KR20160061141A - 웹 페이지 공격 차단 방법 및 장치 - Google Patents

웹 페이지 공격 차단 방법 및 장치 Download PDF

Info

Publication number
KR20160061141A
KR20160061141A KR1020140163685A KR20140163685A KR20160061141A KR 20160061141 A KR20160061141 A KR 20160061141A KR 1020140163685 A KR1020140163685 A KR 1020140163685A KR 20140163685 A KR20140163685 A KR 20140163685A KR 20160061141 A KR20160061141 A KR 20160061141A
Authority
KR
South Korea
Prior art keywords
function
attack
attack detection
memory
web page
Prior art date
Application number
KR1020140163685A
Other languages
English (en)
Other versions
KR102156340B1 (ko
Inventor
이민정
김현민
박종희
홍승균
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020140163685A priority Critical patent/KR102156340B1/ko
Publication of KR20160061141A publication Critical patent/KR20160061141A/ko
Priority to KR1020200113912A priority patent/KR102304332B1/ko
Application granted granted Critical
Publication of KR102156340B1 publication Critical patent/KR102156340B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1483Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)

Abstract

개시된 웹 페이지를 통한 공격 차단 방법은 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계; 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 메모리의 라이브러리 레이어에 설치하는 단계; 웹 브라우징 중에 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행하는 단계; 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함한다. 따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있는 이점이 있다.

Description

웹 페이지 공격 차단 방법 및 장치{METHOD AND APPARATUS FOR BLOCKING WEB PAGE ATTACK}
본 발명은 웹 페이지 공격 차단 방법 및 장치에 관한 것으로, 더욱 상세하게는 드라이브-바이 다운로드(drive-by download) 공격 등과 같은 웹 페이지를 이용한 공격을 탐지 및 차단하는 웹 페이지 공격 차단 방법 및 장치에 관한 것이다.
최근 안드로이드(Android), i-OS(iPhone Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재된 모바일 플랫폼이 급속도로 성장하면서 모바일 시장의 변화와 함께 웹 서비스 및 클라이언트 접속 환경에 큰 변화가 생기고 있다. 과거 윈도우즈 기반 웹 브라우저가 주를 이루었던 유선 인터넷 환경과 달리 웹킷 엔진을 기반으로 한 다양한 모바일 웹 브라우저의 사용이 기하급수적으로 증가하였다.
이러한 모바일 환경으로의 변화는 공격자들이 악성코드를 유포하는 방식에도 영향을 주었는데 그 중 하나가 웹 사이트 접속만으로 악성코드를 감염시키는 드라이브-바이 다운로드 공격 기술의 변화이다.
모바일 웹 브라우저는 애플리케이션 동작 구조와 운영체제 환경이 기존 PC 환경과는 다르기 때문에 과거 PC를 대상으로 했던 드라이브-바이 다운로드 공격이 불가하며, 이에 따라 공격자들은 기존 PC 환경과는 다른 공격 코드를 사용하여 모바일 기기에서 동작 가능한 익스플로이트(exploit)를 제작하고 있다.
종래 기술에 따른 웹 브라우저를 통한 악성 행위 차단 기술은 과거 PC를 대상으로 한 드라이브-바이 다운로드 공격에 초점을 두고 있기 때문에 새롭게 변화된 모바일 단말 플랫폼의 웹 브라우저에는 적용이 불가한 한계점이 존재한다.
이러한 종래 기술에 따른 드라이브-바이 다운로드 공격 차단 기술들은 첫 번째로 동작하는 웹 브라우저 및 운영체제 환경을 변경하여 각종 보호 기술을 적용하는 방법, 두 번째로 난독화 된 웹 페이지를 탐지하여 공격을 차단하는 방법, 세 번째로 악성코드 수집을 목적으로 하는 기술 적용 방법 등으로 구분할 수 있다.
그러나, 종래 기술에 따른 첫 번째 방법은 일반 윈도우즈 PC 환경에서만 적용 가능한 기술적 한계점으로 인해 모바일 환경에서는 적용이 불가하다는 문제점과 해당 기술들을 적용하기 위해서는 모바일 단말의 플랫폼 관리자 권한이 필요하다는 문제점 등이 존재한다.
이어서 종래 기술에 따른 두 번째 방법은 난독화 여부 탐지를 위한 별도의 난독화 코드 패턴이 필요하다는 점, 최근 발견된 웹 브라우저 취약점을 통해 유포되는 대부분의 공격 코드들이 난독화 되지 않은 상태에서 배포되고 있어 탐지가 불가능하다는 점 등의 문제점이 있다.
종래 기술에 따른 세 번째 방법은 최소의 권한으로 모바일 웹 브라우저를 보호하기 위해 적용하기에는 그 목적과 기능에 큰 차이가 있고 웹 브라우징 시 운용 중인 시스템이나 통신 성능에 직접적인 영향을 주는 등의 문제점을 가지고 있다.
한국 등록특허공보 제1033932호, 등록일자 2011년 5월 2일. 한국 등록특허공보 제1027928호, 등록일자 2011년 4월 1일. 한국 등록특허공보 제0915202호, 등록일자 2009년 8월 26일.
본 발명의 실시예에 따르면, 웹 브라우저에 추가로 설치되는 엑티브 엑스(activeX)나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있는 웹 페이지 공격 차단 방법 및 장치를 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 관점에 따른 웹 페이지 공격 차단 방법은, 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계; 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 단계; 웹 브라우징 중에 상기 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 단계; 상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함할 수 있다.
본 발명의 다른 관점에 따른 웹 페이지 공격 차단 장치는, 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 공격 탐지자 설치 모듈; 웹 브라우징 중에 상기 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 상기 공격 탐지 모듈; 상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 공격 차단 모듈을 포함할 수 있다.
본 발명의 실시예에 의하면, 모바일 웹 브라우저 환경을 그대로 지원하면서 동시에 최소의 수정만으로 웹 브라우저 취약점 공격을 통해 이루어지는 드라이브-바이 다운로드 공격 등과 같이 웹 페이지를 이용한 공격을 실시간으로 탐지할 수 있다.
아울러, 모바일 단말 플랫폼의 관리자 권한을 필요로 하는 시스템의 네이티브 라이브러리를 교체하는 등의 물리적인 시스템 변경 방법을 적용하지 않아도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.
그리고, 악성코드를 탐지하기 위해 성능저하를 유발하면서 통신 과정의 모든 데이터의 내용을 검사하여 공격 코드를 탐지하기 위한 별도의 코드 패턴과 비교하는 모니터링 과정 없이도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.
따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다.
나아가, 난독화 된 웹 페이지에 대해 안전한 접속 제공, 악성코드가 배포되고 있는 악성코드 유포 사이트 및 유해 웹 사이트에 대한 실시간 정보 수집 시스템 등과 같이 클라이언트 모바일 웹 브라우저를 대상으로 한 다양한 공격에 대응할 수 있는 웹 보안 분야의 응용 기술로 확장 구현이 가능한 효과가 있다.
도 1은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 수행할 수 있는 웹 페이지 공격 차단 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 수행할 수 있는 웹 페이지 공격 차단 장치의 블록 구성도이다.
이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 장치(100)는, 공격 탐지자 설치 모듈(110), 공격 탐지 모듈(120), 공격 차단 모듈(130) 등을 포함한다.
공격 탐지자 설치 모듈(110)은 웹 브라우저 애플리케이션이 최초로 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈(120)을 획득하여 메모리의 라이브러리 레이어에 설치한다.
이러한 공격 탐지자 설치 모듈(110)은 공격 탐지 모듈(120)을 메모리의 라이브러리 레이어에 설치할 때에, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 공격 탐지 모듈(120)이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가한다.
공격 탐지 모듈(120)은 웹 브라우저 애플리케이션의 최초 실행 시에 공격 탐지자 설치 모듈(110)에 의해 메모리의 라이브러리 레이어에 설치되며, 웹 브라우징 중에 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행한다.
이러한 공격 탐지 모듈(120)은 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하고, 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하며, 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악한다. 그리고, 공격 탐지 모듈(120)은 파악된 호출 함수 정보 및/또는 인자 정보를 공격 차단 모듈(130)에게 제공하여 차단 내용 로그에 기록, 표시 또는 전송될 수 있도록 한다.
아울러, 공격 탐지 모듈(120)은 내부 파일 열람 함수 또는 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하고, 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단한다.
또한, 공격 탐지 모듈(120)은 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하고, 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단한다.
공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 공격이 탐지된 웹 페이지의 접속을 차단하며, 웹 페이지 차단 내용을 로그로 기록하거나 표시하여 사용자에게 알리거나 수집 서버 등에게 전송한다.
도 2는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 웹 브라우저 애플리케이션이 최초로 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계(S201 내지 S205)를 포함한다.
이어서, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 메모리의 라이브러리 레이어에 설치하는 단계(S207)를 더 포함한다.
그리고, 웹 브라우징 중에 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행하는 단계(S209)를 더 포함한다.
아울러, 공격 탐지 모듈에 의한 웹 페이지 공격의 탐지 결과에 따라 웹 페이지의 접속을 차단하거나 접속을 허용하는 단계(S211 내지 S217)를 더 포함한다.
도 3은 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하는 단계(S301 내지 S305)를 포함한다.
이어서, 함수 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하는 단계(S307)를 더 포함한다.
그리고, 함수 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악하는 단계(S309)를 더 포함한다.
아울러, 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하는 단계(S311)를 더 포함한다.
또한, 파악된 호출 함수 정보 또는 인자 정보를 포함하는 차단 내용 로그를 기록, 표시 또는 전송하는 단계(S313)를 더 포함한다.
도 4는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 내부 파일 열람 함수 또는 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계(S401 내지 S407)를 포함한다.
그리고, 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하여 웹 페이지의 접속을 차단하고, 화이트리스트에 존재하면 웹 페이지 접속을 허용하는 단계(S409 내지 S413)를 더 포함한다.
도 5는 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 웹 페이지 공격 차단 방법은, 함수 호출 감시 중에 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하는 단계(S501 내지 S505)를 포함한다.
그리고, 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하여 웹 페이지의 접속을 차단하고, 권한을 모두 포함하지 않으면 웹 페이지 접속을 허용하는 단계(S507 내지 S511)를 더 포함한다.
이하, 도 1 내지 도 5를 참조하여 본 발명의 실시예에 따른 웹 페이지 공격 차단 장치에 의해 수행되는 웹 페이지 공격 차단 방법에 대해 더 자세히 살펴보기로 한다.
모바일 단말을 대상으로 하는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지 공격 방식은 여러가지 형태가 존재하나 대부분은 브라우저의 설계 결함(또는 취약점)에 의해 발생한다. 대표적인 설계 결함으로 인한 공격은 메모리 핸들링 과정에서 발생하는 설계 결함으로 인한 임의 쉘코드 실행 공격과 기능 구현 과정에서 발생하는 설계 결함으로 인한 시스템 내부 명령 실행 공격 등이 있다. 이러한 임의 쉘 코드 실행 공격과 시스템 내부 명령 실행 공격 등을 포함하는 웹 페이지 공격 방식은 네이티브 라이브러리(native library)의 함수를 호출하여 실행하는 공통점이 있으며, 본 발명의 실시예에서는 이러한 공통점을 이용하여 다양한 방식의 웹 페이지 공격을 실시간으로 탐지 및 차단할 수 있도록 한다.
먼저, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 웹 페이지 공격 차단 방법에 의한 전체적인 공격 탐지 및 차단 과정을 살펴보기로 한다.
보안 라이브러리를 포함하도록 수정된 웹 브라우저 애플리케이션이 모바일 단말들을 대상으로 하여 배포되며, 배포된 웹 브라우저 애플리케이션이 모바일 단말에서 최초 실행되면 공격 탐지자 설치 모듈(110)을 실행하며, 메모리 상에 보안 라이브러리를 로드한다. 여기서, 본 발명의 실시예에 따라 보안 라이브러리를 포함하도록 수정된 웹 브라우저와 모바일 단말에 기 설치된 웹 브라우저를 구분하기 위해 "웹 브라우저 애플리케이션"이라고 지칭하였으나 이들은 "웹 브라우저"로 통칭될 수 있다(S201 내지 S205).
이어서, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 로드된 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈(120)을 획득하여 메모리의 라이브러리 레이어에 설치한다(S207).
이렇게, 공격 탐지 모듈(120)을 라이브러리 레이어에 설치할 때에, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 공격 탐지 모듈(120)이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가한다. 즉, 공격자들이 주로 악용하는 유형에 따라 올바르게 공격을 탐지할 수 있도록 각 API 함수의 코드를 패치하는 과정을 거치게 된다.
이때, 내부 명령 실행 탐지를 위해 라이브러리 내에 존재하는 각 명령 실행 함수의 코드들을 수정하고 명령 실행 시스템 콜로 진입하는 코드에 대한 제거 작업을 수행한다. 그리고, 공격자에 의한 정보 유출 및 파일 변조 공격을 효과적으로 탐지하기 위해 내부 파일 열람과 내부 파일 변조 등의 두 가지 공격 유형을 모두 검사할 수 있도록 파일 열람 함수의 코드를 수정하는 작업을 수행한다. 아울러, 웹 브라우저의 메모리 변조 공격을 효과적으로 탐지하기 위해 메모리 생성 함수 및 메모리 변경 함수의 코드를 찾아 수정하는 작업을 수행하게 된다.
그러면, 메모리의 라이브러리 레이어에 설치된 공격 탐지 모듈(120)은 웹 브라우징 중에 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 호출되며, 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 공격 탐지 기능을 수행한다(S209).
다음으로, 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 탐지되면 공격 차단 모듈(130)은 공격 탐지 결과에 따라 웹 페이지의 접속을 차단하며(S213), 차단 내용을 로그로 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S215). 하지만, 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 탐지되지 않으면 공격 차단 모듈(130)은 웹 페이지의 접속을 허용한다(S217).
도 1 및 도 3을 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 명령 실행 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.
공격 탐지 모듈(120)은 함수 호출 감시 중에 내부 명령 실행 함수 등의 명령 실행 관련 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사한다(S301 내지 S305).
이어서, 공격 탐지 모듈(120)은 단계 S305에 의한 함수 검사의 결과에 따라 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하며, 파악된 호출 함수 정보와 인자 정보를 공격 차단 모듈(130)에게 제공한다(S307).
그리고, 공격 탐지 모듈(120)은 단계 S305에 의한 함수 검사의 결과에 따라 시스템 콜 실행 함수이면 인자 정보를 파악하며, 파악된 인자 정보를 공격 차단 모듈(130)에게 제공한다(S309).
여기서, 단계 S307 및 S309를 통해 전달 정보를 다르게 처리하는 것은 실제 드라이브-바이 다운로드 공격의 형태를 구분하고, 어느 레이어에서 공격이 시작되었는지 파악하기 용이하게 하기 위한 것이다.
다음으로, 공격 차단 모듈(130)은 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하며(S311), 단계 S307 또는 S309를 통해 파악 및 전달된 호출 함수 정보 또는 인자 정보를 포함하는 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S313).
도 1 및 도 4를 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 파일 열람 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.
공격 탐지 모듈(120)은 함수 호출 감시 중에 내부 파일 열람 함수 또는 내부 파일 변조 함수 등의 파일 열람 관련 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계(S401 내지 S407). 여기서, 파일 열람인가 아니면 파일 쓰기인지를 판단하며, 판단 결과에 따라 열람 화이트리스트 또는 쓰기 화이트리스트에 존재하는 지를 검사할 수 있다.
그리고, 공격 탐지 모듈(120)은 호출된 함수의 경로 인자가 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하여 공격 차단 모듈(130)에게 경로 인자를 전달한다.
그러면, 공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 판단된 경우라면 웹 페이지의 접속을 차단하고(S409), 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S411). 하지만, 호출된 함수의 경로 인자가 화이트리스트에 존재하는 경우라면 웹 페이지 접속 및 정상적인 파일 열람을 허용한다(S413).
도 1 및 도 5를 참조하여 실시예에 따른 웹 페이지 공격 차단 방법 중에서 메모리 관련 함수가 호출될 때의 공격 탐지 및 차단 과정을 설명하기로 한다.
공격 탐지 모듈(120)은 함수 호출 감시 중에 메모리 생성 함수 또는 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사한다(S501 내지 S505). 여기서, 메모리 생성인가 또는 메모리 변경인가를 먼저 구분한 후에 권한 검사를 수행할 수도 있다.
그리고, 공격 탐지 모듈(120)은 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하여 공격 차단 모듈(130)에게 인자를 전달한다. 이는 읽기, 쓰기 및 실행 권한을 모두 포함하는 권한이 정상적인 웹 브라우저라면 필요하지 않다는 추론에 따른 것이다.
그러면, 공격 차단 모듈(130)은 공격 탐지 모듈(120)에 의해 웹 페이지 공격이 판단된 경우라면 웹 페이지의 접속을 차단하고(S507), 차단 내용 로그를 기록하거나 사용자가 인지할 수 있도록 표시하거나 기 설정된 외부 서버에게 전송한다(S509). 하지만, 읽기, 쓰기 및 실행 권한을 모두 포함하지 않으면 웹 페이지 접속 및 정상적인 메모리 관련 함수의 호출을 허용한다(S511).
지금까지 설명한 바와 같이, 본 발명의 실시예에 따르면 모바일 웹 브라우저 환경을 그대로 지원하면서 동시에 최소의 수정만으로 웹 브라우저 취약점 공격을 통해 이루어지는 드라이브-바이 다운로드 공격 등과 같이 웹 페이지를 이용한 공격을 실시간으로 탐지할 수 있다.
아울러, 모바일 단말 플랫폼의 관리자 권한을 필요로 하는 시스템의 네이티브 라이브러리를 교체하는 등의 물리적인 시스템 변경 방법을 적용하지 않아도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.
그리고, 악성코드를 탐지하기 위해 성능저하를 유발하면서 통신 과정의 모든 데이터의 내용을 검사하여 공격 코드를 탐지하기 위한 별도의 코드 패턴과 비교하는 모니터링 과정 없이도 웹 접속 시 웹 브라우저의 취약점을 통해 악성코드를 유포하는 공격을 탐지할 수 있다.
따라서, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명의 실시예에 따르면, 웹 브라우저에 추가로 설치되는 엑티브 엑스나 플러그인 등의 기술 적용이 불가한 모바일 단말의 웹 브라우저가 취약점 공격을 통해 악성 코드를 유발하는 웹 페이지에 접속하였을 때에 자동으로 실행되는 드라이브-바이 다운로드 공격 등과 같은 웹 페이지를 이용한 공격을 실시간으로 탐지하고 차단할 수 있다. 따라서, 모바일 웹 브라우저를 포함하는 스마트폰 등과 같은 각종 모바일 통신 장치 및 관련 기술분야에 이용할 수 있다.
100 : 웹 페이지 공격 차단 장치 110 : 공격 탐지자 설치 모듈
120 : 공격 탐지 모듈 130 : 공격 차단 모듈

Claims (6)

  1. 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하는 단계;
    내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 단계;
    웹 브라우징 중에 상기 공격 탐지 모듈이 내부 명령 실행 공격 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 단계; 및
    상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 단계를 포함하는 웹 페이지 공격 차단 방법.
  2. 제 1 항에 있어서,
    상기 공격 탐지 모듈을 상기 라이브러리 레이어에 설치하는 단계는, 웹 브라우저 프로세서의 메모리 상에 로드된 기본 라이브러리에 포함된 상기 내부 명령 실행 함수, 상기 내부 파일 열람 함수, 상기 내부 파일 변조 함수, 상기 메모리 생성 함수 또는 상기 메모리 변경 함수 중에서 적어도 어느 한 함수의 코드를 수정하여 해당 함수 호출 시에 상기 공격 탐지 모듈이 호출되도록 웹 브라우저 초기화 루틴 코드를 추가하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.
  3. 제 1 항에 있어서,
    상기 공격 탐지 기능을 수행하는 단계는,
    상기 내부 명령 실행 함수가 호출되면 라이브러리 실행 함수인지 시스템 콜 실행 함수인지를 검사하는 단계;
    상기 검사 결과, 라이브러리 실행 함수이면 호출 함수 정보와 인자 정보를 파악하는 단계; 및
    상기 검사 결과, 시스템 콜 실행 함수이면 상기 인자 정보를 파악하는 단계를 더 포함하며,
    상기 웹 페이지의 접속을 차단하는 단계는,
    상기 내부 명령 실행 함수를 호출한 웹 페이지의 접속을 차단하는 단계; 및
    파악된 상기 호출 함수 정보 또는 상기 인자 정보를 포함하는 차단 내용 로그를 기록, 표시 또는 전송하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.
  4. 제 1 항에 있어서,
    상기 공격 탐지 기능을 수행하는 단계는,
    상기 내부 파일 열람 함수 또는 상기 내부 파일 변조 함수가 호출되면 호출된 함수의 경로 인자가 기 저장된 화이트리스트에 존재하는 지를 검사하는 단계;
    상기 호출된 함수의 경로 인자가 상기 화이트리스트에 존재하지 않으면 웹 페이지 공격으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.
  5. 제 1 항에 있어서,
    상기 공격 탐지 기능을 수행하는 단계는,
    상기 메모리 생성 함수 또는 상기 메모리 변경 함수가 호출되면 읽기, 쓰기 및 실행 권한을 모두 포함하는 지를 검사하는 단계;
    상기 읽기, 쓰기 및 실행 권한을 모두 포함하면 웹 페이지 공격으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 웹 페이지 공격 차단 방법.
  6. 웹 브라우저가 최초 실행되면 메모리 상에 보안 라이브러리를 로드하고, 내부 명령 실행 함수, 내부 파일 열람 함수, 내부 파일 변조 함수, 메모리 생성 함수 또는 메모리 변경 함수 중에서 적어도 어느 한 함수의 호출 시에 상기 보안 라이브러리로부터 공격 탐지 기능을 수행하는 공격 탐지 모듈을 획득하여 상기 메모리의 라이브러리 레이어에 설치하는 공격 탐지자 설치 모듈;
    웹 브라우징 중에 상기 적어도 어느 한 함수의 호출 시에 내부 명령 실행 탐지 기능, 내부 파일 열람 공격 탐지 기능, 내부 파일 변조 공격 탐지 기능, 메모리 생성 공격 탐지 기능 또는 메모리 변경 공격 탐지 기능 중에서 적어도 어느 하나의 기능을 포함하는 상기 공격 탐지 기능을 수행하는 상기 공격 탐지 모듈; 및
    상기 공격 탐지 모듈에 의해 공격이 탐지된 웹 페이지의 접속을 차단하는 공격 차단 모듈을 포함하는 웹 페이지 공격 차단 장치.
KR1020140163685A 2014-11-21 2014-11-21 웹 페이지 공격 차단 방법 및 장치 KR102156340B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140163685A KR102156340B1 (ko) 2014-11-21 2014-11-21 웹 페이지 공격 차단 방법 및 장치
KR1020200113912A KR102304332B1 (ko) 2014-11-21 2020-09-07 웹 페이지 공격 차단 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140163685A KR102156340B1 (ko) 2014-11-21 2014-11-21 웹 페이지 공격 차단 방법 및 장치

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020200113912A Division KR102304332B1 (ko) 2014-11-21 2020-09-07 웹 페이지 공격 차단 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160061141A true KR20160061141A (ko) 2016-05-31
KR102156340B1 KR102156340B1 (ko) 2020-09-15

Family

ID=56099096

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140163685A KR102156340B1 (ko) 2014-11-21 2014-11-21 웹 페이지 공격 차단 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102156340B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190014918A (ko) 2017-08-04 2019-02-13 국방과학연구소 비정상 행위 감시를 이용한 드라이브 바이 다운로드 탐지 장치 및 그 방법
CN109697362A (zh) * 2018-12-13 2019-04-30 西安四叶草信息技术有限公司 网络漏洞检测方法及装置
KR102182397B1 (ko) * 2020-01-16 2020-11-24 김욱 웹 서비스 보호 및 자동 복구 방법 및 그 시스템
KR102258638B1 (ko) 2020-08-06 2021-06-01 주식회사 알파인랩 자바스크립트 기반의 웹 자동화 공격 및 스니핑 차단 시스템 및 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100915202B1 (ko) 2007-11-27 2009-09-02 유디코스모 주식회사 악성코드 수집 방법 및 장치
KR101027928B1 (ko) 2008-07-23 2011-04-12 한국전자통신연구원 난독화된 악성 웹페이지 탐지 방법 및 장치
KR101033932B1 (ko) 2007-10-12 2011-05-11 한국전자통신연구원 웹브라우저를 통한 악성행위를 차단하는 장치 및 방법
KR101311367B1 (ko) * 2013-04-09 2013-09-25 주식회사 안랩 메모리 보호기능 우회 공격 진단 장치 및 방법
KR101404882B1 (ko) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 행위를 기반으로 한 악성코드 분류시스템 및 분류방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101033932B1 (ko) 2007-10-12 2011-05-11 한국전자통신연구원 웹브라우저를 통한 악성행위를 차단하는 장치 및 방법
KR100915202B1 (ko) 2007-11-27 2009-09-02 유디코스모 주식회사 악성코드 수집 방법 및 장치
KR101027928B1 (ko) 2008-07-23 2011-04-12 한국전자통신연구원 난독화된 악성 웹페이지 탐지 방법 및 장치
KR101404882B1 (ko) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 행위를 기반으로 한 악성코드 분류시스템 및 분류방법
KR101311367B1 (ko) * 2013-04-09 2013-09-25 주식회사 안랩 메모리 보호기능 우회 공격 진단 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yeu-Pong Lai et al, "The defense in-depth approach to the protection for browsing users against drive-by cache attacks"(2014.10.)* *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190014918A (ko) 2017-08-04 2019-02-13 국방과학연구소 비정상 행위 감시를 이용한 드라이브 바이 다운로드 탐지 장치 및 그 방법
CN109697362A (zh) * 2018-12-13 2019-04-30 西安四叶草信息技术有限公司 网络漏洞检测方法及装置
KR102182397B1 (ko) * 2020-01-16 2020-11-24 김욱 웹 서비스 보호 및 자동 복구 방법 및 그 시스템
KR102258638B1 (ko) 2020-08-06 2021-06-01 주식회사 알파인랩 자바스크립트 기반의 웹 자동화 공격 및 스니핑 차단 시스템 및 방법

Also Published As

Publication number Publication date
KR102156340B1 (ko) 2020-09-15

Similar Documents

Publication Publication Date Title
EP3123311B1 (en) Malicious code protection for computer systems based on process modification
Xing et al. Upgrading your android, elevating my malware: Privilege escalation through mobile os updating
JP6326497B2 (ja) 動的アプリケーションセキュリティ検証
US10728274B2 (en) Method and system for injecting javascript into a web page
Sanchez-Rola et al. Extension breakdown: Security analysis of browsers extension resources control policies
JP5957492B2 (ja) 挙動サンドボックスのためのシステム及び方法
US8973136B2 (en) System and method for protecting computer systems from malware attacks
US20060053492A1 (en) Software tracking protection system
Schmeelk et al. Android malware static analysis techniques
CN110647744A (zh) 使用特定于对象的文件系统视图识别和提取关键危害取证指标
US20230004637A1 (en) Secure web framework
KR20160061141A (ko) 웹 페이지 공격 차단 방법 및 장치
Yu et al. Access control to prevent attacks exploiting vulnerabilities of webview in android OS
Yang et al. {Iframes/Popups} Are Dangerous in Mobile {WebView}: Studying and Mitigating Differential Context Vulnerabilities
CN103970574B (zh) office程序的运行方法及装置、计算机系统
Onarlioglu et al. Sentinel: Securing legacy firefox extensions
Wang et al. Stay in your cage! A sound sandbox for third-party libraries on android
WO2014168406A1 (ko) 메모리 보호기능 우회 공격 진단 장치 및 방법
Saini et al. The darker side of firefox extension
US20230009963A1 (en) System and method for application tamper discovery
KR102304332B1 (ko) 웹 페이지 공격 차단 방법 및 장치
KR101033932B1 (ko) 웹브라우저를 통한 악성행위를 차단하는 장치 및 방법
Aldoseri et al. A Tale of Four Gates: Privilege Escalation and Permission Bypasses on Android Through App Components
WO2014048751A1 (en) Method and apparatus for detecting a malicious website
Blåfield Different types of keyloggers: Mitigation and risk relevancy in modern society

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant