KR20160003584A - Apparatus and method for detecting webshell in real time using kernel-based file event notification function - Google Patents

Apparatus and method for detecting webshell in real time using kernel-based file event notification function Download PDF

Info

Publication number
KR20160003584A
KR20160003584A KR1020150176770A KR20150176770A KR20160003584A KR 20160003584 A KR20160003584 A KR 20160003584A KR 1020150176770 A KR1020150176770 A KR 1020150176770A KR 20150176770 A KR20150176770 A KR 20150176770A KR 20160003584 A KR20160003584 A KR 20160003584A
Authority
KR
South Korea
Prior art keywords
file
forgery
web page
falsification
kernel
Prior art date
Application number
KR1020150176770A
Other languages
Korean (ko)
Other versions
KR101650445B1 (en
Inventor
한철규
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150176770A priority Critical patent/KR101650445B1/en
Publication of KR20160003584A publication Critical patent/KR20160003584A/en
Application granted granted Critical
Publication of KR101650445B1 publication Critical patent/KR101650445B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a web-shell direction technology, and more specifically, to a device for detecting a web-shell on a real-time basis by using a kernel-based file event inspection function and a method thereof. The device includes: a web page inspection module which inspects the status of an inspection target file and a backup file in a web page to inspect whether the web page is forged; a kernel-based collection and analysis module which uses the file event inspection function in a kernel mode to collect the file event information generated with respect to files in the directory of the web page on a real-time basis and inspects whether the files in the directory are forged by referencing the collected file event information; a web-shell inspection module which inspects whether the forged file is a web-shell file by using the forgery inspection result generated by the kernel-based collection and analysis module and the forgery inspection result of the web page inspection module; and an inspection corresponding module which notifies the web-shell file inspection result generated by the web-shell file inspection module and collects the content corresponding thereto.

Description

커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 {Apparatus and method for detecting webshell in real time using kernel-based file event notification function}[0001] The present invention relates to a real-time webcell detection apparatus and method using a kernel-based file event audit function,

본 발명은 웹셀 탐지 기술에 관한 것으로, 특히 커널 기반의 파일이벤트감사 기능을 이용하여 웹셀을 실시간 탐지하는 장치 및 방법에 관한 것이다.The present invention relates to a webcell detection technique, and more particularly, to an apparatus and method for detecting a webcell in real time using a kernel-based file event audit function.

웹셀(WebShell) 파일과 같은 코드는 악의적인 목적으로 웹서버의 다양한 취약점을 공격하여 악성 URL 삽입, 정보 유출 및 변조, 악성코드 유포, 홈페이지 변조, 데이터베이스의 자료 탈취 등의 피해를 가져올 수 있다. 이러한 피해 사례가 점점 증가하는 추세이다. Code such as a WebShell file can attack various vulnerabilities of a Web server for malicious purposes, resulting in malicious URL insertion, information leakage and tampering, malicious code distribution, homepage tampering, and database data depletion. These damage cases are increasing.

또한, 스크립트 파일 형태인 웹셀(WebShell) 파일은 편집이 간단하여 다양한 변종으로 생성될 수 있기 때문에, 보안 솔루션의 탐지 시스템을 우회하여 공격을 시도할 수도 있다. 최근에는 공격자가 전송하는 다중 분할 파라미터를 웹서버에서 재조합하여 처리하는 다중분할 웹셀(Multi Division WebShell)과 같은 형태까지 발전하고 있으며, 그러한 형태는 방화벽, IPS, IDS, 웹방화벽 등의 보안 솔루션들의 탐지 시스템을 우회하여 공격하기 때문에 탐지에 어려움을 겪고 있다.In addition, since the WebShell file in the form of a script file can be created in various variants by simple editing, it is possible to bypass the detection system of the security solution and attempt to attack. In recent years, multi-partition Webcells have been developed to reconfigure multi-segmentation parameters transmitted by an attacker in a web server. Such a configuration is used for detection of security solutions such as firewalls, IPSs, IDSs, and web firewalls Detection is difficult because it is attacked by bypassing the system.

본 발명의 목적은 상기한 점을 감안하여 안출한 것으로, 특히 커널모드에서 탐지되는 파일 이벤트 정보를 분석하여 웹셀(WebShell) 파일을 탐지하게 해주는 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법을 제공하는 데 있다.It is an object of the present invention to provide a real-time webcell detection apparatus using a kernel-based file event audit function for detecting a WebShell file by analyzing file event information detected in a kernel mode, Method.

상기한 목적을 달성하기 위한 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 특징은, 웹페이지에서 감사대상파일과 백업파일의 상태를 감사하여 상기 웹페이지의 위변조 여부를 탐지하는 웹페이지 감사 모듈과, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 탐지하는 커널 기반 수집 및 분석 모듈과, 상기 웹페이지 감사 모듈에 의한 위변조 탐지 결과와 상기 커널 기반 수집 및 분석 모듈에 의한 위변조 탐지 결과로부터 위변조된 파일의 웹셀 파일 여부를 검사하는 웹셀 검사 모듈과, 상기 웹셀 검사 모듈에 의한 웹셀 파일 여부의 검사 결과를 통보하고 상기 웹셀 파일 여부의 검사 결과에 따른 대응 내용을 수집하는 감사 대응 모듈을 포함하여 구성되는 것이다.According to another aspect of the present invention, there is provided a real-time webcell detection apparatus using a kernel-based file event audit function, the web page detection method comprising: monitoring a state of an audit target file and a backup file in a web page, The file event information generated in the directory of the web page is collected in real time using the file event audit function in the kernel mode, Based on a result of the forgery detection by the web page audit module and the detection result of the forgery by the kernel-based collection and analysis module, whether or not the file is a webcell file of a falsified file, A webcell checking module for checking the webcell, Notify a result of checking whether the file is configured by including a corresponding auditing module that collects corresponding information according to the check result of whether the file wepsel.

바람직하게, 상기 웹페이지 감사 모듈은 상기 웹페이지에서 현재 감사대상파일에 대한 상태와 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 상기 위변조 여부를 탐지할 수 있다.Preferably, the web page audit module audits the status of the current audit target file and the status of the previous backup file in the web page in the web page, and checks the status of the current audit target file, It is possible to detect whether the forgery or falsification has occurred by comparing the audit result of the status of the backup file.

바람직하게, 상기 커널 기반 수집 및 분석 모듈은 상기 웹페이지 감사 모듈에서 위변조가 탐지되지 않는 경우에, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 분석할 수 있다.Preferably, the kernel-based collection and analysis module includes at least one of a file creation, a file modification, and a file deletion that occurs with respect to files in the directory of the web page in the case where no forgery is detected in the web page audit module Collected in real time using the file event audit function in the kernel mode, and analyze the occurrence of forgery or falsification of files in the directory by referring to the collected file event information.

바람직하게, 상기 웹셀 검사 모듈은 상기 웹페이지 감사 모듈에 의한 위변조 여부의 탐지 결과와 상기 커널 기반 수집 및 분석 모듈에 의한 위변조 발생 여부의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.Preferably, the webcell checking module performs integrity and regular expression checking on the forged file in the detection result of the forgery or falsification by the web page audit module and the detection result of the forgery or falsification by the kernel-based collection and analysis module Webcell files can be detected.

상기한 목적을 달성하기 위한 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법의 특징은, 웹페이지에서 감사대상파일과 백업파일을 감사한 웹페이지 상태로부터 상기 웹페이지의 위변조를 탐지하는 웹페이지 감사 단계와, 상기 위변조의 탐지 결과에 따라, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 수집한 후에 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 더 탐지하는 커널 기반 위변조 분석 과정과 상기 위변조를 탐지한 결과에서 상기 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 검사하는 웹셀 검사 과정을 포함하는 위변조 분석 단계와, 상기 웹셀 파일의 검사 결과를 통보하는 탐지결과 통보 단계로 이루어지는 것이다.According to another aspect of the present invention, there is provided a method for detecting a webcell using a kernel-based file event audit function, the method comprising: And a file event information generating unit for collecting file event information generated for files in a directory of the web page by using a file event audit function in a kernel mode according to the detection result of the forgery and falsify, The method comprising: a kernel-based forgery analysis process for detecting whether a falsification has occurred in files in the directory by referring to event information; and a webcell check process for checking whether a file having the falsification has been confirmed in the result of detecting the forgery- A forgery-and-falsification analysis step of analyzing the webcell file, Beam detection result is made of a notification method comprising.

바람직하게, 상기 웹페이지 감사 단계는 상기 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사할 수 있다.Preferably, the web page audit step audits the status of the current audit target file in the web page, and audits the status of the previous backup file in the web page.

보다 바람직하게, 상기 웹페이지 감사 단계는 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 상기 위변조 여부를 탐지할 수 있다.More preferably, the web page audit step may detect the forgery by comparing the audit result of the status of the current audit target file with the audit result of the status of the previous backup file.

바람직하게, 상기 위변조 분석 단계에서 상기 커널 기반 위변조 분석 과정은 상기 위변조를 탐지한 결과에서 위변조가 탐지되지 않는 경우에 수행하고, 상기 웹셀 검사 과정은 상기 위변조를 탐지한 결과 결과에서 위변조가 탐지되는 경우에 수행할 수 있다.Preferably, in the forgery and fake analysis step, the kernel-based forgery analysis process is performed when a forgery or falsification is not detected as a result of detecting the forgery and falsification, and the webcell checking process detects a forgery or falsification . ≪ / RTI >

바람직하게, 상기 커널 기반 위변조 분석 과정은 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집할 수 있다.Preferably, the kernel-based forgery-and-corruption analysis process is a process of analyzing the file event information including at least one of file generation, file modification, and file deletion generated for files in the directory of the web page, Can be collected in real time.

바람직하게, 상기 웹셀 검사 과정은 상기 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.Preferably, the webcell checking process detects the webcell file by performing the integrity check and the regular expression check on the file forgery-altered in the detection result of the forgery and falsification.

본 발명에 따르면 다음의 효과가 있다.The present invention has the following effects.

첫 째, 커널 모드에서의 파일이벤트감사 기능을 이용하여 웹페이지 디렉토리를 실시간으로 감사하고, 그로부터 해당 웹페이지 디렉토리 내에서 발생하는 악의적인 파일 이벤트를 분석하므로, 웹셀(WebShell) 파일에 의한 침투에 대해 보다 빠른 대응이 가능해진다. First, the web page directory is audited in real time by using the file event audit function in the kernel mode, and the malicious file event occurring in the web page directory is analyzed. Therefore, the infiltration by the web cell A faster response can be achieved.

둘 째, 웹페이지를 구성하는 파일의 변화를 실시간으로 탐지하면서 생성 및 변경되는 파일의 악성 여부를 판단할 수 있고, 특히 커널 모드에서 파일을 감사하기 때문에 파일 이벤트를 실시간으로 탐지할 수 있다. 그에 따라 시스템의 부하도 줄어드는 효과가 있다.Second, it can detect the change of the file constituting the web page in real time, determine whether the created or changed file is malicious or not, and can detect the file event in real time because the file is audited in the kernel mode. Thereby reducing the load on the system.

도 1은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 개략적인 구성을 나타낸 블록다이어그램이고,
도 2는 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 상세 구성을 나타낸 블록다이어그램이고,
도 3은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법을 나타낸 플로우챠트이다.FIG. 1 is a block diagram illustrating a schematic configuration of a real-time webcell detection apparatus using a kernel-based file event audit function according to an embodiment of the present invention,
FIG. 2 is a block diagram showing a detailed configuration of a real-time webcell detection apparatus using a kernel-based file event audit function according to an embodiment of the present invention,
3 is a flowchart illustrating a real-time webcell detection method using a kernel-based file event audit function according to an exemplary embodiment of the present invention.

본 발명의 다른 목적, 특징 및 이점들은 첨부한 도면을 참조한 실시 예들의 상세한 설명을 통해 명백해질 것이다.Other objects, features and advantages of the present invention will become apparent from the detailed description of the embodiments with reference to the accompanying drawings.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예의 구성과 그 작용을 설명하며, 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시 예로서 설명되는 것이며, 이것에 의해서 상기한 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a configuration and an operation of an embodiment of the present invention will be described with reference to the accompanying drawings, and the configuration and operation of the present invention shown in and described by the drawings will be described as at least one embodiment, The technical idea of the present invention and its essential structure and action are not limited.

이하, 첨부한 도면을 참조하여 본 발명에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법의 바람직한 실시 예를 자세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a preferred embodiment of a real-time webcell detection apparatus and method using a kernel-based file event audit function according to the present invention will be described in detail with reference to the accompanying drawings.

본 발명에서는 웹셀을 탐지하는 예를 설명하나, 그에 한정하지 않고 본 발명의 장치 및 방법에 기반하여 위변조 행위의 원인으로 작용하는 파일 또는 코드를 실시간으로 탐지하는데 적용할 수도 있다.The present invention may be applied to detection of a web cell in real time based on a device and method of the present invention.

도 1은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 개략적인 구성을 나타낸 블록다이어그램이고, 도 2는 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치의 상세 구성을 나타낸 블록다이어그램이다.FIG. 1 is a block diagram illustrating a schematic configuration of a real-time webcell detection apparatus using a kernel-based file event audit function according to an embodiment of the present invention. FIG. 2 is a block diagram illustrating a kernel- FIG. 2 is a block diagram illustrating a detailed configuration of a real-time webcell detection apparatus using an auditing function.

도 1 및 2를 참조하면, 본 발명에 따른 장치는 웹페이지 감사 모듈(10), 커널 기반 수집 및 분석 모듈(20), 파일 위변조 검사 모듈(30), 웹셀 검사 모듈(40), 그리고 감사 대응 모듈(50)로 구성된다.1 and 2, the apparatus according to the present invention includes a web page audit module 10, a kernel based collection and analysis module 20, a file forgery inspection module 30, a webcell inspection module 40, Module 50 as shown in FIG.

웹페이지 감사 모듈(10)은 본 발명에 따른 장치의 탐지 프로그램이 시작됨에 따라 탐지 대상이 되는 웹페이지의 상태를 감사한다. 특히, 웹페이지에서 감사대상파일(원본파일)과 백업파일의 상태를 감사하여 웹페이지에서 위변조를 탐지한다.The web page audit module 10 audits the status of a web page to be detected as the detection program of the apparatus according to the present invention is started. In particular, it monitors the status of the audit target file (original file) and the backup file on the web page, and detects forgery and corruption on the web page.

웹페이지 감사 모듈(10)은 웹페이지에서 현재 감사대상파일에 대한 상태와 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 현재 감사대상파일에 대한 상태를 감사한 결과와 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 해당 웹페이지에 대한 위변조 여부를 탐지할 수 있다.The web page audit module 10 audits the state of the current audit target file and the state of the previous backup file on the web page in the web page, and checks the state of the current audit target file and the state of the previous backup file The user can detect whether the web page is falsified or not.

커널 기반 수집 및 분석 모듈(20)은, 상기 웹페이지 감사 모듈(10)에서 웹페이지에서 위변조가 탐지되지 않는 경우에, 커널모드에서 제공하는 파일이벤트감사(file event notification) 기능을 이용하여 그 웹페이지를 구성하는 디렉토리의 모든 파일들에 대한 위변조 발생 여부를 탐지한다. 상세하게, 커널 기반 수집 및 분석 모듈(20)은 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중 적어도 하나의 파일이벤트정보를 커널모드에서 파일이벤트감사 기능을 이용하여 실시간으로 수집한다. 그리고 그 수집된 파일이벤트정보를 참조하여 디렉토리 내의 파일들에 대한 위변조 발생 여부를 분석한다.The kernel-based collection and analysis module 20 uses the file event notification function provided in the kernel mode when the web page has not been tampered with in the web page in the web page audit module 10, It detects whether forgery occurs on all the files in the directory that constitutes the page. In detail, the kernel-based collection and analysis module 20 may use at least one of file creation, file modification, and file deletion occurring in files in a directory of a web page using file event audit function in kernel mode Collect in real time. The collected file event information is referenced to analyze whether or not falsification of files in the directory occurs.

파일 위변조 검사 모듈(30)은 상기 웹페이지 감사 모듈(10)에 의해 웹페이지에 위변조가 탐지된 정보와 상기 커널 기반 수집 및 분석 모듈(20)에 의해 디렉토리의 파일들에서 위변조가 탐지된 정보에 기반하여 해당 웹페이지에 대한 위변조 발생 여부를 결정한다. 여기서, 파일 위변조 검사 모듈(30)은 웹페이지에 대한 위변조 발생 여부를 결정하는 구성이다.The file forgery-and-alteration inspection module 30 detects information forgery and falsification detected on the web page by the web page audit module 10 and information forgery and falsification detected in the files of the directory by the kernel-based collection and analysis module 20 And determines whether forgery or falsification has occurred on the web page. Here, the file forgery check module 30 determines whether a forgery or falsification of a web page occurs.

그러나, 이하에서는 웹페이지 감사 모듈(10)에 의한 탐지결과와 커널 기반 수집 및 분석 모듈(20)에 의한 탐지결과로부터 웹페이지의 위변조가 검사되는 것으로 설명한다.However, in the following, it is explained that the forgery and corruption of the web page is checked from the detection result by the web page audit module 10 and the detection result by the kernel based collection and analysis module 20. [

그에 따라, 웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의해 웹페이지에 위변조가 탐지된 정보와 커널 기반 수집 및 분석 모듈(20)에 의해 디렉토리의 파일들에서 위변조가 탐지된 정보에 기반하여 웹셀 파일 여부를 검사할 수 있다.Accordingly, the webcell checking module 40 checks whether information forgery or falsification has been detected on the web page by the web page audit module 10 and information on which forgery and falsification has been detected in the files of the directory by the kernel-based collection and analysis module 20 It is possible to check whether or not a web cell file exists.

웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의한 위변조 탐지 결과와 커널 기반 수집 및 분석 모듈(20)에 의한 위변조 탐지 결과로부터 위변조된 해당 파일이 웹셀 파일인지 아닌지를 검사한다. The webcell checking module 40 checks whether the corresponding file forged or falsified from the forgery detection result of the web page audit module 10 and the forgery detection result of the kernel based collection and analysis module 20 is a web cell file.

특히, 웹셀 검사 모듈(40)은 웹페이지 감사 모듈(10)에 의한 위변조 탐지 결과와 커널 기반 수집 및 분석 모듈(20)에 의한 위변조 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다.In particular, the webcell checking module 40 performs integrity checking and regular expression checking on the forgery-altered files in the forgery detection result by the web page audit module 10 and the forgery detection result by the kernel-based collection and analysis module 20 Webcell files can be detected.

여기서, 무결성 검사는 저장된 해쉬 값과의 비교를 통해 위변조된 파일의 위변조 부분이 웹셀 패턴에 해당되는 지를 비교하여 웹셀 파일을 탐지할 수 있다. 예로써, 해시 기반 코드(hash-based code)를 사용하는 무결성 검사를 실시하여 위변조된 파일의 해쉬 값을 산출한다. 이어, 그 산출된 해쉬 값을 저장된 해쉬 값과 동일한지를 비교하여, 동일한 경우에는 무결성이 유지되는 것으로 판단하고 동일하지 않는 경우에는 그 위변조된 파일을 웹셀 파일로 판단할 수 있다.Here, the integrity check can detect the webcell file by comparing whether the forgery and falsification of the forged file corresponds to the webcell pattern through comparison with the stored hash value. For example, an integrity check using a hash-based code is performed to calculate a hash value of a forged file. If the calculated hash value is the same as the stored hash value, it is determined that the integrity is maintained. If it is not the same, the falsified file can be determined as a web cell file.

정규표현식 검사는 정규 표현식으로 정의한 웹셀 패턴과 비교하여 웹셀 파일의 생성을 탐지할 수 있다. 예로써, 정규표현식 검사를 통해 위변조된 파일에 웹셀 서명이 포함되어 있는지를 분석하여 웹셀 파일을 탐지할 수 있다.Regular expression checking can detect the creation of a webcell file by comparing it with a webcell pattern defined by a regular expression. For example, a regular expression check can detect a webcell file by analyzing whether a webcell signature is included in a forged file.

본 발명의 일 실시 예에서는, 복수 개의 웹셀 서명을 포함하는 웹셀 서명 리스트를 참조하며, 상기 위변조 발생이 확인된 파일에 포함된 웹셀 서명이 상기 참조한 웹셀 서명 리스트에 포함된 복수 개의 웹셀 서명 중 어느 하나인지를 검사할 수 있다. 또한, 복수 개의 웹셀 패턴을 포함하는 웹셀 패턴 리스트를 참조하여, 상기 웹셀 서명이 포함된 것으로 확인된 파일이 어떤 종류의 웹셀인지를 탐지할 수 있다.In one embodiment of the present invention, a webcell signature list including a plurality of webcell signatures is referred to, and when a webcell signature included in a file in which the forgery-falsification is confirmed is included in one of a plurality of webcell signatures included in the referenced webcell signature list Can be checked. Also, by referring to a Webcell pattern list including a plurality of Webcell patterns, it is possible to detect what type of WebCell the file identified as containing the WebCell signature is.

감사 대응 모듈(50)은 웹셀 검사 모듈(40)에 의해 위변조된 파일이 웹셀 파일인지 아닌지의 검사된 결과를 관리자에게 통보하고, 웹셀 파일 여부의 검사 결과에 따른 대응 내용을 수집한다.
The audit counter module 50 notifies the manager of the result of checking whether the file forged or falsified by the webcell check module 40 is a webcell file or not, and collects the corresponding content according to the result of checking the webcell file.

도 3은 본 발명의 일 실시 예에 따른 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법을 나타낸 플로우챠트이다.3 is a flowchart illustrating a real-time webcell detection method using a kernel-based file event audit function according to an exemplary embodiment of the present invention.

도 3을 참조하면, 탐지 프로그램의 시작에 따라 탐지 대상이 되는 웹페이지의 상태를 감사한다(S10). 웹페이지의 상태를 감사할 시에는 웹페이지에서 감사대상파일(원본파일)과 백업파일의 상태를 감사하고, 그에 따른 웹페이지 상태로부터 그 웹페이지에서의 위변조를 탐지한다. 특히, 웹페이지 감사 시에는 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 그 웹페이지에서 이전 백업파일에 대한 상태를 감사할 수 있다. 또한, 웹페이지 감사 시에는 현재 감사대상파일에 대한 상태를 감사한 결과와 이전 백업파일에 대한 상태를 감사한 결과를 비교하여 웹페이지의 위변조 여부를 탐지할 수 있다.Referring to FIG. 3, the state of the web page to be detected is audited according to the start of the detection program (S10). When the status of a web page is audited, the status of the audit target file (original file) and the backup file is audited on the web page, and the forgery and falsification on the web page is detected from the status of the corresponding web page. In particular, when the web page is audited, the status of the current auditable file can be audited on the web page, and the status of the previous backup file can be audited on the web page. Also, when the web page is audited, it is possible to detect whether the web page is forged or falsified by comparing the result of the audit of the status of the current auditable file with the result of the audit of the status of the previous backup file.

이어, 웹페이지에서의 위변조 탐지 결과에 따라 커널 기반 위변조 분석 과정을 수행한다(S20).
Next, a kernel-based falsification analysis process is performed according to the forgery detection result in the web page (S20).

*커널 기반 위변조 분석 과정은 웹페이지의 상태를 감사한 결과에서 웹페이지의 위변조가 탐지되지 않는 경우에 수행한다. 상세하게, 커널 기반 위변조 분석 과정은 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집한다(S21). 이후에 그 수집된 파일이벤트정보를 참조하여 그 파일이벤트정보를 분석한 후에 해당 디렉토리 내의 파일들에 대한 위변조 발생 여부를 더 탐지한다(S22).* The kernel based forgery analysis process is performed when the forgery or falsification of the web page is not detected in the result of the audit of the status of the web page. In detail, in the kernel-based forgery analysis process, the file event information generated for the files in the directory of the web page is collected in real time using the file event audit function in the kernel mode (S21). After analyzing the file event information with reference to the collected file event information, it is further detected whether falsification has occurred in the files in the directory (S22).

여기서, 커널 기반 위변조 여부를 파일이벤트정보를 분석하여 탐지하는 과정에서는 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하고, 그 수집된 정보를 분석하여 위변조 발생 여부를 탐지할 수 있다.Herein, in the process of analyzing and detecting file-based event information for kernel-based forgery or falsification, file event information including at least one of file creation, file modification, and file deletion for files in a directory of a web page is performed in kernel mode It can collect information in real time using the file event audit function, analyze the collected information, and detect the occurrence of forgery or falsification.

이어, 웹페이지 감사를 통한 위변조 탐지 결과와 커널 기반 수집 및 분석을 통한 위변조 탐지 결과로부터 해당 웹페이지에 대한 위변조 발생 여부를 검사하여 위변조 사실을 결정한다(S30). Then, a forgery or falsification is determined by checking whether a forgery or falsification has occurred on the web page from the forgery or falsification detection result through the web page audit and the forgery or falsification detection result through the kernel based collection and analysis (S30).

이어, 위변조 검사 결과로부터 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 검사한다(S40).Next, whether the file for which the forgery or falsification has been confirmed is checked for the web cell file (S40).

다른 예로, 이하에서는 웹페이지 감사를 통한 탐지결과와 커널 기반 수집 및 분석을 통한 탐지 결과로부터 웹페이지의 위변조가 검사되는 것으로 설명한다.As another example, the following explains that the forgery and corruption of a web page is examined from the detection result through web page audit and the detection result through kernel based collection and analysis.

그에 따라, 웹페이지 감사를 통한 위변조 탐지 결과와 커널 기반 수집 및 분석을 통한 위변조 탐지 결과로부터 위변조된 해당 파일이 웹셀 파일인지 아닌지를 검사할 수 있다.Accordingly, it is possible to check whether the corresponding file falsified based on the forgery detection result through the web page audit and the forgery detection result through the kernel based collection and analysis is the web cell file.

상기한 웹셀 파일 여부를 검사할 시에는, 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지할 수 있다. 그 무결성 및 정규표현식 검사에 대해서는 이미 전술했으므로 그에 대한 상세는 생략한다.
When the webcell file is checked, it is possible to detect the webcell file by performing the integrity check and the regular expression check on the forgery-altered file in the forgery detection result. The integrity and regular expression checking has already been described above, so its details are omitted.

*이어, 웹셀 파일의 검사 결과를 관리자에게 통보하거나 웹셀 파일 여부의 검사 결과에 따른 대응 조치 내용을 수집하는 등의 감사 대응 과정을 수행한다(S50).Next, an audit response process such as notifying the administrator of the inspection result of the webcell file or collecting countermeasure measures according to the inspection result of the webcell file is performed (S50).

지금까지 본 발명의 바람직한 실시 예에 대해 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성을 벗어나지 않는 범위 내에서 변형된 형태로 구현할 수 있을 것이다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the invention.

그러므로 여기서 설명한 본 발명의 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 상술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 한다.It is therefore to be understood that the embodiments of the invention described herein are to be considered in all respects as illustrative and not restrictive, and the scope of the invention is indicated by the appended claims rather than by the foregoing description, Should be interpreted as being included in.

10: 웹페이지 감사 모듈
20: 커널 기반 수집 및 분석 모듈
30: 파일 위변조 검사 모듈
40: 웹셀 검사 모듈
50: 감사 대응 모듈10: Web page audit module
20: Kernel based collection and analysis module
30: File forgery check module
40: webcell inspection module
50: Audit response module

Claims (3)

웹페이지에서 감사대상파일과 백업파일을 감사한 웹페이지 상태로부터 상기 웹페이지의 위변조를 탐지하는 웹페이지 감사 단계;
상기 위변조를 탐지한 결과에 따라, 상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일이벤트정보를 커널모드에서의 파일이벤트감사 기능을 이용하여 수집한 후에 상기 수집된 파일이벤트정보를 참조하여 상기 디렉토리 내의 파일들에 대한 위변조 발생 여부를 더 탐지하는 커널 기반 위변조 분석 과정과 상기 위변조의 탐지 결과에서 상기 위변조 발생이 확인된 파일에 대해 웹셀 파일 여부를 더 검사하는 웹셀 검사 과정을 포함하는 위변조 분석 단계; 그리고
상기 웹셀 파일의 검사 결과를 통보하는 탐지결과 통보 단계를 포함하고,
상기 웹페이지 감사 단계는,
상기 웹페이지에서 현재 감사대상파일에 대한 상태를 감사하고, 상기 웹페이지에서 이전 백업파일에 대한 상태를 감사하고, 상기 현재 감사대상파일에 대한 상태를 감사한 결과와 상기 이전 백업파일에 대한 상태를 감사한 결과가 동일한지 비교하여 상기 위변조 여부를 탐지하고,
상기 커널 기반 위변조 분석 과정은,
상기 위변조 분석 단계에서 상기 위변조 여부를 탐지한 결과에서 위변조가 탐지되지 않는 경우에 수행하도록 구성되고,
상기 웹셀 검사 과정은,
상기 위변조 분석 단계에서 상기 위변조 여부를 탐지한 결과에서 위변조가 탐지되는 경우에 수행하도록 구성되는 것을 특징으로 하는 커널 기반 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법.A web page audit step of detecting forgery or falsification of the web page from a state of the web page in which the audit target file and the backup file are audited in the web page;
According to the detection result of the forgery or falsification, the file event information generated for the files in the directory of the web page is collected using the file event audit function in the kernel mode, A forgery-and-corruption analysis step of examining whether a fake or falsified occurrence of a file in the file is detected, and a webcell inspection step of checking whether a fake file is falsified or not based on a detection result of the falsification; And
And a detection result notification step of notifying the inspection result of the webcell file,
The web page audit step may include:
A status of the current audit target file is audited in the web page, a status of the previous backup file is audited in the web page, a status of the audit target file is checked and a status of the previous backup file is checked Detecting whether or not the forgery or falsification has occurred by comparing whether the audit result is identical,
The kernel-based forgery /
And if the forgery or falsification is not detected in the forgery or falsification analysis result in the forgery or falsification analysis step,
The webcell checking process includes:
And if the forgery / falsification is detected in the forgery / falsification analysis step, detecting a forgery or falsification in the forgery / falsification analysis step. 제 1 항에 있어서,
상기 커널 기반 위변조 분석 과정은,
상기 웹페이지의 디렉토리 내의 파일들에 대해 발생하는 파일생성, 파일변조 및 파일삭제 중에서 적어도 하나를 포함하는 상기 파일이벤트정보를 상기 커널모드에서의 파일이벤트감사 기능을 이용하여 실시간으로 수집하는 것을 특징으로 하는 커널 기반 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법.The method according to claim 1,
The kernel-based forgery /
The file event information including at least one of a file creation, a file modification, and a file deletion generated for files in the directory of the web page is collected in real time using the file event audit function in the kernel mode. A Real - Time Webcell Detection Method Using Kernel - based File Event Audit. 제 1 항에 있어서,
상기 웹셀 검사 과정은,
상기 위변조의 탐지 결과에서 위변조된 파일에 대한 무결성 및 정규표현식 검사를 실시하여 웹셀 파일을 탐지하는 것을 특징으로 하는 커널 기반 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 방법.The method according to claim 1,
The webcell checking process includes:
And detecting a webcell file by performing integrity and regular expression checking on a forgery-altered file in the detection result of the forgery and falsification.
KR1020150176770A 2015-12-11 2015-12-11 Apparatus and method for detecting webshell in real time using kernel-based file event notification function KR101650445B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150176770A KR101650445B1 (en) 2015-12-11 2015-12-11 Apparatus and method for detecting webshell in real time using kernel-based file event notification function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150176770A KR101650445B1 (en) 2015-12-11 2015-12-11 Apparatus and method for detecting webshell in real time using kernel-based file event notification function

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020140027079A Division KR20150104989A (en) 2014-03-07 2014-03-07 Apparatus and method for detecting webshell in real time using kernel-based file event notification function

Publications (2)

Publication Number Publication Date
KR20160003584A true KR20160003584A (en) 2016-01-11
KR101650445B1 KR101650445B1 (en) 2016-08-23

Family

ID=55169684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150176770A KR101650445B1 (en) 2015-12-11 2015-12-11 Apparatus and method for detecting webshell in real time using kernel-based file event notification function

Country Status (1)

Country Link
KR (1) KR101650445B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109905396A (en) * 2019-03-11 2019-06-18 北京奇艺世纪科技有限公司 A kind of WebShell file test method, device and electronic equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (en) * 2006-12-21 2008-08-25 주식회사 레드게이트 Method for real-time integrity check and audit trail connected with the security kernel
KR20090088687A (en) * 2008-02-15 2009-08-20 한국정보보호진흥원 System for detecting webshell and method thereof
KR101080953B1 (en) * 2011-05-13 2011-11-08 (주)유엠브이기술 System and method for detecting and protecting webshell in real-time
JP5410626B1 (en) * 2013-01-28 2014-02-05 インフォセク カンパニー リミテッド Web shell detection / support system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (en) * 2006-12-21 2008-08-25 주식회사 레드게이트 Method for real-time integrity check and audit trail connected with the security kernel
KR20090088687A (en) * 2008-02-15 2009-08-20 한국정보보호진흥원 System for detecting webshell and method thereof
KR101080953B1 (en) * 2011-05-13 2011-11-08 (주)유엠브이기술 System and method for detecting and protecting webshell in real-time
JP5410626B1 (en) * 2013-01-28 2014-02-05 インフォセク カンパニー リミテッド Web shell detection / support system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109905396A (en) * 2019-03-11 2019-06-18 北京奇艺世纪科技有限公司 A kind of WebShell file test method, device and electronic equipment

Also Published As

Publication number Publication date
KR101650445B1 (en) 2016-08-23

Similar Documents

Publication Publication Date Title
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
EP2893447B1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US9300682B2 (en) Composite analysis of executable content across enterprise network
US20160065600A1 (en) Apparatus and method for automatically detecting malicious link
EP3566166B1 (en) Management of security vulnerabilities
CA2790206A1 (en) Automated malware detection and remediation
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN110868403B (en) Method and equipment for identifying advanced persistent Attack (APT)
CN111464526A (en) Network intrusion detection method, device, equipment and readable storage medium
Schreck et al. BISSAM: Automatic vulnerability identification of office documents
CN109409089A (en) A kind of Windows ciphering type examined oneself based on virtual machine extorts software detecting method
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
TWI515599B (en) Computer program products and methods for monitoring and defending security
KR20180013270A (en) Automatic generation method of Indicators of Compromise and its application for digital forensic investigation of cyber attack and System thereof
KR101650445B1 (en) Apparatus and method for detecting webshell in real time using kernel-based file event notification function
Luo et al. Security of HPC systems: From a log-analyzing perspective
Xu et al. DR@ FT: efficient remote attestation framework for dynamic systems
KR101725670B1 (en) System and method for malware detection and prevention by checking a web server
KR20150104989A (en) Apparatus and method for detecting webshell in real time using kernel-based file event notification function
Kergl et al. Detection of zero day exploits using real-time social media streams
Mouelhi et al. Tailored shielding and bypass testing of web applications
JP5386015B1 (en) Bug detection apparatus and bug detection method
Mohaisen et al. Chatter: Exploring classification of malware based on the order of events
KR101421630B1 (en) system and method for detecting code-injected malicious code

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190819

Year of fee payment: 4