KR20140113013A - 단말장치 및 단말장치의 동작 방법 - Google Patents

단말장치 및 단말장치의 동작 방법 Download PDF

Info

Publication number
KR20140113013A
KR20140113013A KR1020130027836A KR20130027836A KR20140113013A KR 20140113013 A KR20140113013 A KR 20140113013A KR 1020130027836 A KR1020130027836 A KR 1020130027836A KR 20130027836 A KR20130027836 A KR 20130027836A KR 20140113013 A KR20140113013 A KR 20140113013A
Authority
KR
South Korea
Prior art keywords
service page
attack
service
obfuscation
engine
Prior art date
Application number
KR1020130027836A
Other languages
English (en)
Other versions
KR101503456B1 (ko
Inventor
이민정
박종희
홍승균
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020130027836A priority Critical patent/KR101503456B1/ko
Publication of KR20140113013A publication Critical patent/KR20140113013A/ko
Application granted granted Critical
Publication of KR101503456B1 publication Critical patent/KR101503456B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능하여, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법을 개시하고 있다.

Description

단말장치 및 단말장치의 동작 방법{TERMINAL DEVICE AND CONTROL METHOD THEREOF}
본 발명은 단말장치 및 단말장치의 동작 방법에 관한 것으로, 더욱 상세하게는, 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하는 보안기술로서 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법에 관한 것이다.
클라이언트 웹 브라우저를 대상으로 하는 해킹 기술은 웹 브라우저를 통한 인터넷 접속이 활성화된 시기에 대거 등장하였으며, 최근 해킹 기술은 취약한 웹 페이지에 공격코드를 삽입하여 클라이언트 웹 브라우저로 하여금 공격코드를 수행하도록 하는 교차 스크립트 공격 기술로 발전하게 되었다.
이에, 이러한 해킹 기술에 대응하기 위한 보안기술로서, 기존에는 웹 어플리케이션의 취약점을 분석하여 공격자로부터 시도될 공격을 미연에 방지하는 보안기술1, 웹 서버를 보호하는 방화벽 보안기술2, 서버와 클라이언트 간의 게이트웨이를 통한 보안 보안기술3, 클라이언트에 보안을 적용하여 악의적인 웹 서버 응답으로부터 클라이언트를 보호하는 보안기술4 등 다양한 보안기술이 제안되었다.
하지만, 전술한 보안기술1의 경우 개발자의 수작업이 요구되며 이는 결국 모든 취약점을 커버할 수 없는 한계를 가지며, 보안기술2 및 보안기술3의 경우 공격코드가 변형되거나 또는 난독화 되는 경우에는 탐지가 불가능한 기술적 한계를 가지며, 마지막으로 보안기술4의 경우 과거 HTML4 를 기반으로 하는 공격코드만 탐지할 수 있다는 기술적 한계를 갖는다.
또한, 전술한 기존의 보안기술은 PC 클라이언트를 대상으로 제안된 보안기술로서, 모바일 클라이언트에 적용하기에는 무리가 있다.
이에, 본 발명에서는, 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하기 위한 보안기술로서, 전술한 바와 같은 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 클라이언트 웹 브라우저를 대상으로 하는 해킹 기술에 대응하는 보안기술로서 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비한 단말장치 및 단말장치의 동작 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 단말장치는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링부; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부; 및 상기 난독화판단부 및 상기 공격판단부의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부를 포함한다.
바람직하게는, 상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함할 수 있다.
바람직하게는, 상기 엔진모니터링부는, 상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.
바람직하게는, 상기 난독화판단부는, 상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단할 수 있다.
바람직하게는, 상기 공격판단부는, 상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단할 수 있다.
바람직하게는, 상기 공격판단부는, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
바람직하게는, 상기 접속제어부는, 상기 난독화판단부에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단부에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 단말장치의 동작 방법은, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링단계; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단단계; 상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단단계; 및 상기 난독화판단단계 및 상기 공격판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어단계를 포함한다.
바람직하게는, 상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함할 수 있다.
바람직하게는, 상기 엔진모니터링단계는, 상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.
바람직하게는, 상기 난독화판단단계는, 상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단할 수 있다.
바람직하게는, 상기 공격판단단계는, 상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고, 상기 공격패턴정보를 이용하여, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
바람직하게는, 상기 접속제어단계는, 상기 난독화판단단계에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단단계에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단할 수 있다.
이에, 본 발명의 단말장치 및 단말장치의 동작 방법에 의하면, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능하여, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다.
도 1은 본 발명의 바람직한 실시예에 따른 단말장치를 포함하는 통신 시스템을 나타내는 구성도이다.
도 2는 본 발명의 바람직한 실시예에 따른 단말장치의 구성을 나타내는 블록도이다.
도 3 내지 도 5는 본 발명의 바람직한 실시예에 따른 단말장치의 동작 방법을 나타내는 동작 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
도 1은 본 발명의 바람직한 실시예에 따른 단말장치를 포함한 통신 시스템을 도시한 도면이다.
도 1에 도시된 바와 같이 통신 시스템은, 본 발명에 따른 단말장치(100), 단말장치(100)로 통신서비스를 제공하는 서비스서버(200)를 포함할 수 있다.
단말장치(100)는, 인터넷을 통해 제공되는 통신서비스를 이용할 수 있는 단말로서, 단말장치(100)에는 통신서비스를 이용하기 위한 클라이언트로서 웹 브라우저가 탑재될 수 있으며 또는 웹 브라우저 외에 웹 뷰로 구현되는 웹 어플리케이션이 탑재될 수 있다.
이러한 단말장치(100)는, 이동전화단말, 스마트폰 등 모바일 장치인 것이 바람직하다. 이에, 단말장치(100)에 탑재된 웹 브라우저 및 웹 어플리케이션 역시 모바일 환경 예컨대 메모리용량 및 배터리 등의 환경에 적합하게 개발된 형태를 가지며, 단말장치(100)에는 이러한 웹 브라우저 및 웹 어플리케이션의 실행과 연동하여 통신서비스를 이용하기 위한 실질적인 동작(예 : 서비스페이지 요청, 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)를 기초로 서비스페이지 구성, 서비스페이지 표시 등)을 수행하는 웹킷엔진이 탑재된다.
이에, 단말장치(100)에서는, 웹 브라우저 또는 웹 어플리케이션이 실행되면 웹킷엔진이 호출되고, 실행된 웹 브라우저 또는 웹 어플리케이션과 웹킷엔진의 연동에 따라 인터넷을 통해 서비스서버(200)에 접속하여 서비스페이지를 요청하고 이에 서비스서버(200)로부터 획득된 서비스페이지를 표시할 수 있다.
서비스서버(200)는, 인터넷을 통해 접속되는 단말에 통신서비스를 제공하는 서버이다.
예를 들어, 서비스서버(200)가 제공하는 통신서비스가 포털서비스인 경우를 설명하면, 단말장치(100)는, 실행된 웹 브라우저 또는 웹 어플리케이션과 웹킷엔진의 연동에 따라, 인터넷을 통해 서비스서버(200)에 접속하여 서비스페이지로서 메인웹페이지를 요청하고 이에 서비스서버(200)로부터 획득된 메인웹페이지를 표시하며, 메인웹페이지 내 특정 항목(예 : 기사1)이 선택되면 서비스페이지로서 특정 항목(예 : 기사1)의 내용이 실린 서브웹페이지를 요청하고 이에 서비스서버(200)로부터 획득된 서브웹페이지를 표시하는 등, 서비스서버(200)에서 제공하는 포털서비스를 이용할 수 있다.
최근에는, 서비스페이지를 구성하는 프로그래밍 언어가 HTML4 에서 보다 다양한 신규 기술이 적용된 HTML5로 진화하였으며, 단말장치(100)에 탑재된 웹 브라우저 또는 웹 어플리케이션 역시 HTML5를 지원하도록 진화하였다.
한편, 기존에 존재하는 해킹 기술로서 대표적으로는 취약한 서비스페이지에 공격코드를 삽입하여 클라이언트(즉, 웹 브라우저 또는 웹 어플리케이션)로 하여금 공격코드를 수행하도록 하는 교차 스크립트 공격 기술이 있다. 이러한 교차 스크립트 공격 기술 역시, 과거 HTML4 에서 HTML5 를 기반으로 하는 공격으로 진화하였다.
그리고, 기존에는 해킹 기술에 대응하기 위한 보안기술로서, 웹 어플리케이션의 취약점을 분석하여 공격자로부터 시도될 공격을 미연에 방지하는 보안기술1, 웹 서버를 보호하는 방화벽 보안기술2, 서비스서버(200)와 클라이언트 간의 게이트웨이를 통한 보안 보안기술3, 클라이언트에 보안을 적용하여 서비스서버(200)로부터의 악의적인 응답으로부터 클라이언트를 보호하는 보안기술4 등 다양한 보안기술이 존재한다.
하지만, 전술한 보안기술1의 경우 개발자의 수작업이 요구되며 이는 결국 모든 취약점을 커버할 수 없는 한계를 가지며, 보안기술2 및 보안기술3의 경우 공격코드가 변형되거나 또는 난독화 되는 경우에는 탐지가 불가능한 기술적 한계를 가진다. 또한, 보안기술4의 경우 과거 HTML4 를 기반으로 하는 공격코드만 탐지할 수 있다는 기술적 한계를 갖는다.
이에, 본 발명에 따른 단말장치(100)는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진(웹킷엔진)을 모니터링하고, 통신서비스엔진(웹킷엔진)을 모니터링한 결과를 기초로 상기 서비스페이지가 난독화되었는지 여부를 판단하고, 한편으로는 통신서비스엔진(웹킷엔진)을 모니터링한 결과를 기초로 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하여, 난독화 여부 판단 결과 및 악의적 공격 포함 여부 판단 결과에 따라서 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 보안기술을 구비한다.
이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 단말장치를 구체적으로 설명하도록 한다.
본 발명에 따른 단말장치(100)는, 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진(110)을 모니터링하는 엔진모니터링부(120)와, 통신서비스엔진(110)을 모니터링한 결과를 기초로 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부(130)와, 통신서비스엔진(110)을 모니터링한 결과를 기초로 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부(140)와, 난독화판단부(130) 및 공격판단부(140)의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부(150)을 포함한다.
통신서비스엔진(110)은, 단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행과 연동하여 통신서비스를 이용하기 위한 실질적인 동작(예 : 서비스페이지 요청, 획득한 서비스페이지의 위한 정보(예 : 서비스페이지의 스크립트, 리소스 등) 기초로 서비스페이지 구성, 서비스페이지 표시 등)을 수행하는 웹킷엔진을 포함할 수 있다.
즉, 통신서비스엔진(110)은, 단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 의해 호출되어, 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 따라 접속 시도되는 서비스페이지를 서비스서버(200)로 요청하여 획득하고, 후술할 접속제어부(150)에서 금번 획득한 서비스페이지에 대한 접속이 허용되면 서비스페이지를 표시할 수 있다.
엔진모니터링부(120)는, 전술한 통신서비스엔진(110)을 실시간으로 모니터링한다.
구체적으로는, 엔진모니터링부(120)는, 통신서비스엔진(110)을 실시간으로 모니터링하여, 서비스페이지로의 접속 시도 시마다, 접속 시도되는 서비스페이지의 접속주소정보, 서비스페이지를 요청하는 요청문 및 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.
즉, 통신서비스엔진(110)은 접속주소정보를 기초로 접속 시도되는 서비스페이지(예 : 포털서비스의 메인웹페이지, 또는 서브웹페이지 등)를 요청하는 요청문을 서비스서버(200)로 전송하고 이에 대응하여 회신되는 응답문을 획득할 수 있고, 이에 엔진모니터링부(120)는, 통신서비스엔진(110)을 실시간으로 모니터링하여 접속 시도되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 모니터링 결과로서 획득할 수 있다.
여기서, 엔진모니터링부(120)는, 통신서비스엔진(110)이 접속 시도되는 서비스페이지를 요청하고 획득하기 위한 동작을 수행하는 과정에서 이용하는 웹킷라이브러리를 실시간으로 후킹함으로써, 전술한 통신서비스엔진(110)을 모니터링한 결과를 획득할 수 있다.
여기서 요청문은, 서비스페이지를 요청하기 위해 서비스서버(200)로 전송되는 HTTP 기반 정보이며, 응답문은, 전술의 요청문에 대응하여 서비스서버(200)로부터 회신되는 HTTP 기반 정보로서 요청한 서비스페이지를 구성하기 위한 정보(예 : 서비스페이지의 스크립트, 리소스 등)를 포함할 수 있다.
난독화판단부(130)는, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 실시간으로 판단한다.
보다 구체적으로 설명하면, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.
예를 들면, 난독화판단부(130)는, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문 중에서 응답문을 확인한다.
그리고, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되었는지 여부를 확인한다.
여기서, 난독화에는 이용되는 특정 코드는, 16진수 코드일 수 있다. 즉, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 이용되는 코드는 16진수 코드이므로, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드 즉 16진수 코드로 인코딩 되었는지 여부를 확인하는 것이다.
또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는지 여부를 확인한다. 여기서, 난독화 의심 코드란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 생성되는 코드로서 기 지정될 수 있다.
또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는지 여부를 확인한다. 여기서, 난독화 의심 스크립트 함수란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 사용되는 함수로서 기 지정될 수 있다.
또한, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인지 여부를 확인한다.
여기서, 난독화 의심바이트는, 256바이트일 수 있다. 즉, 정상적인 서비스페이지 내에서 스크립트의 한 라인이 256바이트 이상으로 이루어진 경우가 없고, 서비스페이지의 스크립트를 난독화하는 과정에서 스크립트의 한 라인이 256바이트 이상으로 넘어가는 경우가 발생하기 때문에, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 즉 256바이트 이상인지 여부를 확인하는 것이다.
이에, 난독화판단부(130)는, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되거나, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.
보다 구체적인 실시예에 따르면, 난독화판단부(130)는, 먼저 1차적으로 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되고, 서비스페이지의 스크립트 코드에 난독화 의심 코드도 포함되고, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것 역시 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.
이에, 난독화판단부(130)는, 전술한 1차적인 판단 결과 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되지 않으면, 2차적으로 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다.
여기서, 난독화판단부(130)는, 전술과 같이 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되더라도, 난독화된 서비스페이지를 기존의 난독화 해제알고리즘에 의해 난독 해제할 수 있는 수준이라면 서비스페이지를 난독 해제하고, 금번 접속 시도되는 서비스페이지가 난독화되지 않은 것으로 최종 판단하는 것도 가능할 것이다.
한편, 난독화판단부(130)는, 금번 접속 시도되는 서비스페이지가 접속된 적이 없는 새로운 서비스페이지인 경우에만, 전술한 바와 같이 서비스페이지가 난독화되었는지 여부를 판단하는 것이 바람직하다.
예컨대, 단말장치(100)에서 메인웹페이지에 접속하고 메인웹페이지 내 특정 항목(예 : 기사1)이 선택되어 특정 항목(예 : 기사1)의 내용이 실린 서브웹페이지에 접속한 후 다시 메인웹페이지에 접속하는 경우라면, 난독화판단부(130)는, 접속 시도되는 메인웹페이지에 대해서는 전술한 바와 같이 메인웹페이지가 난독화되었는지 여부를 판단하고, 이후 접속 시도되는 서브웹페이지에 대해서는 전술한 바와 같이 메인웹페이지가 난독화되었는지 여부를 판단하지만, 이후에 다시 접속 시도되는 메인웹페이지에 대해서는 난독화 여부를 판단하지 않는 것이 바람직하다.
공격판단부(140)는, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 실시간으로 판단한다.
이러한 공격판단부(140)는, 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 것이 바람직하다. 여기서, 특정 프로그래밍 언어는, HTML5인 것이 바람직하다.
즉, 공격패턴정보는, HTML5를 기반으로 하는 악의적 공격에 대한 공격패턴, HTML5를 기반으로 하는 교차 스크립트 공격 기술에 대한 분석을 통해 수집된 악의적 스크립트 패턴 또는 악의적 페이로드 패턴 등을 포함하는 정보이다.
이러한 공격패턴정보는, 단말장치(100) 내부에 기 보유되거나, 또는 단말장치(100) 외부의 별도 장치(미도시)에 보유될 수 있다.
이에 공격판단부(140)는, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단할 때, 단말장치(100) 내부에 기 보유된 공격패턴정보를 이용할 수 있고, 또는 외부의 별도 장치(미도시)와 연동하여 공격패턴정보를 이용할 수도 있다.
이하에서 공격판단부(140)의 판단과정을 보다 구체적으로 설명하면, 공격판단부(140)는 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 확인한다.
그리고, 공격판단부(140)는, 전술한 공격패턴정보를 이용하여, 서비스페이지의 접속주소정보, 요청문 및 응답문을 기초로 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단한다.
서비스페이지를 요청하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 보다 구체적으로는, 공격판단부(140)는, 확인한 서비스페이지의 접속주소정보 또는 요청문에서 전술의 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
예컨대, 공격판단부(140)는, 확인한 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 요청문이 GET method일 경우, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 공격판단부(140)는, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
또한, 공격판단부(140)는, 확인한 요청문 내에서 전술의 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 요청문이 POST method일 경우, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 공격판단부(140)는, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
또한, 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 구체적으로 설명하면, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지 또는 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
예컨대, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다.
이때, 공격판단부(140)는, 확인한 응답문에 포함되는 서비스페이지, 즉 난독화판단부(130)에서 난독화되지 않은 것으로 판단한 서비스페이지 또는 전술한 바와 같이 난독화 해제알고리즘에 의해 난독 해제된 서비스페이지를 대상으로, 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인할 수 있다.
특히, 공격판단부(140)는, 전술의 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는 것으로 확인되었다면, 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 응답문에 포함되는 서비스페이지 내에도 존재하는지 여부를 확인하는 것이 바람직하다.
이에, 공격판단부(140)는 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 또는 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 역시 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
또한, 공격판단부(140)는, 확인한 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다. 보다 구체적으로는, 공격판단부(140)는, 금번 확인한 응답문이 재접속을 유도하는 응답문일 경우, 응답문 내에 포함된 재접속주소정보(예 : URL)에 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 공격판단부(140)는, 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
접속제어부(150)는, 난독화판단부(130) 및 공격판단부(140)의 판단 결과에 따라, 금번 접속 시도되는 서비스페이지에 대한 접속 차단 여부를 결정한다.
즉, 접속제어부(150)는, 난독화판단부(130)에서 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 공격판단부(140)에서 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다.
보다 구체적으로는, 접속제어부(150)는, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 통신서비스엔진(110)에서 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하지 못하도록 하거나, 악의적 공격이 확인된 리소스를 수행하지 못하도록 하는 등의 방식으로 통신서비스엔진(110)에서 응답문에 포함된 서비스페이지 일부 또는 전체를 표시하지 못하도록 함으로써, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다.
그리고, 접속제어부(150)는, 서비스페이지에 대한 접속을 차단함과 함께, 이를 경고하는 경고정보를 출력하여 단말장치(100)의 사용자로 하여금 인지하도록 할 수 있다.
더불어, 접속제어부(150)는, 사용자가 접속 차단 사실을 확인할 수 있도록 차단로그를 별도 파일에 기록하고, 향후 통계데이터로 활용할 수 있도록 사용자의 동의 하에 별도의 관리서버(미도시)로 제공할 수도 있다.
한편, 접속제어부(150)는, 금번 접속 시도되는 서비스페이지가 난독화되지 않고 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되지 않는 것으로 확인되면, 금번 접속 시도되는 서비스페이지에 대한 접속을 허용할 수 있다. 이에, 통신서비스엔진(110)은, 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하여 정상적으로 표시할 수 있다.
여기서, 본 발명의 전술한 엔진모니터링부(120), 난독화판단부(130), 공격판단부(140), 접속제어부(150)는 하나의 모듈(180)로 구현될 수 있으며, 본 발명의 모듈(180)은 전술에서 언급한 웹킷 라이브러리 내에 탑재되는 구성일 수도 있다.
그리고, 본 발명의 모듈(180)은, 웹킷 라이브러리의 소스 코드를 수정함으로써 전술의 엔진모니터링부(120)에서 수행하는 동작(통신서비스엔진(110) 모니터링)을 실현할 수 있다면, 전술과 같은 엔진모니터링부(120)를 포함하지 않는 것도 가능할 것이다.
이상에서 설명한 바와 같이 본 발명에 따른 단말장치는, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능한 보안기술을 구비할 수 있다.
이에, 본 발명에 따른 단말장치는, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다.
이하에서는, 도 3 내지 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 단말장치의 동작 방법의 동작 흐름을 설명하도록 한다.
먼저, 도 3을 참조하여 본 발명에 따른 단말장치의 동작 방법을 전체적으로 설명하도록 한다.
단말장치(100)에 탑재된 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 의해 통신서비스엔진(110) 즉 웹킷엔진이 호출되고(S100), 이에 통신서비스엔진(110)은 웹 브라우저(미도시) 및 웹 어플리케이션(미도시)의 실행에 따라 접속 시도되는 서비스페이지를 서비스서버(200)로 요청하여 획득할 것이다.
이 과정에서, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한다(S110).
구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링하여, 서비스페이지로의 접속 시도 시마다, 접속 시도되는 서비스페이지의 접속주소정보, 서비스페이지를 요청하는 요청문 및 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득할 수 있다.
즉 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)이 접속 시도되는 서비스페이지를 요청하고 획득하기 위한 동작을 수행하는 과정에서 이용하는 웹킷라이브러리를 실시간으로 후킹함으로써, 전술한 통신서비스엔진(110)을 모니터링한 결과를 획득할 수 있다.
그리고 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 실시간으로 판단한다(S120).
또한, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 실시간으로 모니터링한 결과를 기초로, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 실시간으로 판단한다(S130).
이에, 본 발명에 따른 단말장치의 동작 방법은, S120단계의 판단 결과 및 S130단계의 판단 결과에 따라, 금번 접속 시도되는 서비스페이지에 대한 접속 차단 여부를 결정한다.
즉, 본 발명에 따른 단말장치의 동작 방법은, S120단계에서 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, S130단계에서 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면(S140 Yes), 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다(S150).
보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되거나, 금번 접속 시도되는 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 통신서비스엔진(110)에서 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하지 못하도록 하거나, 악의적 공격이 확인된 리소스를 수행하지 못하도록 하는 등의 방식으로 통신서비스엔진(110)에서 응답문에 포함된 서비스페이지 일부 또는 전체를 표시하지 못하도록 함으로써, 금번 접속 시도되는 서비스페이지에 대한 접속을 차단할 수 있다.
그리고, 본 발명에 따른 단말장치의 동작 방법은, 서비스페이지에 대한 접속을 차단함과 함께, 이를 경고하는 경고정보를 출력하여 단말장치(100)의 사용자로 하여금 인지하도록 할 수 있다.
더불어, 본 발명에 따른 단말장치의 동작 방법은, 사용자가 접속 차단 사실을 확인할 수 있도록 차단로그를 별도 파일에 기록하고, 향후 통계데이터로 활용할 수 있도록 사용자의 동의 하에 별도의 관리서버(미도시)로 제공할 수도 있다.
한편, 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되지 않고 서비스페이지를 요청하는 과정 또는 획득하는 과정에 악의적 공격이 포함되지 않는 것으로 확인되면(S140 No), 금번 접속 시도되는 서비스페이지에 대한 접속을 허용할 수 있다(S160). 이에, 본 발명에 따른 단말장치의 통신서비스엔진(110)은, 금번 획득한 서비스페이지의 정보(예 : 서비스페이지의 스크립트, 리소스 등)로 서비스페이지를 구성하여 정상적으로 표시할 수 있다.
이하에서는, 도4를 참조하여, 금번 접속 시도되는 서비스페이지가 난독화되었는지 여부를 판단하는 S120단계를 보다 구체적으로 설명하도록 한다.
먼저, 본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문 중에서 응답문을 확인한다(S121).
그리고 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되었는지 여부를 확인한다(S123).
여기서, 난독화에는 이용되는 특정 코드는, 16진수 코드일 수 있다. 즉, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 이용되는 코드는 16진수 코드이므로, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드 즉 16진수 코드로 인코딩 되었는지 여부를 확인하는 것이다.
이에, 서비스페이지의 스크립트 코드가 특정 코드 즉 16진수 코드로 인코딩 되었다고 판단되면(S123 Yes), 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는지 여부를 확인한다(S124). 여기서, 난독화 의심 코드란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 생성되는 코드로서 기 지정될 수 있다.
이에, 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되는 것으로 판단되면(S124 Yes), 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는지 여부를 확인한다(S125). 여기서, 난독화 의심 스크립트 함수란, 서비스페이지의 스크립트를 난독화하는 과정에서 주로 사용되는 함수로서 기 지정될 수 있다.
이에, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것으로 확인되면(S125 Yes), 본 발명에 따른 단말장치의 동작 방법은, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다(S127).
즉, 본 발명에 따른 단말장치의 동작 방법은, 먼저 1차적으로 응답문에 포함된 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드(예 : 16진수 코드)로 인코딩 되고, 서비스페이지의 스크립트 코드에 난독화 의심 코드도 포함되고, 서비스페이지에서 난독화 의심 스크립트 함수를 사용하는 것 역시 확인되면, 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단하는 것이다.
한편, 본 발명에 따른 단말장치의 동작 방법은, 전술한 1차적인 판단 결과 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되지 않으면, 2차적으로 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인지 여부를 확인한다(S126).
여기서, 난독화 의심바이트는, 256바이트일 수 있다. 즉, 정상적인 서비스페이지 내에서 스크립트의 한 라인이 256바이트 이상으로 이루어진 경우가 없고, 서비스페이지의 스크립트를 난독화하는 과정에서 스크립트의 한 라인이 256바이트 이상으로 넘어가는 경우가 발생하기 때문에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 즉 256바이트 이상인지 여부를 확인하는 것이다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함된 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트(예 : 256바이트) 이상인 것이 확인되면(S126 Yes), 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단할 수 있다(S127).
여기서, 본 발명에 따른 단말장치의 동작 방법은, 전술과 같이 금번 접속 시도되는 서비스페이지가 난독화되었다고 판단되더라도, 난독화된 서비스페이지를 기존의 난독화 해제알고리즘에 의해 난독 해제할 수 있는 수준이라면 서비스페이지를 난독 해제하고, 금번 접속 시도되는 서비스페이지가 난독화되지 않은 것으로 최종 판단하는 것도 가능할 것이다.
더불어, 이하에서는 도5를 참조하여, 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 S130단계를 보다 구체적으로 설명하도록 한다.
본 발명에 따른 단말장치의 동작 방법은, 통신서비스엔진(110)을 모니터링한 결과로서 획득되는 서비스페이지의 접속주소정보, 요청문 및 응답문을 확인한다(S131).
그리고, 본 발명에 따른 단말장치의 동작 방법은, 전술한 공격패턴정보를 이용하여, 서비스페이지의 접속주소정보, 요청문 및 응답문을 기초로 서비스페이지를 요청하는 과정 또는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단한다.
서비스페이지를 요청하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 확인한 서비스페이지의 접속주소정보 또는 요청문에서 전술의 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
예컨대, 본 발명에 따른 단말장치의 동작 방법은, 확인한 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다(S132). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 요청문이 GET method일 경우, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 서비스페이지의 접속주소정보(예 : URL, URI) 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S132 Yes), 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136).
또한, 본 발명에 따른 단말장치의 동작 방법은, 확인한 요청문 내에서 전술의 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인한다(S133). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 요청문이 POST method일 경우, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S133 Yes), 금번 접속 시도되는 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136).
또한, 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 과정을 구체적으로 설명하면, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지 또는 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격이 확인되면, 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다.
예컨대, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다(S134).
이때, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 포함되는 서비스페이지, 즉 난독화되지 않은 것으로 판단한 서비스페이지 또는 전술한 바와 같이 난독화 해제알고리즘에 의해 난독 해제된 서비스페이지를 대상으로, 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인할 수 있다.
특히, 본 발명에 따른 단말장치의 동작 방법은, 전술의 요청문 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는 것으로 확인되었다면, 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 응답문에 포함되는 서비스페이지 내에도 존재하는지 여부를 확인하는 것이 바람직하다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 포함되는 서비스페이지 내에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되거나 또는 요청문에서 확인한 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 역시 확인되면(S134 Yes), 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S136).
또한, 본 발명에 따른 단말장치의 동작 방법은, 확인한 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 공격 즉 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 여부를 확인한다(S135). 보다 구체적으로는, 본 발명에 따른 단말장치의 동작 방법은, 금번 확인한 응답문이 재접속을 유도하는 응답문일 경우, 응답문 내에 포함된 재접속주소정보(예 : URL)에 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 존재하는지 확인하는 것이 바람직하다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 응답문에 의해 재접속이 유도되는 재접속주소정보에서 공격패턴정보에 따른 악의적 스크립트 패턴 또는 악의적 페이로드 패턴이 확인되면(S135 Yes), 금번 접속 시도되는 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단할 수 있다(S126).
이상에서 설명한 바와 같이 본 발명에 따른 단말장치의 동작 방법은, 웹킷엔진을 모니터링한 결과를 기초로 악의적 공격 여부를 판단하기 때문에 웹 브라우저 뿐 만 아니라 웹 어플리케이션을 대상으로 하는 악의적 공격을 정밀하게 탐지할 수 있고, 난독화된 악의적 공격 및 HTML5를 기반으로 하는 다양한 악의적 공격에 대해서도 탐지가 가능한 보안기술을 구비할 수 있다.
이에, 본 발명에 따른 단말장치의 동작 방법은, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 구비할 수 있는 효과를 갖는다.
본 발명의 일실시예에 따른 단말장치의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명에 따른 단말장치 및 단말장치의 동작 방법에 따르면, 기존의 보안기술이 갖는 한계점들을 해결하면서 모바일 환경에 적합한 보안기술을 제안할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
100 : 단말장치 200 : 서비스서버
110 : 통신서비스엔진 120 : 엔진모니터링부
130 : 난독화판단부 140 : 공격판단부
150 : 접속제어부

Claims (14)

  1. 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링부;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단부;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단부; 및
    상기 난독화판단부 및 상기 공격판단부의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어부를 포함하는 것을 특징으로 하는 단말장치.
  2. 제 1 항에 있어서,
    상기 통신서비스엔진은,
    상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함하는 것을 특징으로 하는 단말장치.
  3. 제 1 항에 있어서,
    상기 엔진모니터링부는,
    상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득하는 것을 특징으로 하는 단말장치.
  4. 제 3 항에 있어서,
    상기 난독화판단부는,
    상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단하는 것으로 특징으로 하는 단말장치.
  5. 제 3 항에 있어서,
    상기 공격판단부는,
    상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 것을 특징으로 하는 단말장치.
  6. 제 5 항에 있어서,
    상기 공격판단부는,
    상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고,
    상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단하는 것을 특징으로 하는 단말장치.
  7. 제 1 항에 있어서,
    상기 접속제어부는,
    상기 난독화판단부에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단부에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단하는 것을 특징으로 하는 단말장치.
  8. 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 엔진모니터링단계;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 난독화판단단계;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 공격판단단계; 및
    상기 난독화판단단계 및 상기 공격판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 접속제어단계를 포함하는 것을 특징으로 하는 단말장치의 동작 방법.
  9. 제 8 항에 있어서,
    상기 통신서비스엔진은, 상기 단말장치에 탑재된 웹 브라우저 또는 웹 어플리케이션의 실행에 의해 호출되어, 상기 서비스페이지를 요청하여 획득하는 웹킷엔진을 포함하는 것을 특징으로 하는 단말장치의 동작 방법.
  10. 제 8 항에 있어서,
    상기 엔진모니터링단계는,
    상기 통신서비스엔진을 모니터링하여, 상기 서비스페이지의 접속주소정보, 상기 서비스페이지를 요청하는 요청문 및 상기 서비스페이지를 포함하여 획득되는 응답문 중 적어도 하나를 상기 모니터링 결과로서 획득하는 것을 특징으로 하는 단말장치의 동작 방법.
  11. 제 10 항에 있어서,
    상기 난독화판단단계는,
    상기 응답문에 포함된 상기 서비스페이지의 스크립트 코드가 난독화에 이용되는 특정 코드로 인코딩 되거나, 상기 서비스페이지의 스크립트 코드에 난독화 의심 코드가 포함되거나, 상기 서비스페이지에서 난독화 의심 스크립트 함수를 사용하거나, 상기 서비스페이지의 스크립트 라인(line) 당 바이트가 난독화 의심바이트 이상인 것이 확인되면, 상기 서비스페이지가 난독화되었다고 판단하는 것으로 특징으로 하는 단말장치의 동작 방법.
  12. 제 10 항에 있어서,
    상기 공격판단단계는,
    상기 서비스페이지를 구성하는 특정 프로그래밍 언어를 기반으로 하는 적어도 하나의 악의적 공격에 대한 공격패턴정보를 이용하여, 상기 서비스페이지의 접속주소정보 또는 상기 요청문에서 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 요청하는 과정에 악의적 공격이 포함되는 것으로 판단하고,
    상기 공격패턴정보를 이용하여, 상기 응답문에 포함되는 상기 서비스페이지 또는 상기 응답문에 의해 재접속이 유도되는 재접속주소정보에 상기 공격패턴정보에 따른 악의적 공격이 확인되면, 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단하는 것을 특징으로 하는 단말장치의 동작 방법.
  13. 제 8 항에 있어서,
    상기 접속제어단계는,
    상기 난독화판단단계에서 상기 서비스페이지가 난독화되었다고 판단되거나, 상기 공격판단단계에서 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는 것으로 판단되면, 상기 서비스페이지에 대한 접속을 차단하는 것을 특징으로 하는 단말장치의 동작 방법.
  14. 접속 시도되는 서비스페이지를 요청하여 획득하는 통신서비스엔진을 모니터링하는 단계;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지가 난독화되었는지 여부를 판단하는 단계;
    상기 통신서비스엔진을 모니터링한 결과를 기초로, 상기 서비스페이지를 요청하는 과정 또는 상기 서비스페이지를 획득하는 과정에 악의적 공격이 포함되는지 여부를 판단하는 단계; 및
    상기 난독화판단단계 및 상기 공격판단단계의 판단 결과에 따라, 상기 서비스페이지에 대한 접속 차단 여부를 결정하는 단계를 수행하는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 매체.
KR1020130027836A 2013-03-15 2013-03-15 단말장치 및 단말장치의 동작 방법 KR101503456B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130027836A KR101503456B1 (ko) 2013-03-15 2013-03-15 단말장치 및 단말장치의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130027836A KR101503456B1 (ko) 2013-03-15 2013-03-15 단말장치 및 단말장치의 동작 방법

Publications (2)

Publication Number Publication Date
KR20140113013A true KR20140113013A (ko) 2014-09-24
KR101503456B1 KR101503456B1 (ko) 2015-03-24

Family

ID=51757694

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130027836A KR101503456B1 (ko) 2013-03-15 2013-03-15 단말장치 및 단말장치의 동작 방법

Country Status (1)

Country Link
KR (1) KR101503456B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160089995A (ko) * 2015-01-21 2016-07-29 한국인터넷진흥원 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법
KR101672791B1 (ko) * 2015-10-26 2016-11-07 고려대학교 산학협력단 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템
KR20200131383A (ko) * 2019-05-13 2020-11-24 고려대학교 산학협력단 역난독화 장치 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201245B2 (en) 2007-12-05 2012-06-12 International Business Machines Corporation System, method and program product for detecting computer attacks
KR101027928B1 (ko) * 2008-07-23 2011-04-12 한국전자통신연구원 난독화된 악성 웹페이지 탐지 방법 및 장치
KR101083311B1 (ko) * 2010-03-29 2011-11-15 한국전자통신연구원 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법
US9064111B2 (en) * 2011-08-03 2015-06-23 Samsung Electronics Co., Ltd. Sandboxing technology for webruntime system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160089995A (ko) * 2015-01-21 2016-07-29 한국인터넷진흥원 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법
KR101672791B1 (ko) * 2015-10-26 2016-11-07 고려대학교 산학협력단 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템
KR20200131383A (ko) * 2019-05-13 2020-11-24 고려대학교 산학협력단 역난독화 장치 및 방법

Also Published As

Publication number Publication date
KR101503456B1 (ko) 2015-03-24

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
CN108881211B (zh) 一种违规外联检测方法及装置
US8353036B2 (en) Method and system for protecting cross-domain interaction of a web application on an unmodified browser
CN107211016B (zh) 会话安全划分和应用程序剖析器
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
JP4912400B2 (ja) Htmlブラウザおよび拡張機能の既知の脆弱性からの免疫付与
EP2929669B1 (en) System and method of monitoring attacks of cross site script
US9166951B2 (en) Strict communications transport security
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
US8839424B2 (en) Cross-site request forgery protection
US11290469B2 (en) Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
KR101541244B1 (ko) Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템
CN103701816A (zh) 执行拒绝服务攻击的服务器的扫描方法和扫描装置
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
KR101503456B1 (ko) 단말장치 및 단말장치의 동작 방법
US9380067B2 (en) IPS detection processing method, network security device, and system
US20140075553A1 (en) Domain name system rebinding attack protection
KR101451323B1 (ko) 애플리케이션 보안 시스템, 보안 서버, 보안 클라이언트 장치 및 기록매체
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
US20110004689A1 (en) Access of elements for a secure web page through a non-secure channel
CN103929407A (zh) 一种木马拦截方法、装置和系统
US20230188565A1 (en) Detecting web resources spoofing through stylistic fingerprints

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191216

Year of fee payment: 6