KR20150133370A - 웹서비스 접속제어 시스템 및 방법 - Google Patents

웹서비스 접속제어 시스템 및 방법 Download PDF

Info

Publication number
KR20150133370A
KR20150133370A KR1020140059860A KR20140059860A KR20150133370A KR 20150133370 A KR20150133370 A KR 20150133370A KR 1020140059860 A KR1020140059860 A KR 1020140059860A KR 20140059860 A KR20140059860 A KR 20140059860A KR 20150133370 A KR20150133370 A KR 20150133370A
Authority
KR
South Korea
Prior art keywords
url
malicious code
malicious
web site
executable file
Prior art date
Application number
KR1020140059860A
Other languages
English (en)
Inventor
문호건
박성철
김봉기
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020140059860A priority Critical patent/KR20150133370A/ko
Publication of KR20150133370A publication Critical patent/KR20150133370A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

웹서비스 접속제어 시스템 및 방법이 개시된다. 웹서비스 접속제어 시스템은 실행파일이 포함된 웹사이트의 URL을 수집하는 웹크롤러, 실행파일이 포함된 웹사이트의 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행하여, 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 악성코드 탐지 서버, 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 악성 URL로 분류된 웹사이트의 위험 지수를 산출하는 위험도 분석 서버 및 위험 지수에 따라 URL 차단목록을 등록하고, URL 차단목록을 이용하여 이용자 단말의 웹사이트 접속을 제어하는 접속 제어 서버를 포함한다.

Description

웹서비스 접속제어 시스템 및 방법{System and method for web service access control}
본 발명은 웹서비스 접속제어 시스템 및 방법에 관한 것이다.
SNS의 보급으로 인하여 오프라인 상의 만남이 온라인상으로 연결이 되고 먼 거리의 사람들과도 즉각적인 정보 공유가 가능하게 되었다. 그리고, 스마트폰의 보급으로 인하여 스마트폰 유저들은 공간의 제약을 받지 않고 다양한 인터넷 서비스를 이용하고 있다. 이러한 인터넷 인프라의 증가로 인하여 우리들은 보다 편리한 생활을 영위할 수 있게 되었다. 하지만, 인터넷을 악용하여 개인적 이익을 취하거나 공공기관을 공격하는 악성 사용자 즉, 해커들이 존재한다. 이들은 발전된 인터넷 환경을 이용하여 기존보다 더욱 손쉽게 공격을 할 수 있게 되었다. 해커들은 취약점을 가지는 웹사이트를 분석하여 일반 사용자가 접속할 경우, 악성 행위 코드를 사용자 컴퓨터로 내려 받도록 공격을 실시한다. 사용자는 자신이 모르는 사이 해커가 배포하는 악성 코드를 실행하게 되고, 이러한 악성 코드들은 개인 정보를 유출하거나 DDoS공격 같은 기능을 수행한다. 이러한 공격은 최근 들어 많이 증가하고 있으며 Driven-by Download라고 불린다.
따라서, 특정 웹사이트가 이용자 단말에 악성 동작을 유발하는지에 대한 검증을 통하여 사이버 공격을 사전에 예방할 수 있는 시스템이 요구된다.
본 발명은 인터넷 이용자가 접속하는 웹사이트가 이용자 단말에 악성 동작을 유발하는지를 검증하고, 검증결과에 따라 이용자 단말의 해당 웹사이트로의 접속을 제어하는 것이다.
본 발명의 일 측면에 따르면, 웹서비스 접속제어 시스템이 개시된다.
본 발명의 실시예에 따른 웹서비스 접속제어 시스템은 실행파일이 포함된 웹사이트의 URL을 수집하는 웹크롤러, 상기 실행파일이 포함된 웹사이트의 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행하여, 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 악성코드 탐지 서버, 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 상기 악성 URL로 분류된 웹사이트의 위험 지수를 산출하는 위험도 분석 서버 및 상기 위험 지수에 따라 URL 차단목록을 등록하고, 상기 URL 차단목록을 이용하여 이용자 단말의 웹사이트 접속을 제어하는 접속 제어 서버를 포함한다.
상기 악성코드 탐지 서버는 상기 실행파일을 가상머신 환경에서 실행하고, 미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인한다.
상기 이상행위 판단기준은 이상행위 판단기준은 키보드 입력 모니터링, 외부로의 메시지 발송, 파일 오픈 여부, OS 디렉토리의 파일 수정 여부, 레지스트리 수정 여부 중 적어도 하나를 포함한다.
상기 악성코드 탐지 서버는 상기 이상행위 판단기준에 따라 이상행위를 탐지하면, 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다.
상기 악성코드 탐지 서버는 이상이 탐지되지 않는 경우, 해당 URL을 유의 URL로 분류하고 미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다.
상기 악성코드 탐지 서버는 이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하고, 이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류한다.
상기 악성코드 탐지 서버는 이상행위가 탐지된 실행 파일을 복수의 상용백신으로 진단을 수행하고, 진단 결과에 따라 각 상용백신의 악성코드 검출율을 산출하고, 검출된 악성코드를 각 상용백신에서 실행하여 악성코드 판정 여부를 수집하고, 각 상용백신별로 악성코드 검출율과 악성코드 판정 여부를 곱한 값을 산출하고, 각 상용백신별로 산출된 값을 합한 값이 미리 설정된 임계치보다 크면, 해당 실행 파일을 포함하는 URL을 악성 URL로 판단한다.
상기 위험도 분석 서버는 방문 선호도와 악성 코드 발생 빈도에 비례하게 위험 지수를 산출한다.
상기 접속 제어 서버는 이용자 단말들의 웹사이트로의 접속을 확인하여 웹사이트별로 상기 방문 선호도를 측정한다.
본 발명의 다른 측면에 따르면, 웹서비스 접속제어 시스템에서 수행되는 웹서비스 접속제어 방법이 개시된다.
본 발명의 실시예에 따른 웹서비스 접속제어 방법은 실행파일이 포함된 웹사이트의 URL을 수집하는 단계, 상기 실행파일이 포함된 웹사이트의 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행하여, 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계, 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 상기 악성 URL로 분류된 웹사이트의 위험 지수를 산출하는 단계 및 상기 위험 지수에 따라 URL 차단목록을 등록하고, 상기 URL 차단목록을 이용하여 이용자 단말의 웹사이트 접속을 제어하는 단계를 포함한다.
상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는, 상기 실행파일을 가상머신 환경에서 실행하는 단계 및 미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인하는 단계를 포함한다.
상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는, 상기 이상행위 판단기준에 따라 이상행위를 탐지하면, 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 단계를 포함한다.
상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는, 이상이 탐지되지 않는 경우, 해당 URL을 유의 URL로 분류하는 단계 및 미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 단계를 포함한다.
상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는, 이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하는 단계 및 이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류하는 단계를 포함한다.
상기 악성 유무를 판단하는 단계는, 상기 이상행위가 탐지된 실행 파일을 복수의 상용백신으로 진단을 수행하는 단계, 진단 결과에 따라 각 상용백신의 악성코드 검출율을 산출하는 단계, 검출된 악성코드를 각 상용백신에서 실행하여 악성코드 판정 여부를 수집하는 단계, 각 상용백신별로 악성코드 검출율과 악성코드 판정 여부를 곱한 값을 산출하는 단계 및 각 상용백신별로 산출된 값을 합한 값이 미리 설정된 임계치보다 크면, 해당 실행 파일을 포함하는 URL을 악성 URL로 판단하는 단계를 포함한다.
상기 위험 지수를 산출하는 단계는, 상기 방문 선호도와 상기 악성 코드 발생 빈도에 비례하게 위험 지수를 산출한다.
이용자 단말들의 웹사이트로의 접속을 확인하여 웹사이트별로 상기 방문 선호도를 측정하는 단계를 더 포함한다.
본 발명은 인터넷 이용자가 접속하는 웹사이트가 이용자 단말에 악성 동작을 유발하는지를 검증하고, 검증결과에 따라 이용자 단말의 해당 웹사이트로의 접속을 제어할 수 있다.
도 1은 웹서비스 접속제어 시스템의 구성을 개략적으로 예시한 도면.
도 2는 도 1의 웹서비스 접속제어 시스템에서의 웹서비스 접속제어 방법을 나타낸 흐름도.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
도 1은 웹서비스 접속제어 시스템의 구성을 개략적으로 예시한 도면이다.
도 1을 참조하면, 웹서비스 접속제어 시스템은 웹크롤러(Web Crawler)(10), 악성코드 탐지 서버(20), 위험도 분석 서버(30) 및 접속 제어 서버(40)를 포함한다.
웹크롤러(10)는 웹사이트의 URL(Uniform Resource Locator) 정보를 수집한다. 즉, 웹크롤러(10)는 실행 파일이 포함된 웹사이트 URL을 수집할 수 있다. 예를 들어, 웹크롤러(10)는 웹서비스를 제공받는 이용자 단말의 접속 이력 정보를 이용하여 해당 이용자 단말이 자주 접속하는 웹사이트를 중심으로 실행 파일이 포함된 웹사이트 URL을 수집할 수 있다.
악성코드 탐지 서버(20)는 실행 파일이 포함된 웹사이트 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행한다.
즉, 악성코드 탐지 서버(20)는 웹사이트 URL에 포함된 실행파일을 가상머신 환경에서 실행하고, 미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인한다. 예를 들면, 이상행위 판단기준은 키보드 입력 모니터링, 외부로의 메시지 발송, 파일 오픈 여부, OS 디렉토리의 파일 수정 여부, 레지스트리 수정 여부 등을 포함할 수 있다.
이어, 악성코드 탐지 서버(20)는 이상행위 판단기준에 따라 이상행위를 탐지하면, 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다. 이때, 만약 이상이 탐지되지 않는 경우, 상용백신의 패턴 데이터베이스가 갱신이 안되어 해당 실행 파일의 이상이 탐지되지 않을 수 있으므로, 악성코드 탐지 서버(20)는 해당 URL을 유의 URL로 분류하고 미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다.
이어, 악성코드 탐지 서버(20)는 이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하고, 이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류한다.
예를 들어, 악성코드 탐지 서버(20)는 이상행위가 탐지된 실행 파일을 복수의 상용백신으로 진단을 수행하고, 진단 결과에 따라 각 상용백신의 악성코드 검출율을 산출한다. 그리고, 악성코드 탐지 서버(20)는 각 상용백신에서 정의된 악성코드 이름을 바탕으로 악성코드 네이밍 룰 테이블(naming rule table)을 생성하며, 각 상용백신에서 정의된 악성코드 이름을 추후, 악성코드 네이밍 룰 테이블을 이용하여 표준 악성코드명으로 변환한다. 이어, 악성코드 탐지 서버(20)는 검출된 악성코드를 각 상용백신에서 실행하여 악성코드 판정 여부를 수집하고, 각 상용백신별로 악성코드 검출율과 악성코드 판정 여부를 곱한 값을 산출하고, 각 상용백신별로 산출된 값을 합한 값이 미리 설정된 임계치보다 크면, 해당 실행 파일을 포함하는 URL을 악성 URL로 최종 판단할 수 있다.
위험도 분석 서버(30)는 해당 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 악성 URL로 판단된 웹사이트의 위험 지수를 산출한다. 즉, 위험도 분석 서버(30)는 방문 선호도와 악성 코드 발생 빈도에 비례하게 위험 지수를 산출할 수 있다. 예를 들어, 위험도 분석 서버(30)는 악성 URL로 판단된 웹사이트에 대하여, 악성 코드 발생 횟수를 일정 시간 간격으로 지속적으로 수행되는 웹크롤링 횟수로 나눈 값을 악성 코드 발생 빈도로 산출할 수 있다. 그리고, 위험도 분석 서버(30)는 접속 제어 서버(40)가 측정한 해당 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 곱하거나 더하여 상대적인 위험 지수를 산출할 수 있다. 서비스 이용자 그룹의 웹사이트 방문 선호도와 해당 웹사이트의 악성코드 발생 빈도는 시간에 따라 변하는 특성을 가지므로, 서비스 이용자 그룹의 보안정책에 따라 위험 지수가 차별적으로 적용될 수 있다.
접속 제어 서버(40)는 웹서비스를 제공받는 이용자 단말의 웹사이트 접속을 관리한다. 예를 들어, 접속 제어 서버(40)는 DNS(Domain Name Server) 또는 IPS(Intrusion Prevention System)가 될 수 있으며, 인트라넷에 연결된 이용자 단말들의 인터넷 웹사이트로의 접속을 확인하여 웹사이트별로 방문 선호도를 측정할 수 있다.
특히, 접속 제어 서버(40)는 악성 URL로 판단된 웹사이트의 위험 지수에 따라 URL 차단목록을 등록하고, URL 차단목록을 이용하여 이용자 단말의 해당 웹사이트 접속을 제어한다. 예를 들어, 접속 제어 서버(40)는 위험 지수가 미리 설정된 차단 기준 지수를 초과하는 웹사이트의 경우, 접속을 차단하고, 차단 기준 지수를 초과하지 않으나 미리 설정된 유의 기준 지수를 초과하는 경우, 이용자 단말로 경고 메시지를 전송하고 제한된 웹서비스만 가능하도록 제어할 수 있다.
도 2는 도 1의 웹서비스 접속제어 시스템에서의 웹서비스 접속제어 방법을 나타낸 흐름도이다.
S210 단계에서, 웹크롤러(10)는 웹사이트의 URL(Uniform Resource Locator) 정보를 수집한다. 즉, 웹크롤러(10)는 실행 파일이 포함된 웹사이트 URL을 수집할 수 있다. 예를 들어, 웹크롤러(10)는 웹서비스를 제공받는 이용자 단말의 접속 이력 정보를 이용하여 해당 이용자 단말이 자주 접속하는 웹사이트를 중심으로 실행 파일이 포함된 웹사이트 URL을 수집할 수 있다.
S220 단계에서, 악성코드 탐지 서버(20)는 실행 파일이 포함된 웹사이트 URL을 이용하여 행위기반 및 상용백신기반의 악성코드를 탐지한다.
즉, 악성코드 탐지 서버(20)는 웹사이트 URL에 포함된 실행파일을 가상머신 환경에서 실행하고, 미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인한다. 이어, 악성코드 탐지 서버(20)는 이상행위 판단기준에 따라 이상행위를 탐지하면, 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다. 이때, 만약 이상이 탐지되지 않는 경우, 상용백신의 패턴 데이터베이스가 갱신이 안되어 해당 실행 파일의 이상이 탐지되지 않을 수 있으므로, 악성코드 탐지 서버(20)는 해당 URL을 유의 URL로 분류하고 미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단한다. 이어, 악성코드 탐지 서버(20)는 이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하고, 이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류한다.
S230 단계에서, 위험도 분석 서버(30)는 해당 웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 악성 URL로 판단된 웹사이트의 위험 지수를 산출한다. 즉, 위험도 분석 서버(30)는 방문 선호도와 악성 코드 발생 빈도에 비례하게 위험 지수를 산출할 수 있다.
S240 단계에서, 접속 제어 서버(40)는 악성 URL로 판단된 웹사이트의 위험 지수에 따라 URL 차단목록을 등록하고, URL 차단목록을 이용하여 이용자 단말의 해당 웹사이트 접속을 제어한다. 예를 들어, 접속 제어 서버(40)는 위험 지수가 미리 설정된 차단 기준 지수를 초과하는 웹사이트의 경우, 접속을 차단하고, 차단 기준 지수를 초과하지 않으나 미리 설정된 유의 기준 지수를 초과하는 경우, 이용자 단말로 경고 메시지를 전송하고 제한된 웹서비스만 가능하도록 제어할 수 있다.
한편, 본 발명의 실시예에 따른 웹서비스 접속제어 방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조등을 단독으로 또는 조합하여 포함할 수 있다.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10: 웹크롤러
20: 악성코드 탐지 서버
30: 위험도 분석 서버
40: 접속 제어 서버

Claims (17)

  1. 실행파일이 포함된 웹사이트의 URL을 수집하는 웹크롤러;
    상기 실행파일이 포함된 웹사이트의 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행하여, 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 악성코드 탐지 서버;
    웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 상기 악성 URL로 분류된 웹사이트의 위험 지수를 산출하는 위험도 분석 서버; 및
    상기 위험 지수에 따라 URL 차단목록을 등록하고, 상기 URL 차단목록을 이용하여 이용자 단말의 웹사이트 접속을 제어하는 접속 제어 서버를 포함하는 웹서비스 접속제어 시스템.
  2. 제1항에 있어서,
    상기 악성코드 탐지 서버는 상기 실행파일을 가상머신 환경에서 실행하고, 미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  3. 제2항에 있어서,
    상기 이상행위 판단기준은 이상행위 판단기준은 키보드 입력 모니터링, 외부로의 메시지 발송, 파일 오픈 여부, OS 디렉토리의 파일 수정 여부, 레지스트리 수정 여부 중 적어도 하나를 포함하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  4. 제2항에 있어서,
    상기 악성코드 탐지 서버는 상기 이상행위 판단기준에 따라 이상행위를 탐지하면, 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  5. 제4항에 있어서,
    상기 악성코드 탐지 서버는 이상이 탐지되지 않는 경우, 해당 URL을 유의 URL로 분류하고 미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  6. 제5항에 있어서,
    상기 악성코드 탐지 서버는 이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하고, 이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  7. 제5항에 있어서,
    상기 악성코드 탐지 서버는 이상행위가 탐지된 실행 파일을 복수의 상용백신으로 진단을 수행하고, 진단 결과에 따라 각 상용백신의 악성코드 검출율을 산출하고, 검출된 악성코드를 각 상용백신에서 실행하여 악성코드 판정 여부를 수집하고, 각 상용백신별로 악성코드 검출율과 악성코드 판정 여부를 곱한 값을 산출하고, 각 상용백신별로 산출된 값을 합한 값이 미리 설정된 임계치보다 크면, 해당 실행 파일을 포함하는 URL을 악성 URL로 판단하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  8. 제1항에 있어서,
    상기 위험도 분석 서버는 방문 선호도와 악성 코드 발생 빈도에 비례하게 위험 지수를 산출하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  9. 제8항에 있어서,
    상기 접속 제어 서버는 이용자 단말들의 웹사이트로의 접속을 확인하여 웹사이트별로 상기 방문 선호도를 측정하는 것을 특징으로 하는 웹서비스 접속제어 시스템.
  10. 웹서비스 접속제어 시스템에서 수행되는 웹서비스 접속제어 방법에 있어서,
    실행파일이 포함된 웹사이트의 URL을 수집하는 단계;
    상기 실행파일이 포함된 웹사이트의 URL을 이용하여 행위기반 및 상용백신기반의 악성코드 탐지 작업을 수행하여, 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계;
    웹사이트의 방문 선호도와 악성 코드 발생 빈도를 이용하여 상기 악성 URL로 분류된 웹사이트의 위험 지수를 산출하는 단계; 및
    상기 위험 지수에 따라 URL 차단목록을 등록하고, 상기 URL 차단목록을 이용하여 이용자 단말의 웹사이트 접속을 제어하는 단계를 포함하는 웹서비스 접속제어 방법.
  11. 제10항에 있어서,
    상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는,
    상기 실행파일을 가상머신 환경에서 실행하는 단계; 및
    미리 설정된 이상행위 판단기준에 따라 이상행위 발생 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  12. 제11항에 있어서,
    상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는,
    상기 이상행위 판단기준에 따라 이상행위를 탐지하면, 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 단계를 포함하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  13. 제12항에 있어서,
    상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는,
    이상이 탐지되지 않는 경우, 해당 URL을 유의 URL로 분류하는 단계; 및
    미리 설정된 기간 경과 후, 다시 해당 실행 파일을 상용백신에서 실행하여 이상 발생 여부를 확인함으로써, 악성 유무를 판단하는 단계를 포함하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  14. 제13항에 있어서,
    상기 악성코드가 탐지된 웹사이트의 URL을 악성 URL로 분류하는 단계는,
    이상이 발생되지 않는 경우, 해당 실행 파일을 삭제하는 단계; 및
    이상이 발생한 경우, 해당 실행 파일을 포함하는 URL을 악성 URL로 분류하는 단계를 포함하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  15. 제13항에 있어서,
    상기 악성 유무를 판단하는 단계는,
    상기 이상행위가 탐지된 실행 파일을 복수의 상용백신으로 진단을 수행하는 단계;
    진단 결과에 따라 각 상용백신의 악성코드 검출율을 산출하는 단계;
    검출된 악성코드를 각 상용백신에서 실행하여 악성코드 판정 여부를 수집하는 단계;
    각 상용백신별로 악성코드 검출율과 악성코드 판정 여부를 곱한 값을 산출하는 단계; 및
    각 상용백신별로 산출된 값을 합한 값이 미리 설정된 임계치보다 크면, 해당 실행 파일을 포함하는 URL을 악성 URL로 판단하는 단계를 포함하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  16. 제10항에 있어서,
    상기 위험 지수를 산출하는 단계는,
    상기 방문 선호도와 상기 악성 코드 발생 빈도에 비례하게 위험 지수를 산출하는 것을 특징으로 하는 웹서비스 접속제어 방법.
  17. 제16항에 있어서,
    이용자 단말들의 웹사이트로의 접속을 확인하여 웹사이트별로 상기 방문 선호도를 측정하는 단계를 더 포함하는 웹서비스 접속제어 방법.


KR1020140059860A 2014-05-19 2014-05-19 웹서비스 접속제어 시스템 및 방법 KR20150133370A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140059860A KR20150133370A (ko) 2014-05-19 2014-05-19 웹서비스 접속제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140059860A KR20150133370A (ko) 2014-05-19 2014-05-19 웹서비스 접속제어 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20150133370A true KR20150133370A (ko) 2015-11-30

Family

ID=54867847

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140059860A KR20150133370A (ko) 2014-05-19 2014-05-19 웹서비스 접속제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20150133370A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101712462B1 (ko) * 2016-10-14 2017-03-06 국방과학연구소 Ip 위험군 탐지 시스템
CN110175278A (zh) * 2019-05-24 2019-08-27 新华三信息安全技术有限公司 网络爬虫的检测方法及装置
KR20200114485A (ko) 2019-03-28 2020-10-07 네이버비즈니스플랫폼 주식회사 웹사이트에서 수집된 url을 처리하는 방법, 장치 및 컴퓨터 프로그램
KR20200114486A (ko) 2019-03-28 2020-10-07 네이버비즈니스플랫폼 주식회사 웹 페이지에서 url을 수집하는 방법, 장치 및 컴퓨터 프로그램

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101712462B1 (ko) * 2016-10-14 2017-03-06 국방과학연구소 Ip 위험군 탐지 시스템
KR20200114485A (ko) 2019-03-28 2020-10-07 네이버비즈니스플랫폼 주식회사 웹사이트에서 수집된 url을 처리하는 방법, 장치 및 컴퓨터 프로그램
KR20200114486A (ko) 2019-03-28 2020-10-07 네이버비즈니스플랫폼 주식회사 웹 페이지에서 url을 수집하는 방법, 장치 및 컴퓨터 프로그램
US11321415B2 (en) 2019-03-28 2022-05-03 Naver Cloud Corporation Method, apparatus and computer program for processing URL collected in web site
US11829434B2 (en) 2019-03-28 2023-11-28 Naver Cloud Corporation Method, apparatus and computer program for collecting URL in web page
CN110175278A (zh) * 2019-05-24 2019-08-27 新华三信息安全技术有限公司 网络爬虫的检测方法及装置

Similar Documents

Publication Publication Date Title
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
US12079345B2 (en) Methods, systems, and media for testing insider threat detection systems
Toch et al. The privacy implications of cyber security systems: A technological survey
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US10248782B2 (en) Systems and methods for access control to web applications and identification of web browsers
US11212305B2 (en) Web application security methods and systems
JP6863969B2 (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US11757849B2 (en) Detecting and mitigating forged authentication object attacks in multi-cloud environments
US9311476B2 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
Malik et al. CREDROID: Android malware detection by network traffic analysis
US9519779B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
US8572750B2 (en) Web application exploit mitigation in an information technology environment
US20160014148A1 (en) Web anomaly detection apparatus and method
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
US9092782B1 (en) Methods and apparatus for risk evaluation of compromised credentials
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
Liu et al. Measuring the insecurity of mobile deep links of android
Zhang et al. Causality-based sensemaking of network traffic for android application security
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
US20230319019A1 (en) Detecting and mitigating forged authentication attacks using an advanced cyber decision platform
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
US10484422B2 (en) Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services
US10819730B2 (en) Automatic user session profiling system for detecting malicious intent
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템
Chiba et al. BotProfiler: Detecting malware-infected hosts by profiling variability of malicious infrastructure

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination