버(106)에 의해 판정되어 데이터베이스(110)에 저장될 수 있다. 다른 실시예에서, 링크와 연관된 평판 정보는 연관된 리다이렉션들 중 하나 이상과 연관된 평판 정보와 일치하지 않을 수 있다. 이 경우, 데이터베이스(110)에 저장된 링크의 평판 정보는 리다이렉션들 중 하나 이상과 연관된 평판 정보와 일치하도록 업데이트될 수 있다. 일 실시예에서, 링크에 대한 평판 정보는 최저 평판 점수를 가진 리다이렉션에 기초하여 업데이트될 수 있다. 다른 실시예에서, 링크에 대한 평판 정보는 링크 및 임의의 연관된 리다이렉션들에 대한 평판 점수들의 평균에 기초하여 업데이트될 수 있다. 추가 실시예에서, 링크에 대한 평판 정보는 최종 목적지(예를 들어, 마지막 리다이렉션)에 대한 평판 정보에 기초하여 업데이트될 수 있다.
도 2는 본 개시 내용의 가르침에 따라 링크의 평판을 판정하여 미지의 악성 활동들로부터 보호하는 보안 애플리케이션을 포함하는 시스템의 블록도를 예시하고 있다. 구체적으로, 시스템(200)은 클라이언트(102c), 평판 서버(106), 평판 데이터베이스(110) 및 파트너 데이터베이스(112)를 포함할 수 있다.
클라이언트(102c)는 메모리(204)에 기능적으로 연결된 프로세서(202)를 포함할 수 있다. 소정 실시예들에서, 프로세서(202)는, 예를 들어, 마이크로프로세서, 마이크로컨트롤러, 디지털 신호 프로세서(DSP), 주문형 집적 회로(ASIC), 또는 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리하도록 구성된 임의의 다른 디지털 또는 아날로그 회로일 수 있다. 일부 실시예들에서, 프로세서(202)는 메모리(204)에 저장된 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리할 수 있다. 메모리(204)는 하나 이상의 메모리 모듈을 저장하도록 구성된 임의의 시스템, 디바이스, 또는 장치를 포함할 수 있다. 각 메모리 모듈은 소정 기간 동안 프로그램 명령들 및/또는 데이터를 유지하도록 구성된 임의의 시스템, 디바이스 또는 장치를 포함할 수 있다(예를 들어, 컴퓨터 판독가능 매체). 이 개시 내용의 목적을 위해, 컴퓨터 판독가능 매체는 소정 기간 동안 데이터 및/또는 명령들을 유지할 수 있는 임의의 수단(instrumentality) 또는 수단들의 집합체를 포함할 수 있다. 컴퓨터 판독가능 매체는 직접 접근 기억 장치(예를 들어, 하드 디스크 드라이브 또는 플로피 디스크), 순차 접근 기억 장치(예를 들어, 테이프 디스크 드라이브), 콤팩트 디스크, CD-ROM, DVD, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), EEPROM(electrically erasable programmable read-only memory), 및/또는 플래시 메모리 등의 기억 매체; 뿐만 아니라 전선, 광섬유, 및 다른 전자기 및/또는 광 반송파 등의 통신 매체; 및/또는 전술한 것들의 임의의 조합을 제한 없이 포함할 수 있다.
클라이언트(102c)는 또한 보안 애플리케이션(114)과 애플리케이션(208)을 포함할 수 있고, 이들은 메모리(204)에 저장되어 있는 동안 프로세서(202)에 의해 실행될 수 있다. 보안 애플리케이션(114)은 애플리케이션(208)으로부터 액세스 가능한 링크와 연관된 정보를 클라이언트(102c)에 있는 사용자가 그 링크를 클릭할 때 기록하고, 평판 서버(106)와 통신하고, 클라이언트(102c)가 악성 활동과 연관되어 있는 링크에 액세스하지 못하게 막도록 구성된 애플리케이션일 수 있다. 애플리케이션(208)은 프로세스, 실행 파일, 공유 라이브러리, 드라이버, 장치 드라이버, 실행 시간 엔진, 운영 체제, 오브젝트 코드, 또는 클라이언트(102c)에 의해 실행되도록 구성된 임의의 다른 이진 명령들일 수 있다. 구체적 실시예들에서, 애플리케이션(208)은 브라우저 애플리케이션, 이메일 애플리케이션, 워드 프로세싱 애플리케이션, 스프레드시트 애플리케이션, 프리젠테이션 애플리케이션, PDF(portable document format)를 지원하는 애플리케이션 또는 임의의 다른 적당한 데스크톱 애플리케이션을 포함할 수 있지만, 이들에 제한되는 것은 아니다.
예시된 실시예에서, 보호 정책 데이터베이스(210)는 클라이언트(102c) 상의 프로세서(202)에 의해 실행되도록 구성된 모듈일 수 있다. 보호 정책 데이터베이스(210)는 메모리(204)와 보안 애플리케이션(114)에 기능적으로 연결될 수 있다. 다른 실시예에서, 보호 정책 데이터베이스(210)는 보안 애플리케이션(114)의 서브-모듈일 수 있다. 추가 실시예에서, 보안 애플리케이션(114) 또는 보호 정책 데이터베이스(210) 중 하나 또는 양쪽 모두가 네트워크(108)와 같은 네트워크를 통하여 액세스 가능한 클라우드 컴퓨팅 서버 내의 장치에 상주하도록 클라이언트(102c)로부터 원격에 있을 수 있다. 추가 실시예에서, 보안 애플리케이션(114) 또는 보호 정책 데이터베이스(210) 중 하나 또는 양쪽 모두가 평판 서버(106)에 상주하고 평판 서버(106)에 의해 실행될 수 있다.
보호 정책 데이터베이스(210)는 클라이언트(102c)가 링크로 내비게이트하지 못하게 저지되어야 하는 때를 판정하기 위한 규칙들에 관한 정보를 보안 애플리케이션(114)에 적절히 제공하기 위해 임의의 적당한 방식으로 구현될 수 있다. 일 실시예에서, 보호 정책 데이터베이스(210)는 데이터베이스일 수 있다. 다른 실시예에서, 보호 정책 데이터베이스(210)는 데이터 스토리지를 갖는 함수형 라이브러리(functional library)일 수 있다. 추가 실시예에서, 보호 정책 데이터베이스(210)는 룩업 테이블일 수 있다. 아래에 더 상세히 기술되는 바와 같이, 보안 애플리케이션(114)은, 예를 들어 사용자가 사이트의 데이터에 액세스하기 위해 애플리케이션(208) 내의 링크를 클릭할 때, 애플리케이션 동작들을 모니터하고, 링크와 연관된 평판 정보를 정책 보호 데이터베이스(210)에 포함된 보호 정책의 규칙들과 비교하고, 평판과 보호 정책이 링크가 악성 활동과 연관되어 있음을 나타내는 경우 클라이언트(102c)가 링크로 내비게이트하지 못하게 막도록 구성될 수 있다.
평판 서버(106)는 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리하도록 구성될 수 있다. 평판 서버(106)는 프로세서(214), 메모리(216) 및 링크 보호 서버(218)를 포함할 수 있다. 소정 실시예들에서, 프로세서(214)는, 예를 들어, 마이크로프로세서, 마이크로컨트롤러, 디지털 신호 프로세서(DSP), 주문형 집적 회로(ASIC), 또는 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리하도록 구성된 임의의 다른 디지털 또는 아날로그 회로일 수 있다. 일부 실시예들에서, 프로세서(214)는 메모리(216)에 저장된 프로그램 명령들을 해석 및/또는 실행하고 및/또는 데이터를 처리할 수 있다. 메모리(216)는 하나 이상의 메모리 모듈을 저장하도록 구성된 임의의 시스템, 디바이스, 또는 장치를 포함할 수 있다. 각 메모리 모듈은 소정 기간 동안 프로그램 명령들 및/또는 데이터를 유지하도록 구성된 임의의 시스템, 디바이스 또는 장치를 포함할 수 있다(예를 들어, 컴퓨터 판독가능 매체). 평판 서버(106)는 임의의 적당한 네트워크 위치에 상주할 수 있고 따라서 평판 서버(106)는 네트워크(108)와 같은 네트워크를 통하여 클라이언트(102c)에 통신 가능하게 연결될 수 있다.
링크 보호 서버(218)는 프로세서(214)에 의해 실행되고 메모리(216)에 저장될 수 있다. 링크 보호 서버(218)는 클라이언트(102) 내의 보안 애플리케이션(114)에 통신 가능하게 연결될 수 있다. 일 실시예에서, 링크 보호 서버(218)와 보안 애플리케이션(114)은 인터넷 프로토콜 슈트(Internet Protocol Suite)를 통해 통신할 수 있다. 링크 보호 서버(218)는 네트워크(108)와 같은 네트워크를 통하여 보안 애플리케이션(114)에 통신 가능하게 연결될 수 있다. 링크 보호 서버(218)는 링크와 연관된 평판 정보에 대하여 평판 데이터베이스(110)를 쿼리하고 파트너 정책 정보에 대하여 파트너 데이터베이스(112)를 쿼리하여, 링크에 대한 평판을 판정하고 링크에 대한 평판을 클라이언트(102c) 상의 보안 애플리케이션(114)에 전달하도록 구성될 수 있다.
다른 실시예에서, 링크 보호 서버(218)가 보안 애플리케이션(114)에 기능적으로 연결될 수 있도록 보안 애플리케이션(114)이 평판 서버(106)에 포함될 수 있다. 이 실시예에서는, 도 1에 예시된 클라이언트들(102a 및 102b)과 같은 클라이언트에 보안 애플리케이션(114)이 설치되어 있지 않은 경우에도 그 클라이언트가 미지의 악성 활동들로부터 보호될 수 있다. 예를 들어, 클라이언트들(102a 및 102b) 중 하나에 있는 사용자가 파트너 서버(104)가 호스팅하는 파트너 사이트 내의 링크를 클릭하면, 파트너 서버(104) 상의 평판 서버 스크립트(116)가 그 링크를 평판 서버(106)로 포인팅한다. 보안 애플리케이션(114)이 평판 서버(106)에 포함되어 있기 때문에, 보안 애플리케이션(114)이 링크 및 임의의 연관된 리다이렉션들을 기록할 수 있고 링크 보호 서버(218)와 연합하여 그 링크가 악성 활동과 연관되어 있는지를 판정할 수 있다.
평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 평판 서버(106)에 상주할 수 있거나, 다른 장치에 위치해 있을 수 있다. 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 스토리지를 제공하고 링크들에 관한 정보에 액세스하기에 적합한 임의의 방식으로 구현될 수 있다. 일 실시예에서, 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 데이터베이스일 수 있다. 다른 실시예에서, 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 데이터 스토리지를 갖는 함수형 라이브러리일 수 있다. 추가 실시예에서, 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 룩업 테이블일 수 있다. 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 서로 분리되어 있을 수 있거나, 보다 소수의 데이터베이스로 결합될 수 있다. 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 네트워크(108)와 같은 네트워크를 통하여 서로에 또는 평판 서버(106)에 통신 가능하게 연결될 수 있다. 평판 데이터베이스(110) 및/또는 파트너 데이터베이스(112)는 평판 서버(106)로부터의 데이터베이스 쿼리를 이용하여 액세스 가능할 수 있다.
동작 중에, 클라이언트(102c)에 있는 사용자가 네트워크(108)를 통해 사이트로부터의 데이터에 액세스하기 위해 애플리케이션(208)에서 링크(212a)를 클릭할 수 있다. 보안 애플리케이션(114)은 링크(212a)가 하나 이상의 리다이렉션을 포함하는지를 판정할 수 있다. 예를 들어, 링크(212a)는 링크(212b) 및 링크(212c)(즉, 중간 목적지들)로 그리고 최종적으로 링크(212n)(예를 들어, 최종 목적지)로 리다이렉트될 수 있다. 이 경우, 보안 애플리케이션(114)은 링크들(212a, 212b, 212c 및 212n) 각각과 연관된 정보를 기록할 수 있다. 링크들(212) 각각에 대한 정보는 연관된 도메인 이름 또는 URL 및/또는 IP 주소를 포함할 수 있다. 보안 애플리케이션(114)은 추가로 클라이언트(102c)가 그 링크로 내비게이트하지 못하게 저지되어야 하는 때에 관한 규칙들을 포함하는 보안 정책을 검색하기 위해 보안 정책 데이터베이스(210)에 액세스할 수 있다. 이어서 보안 애플리케이션(114)은 링크들(212a, 212b, 212c 및 212n) 각각과 연관된 정보와 보안 정책을 평판 서버(106) 상의 링크 보호 서버(218)에 전송할 수 있다. 다른 실시예에서, 보안 애플리케이션(114)은 링크들(212a, 212b, 212c 및 212n) 각각과 연관된 정보만을 링크 보호 서버(218)에 전송할 수 있다.
링크 보호 서버(218)는 링크(212a)에 대한 평판을 판정하기 위하여 링크들(212a, 212b, 212c 및 212n) 각각과 연관된 정보를 이용하여 평판 데이터베이스(110)를 쿼리하고 링크들(212a, 212b, 212c 및 212n) 각각과 연관된 평판을 검색할 수 있다. 링크(212a)와 연관된 평판이 링크들(212b, 212c 및 212n)과 연관된 평판들과 일치한다면, 링크 보호 서버(218)는 링크(212a)와 연관된 평판을 검색한다. 링크(212a)와 연관된 평판이 링크들(212b, 212c 및 212n)과 연관된 평판들과 일치하지 않는다면, 링크 보호 서버(218)는 링크들(212b, 212c 및 212n)과 연관된 평판들 중 하나 이상에 기초하여 링크(212)와 연관된 평판을 판정할 수 있다. 일 실시예에서, 링크(212a)와 연관된 평판은 링크들(212b, 212c 및 212n) 중 최저 평판 점수를 가진 링크에 기초할 수 있다. 다른 실시예에서, 링크(212a)와 연관된 평판은 링크들(212b, 212c 및 212n)과 연관된 평판 점수들의 평균에 기초할 수 있다. 추가 실시예에서, 링크(212a)와 연관된 평판은 링크(212a)에 대한 최종 목적지인 링크(212n)와 연관된 평판 정보에 기초할 수 있다. 이들 실시예 중 어느 것에서든, 링크 보호 서버(218)는 링크(212a)와 연관된 평판 정보를 링크들(212b, 212c 및 212n) 중 하나 이상에 기초한 적당한 평판 정보로 업데이트할 수 있다.
링크 보호 서버(218)가 링크(212a)에 대한 평판을 판정하면, 링크 보호 서버(218)는 그 평판과 보호 정책에 기초하여 링크(212a)에 대한 정책 교차를 산출할 수 있다. 일부 실시예들에서, 링크 보호 서버(218)는 클라이언트(102)로부터 보호 정책을 수신하지 않을 수 있고 링크(212a)에 대한 정책 교차를 평판에 기초할 수 있다. 이어서 평판 서버(106)가 링크(212a)에 대한 정책 교차를 클라이언트(102c)에 전송할 수 있다. 클라이언트(102c)가 보호 정책을 평판 서버(106)에 전송하지 않았다면, 클라이언트는 평판 서버(106)로부터 수신된 링크(212a)와 연관된 평판과 보호 정책 데이터베이스(210)로부터의 보호 정책을 이용하여 링크(212a)와 연관된 정책 교차를 산출할 수 있다. 정책 교차가 링크(212a)가 악성 활동과 연관되어 있음을 나타낸다면, 클라이언트(102c)는 링크(212a)가 악성 활동과 연관되어 있음을 사용자에게 나타내는 안전한 페이지로 내비게이트할 수 있다. 정책 교차가 링크(212a)가 악성 활동과 연관되어 있지 않음을 나타낸다면, 클라이언트(102)는 링크(212n)로 내비게이트하여 요구된 데이터를 사용자에게 표시한다.
도 3은 본 개시 내용의 가르침에 따라 복수의 링크에 대한 평판 정보를 포함하는 평판 데이터베이스를 예시하고 있다. 평판 데이터베이스(110)는 그것이 포함하고 있는 링크 및 콘텐츠 유형들을 평판과 연관시키는 정보를 포함할 수 있다. 평판 데이터베이스(110)는 다양한 링크들을 나타내는 항목들(308-326)에 대한 콘텐츠의 범주 또는 분류를 포함할 수 있다. 예를 들어, 평판 데이터베이스(110) 내의 각 항목은 도메인 이름 필드(302), 등급 필드(303), 평판 점수 필드(304), 및/또는 하나 이상의 콘텐츠 유형 필드(306)를 포함할 수 있다. 평판 데이터베이스(110)에서 사용된 도메인 이름들, URL들, 주소들, 분류들 및 범주들은 단지 설명 목적으로 제공되어 있다는 것에 유의해야 한다.
도메인 이름 필드(302)는 "my_bank.com"(308)과 같은 도메인 이름, "255.255.103.*"(320)와 같은 모든 서브도메인에 부합하는 와일드카드가 있거나 없는 IP 주소, "my_store.com/checkout.html"(310)과 같은 구체적인 URL 주소를 갖는 도메인, "us.social_network.com"(316)과 같은 명시된 서브도메인을 갖는 도메인, 또는 "231.210.93.201/aaa.himl"(322)과 같은 이들의 조합들을 포함할 수 있다. 등급 필드는 도메인 이름 필드(302)에 표시된 도메인이 안전한지 안전하지 못한지에 대한 표시를 포함할 수 있다. 예를 들어, "my_bank.com"(308)은 "양호(GOOD)" 등급을 포함하여, 이 도메인이 방문하기에 안전함을 나타낼 수 있는 반면, "bogus_search.com"(318)은 "불량(BAD)" 등급을 포함하여, 이 도메인이 방문하기에 안전하지 않고 악성 활동과 연관되어 있을 수 있음을 나타낼 수 있다. 게다가, "new_domain.com"(312)은 "미지(UNKNOWN)" 등급을 포함하여 이 도메인이 완전히 평가되어 있지 않음을 나타낼 수 있다.
평판 점수 필드(304)는 도메인 이름 필드(302)에 표시된 도메인에 대한 평판 점수를 포함할 수 있다. 평판 점수는 원치 않는 또는 악성 행동의 결여의 측면에서 도메인의 건전성의 정량적 등급을 나타낼 수 있다. 평판 점수는 원치 않는 또는 악성 행동의 결여의 측면에서 도메인의 건전성을 판정하는 임의의 용인되는 수단에 의해 산출되고 유지될 수 있다. 평판 점수를 판정하기 위해 다음에 언급하는 것들을 포함하는 다수의 요인들이 사용될 수 있다: 그 도메인이 스팸 메시지의 소스인지 여부; 그 도메인이 스팸 메시지에 포함된 링크들의 목적지인지 여부; 그 도메인이 악성 소프트웨어를 포함하고 있는 전자 메시지들에 포함된 링크들의 목적지인지 여부; 그 도메인이 악성 소프트웨어를 호스팅하는 다른 도메인들 또는 서버들에 의해 링크되어 있는지 여부; 그 도메인으로의 또는 그 도메인으로부터의 전자 메시지들 또는 트래픽들의 빈도와 용량; 그 도메인으로의 또는 그 도메인으로부터의 전자 메시지들 또는 트래픽들의 목적지 또는 소스; 그 도메인과 동일한 서버들 또는 네트워크에서 호스팅되는 다른 도메인들의 평판; 그 도메인의 콘텐츠가 악성 소프트웨어가 없는 것인지 여부; 그 도메인의 사이트 호스트가 알려진 이력적 행동에서 일탈하고 있는지 여부; 또는 그 도메인이 (악성 사이트들을 나타내는) 블랙리스트에 나오는지 (안전한 사이트들을 나타내는) 화이트리스트에 나오는지. 평판 점수 필드(304)의 항목들은 새로운 정보가 평판 데이터베이스(110)를 채우기 위해 사용될 때 변할 수 있다. 일 실시예에서, 평판 점수 필드(304)의 값은 0에서 100까지 다양할 수 있고, 여기서 0은 가장 작은 정도의 신뢰성을 나타내고, 100은 가장 큰 정도의 도메인의 신뢰성을 나타낸다. 일 실시예에서, 항목 "new_domain.com"(312)과 같은, 기존 평가 없이 평판 데이터베이스(113)에 입력된 새로운 항목에는 그의 평판 점수로 0이 할당될 수 있다.
분류 필드(306)는 도메인의 콘텐츠를 식별하기 위한 표시자를 포함하는 하나 이상의 필드를 포함할 수 있다. 분류 필드(306)는 도메인의 콘텐츠를 일반적으로 또는 구체적으로 나타낼 수 있다. 예를 들어, 평판 데이터베이스(110)에서, "malware_infested.com"(314)은 "악성 소프트웨어 - 피싱 공격(Malware - Phishing Attacks)"뿐만 아니라 "악성 소프트웨어 - 루트킷(Malware - Rootkits)"으로 분류되어, 그 사이트가 피싱 공격 콘텐츠뿐만 아니라 루트킷 콘텐츠를 포함하는 것으로 알려져 있음을 나타낸다. 분류 필드(306)는 도메인의 중립 콘텐츠의 종류들을 나타낼 수도 있다. 예를 들어, "my_bank.com"(308)은 "금융(Financial)"으로 분류되고, "us.social_network.com"(316)은 "소셜 네트워킹(Social Networking)"으로 분류된다. 분류 필드(306)에 대한 다양한 값들이 악성 소프트웨어의 임의의 적용 가능한 범주 또는 유형에 대해 존재할 수 있다.
클라이언트(102)에 있는 사용자가 도 2에 예시된 링크(212a)와 같은 링크를 클릭하면, 링크 보호 서버(218)가 링크(212a)에 대하여, 예를 들어, 링크(212a)의 URL("www.example1.com")을 이용하여 평판 데이터베이스(110)를 쿼리할 수 있다. 도 3에 도시된 바와 같이, 링크(212a)는 평판 데이터베이스(110) 내의 항목(324)과 연관되어 있을 수 있다. 도 2에 도시된 바와 같이, 링크(212a)는 그의 최종 목적지인 링크(212n)에 도달할 때까지 링크들(212b 및 212c)을 통하여 리다이렉트된다. 링크 보호 서버(218)는 추가로 링크들(212b, 212c 및 212n)에 대하여 각 링크와 연관된 URL들을 이용하여 평판 데이터베이스(110)를 쿼리할 수 있다. 링크(212n)는 도 3에 예시된 평판 데이터베이스(110) 내의 항목(326)과 연관되어 있을 수 있고, 그것은 링크(212n)가 트로이 목마 바이러스와 연관되어 있음을 나타낸다. 링크 보호 서버(218)는 링크(212n)에 대한 평판을 링크(212a)에 대한 평판과 연관시켜, 링크(212a)의 최종 목적지(212n)의 콘텐츠가 트로이 목마 바이러스이기 때문에 링크(212a)가 악성 활동과 연관되어 있음을 나타낼 수 있다. 이어서 링크 보호 서버(218)는 항목(324)(예를 들어, 링크(212a))과 연관된 평판을 업데이트하고 등급 필드(303), 평판 점수 필드(304) 및 분류 필드(306) 내의 값들을 항목(326)(예를 들어, 링크(212n))으로부터의 값들로 치환할 수 있다.
도 4는 본 개시 내용의 가르침에 따라 클라이언트에 보안 애플리케이션이 설치되어 있는 경우 미지의 악성 활동들로부터 보호하는 방법의 순서도를 예시하고 있다. 일반적으로, 도 1의 클라이언트(102c)에 있는 사용자가 네트워크(108)를 통해 사이트에 있는 데이터에 액세스하기 위해 링크를 클릭할 수 있다. 클라이언트(102c)에 있는 보안 애플리케이션(114)이 그 링크와 연관된 리다이렉션이 있는지를 판정할 수 있다. 보안 애플리케이션(114)은 그 링크 및 임의의 연관된 리다이렉션들과 연관된 정보를 기록할 수 있고 그 정보를 평판 서버(106)에 전송할 수 있다. 평판 서버(106)는 그 링크 및 임의의 연관된 리다이렉션들과 연관된 정보를 이용하여 그 링크가 악성 활동과 연관되어 있는지를 나타내는 그 링크에 대한 정책 교차를 판정할 수 있다. 이어서 평판 서버(106)는 정책 교차를 클라이언트(102c)에 전송할 수 있고 따라서 클라이언트(102c)는 그 링크로 내비게이트하는 것이 안전한지 또는 그 링크가 악성 활동과 연관되어 있어 그 사이트로의 액세스가 차단되어야 하는지를 판정할 수 있다.
방법(400)은 단계 402에서 도 1의 클라이언트(102c)에 있는 사용자가 네트워크(108)를 통하여 이용 가능한 사이트에 있는 데이터에 액세스하기 위해 링크를 클릭할 때 시작된다. 단계 404에서, 클라이언트(102c)가 링크가 파트너 사이트에 위치해 있는지를 판정한다. 일 실시예에서, 파트너 사이트는 파트너 사이트 상의 아웃바운드 링크들을 평판 서버(106)와 연관된 주소로 포인팅하기 위한 스크립트(예를 들어, 도 1의 파트너 서버(104) 상의 서버 평판 스크립트(116)) 또는 다른 명령들을 포함하는 임의의 사이트일 수 있다. 그 링크가 파트너 사이트에 있다면, 단계 406에서 클라이언트(102c)가 보안 애플리케이션(114)이 클라이언트(102c)에 설치되어 있음을 나타내는 식별 정보(identification)를 평판 서버(106)에 전송한다. 이어서 단계 408에서 클라이언트(102c)가 보호 정책, 링크 및 파트너 이름을 저장한다. 단계 410에서 클라이언트(102c)가 평판 서버(106)로 내비게이트하고 단계 412에서 평판 서버(106)가 파트너 데이터베이스(112)를 쿼리하여 파트너 사이트에 대한 파트너 정책을 검색한다. 일 실시예에서, 파트너 정책은 파트너 사이트에 있는 동안 액세스될 수 없는 링크들 및 연관된 콘텐츠를 포함할 수 있다. 이어서 단계 414에서 평판 서버(106)가 파트너 사이트에 대한 파트너 정책이 링크가 비인가 링크임을 나타내는지를 판정할 수 있다. 파트너 정책이 링크가 비인가 링크임을 나타낸다면, 단계 416에서, 클라이언트(102c)는 사용자가 클릭한 링크가 비인가 콘텐츠를 포함하고 있기 때문에 그 링크가 파트너 사이트로부터 액세스될 수 없음을 나타내는 페이지로 내비게이트한다. 단계 414에서 파트너 정책이 링크가 인가된 링크임을 나타낸다면, 방법은 단계 420으로 이동한다.
단계 404에서 링크가 파트너 사이트에 포함되어 있지 않다면, 단계 418에서 클라이언트(102)가 링크를 처리한다. 링크를 처리하는 것은 그 링크에 대한 도메인 이름, URL 또는 주소와 같은 정보를 수집하고 클라이언트(102c)에 있는 사용자에게 사이트를 표시하지 않고 최종 목적지로 그 링크를 따라가는 것을 포함할 수 있다. 단계 420에서, 클라이언트(102c)는 최종 목적지에 도달하기 위해 링크가 리다이렉트되었는지를 판정한다. 클라이언트(102c)가 링크가 리다이렉트된 것을 탐지하면, 단계 422에서 클라이언트(102c)는 링크와 최종 목적지 사이의 리다이렉션들 각각을 기록한다. 클라이언트(102c)는 리다이렉션들 각각과 연관된, 도메인 이름 또는 URL 및/또는 IP 주소와 같은 주소를 기록할 수 있다. 클라이언트(102)가 어떤 리다이렉션도 탐지하지 못하면, 방법은 단계 424로 이동한다.
단계 424에서, 클라이언트(102c)는 링크 및 임의의 리다이렉션들과 연관된 정보를 평판 서버(106)에 전송한다. 일 실시예에서, 링크 및 임의의 리다이렉션들과 연관된 정보는 도메인 이름, URL 또는 주소와 같은 식별 정보일 수 있다. 다른 실시예에서, 그 정보는 링크 및 연관된 리다이렉션들에 대한 식별 정보와 클라이언트(102c)에 대한 보호 정책(예를 들어, 도 2의 보호 정책 데이터베이스(210)로부터의 보호 정책)을 포함할 수 있다. 보호 정책은 링크가 악성 활동과 연관되어 있을 수 있기 때문에 클라이언트(102c)가 그 링크로 내비게이트하지 못하게 저지되어야 하는 때를 나타내는 규칙들을 포함할 수 있다. 단계 426에서, 평판 서버(106)는 클라이언트(102c)로부터 수신된 링크 및 연관된 리다이렉션들과 연관된 정보에 기초하여 링크에 대한 정책 교차를 판정할 수 있다. 링크에 대한 정책 교차를 판정하는 것의 세부 사항은 도 6에 관련하여 아래에 설명된다. 평판 서버(106)가 링크에 대한 정책 교차를 판정하면, 단계 428에서 평판 서버(106)는 링크에 대한 정책 교차를 포함하는 통지를 클라이언트(102c)에 전송한다.
단계 430에서, 클라이언트(102)는 정책 교차를 포함하는 통지가 링크가 악성 활동과 연관되어 있음을 나타내는지를 판정한다. 링크가 악성 활동과 연관되어 있지 않다면, 단계 432에서 클라이언트(102c)는 사이트에 있는 데이터를 사용자에게 표시하기 위해 링크의 최종 네트워크 목적지로 내비게이트한다. 링크가 악성 활동과 연관되어 있다면, 단계 434에서 클라이언트(102c)는 링크가 악성 활동과 연관되어 있음을 표시하는 안전한 페이지로 내비게이트한다.
방법(400)은 도 1-3의 시스템, 또는 방법(400)을 구현하도록 작동되는 임의의 다른 시스템을 이용하여 구현될 수 있다. 따라서, 방법(400)에 대한 선호되는 초기화 지점 및 방법(400)을 구성하는 단계들의 순서는 선택된 구현에 좌우된다. 일부 실시예들에서, 일부 단계들은 선택적으로 생략되거나, 반복되거나, 조합될 수 있다. 일부 실시예들에서, 방법(400)의 부분들이 조합될 수 있다. 소정 실시예들에서, 방법(400)은 부분적으로 또는 전체적으로 컴퓨터 판독가능 매체에 포함된 소프트웨어로 구현될 수 있다.
도 5는 본 개시 내용의 가르침에 따라 클라이언트에 보안 애플리케이션이 설치되어 있지 않은 경우 미지의 악성 활동들로부터 보호하는 방법의 순서도를 예시하고 있다. 일반적으로, 예를 들어, 도 1의 클라이언트(102a)에 있는 사용자가 파트너 사이트에 있는 동안 네트워크(108)를 통해 다른 사이트에 있는 데이터에 액세스하기 위해 링크를 클릭할 수 있다. 도 1에서 언급한 바와 같이, 보안 애플리케이션(114)이 클라이언트(102a)에 설치되어 있지 않다. 클라이언트(102a)가 보안 애플리케이션(114)이 클라이언트(102a)에 설치되어 있다는 통지를 평판 서버(106)에 전송하지 않았기 때문에 파트너 서버(104)에 있는 평판 서버 스크립트(116)가 평판 서버(106)로 내비게이트할 수 있다. 평판 서버(106)에 있는 보안 애플리케이션이 링크 및 임의의 리다이렉션들과 연관된 정보를 기록할 수 있다. 평판 서버(106)는 링크 및 임의의 리다이렉션들과 연관된 정보를 이용하여 링크가 악성 활동과 연관되어 있는지를 나타내는 링크에 대한 정책 교차를 판정할 수 있다. 평판 서버(106)는 정책 교차에 기초하여 링크로 내비게이트하는 것이 안전한지 또는 링크가 악성 활동과 연관되어 있어 그 사이트로의 액세스가 차단되어야 하는지를 판정할 수 있다.
방법(500)은 단계 502에서 도 1의 클라이언트(102a)에 있는 사용자가 네트워크(108)를 통하여 이용 가능한 다른 사이트에 있는 데이터에 액세스하기 위해 파트너 사이트에서 링크를 클릭할 수 있다. 보안 애플리케이션(114)이 클라이언트(102a)에 설치되어 있지 않기 때문에, 단계 504에서 클라이언트(102a)가 평판 서버(106)로 내비게이트한다. 이 내비게이션은 파트너 사이트 상의 모든 아웃바운드 링크들이 평판 서버(106)와 연관된 주소로 포인팅하도록 파트너 사이트에 스크립트(예를 들어, 도 1의 파트너 서버(104)에 있는 서버 평판 스크립트(116)) 또는 다른 명령들이 파트너 사이트에 포함되어 있을 때 완수될 수 있다. 평판 서버(106)로의 내비게이션은 사용자에게 투명할 수 있지만 평판 서버(106)는 링크가 악성 활동과 연관되어 있는지를 판정하기 위하여 링크와 연관된 적절한 정보를 수집할 수 있다.
단계 506에서, 평판 서버(106)가 파트너 데이터베이스를 쿼리하여 파트너 사이트와 연관된 파트너 정책을 검색할 수 있다. 일 실시예에서, 파트너는 파트너 사이트와 연관된 도메인 이름 및/또는 주소에 의해 식별될 수 있다. 이어서 단계 508에서 평판 서버(106)는 파트너 사이트에 대한 파트너 정책이 링크가 비인가 링크임을 나타내는지를 판정할 수 있다. 파트너 정책이 링크가 비인가 링크임을 나타낸다면, 단계 510에서, 클라이언트(102a)는 사용자가 클릭한 링크가 비인가 콘텐츠를 포함하고 있기 때문에 그 링크가 파트너 사이트로부터 액세스될 수 없음을 나타내는 페이지로 리다이렉트된다. 단계 508에서 파트너 정책이 링크가 인가된 링크임을 나타낸다면, 단계 512에서 평판 서버(106)가 링크를 처리한다. 링크를 처리하는 것은 그 링크에 대한 도메인 이름, URL 또는 주소와 같은 정보를 수집하고 클라이언트(102a)에 있는 사용자에게 사이트를 표시하지 않고 최종 목적지로 그 링크를 따라가는 것을 포함할 수 있다.
단계 514에서, 평판 서버(106)는 최종 목적지에 도달하기 위해 링크가 리다이렉트되었는지를 판정한다. 평판 서버(106)가 링크가 리다이렉트된 것을 탐지하면, 단계 516에서 평판 서버(106)는 링크와 최종 목적지 사이의 리다이렉션들 각각을 기록한다. 평판 서버(106)는 리다이렉션들 각각과 연관된, 도메인 이름 또는 URL 및/또는 IP 주소와 같은 주소를 기록할 수 있다. 평판 서버(106)가 어떤 리다이렉션도 탐지하지 못하면, 방법은 단계 518로 이동한다.
단계 518에서, 평판 서버(106)는 링크 및 임의의 리다이렉션들과 연관된 정보에 기초하여 링크에 대한 정책 교차를 판정할 수 있다. 일 실시예에서, 링크 및 임의의 리다이렉션들과 연관된 정보는 도메인 이름, URL 또는 주소와 같은 식별 정보일 수 있다. 다른 실시예에서, 그 정보는 링크 및 연관된 리다이렉션들에 대한 식별 정보와 보호 정책을 포함할 수 있다. 보호 정책은 링크가 악성 활동과 연관되어 있을 수 있기 때문에 클라이언트(102a)가 그 링크로 내비게이트하지 못하게 저지되어야 하는 때를 나타내는 규칙들을 포함할 수 있다. 링크에 대한 정책 교차를 판정하는 것의 세부 사항은 도 6에 관련하여 아래에 설명된다.
단계 520에서, 평판 서버(106)는 정책 교차가 링크가 악성 활동과 연관되어 있음을 나타내는지를 판정한다. 링크가 악성 활동과 연관되어 있지 않다면, 단계 522에서 평판 서버(106)는 사이트에 있는 데이터를 클라이언트(102a)에 있는 사용자에게 표시하기 위해 링크의 최종 네트워크 목적지로 내비게이트한다. 링크가 악성 활동과 연관되어 있다면, 단계 524에서 평판 서버(106)는 링크가 악성 활동과 연관되어 있음을 표시하는 안전한 페이지로 내비게이트한다.
방법(500)은 도 1-3의 시스템, 또는 방법(500)을 구현하도록 작동되는 임의의 다른 시스템을 이용하여 구현될 수 있다. 따라서, 방법(500)에 대한 선호되는 초기화 지점 및 방법(500)을 구성하는 단계들의 순서는 선택된 구현에 좌우된다. 일부 실시예들에서, 일부 단계들은 선택적으로 생략되거나, 반복되거나, 조합될 수 있다. 일부 실시예들에서, 방법(500)의 부분들이 조합될 수 있다. 소정 실시예들에서, 방법(500)은 부분적으로 또는 전체적으로 컴퓨터 판독가능 매체에 포함된 소프트웨어로 구현될 수 있다.
도 6은 본 개시 내용의 가르침에 따라 링크의 평판을 판정하는 방법의 순서도를 예시하고 있다. 일반적으로, 도 1의 평판 서버(106)는 링크에 관한 정보를 클라이언트로부터 직접 수신하거나(도 4의 단계 424 참조) 파트너 서버(104)를 통하여 클라이언트로부터 간접적으로 수신한다(도 5의 단계 516 참조). 평판 서버(106)는 링크 및 임의의 연관된 리다이렉션들에 관한 식별 정보를 추출하고 링크 및 연관된 리다이렉션들에 대하여 평판 데이터베이스(110)로부터 평판 정보를 검색한다. 평판 서버(106)는 연관된 리다이렉션들의 평판들 중 하나 이상에 기초하여 링크의 평판을 판정하고 이어서 판정된 평판에 기초하여 링크에 대한 정책 교차를 산출한다. 링크와 리다이렉션들 중 어느 하나에 대한 평판 정보 사이에 불일치가 있다면, 평판 서버(106)는 평판 데이터베이스(110)에서 그 링크에 대한 평판 정보를 업데이트한다.
방법(600)은 방법(400)의 단계 426에서 그리고 방법(500)의 단계 518에서 확인된 것과 같은 정책 교차를 판정하는 데 이용될 수 있다. 단계 602에서, 평판 서버(106)가 링크 및 임의의 리다이렉션들과 연관된 정보를 추출한다. 일 실시예에서, 링크 및 임의의 리다이렉션들과 연관된 정보는 도메인 이름, URL 또는 주소와 같은 식별 정보일 수 있다. 다른 실시예에서, 그 정보는 링크 및 연관된 리다이렉션들에 대한 식별 정보와 파트너 사이트에 대한 보호 정책을 포함할 수 있다. 단계 604에서, 평판 서버(106)는 링크 및 연관된 리다이렉션들이 그 사이트의 콘텐츠가 악성 활동과 연관되어 있지 않음을 나타내는 화이트리스트에 있는지를 판정한다. 링크 및 연관된 리다이렉션들이 화이트리스트에 있다면, 평판 서버(106)는 링크의 평판을 판정하지 않고 클라이언트(102)가 링크로 내비게이트하는 것을 허용한다. 보안 애플리케이션이 도 1의 클라이언트(102c)와 같은 클라이언트에 설치되어 있는 경우, 평판 서버(106)는 링크가 화이트리스트에 있음을 나타내는 통지를 클라이언트(102)에 전송할 수 있다. 보안 애플리케이션이 도 1의 클라이언트들(102a 및 102b)과 같은 클라이언트에 설치되어 있지 않은 경우, 평판 서버(106)는 링크로 내비게이트할 수 있고 이에 따라 그 사이트로부터의 데이터가 클라이언트들(102a 및 102b)에 표시된다.
링크 및 연관된 리다이렉션들 중 하나 이상이 화이트리스트에 없다면, 단계 608에서 평판 서버(106)는 평판 데이터베이스(110)를 쿼리하여 링크 및 연관된 리다이렉션들에 대한 평판들을 검색할 수 있다. 이어서 단계 610에서 평판 서버(106)는 연관된 리다이렉션들의 평판들 중 하나 이상에 기초하여 링크에 대한 평판을 판정할 수 있다. 일 실시예에서, 링크의 평판은 최저 평판 점수를 가진 리다이렉션에 기초할 수 있다. 다른 실시예에서, 링크에 대한 평판은 링크 및 임의의 연관된 리다이렉션들에 대한 평판 점수들의 평균에 기초할 수 있다. 추가 실시예에서, 링크에 대한 평판은 최종 목적지(예를 들어, 마지막 리다이렉션)에 대한 평판 정보에 기초할 수 있다.
단계 612에서, 평판 서버(106)는 판정된 평판과 보안 정책에 기초하여 링크에 대한 정책 교차를 산출할 수 있다. 정책 교차는 클라이언트(102)가 링크로 내비게이트하지 못하게 차단될 수 있는 때를 판정하기 위한 규칙들을 포함할 수 있다. 보안 애플리케이션이 도 1의 클라이언트(102c)와 같은 클라이언트에 설치되어 있는 경우, 평판 서버(106)는 클라이언트(102c)로부터 보안 정책을 수신할 수 있다. 보안 애플리케이션이 도 1의 클라이언트들(102a 및 102b)과 같은 클라이언트에 설치되어 있지 않은 경우, 평판 서버(106)는 평판 서버(106)에 일부로 포함되어 있거나 평판 서버(106)와 분리되어 있는 보안 정책 데이터베이스로부터 보안 정책을 검색할 수 있다.
평판 서버(106)가 링크에 대한 정책 교차를 산출하면, 평판 서버(106)는 도 1의 보안 애플리케이션(114)과 같은 보안 애플리케이션이 클라이언트(102)에 설치되어 있는지를 판정할 수 있다. 보안 애플리케이션(114)이 도 1의 클라이언트(102c)와 같은 클라이언트에 설치되어 있다면, 단계 616에서 평판 서버(106)는 링크에 대한 정책 교차를 갖는 통지를 클라이언트(102c)에 전송한다. 단계 616은 도 4의 방법(400)의 단계 428과 유사할 수 있다. 보안 애플리케이션(114)이 클라이언트들(102a 및 102b)과 같은 클라이언트에 설치되어 있지 않은 경우, 단계 618에서 평판 서버(106)는 정책 교차가 링크가 악성 활동과 연관되어 있음을 나타내는지를 판정한다. 단계 618은 도 5의 방법(500)의 단계 520과 유사할 수 있다.
단계 620에서, 평판 서버(106)는 링크와 연관된 평판 정보와 리다이렉션들과 연관된 정보에 불일치가 있는지를 판정할 수 있다. 일 실시예에서, 평판 데이터베이스(110)에 저장되어 있는 링크와 연관된 평판 정보가 평판 데이터베이스(110)에 저장되어 있는 리다이렉션들 중 하나 이상과 연관된 평판 정보와 동일하지 않으면 불일치가 발생할 수 있다. 일 실시예에서, 링크와 리다이렉션들의 평판 점수들이 동일하지 않으면 불일치가 발생할 수 있다. 다른 실시예에서, 링크와 리다이렉션들의 콘텐츠가 동일하지 않으면 불일치가 발생할 수 있다. 불일치가 있다면, 단계 622에서 평판 서버(106)는 평판 데이터베이스(110)에서 링크와 연관된 평판 정보를 업데이트할 수 있다. 일 실시예에서, 링크에 대한 평판 정보는 최저 평판 점수를 가진 리다이렉션에 기초할 수 있다. 다른 실시예에서, 링크에 대한 평판은 링크 및 임의의 연관된 리다이렉션들에 대한 평판 점수들의 평균에 기초할 수 있다. 추가 실시예에서, 링크에 대한 평판은 최종 목적지(예를 들어, 마지막 리다이렉션)에 대한 평판 정보에 기초할 수 있다. 링크와 리다이렉션들의 평판들이 일치하면, 방법(600)이 종료될 수 있다.
방법(600)은 도 1-3의 시스템, 또는 방법(600)을 구현하도록 작동되는 임의의 다른 시스템을 이용하여 구현될 수 있다. 따라서, 방법(600)에 대한 선호되는 초기화 지점 및 방법(600)을 구성하는 단계들의 순서는 선택된 구현에 좌우된다. 일부 실시예들에서, 일부 단계들은 선택적으로 생략되거나, 반복되거나, 조합될 수 있다. 일부 실시예들에서, 방법(600)의 부분들이 조합될 수 있다. 소정 실시예들에서, 방법(600)은 부분적으로 또는 전체적으로 컴퓨터 판독가능 매체에 포함된 소프트웨어로 구현될 수 있다.
본 개시 내용이 상세히 기술되었지만, 첨부된 청구항들에 의해 정의된 본 개시 내용의 진의 및 범위에서 벗어나지 않고 여기에 다양한 변화, 치환, 및 변경이 이루어질 수 있다는 것을 이해해야 한다.

Claims (33)

  1. 링크에 대한 평판(reputation)을 판정하는 방법으로서,
    평판 서버에 의해 복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스를 쿼리(query)하여 리다이렉트된 링크의 평판을 검색하는 단계 - 상기 평판 정보는 상기 링크들이 악성 활동과 연관되어 있는지를 나타냄 -; 및
    상기 리다이렉트된 링크의 평판을 최초 링크와 연관시켜 상기 최초 링크의 평판을 생성하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 평판 서버에서 클라이언트로부터 상기 최초 링크와 상기 리다이렉트된 링크를 수신하는 단계를 더 포함하는 방법.
  3. 제2항에 있어서,
    상기 클라이언트로부터 보호 정책을 수신하는 단계 - 상기 보호 정책은 상기 클라이언트가 상기 최초 링크로 내비게이트하지 못하게 저지되어야 하는지를 나타내는 규칙들을 포함함 -;
    상기 최초 링크의 평판과 상기 보호 정책에 기초하여 정책 교차(policy intersection)를 산출하는 단계 - 상기 정책 교차는 상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타냄 -; 및
    상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타내는 상기 최초 링크에 대한 상기 정책 교차를 포함하는 통지를 상기 클라이언트에 전송하는 단계
    를 더 포함하는 방법.
  4. 제1항에 있어서,
    클라이언트에서 상기 평판 서버로부터 상기 최초 링크의 평판을 포함하는 통지를 수신하는 단계;
    상기 최초 링크의 평판과 상기 클라이언트가 상기 최초 링크로 내비게이트하지 못하게 저지되어야 하는지를 나타내는 규칙들을 포함하는 보안 정책에 기초하여 정책 교차를 산출하는 단계; 및
    상기 정책 교차가 상기 최초 링크가 상기 악성 활동과 연관되어 있음을 나타내면 상기 최초 링크로의 액세스를 차단하는 단계
    를 더 포함하는 방법.
  5. 제1항에 있어서, 상기 최초 링크의 평판으로 상기 데이터베이스를 업데이트하는 단계를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 데이터베이스를 쿼리하여 상기 최초 링크의 평판을 검색하는 단계;
    상기 최초 링크의 평판이 상기 리다이렉트된 링크의 평판과 일치하는지를 판정하는 단계; 및
    상기 링크와 리다이렉트된 목적지의 평판들이 일치하지 않으면 상기 리다이렉트된 링크의 평판을 포함하도록 상기 최초 링크의 평판을 업데이트하는 단계
    를 더 포함하는 방법.
  7. 제1항에 있어서, 상기 최초 링크의 평판이 상기 최초 링크가 상기 악성 활동과 연관되어 있음을 나타낸다면 상기 클라이언트에서 상기 최초 링크로의 액세스를 차단하는 단계를 더 포함하는 방법.
  8. 제1항에 있어서, 상기 통지가 상기 최초 링크가 상기 악성 활동과 연관되어 있지 않음을 나타낸다면 상기 클라이언트에서 상기 최초 링크와 연관된 최종 목적지로 내비게이트하는 단계를 더 포함하는 방법.
  9. 제1항에 있어서, 상기 최초 링크를 상기 평판 서버로 포인팅하게 리다이렉트하도록 작동되는 스크립트에 기초하여 파트너 서버가 호스팅하는 파트너 사이트로부터 상기 평판 서버에서 상기 최초 링크를 수신하는 단계를 더 포함하는 방법.
  10. 제1항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 최종 목적지인 방법.
  11. 제1항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 중간 목적지인 방법.
  12. 제1항에 있어서, 상기 링크들과 연관된 평판 정보는 등급, 평판 점수 및 콘텐츠 유형 중 적어도 하나를 포함하는 것인 방법.
  13. 링크의 평판을 판정하는 시스템으로서,
    복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스 - 상기 평판 정보는 상기 링크들이 악성 활동과 연관되어 있는지를 나타냄 -;
    프로세서;
    컴퓨터 판독가능 메모리; 및
    상기 컴퓨터 판독가능 메모리에 인코딩된 프로세싱 명령들
    을 포함하고, 상기 프로세싱 명령들은, 상기 프로세서에 의해 실행될 때,
    상기 데이터베이스를 쿼리하여 리다이렉트된 링크의 평판을 검색하는 단계; 및
    상기 리다이렉트된 링크의 평판을 최초 링크와 연관시켜 상기 최초 링크의 평판을 생성하는 단계
    를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  14. 제13항에 있어서, 상기 프로세싱 명령들은 또한 클라이언트로부터 평판 서버에서 상기 최초 링크와 상기 리다이렉트된 링크를 수신하는 단계를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  15. 제13항에 있어서, 상기 프로세싱 명령들은 또한,
    상기 클라이언트로부터 보호 정책을 수신하는 단계 - 상기 보호 정책은 상기 클라이언트가 상기 최초 링크로 내비게이트하지 못하게 저지되어야 하는지를 나타내는 규칙들을 포함함 -;
    상기 최초 링크의 평판과 상기 보호 정책에 기초하여 정책 교차를 산출하는 단계 - 상기 정책 교차는 상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타냄 -; 및
    상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타내는 상기 최초 링크에 대한 상기 정책 교차를 포함하는 통지를 상기 클라이언트에 전송하는 단계
    를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  16. 제13항에 있어서, 상기 프로세싱 명령들은 또한 상기 최초 링크의 평판으로 상기 데이터베이스를 업데이트하는 단계를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  17. 제13항에 있어서, 상기 프로세싱 명령들은 또한,
    상기 데이터베이스를 쿼리하여 상기 최초 링크의 평판을 검색하는 단계;
    상기 최초 링크의 평판이 상기 리다이렉트된 링크의 평판과 일치하는지를 판정하는 단계; 및
    상기 링크와 리다이렉트된 목적지의 평판들이 일치하지 않으면 상기 리다이렉트된 링크의 평판을 포함하도록 상기 최초 링크의 평판을 업데이트하는 단계
    를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  18. 제13항에 있어서, 상기 프로세싱 명령들은 또한 상기 최초 링크를 상기 평판 서버로 포인팅하게 리다이렉트하도록 작동되는 스크립트에 기초하여 파트너 서버가 호스팅하는 파트너 사이트로부터 상기 평판 서버에서 상기 최초 링크를 수신하는 단계를 포함하는 동작들을 수행하도록 작동되는 것인 시스템.
  19. 제13항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 최종 목적지인 시스템.
  20. 제13항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 중간 목적지인 시스템.
  21. 제13항에 있어서, 상기 링크들과 연관된 평판 정보는 등급, 평판 점수 및 콘텐츠 유형 중 적어도 하나를 포함하는 것인 시스템.
  22. 링크의 평판을 판정하기 위한 명령들을 저장하고 있는 비일시적 컴퓨터 판독가능 매체로서, 상기 명령들은, 프로세서에 의해 실행될 때,
    클라이언트에서 최초 링크 및 상기 최초 링크와 연관된 리다이렉트된 링크를 기록하고;
    상기 최초 링크와 상기 리다이렉트된 링크를 평판 서버에 전송하고 - 상기 평판 서버는 복수의 링크에 대한 평판 정보를 포함하는 데이터베이스를 쿼리함으로써 상기 리다이렉트된 링크의 평판에 기초하여 상기 최초 링크의 평판을 판정하도록 작동되고, 상기 평판 정보는 상기 링크들이 악성 활동과 연관되어 있는지를 나타냄 -;
    상기 클라이언트에서 상기 평판 서버로부터 상기 최초 링크가 악성 활동과 연관되어 있는지를 나타내는 상기 최초 링크의 평판을 포함하는 통지를 수신하도록 구성된 것인 비일시적 컴퓨터 판독가능 매체.
  23. 제22항에 있어서, 상기 명령들은 또한,
    상기 클라이언트와 연관된 보호 정책 데이터베이스로부터 보호 정책을 검색하고;
    상기 평판 서버가 상기 최초 링크의 평판과 상기 보호 정책에 기초하여 상기 최초 링크에 대한 정책 교차 - 상기 정책 교차는 상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타냄 - 를 산출하도록 상기 보호 정책을 상기 평판 서버에 전송하도록 구성된 것인 비일시적 컴퓨터 판독가능 매체.
  24. 제23항에 있어서, 상기 통지는 상기 정책 교차를 포함하는 것인 비일시적 컴퓨터 판독가능 매체.
  25. 제24항에 있어서, 상기 명령들은 또한 상기 정책 교차가 상기 최초 링크가 상기 악성 활동과 연관되어 있음을 나타낸다면 상기 최초 링크로의 액세스를 차단하도록 구성된 것인 비일시적 컴퓨터 판독가능 매체.
  26. 제22항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 최종 목적지인 비일시적 컴퓨터 판독가능 매체.
  27. 제22항에 있어서, 상기 리다이렉트된 링크는 상기 최초 링크와 연관된 중간 목적지인 비일시적 컴퓨터 판독가능 매체.
  28. 링크의 평판을 판정하는 방법으로서,
    평판 서버에 의해 복수의 링크와 연관된 평판 정보를 포함하는 데이터베이스를 쿼리하여 복수의 리다이렉트된 링크 각각의 평판을 검색하는 단계 - 상기 평판 정보는 상기 링크들이 악성 활동과 연관되어 있는지를 나타냄 -; 및
    최초 링크의 평판을 판정하는 단계
    를 포함하고, 상기 최초 링크의 평판을 판정하는 단계는,
    상기 복수의 링크 중 최저 평판 점수를 포함하는 리다이렉트된 링크의 평판;
    상기 복수의 리다이렉트된 링크의 평판들의 평균 평판 점수; 및
    상기 최초 링크에 대한 최종 목적지를 나타내는 리다이렉트된 링크의 평판
    중 적어도 하나에 기초하는 것인 방법.
  29. 제28항에 있어서, 상기 평판 서버에서 클라이언트로부터 상기 최초 링크와 상기 복수의 리다이렉트된 링크를 수신하는 단계를 더 포함하는 방법.
  30. 제29항에 있어서,
    상기 클라이언트로부터 보호 정책을 수신하는 단계 - 상기 보호 정책은 상기 클라이언트가 상기 최초 링크로 내비게이트하지 못하게 저지되어야 하는지를 나타내는 규칙들을 포함함 -;
    상기 최초 링크의 평판과 상기 보호 정책에 기초하여 정책 교차를 산출하는 단계 - 상기 정책 교차는 상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타냄 -; 및
    상기 최초 링크가 상기 악성 활동과 연관되어 있는지를 나타내는 상기 최초 링크에 대한 상기 정책 교차를 포함하는 통지를 상기 클라이언트에 전송하는 단계
    를 더 포함하는 방법.
  31. 제28항에 있어서, 상기 최초 링크의 평판으로 상기 데이터베이스를 업데이트하는 단계를 더 포함하는 방법.
  32. 제28항에 있어서, 상기 최초 링크의 평판이 상기 최초 링크가 상기 악성 활동과 연관되어 있음을 나타낸다면 상기 클라이언트에서 상기 최초 링크로의 액세스를 차단하는 단계를 더 포함하는 방법.
  33. 제28항에 있어서, 상기 최초 링크를 상기 평판 서버로 포인팅하게 리다이렉트하도록 작동되는 스크립트에 기초하여 파트너 서버가 호스팅하는 파트너 사이트로부터 상기 평판 서버에서 상기 최초 링크를 수신하는 단계를 더 포함하는 방법.
KR1020137012907A 2010-10-20 2011-10-18 링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템 KR101512253B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/908,477 2010-10-20
US12/908,477 US9317680B2 (en) 2010-10-20 2010-10-20 Method and system for protecting against unknown malicious activities by determining a reputation of a link
PCT/US2011/056663 WO2012054449A2 (en) 2010-10-20 2011-10-18 Method and system for protecting against unknown malicious activities by determining a reputation of a link

Publications (2)

Publication Number Publication Date
KR20140051102A true KR20140051102A (ko) 2014-04-30
KR101512253B1 KR101512253B1 (ko) 2015-04-14

Family

ID=45974128

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137012907A KR101512253B1 (ko) 2010-10-20 2011-10-18 링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템

Country Status (6)

Country Link
US (1) US9317680B2 (ko)
EP (1) EP2630611B1 (ko)
JP (2) JP5702470B2 (ko)
KR (1) KR101512253B1 (ko)
CN (1) CN103221959B (ko)
WO (1) WO2012054449A2 (ko)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9317680B2 (en) 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link
US8819819B1 (en) * 2011-04-11 2014-08-26 Symantec Corporation Method and system for automatically obtaining webpage content in the presence of javascript
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US8839401B2 (en) 2012-06-07 2014-09-16 Proofpoint, Inc. Malicious message detection and processing
JP5752642B2 (ja) * 2012-06-13 2015-07-22 日本電信電話株式会社 監視装置および監視方法
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9430640B2 (en) * 2012-09-28 2016-08-30 Intel Corporation Cloud-assisted method and service for application security verification
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
GB2505529B (en) * 2012-11-08 2014-07-30 F Secure Corp Protecting a user from a compromised web resource
US9467410B2 (en) * 2012-12-20 2016-10-11 Mcafee, Inc. Just-in-time, email embedded URL reputation determination
CN103902888B (zh) * 2012-12-24 2017-12-01 腾讯科技(深圳)有限公司 网站信任度自动评级的方法、服务端及系统
US9479471B2 (en) 2012-12-28 2016-10-25 Equifax Inc. Networked transmission of reciprocal identity related data messages
US9489497B2 (en) 2012-12-28 2016-11-08 Equifax, Inc. Systems and methods for network risk reduction
GB2509766A (en) * 2013-01-14 2014-07-16 Wonga Technology Ltd Website analysis
US9477710B2 (en) * 2013-01-23 2016-10-25 Microsoft Technology Licensing, Llc Isolating resources and performance in a database management system
US20140259140A1 (en) * 2013-03-11 2014-09-11 Sakthikumar Subramanian Using learned flow reputation as a heuristic to control deep packet inspection under load
US20150007330A1 (en) * 2013-06-26 2015-01-01 Sap Ag Scoring security risks of web browser extensions
US9286402B2 (en) * 2013-07-03 2016-03-15 Majestic-12 Ltd System for detecting link spam, a method, and an associated computer readable medium
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9330258B1 (en) * 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
KR101540672B1 (ko) * 2014-01-13 2015-07-31 주식회사 엔피코어 이동 단말기의 해킹 방지 시스템 및 그 방법
US9596264B2 (en) 2014-02-18 2017-03-14 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
CN103873466B (zh) * 2014-03-04 2018-01-19 深信服网络科技(深圳)有限公司 Https网站过滤及阻断告警的方法和装置
US10320746B2 (en) * 2014-05-12 2019-06-11 Michael C. Wood Computer security system and method based on user-intended final destination
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9319382B2 (en) 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
CN104503983A (zh) * 2014-11-27 2015-04-08 百度在线网络技术(北京)有限公司 为搜索引擎提供网站认证数据的方法及装置
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9602525B2 (en) * 2015-02-27 2017-03-21 Cisco Technology, Inc. Classification of malware generated domain names
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US10382476B1 (en) * 2015-03-27 2019-08-13 EMC IP Holding Company LLC Network security system incorporating assessment of alternative mobile application market sites
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
US10410155B2 (en) 2015-05-01 2019-09-10 Microsoft Technology Licensing, Llc Automatic demand-driven resource scaling for relational database-as-a-service
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US9923914B2 (en) * 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
WO2017140710A1 (en) * 2016-02-16 2017-08-24 Nokia Solutions And Networks Oy Detection of malware in communications
US10242318B2 (en) * 2016-05-25 2019-03-26 Symantec Corporation System and method for hierarchical and chained internet security analysis
CN106022150A (zh) * 2016-05-30 2016-10-12 宇龙计算机通信科技(深圳)有限公司 一种冻结应用方法以及装置
US20180084002A1 (en) * 2016-09-20 2018-03-22 Re-Sec Technologies Ltd. Malicious hyperlink protection
CN108023868B (zh) * 2016-10-31 2021-02-02 腾讯科技(深圳)有限公司 恶意资源地址检测方法和装置
WO2018085732A1 (en) * 2016-11-03 2018-05-11 RiskIQ, Inc. Techniques for detecting malicious behavior using an accomplice model
GB2555801A (en) * 2016-11-09 2018-05-16 F Secure Corp Identifying fraudulent and malicious websites, domain and subdomain names
US11652845B2 (en) * 2017-03-09 2023-05-16 Nippon Telegraph And Telephone Corporation Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
US11645943B2 (en) * 2018-04-11 2023-05-09 Barracuda Networks, Inc. Method and apparatus for training email recipients against phishing attacks using real threats in realtime
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
GB201911459D0 (en) 2019-08-09 2019-09-25 Majestic 12 Ltd Systems and methods for analysing information content
US11233820B2 (en) 2019-09-10 2022-01-25 Paypal, Inc. Systems and methods for detecting phishing websites
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
US11595420B2 (en) * 2020-08-12 2023-02-28 Gen Digital Inc. Systems and methods for protecting against misleading clicks on websites
US20220201034A1 (en) * 2020-12-17 2022-06-23 International Business Machines Corporation Context-based simulation of content
US11777908B1 (en) 2021-06-24 2023-10-03 Gen Digital Inc. Protecting against a tracking parameter in a web link

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8291065B2 (en) 2004-12-02 2012-10-16 Microsoft Corporation Phishing detection, prevention, and notification
US7562304B2 (en) 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
JP4950606B2 (ja) 2005-09-30 2012-06-13 トレンドマイクロ株式会社 通信システム、セキュリティ管理装置およびアクセス制御方法
US7774459B2 (en) 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
US20080082662A1 (en) 2006-05-19 2008-04-03 Richard Dandliker Method and apparatus for controlling access to network resources based on reputation
JP4542544B2 (ja) 2006-12-28 2010-09-15 キヤノンItソリューションズ株式会社 通信データ監視装置および通信データ監視方法およびプログラム
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US20090300012A1 (en) 2008-05-28 2009-12-03 Barracuda Inc. Multilevel intent analysis method for email filtration
JP2010066980A (ja) * 2008-09-10 2010-03-25 Kddi Corp スパムブログ検知装置、スパムブログ検知方法及びプログラム
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8438386B2 (en) * 2009-04-21 2013-05-07 Webroot Inc. System and method for developing a risk profile for an internet service
US8862699B2 (en) * 2009-12-14 2014-10-14 Microsoft Corporation Reputation based redirection service
US8869271B2 (en) * 2010-02-02 2014-10-21 Mcafee, Inc. System and method for risk rating and detecting redirection activities
US9317680B2 (en) 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link

Also Published As

Publication number Publication date
EP2630611A4 (en) 2014-07-30
CN103221959A (zh) 2013-07-24
US20120102545A1 (en) 2012-04-26
EP2630611B1 (en) 2019-06-05
JP2015146188A (ja) 2015-08-13
JP5702470B2 (ja) 2015-04-15
JP2013541781A (ja) 2013-11-14
WO2012054449A2 (en) 2012-04-26
KR101512253B1 (ko) 2015-04-14
US9317680B2 (en) 2016-04-19
WO2012054449A3 (en) 2012-07-19
CN103221959B (zh) 2016-08-10
EP2630611A2 (en) 2013-08-28
JP5973017B2 (ja) 2016-08-17

Similar Documents

Publication Publication Date Title
KR101512253B1 (ko) 링크의 평판을 판정하여 미지의 악성 활동으로부터 보호하는 방법 및 시스템
US10237283B2 (en) Malware domain detection using passive DNS
US9686308B1 (en) Systems and methods for detecting and/or handling targeted attacks in the email channel
US9723018B2 (en) System and method of analyzing web content
US20060230039A1 (en) Online identity tracking
EP2090058B1 (en) System and method of analyzing web addresses
CA2606998C (en) Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
JP6408395B2 (ja) ブラックリストの管理方法
US20150052608A1 (en) Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation
US20110185428A1 (en) Method and system for protection against unknown malicious activities observed by applications downloaded from pre-classified domains
US20090300012A1 (en) Multilevel intent analysis method for email filtration
US9065850B1 (en) Phishing detection systems and methods
JP2007122692A (ja) セキュリティ管理装置、通信システムおよびアクセス制御方法
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
AU2013206427A1 (en) System and method of analyzing web addresses
US20120173690A1 (en) Managing security features of a browser
JP2018190374A (ja) 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法
Boyapati et al. Anti-phishing approaches in the era of the internet of things
GB2556123A (en) High-level reputation scoring architecture
WO2006081328A2 (en) Online identity tracking

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190327

Year of fee payment: 5