KR20160142101A - Network security system and method for blocking a drive by download - Google Patents
Network security system and method for blocking a drive by download Download PDFInfo
- Publication number
- KR20160142101A KR20160142101A KR1020150078029A KR20150078029A KR20160142101A KR 20160142101 A KR20160142101 A KR 20160142101A KR 1020150078029 A KR1020150078029 A KR 1020150078029A KR 20150078029 A KR20150078029 A KR 20150078029A KR 20160142101 A KR20160142101 A KR 20160142101A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- http request
- download
- request packet
- response
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000000903 blocking effect Effects 0.000 title description 11
- 230000004044 response Effects 0.000 claims abstract description 69
- 230000002265 prevention Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
아래의 설명은 드라이브 바이 다운로드(Drive-By Download)를 차단하는 기술에 관한 것으로, 네트워크 보안 방법에 관한 것이다.
The following description relates to a technique for blocking Drive-By Download, and relates to a network security method.
최근 악성코드들은 감염 전파를 위해 네트워크를 통한 취약한 서비스를 공격하는 방식에서 벗어나 웹서핑 중 사용자가 악의적인 웹사이트에 접속하는 순간 악성코드에 감염되는 드라이브 바이 다운로드(Drive-By Download) 방식을 통해 유포되고 있다. Drive-By Download를 통한 악성코드 유포 방식은 사용자 몰래 악성코드 감염이 가능하며, 다수의 사용자가 접속하는 웹 서버를 공격 매개체로 활용함으로써, 다수의 사용자를 한 번에 감염시키는 것이 가능하다.Recently, malicious code has been released from attacking vulnerable services through network for spreading infection through the drive-by download method which is infected with malicious code when a user accesses a malicious website while surfing the web. . By using Drive-By Download, it is possible to infect malicious code by users, and by using a Web server accessed by a large number of users as an attack medium, it is possible to infect a large number of users at one time.
악성코드에 감염된 좀비 PC는 대부분 봇넷 구축, 개인정보 탈취 등과 같은 행위에 악용될 수 있으며, 설치된 안티바이러스 제품 삭제, 방화벽 해제 등을 통해 악성코드 탐지 및 치료를 어렵게 하고 있다.Most zombie PCs infected with malicious code can be exploited for actions such as botnet construction, personal information hijacking, etc., and it is making it difficult to detect and treat malicious codes by deleting installed antivirus products and disabling the firewall.
Drive-By Download란 사용자가 자주 방문하는 웹페이지에 공격자가 SQL 주입공격(Injection)과 같은 웹공격 방법으로 악성 스크립트를 삽입하여 사용자가 인식하지 못 한 순간에 웹 페이지에 접속하는 것만으로도 사용자 PC를 감염시키는 방법이다.
Drive-By Download is a program that allows an attacker to insert a malicious script into a Web page that is frequently visited by a Web attack method such as an SQL injection injection (Injection) to access a Web page at a moment when the user is unaware .
본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a network security system and method for blocking drive-by download.
구체적으로, 본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.
Specifically, the present invention can check whether a download is made by warning the user of downloading an executable file if the packet is transmitted to the external network and the download request is for an executable file with an unauthorized destination address And generating a fake response packet and providing the fake response packet to the user.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계; 확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of blocking drive-by download in a security server, the method comprising: mirroring a packet through a network device connected to a client terminal in a security server; Confirming whether the mirrored packet is an HTTP request packet (Request Packet) transmitted to the external network and requesting download of an executable file to a destination address not previously authorized; If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, a response html is generated, and a response packet including a response html ; And transmitting the fake response packet to the client terminal.
이때, 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는, 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계; 상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및 상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계 를 포함할 수 있다.
The step of checking whether the mirrored packet is transmitted to the external network or not is an HTTP request packet requesting download of an executable file to an unauthorized destination address, Confirming whether the request packet is a request packet; Checking whether the mirrored packet includes a Get command if the mirrored packet is an HTTP request packet transmitted to an external network; Checking whether the file requested by the Get command is an executable file if the mirrored packet includes a Get command; And checking whether the destination address of the mirrored packet is the permitted address if the file requested by the Get command is an executable file.
이때, 상기 허가된 주소는, 상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.At this time, the authorized address may be an address that the client terminal has permitted to access and download, or an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network .
이때, 상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은, 상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공할 수 있다.At this time, the fake response packet including the response HTML information may provide the uniform resource locator (URL) including the response HTML or the response HTML.
이때, 상기 응답 HTML은, 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.At this time, the response HTML may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on the host, and referrer information.
이때, 상기 응답 HTML은, 돌아가기 버튼과 다운로드 버튼을 포함하고, 상기 돌아가기 버튼은 선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고, 상기 다운로드 버튼은 상기 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.In this case, the response HTML includes a return button and a download button. When the return button is selected, the response button provides a function of returning to a referrer, a page before requesting the HTTP request packet, or a predetermined page, The download button may provide a function to retransmit the HTTP request packet.
이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 할 수 있다.At this time, the download button may change a referer of the HTTP request packet to be retransmitted to a predetermined address corresponding to a previously authorized address and retransmit the HTTP request packet.
이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.At this time, the download button may transmit a packet for registering the destination address of the HTTP request packet with the permitted address to the security server before transmitting the HTTP request packet to be retransmitted.
이때, 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는, 상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신할 수 있다.
In this case, the step of transmitting the fake response packet to the client terminal may transmit the fake response packet to the client terminal before receiving the response packet for the HTTP request packet at the client terminal.
본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하여서, 사용자가 의도한 다운로드인지 확인하고 그렇지 않은 경우 사전에 차단함으로써, 드라이브 바이 다운로드를 차단하는 효과를 제공한다.
The present invention can be applied to a case where an HTTP request packet for mirroring a packet transmitted to an external network and requesting download of an executable file to a destination address not previously permitted is provided, And provides the user with the effect of blocking the drive-by download by confirming that the user intends to download it, and blocking the download in advance if not.
도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.
도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.
도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.
도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.1 is a diagram illustrating a schematic configuration of a network security system that blocks drive-by download according to an embodiment.
2 is a flowchart illustrating a process of blocking drive-by download in a security server of a network security system according to an embodiment.
3 is a flowchart illustrating a process of selecting suspicious packets as a drive-by download in a security server of the network security system according to an exemplary embodiment.
FIG. 4 is a view showing information to be confirmed in a mirrored packet in order to check a suspect condition by drive-by download according to an embodiment.
FIG. 5 is a diagram illustrating a screen provided to a client terminal in case of suspicion of drive-by download according to an exemplary embodiment.
상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.Other objects and features of the present invention will become apparent from the following description of embodiments with reference to the accompanying drawings.
본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.
그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.However, the present invention is not limited to or limited by the embodiments. Like reference symbols in the drawings denote like elements.
이하에서는, 본 발명의 일 실시 예에 따른 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.Hereinafter, a network security system and method for blocking drive-by download according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 5.
도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.1 is a diagram illustrating a schematic configuration of a network security system that blocks drive-by download according to an embodiment.
도 1을 참조하면, 네트워크 환경에서 클라이언트 단말(160)로부터 인터넷(100)에 접속할 때, 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결될 수 있다. 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트 단말(160)은 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다. Referring to FIG. 1, when connecting to the Internet 100 from a
보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 패킷(packet)을 미러링할 수 있다. 보안 서버(140)는 사전에 안전하다고 판단되어 다운로드가 허가된 주소들의 리스트를 저장할 수 있다. 예를 들면, 보안 서버(140)는 허가 대상 도메인 주소인 www.aaa.com, www.bbb.com, www.ccc.com을 저장하고 있을 수 있다. The
패킷은 인터넷(100)을 통하여 외부 DNS 서버(120)로도 전달될 수 있고, 미러링을 통하여 보안 서버(140)로도 전달될 수 있다. 보안 서버(140)는 패킷이 HTTP 요청 패킷인지 여부와 외부 네트워크로 송신되는 패킷인지 확인할 수 있다. The packet may be transmitted to the
보안 서버(140)는 미리렁된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷(Request Packet)이면, 사전에 허가되지 않은 목적지 주소로 실행 파일을 다운로드 요청하는지 여부를 확인할 수 있다.The
보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하여 클라이언트 단말(160)로 송신할 수 있다. If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, the
이때, 응답 HTML은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. At this time, the response HTML may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on a host, and referrer information.
또한, 응답 HTML은 리퍼러(Referer) 또는 기설정된 페이지로 돌아가도록 하는 돌아가기 버튼과 HTTP 요청 패킷을 재전송하는 기능을 제공하는 다운로드 버튼을 포함할 수 있다.In addition, the response HTML may include a return button for returning to a referrer or a predetermined page, and a download button for providing a function of retransmitting the HTTP request packet.
여기서, 다운로드 버튼은 재전송하는 HTTP 요청 패킷이 보안 서버(140)에서 드라이브 바이 다운로드의 조건에 검색되지 않도록 하는 기능을 포함할 수 있다.Here, the download button may include a function for preventing the retransmission of the HTTP request packet from being retrieved from the
클라이언트 단말(160)은 가짜 응답 패킷을 수신하면, 가짜 응답 패킷에 포함된 응답 HTML을 출력한다.Upon receiving the fake response packet, the
그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 돌아가기 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아간다.When the
그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 다운로드 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다. 이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.When the
한편, 종래에는 네트워크 보안 시스템이 고장난 경우, 정상적인 네트워크 접속이 안되는 경우가 많았다. 일 실시예에 따른 네트워크 보안 시스템은 보안 서버(140)가 고장 나더라도 네트워크 통신을 계속하여 수행되므로 서비스 정지 문제가 발생하지 않는다. 예를 들면, 보안 서버(140)가 고장난 경우라도 미러링되므로 정상 DNS 서버로부터 응답 패킷이 클라이언트 단말로 전달되므로 클라이언트 단말은 응답 패킷을 이용하여 정상적인 네트워크 접속을 할 수 있다.
On the other hand, in the past, when the network security system failed, normal network connection was often disabled. The network security system according to an embodiment does not cause a service stop problem because network communication is continuously performed even if the
이하, 상기와 같이 구성된 본 발명에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a method of blocking drive-by download in the network security system according to the present invention will be described with reference to the drawings.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of blocking drive-by download in a security server of a network security system according to an embodiment.
도 2를 참조하면, 보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(210).Referring to FIG. 2, the
그리고, 보안 서버(140)는 드라이브 바이 다운로드의 조건에 만족하는지 여부를 확인한다(212).Then, the
드라이브 바이 다운로드로 의심되는 조건은 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인 경우로, 확인하는 과정은 이후 도 3을 참조하여 후술한다.The suspect condition for the drive-by download is a case where the mirrored packet is transmitted to the external network and is an HTTP request packet (Request Packet) requesting download of an executable file to a destination address not previously permitted. 3 will be described later.
212단계의 확인결과 드라이브 바이 다운로드로 의심되는 조건을 만족하면, 보안 서버(140)는 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다(214). 이때, 가짜 응답 패킷은 응답 HTML을 포함하거나 또는 응답 HTML을 포함하고 있는 URL(uniform resource locator) 정보를 포함할 수 있다.As a result of checking in
응답 HTML은 아래 도 5의 예와 같이 클라이언트 단말을 통해 출력될 수 있다.The response HTML can be output through the client terminal as shown in the example of FIG. 5 below.
도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.FIG. 5 is a diagram illustrating a screen provided to a client terminal in case of suspicion of drive-by download according to an exemplary embodiment.
도 5를 참조하면, 응답 HTML(500)은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. 이때, 호스트에 관한 정보는 호스트의 주소 및 호스트의 국가 정보를 포함할 수 있고, 다운로드 하려는 파일에 관한 정보는 파일명, 다운로드 하려는 페이지 주소를 포함할 수 있다.Referring to FIG. 5, the response HTML 500 may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on a host, and referrer information. At this time, the information about the host may include the address of the host and the country information of the host, and the information about the file to be downloaded may include the file name and the page address to be downloaded.
또한, 응답 HTML(500)은 돌아가기 버튼(510)과 다운로드 버튼(520)을 포함할 수 있다.In addition, the response HTML 500 may include a
이때, 돌아가기 버튼(510)은 선택되면 리퍼러(Referer), HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아가는 기능을 제공할 수 있다.At this time, the
다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.The
이때, 다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하기 전에, 재전송 하는 HTTP 요청 패킷이 이미 보안 서버(140)에 의해 처리되었음을 보안 서버(140)에서 인지하도록 하여 불필요 가짜 응답 패킷의 재전송을 방지할 필요가 있다.At this time, the
그래서, 다운로드 버튼(520)은 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하거나 또는 HTTP 요청 패킷을 재전송하기에 앞서, 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하도록 할 수도 있다.Therefore, the
다시 도 2의 설명으로 돌아와서, 보안 서버(140)는 가짜 응답 패킷을 클라이언트 단말(160)로 송신한다(216).Referring again to FIG. 2, the
이후, 가짜 응답 패킷을 수신한 클라이언트 단말(160)은 상기 도 5의 예와 같이 응답 HTML을 출력하고, 다운로드 버튼이 입력되는지 여부를 확인한다(218).Then, the
218단계의 확인결과 다운로드 버튼이 입력되면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다(220).If it is determined in
이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 보안 서버(140)로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.At this time, the
218단계의 확인결과 다운로드 버튼이 입력되지 않으면, 클라이언트 단말(160)은 돌아가기 버튼이 입력되는지 여부를 확인한다(222).If it is determined in
222단계의 확인결과 돌아가기 버튼이 입력되면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지로 돌아간다(224). 이때, 이전 페이지는 미러링된 패킷에 포함된 리퍼러(Referer) 정보를 통해 확인할 수 있다.If the return button is pressed in
한편, 보안 서버(140)는 HTTP 요청 패킷에 대한 응답 패킷을 클라이언트 단말(160)에서 수신하기 전에, 클라이언트 단말(160)로 가짜 응답 패킷을 송신하여야 한다.Meanwhile, the
이를 위해서, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하는지 여부를 판단하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.For this, the
한편, 응답 패킷을 폐기하였으나 드라이브 바이 다운로드로 의심되는 조건을 만족하지 않는 경우, 보안 서버(140)는 HTTP 요청 패킷을 재전송하도록 하는 가짜 응답 패킷을 송신할 수 있다.On the other hand, if the response packet is discarded but the suspect condition for the drive-by download is not satisfied, the
또한, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하여 가짜 응답 패킷을 송신해야 하는 경우, 가짜 응답 패킷을 클라이언트 단말(160)로 송신하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.
In addition, when the
도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of selecting suspicious packets as a drive-by download in a security server of the network security system according to an exemplary embodiment.
도 3을 참조하면, 보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인한다(310). 이때, 패킷의 목적지 포트 넘버(destination port number)가 "80" 또는 "8080"인 경우가 외부 네트워크로 송신되는 패킷으로 판단할 수 있다.Referring to FIG. 3, the
310단계의 확인결과 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 보안 서버(140)는 미러링된 패킷에 Get 명령이 포함되어 있는지 확인한다(320). If it is determined in
320단계의 확인결과 미러링된 패킷에 Get 명령이 포함되어 있으면, 보안 서버(140)는 Get 명령으로 요청하는 파일이 실행 파일인지 확인한다(330).If it is determined in
330단계의 확인결과 Get 명령으로 요청하는 파일이 실행 파일이면, 보안 서버(140)는 미러링된 패킷의 목적지 주소가 허가된 주소인지 여부를 확인한다(340). If it is determined in
이때, 미러링된 패킷의 목적지 주소는 아래 도 4의 예와 같이 미러링된 패킷의 호스트(Host) 정보를 통해 확인할 수 있다. 그리고, 허가된 주소는 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.At this time, the destination address of the mirrored packet can be confirmed through the host information of the mirrored packet as shown in the example of FIG. 4 below. The authorized address may be an address to which the client terminal has permitted downloading, or an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network.
340단계의 확인결과 미러링된 패킷의 목적지 주소가 허가된 주소가 아니면, 보안 서버(140)는 214단계에서 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다
If it is determined in
도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.FIG. 4 is a view showing information to be confirmed in a mirrored packet in order to check a suspect condition by drive-by download according to an embodiment.
도 4를 참조하면,Referring to Figure 4,
보안 서버(140)는 미러링된 HTTP 요청 패킷(400)을 수신하면, 호스트 정보(430)을 확인하여 목적지 주소를 확인하고, 허가된 주소들의 리스트에 포함되어 있는지 비교하여 허가된 주소인지 확인할 수 있다.Upon receipt of the mirrored
그리고, 보안 서버(140)는 Get 정보(410)을 검색하여 Get 명령이 존재하는 지 여부, 수신할 파일명 및 수신할 파일의 확장자를 확인하여 실행 가능 여부를 확인할 수 있다.Then, the
한편, 보안 서버(140)는 가짜 응답 패킷에 포함시키기 위해서 리퍼러 정보(420)를 검색할 수 있다.Meanwhile, the
본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method for blocking the drive-by download in the network security system according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and specific embodiments and drawings. However, it should be understood that the present invention is not limited to the above- And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
120; DNS 서버
140; 보안 서버
160; 클라이언트 단말
170; 스위치120; DNS server
140; Security server
160; Client terminal
170; switch
Claims (10)
상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계;
확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및
상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계
를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
Mirroring a packet through a network device to which a client terminal is connected in the security server;
Confirming whether the mirrored packet is an HTTP request packet (Request Packet) transmitted to the external network and requesting download of an executable file to a destination address not previously authorized;
If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, a response html is generated, and a response packet including a response html ; And
Transmitting the fake response packet to the client terminal
To block the drive-by download on the secure server.
상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는,
상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계;
상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계;
상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및
상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계
를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
The step of verifying whether the mirrored packet is transmitted to the external network and is an HTTP request packet for requesting download of an executable file to a destination address not previously authorized,
Confirming that the mirrored packet is an HTTP request packet transmitted to an external network;
Checking whether the mirrored packet includes a Get command if the mirrored packet is an HTTP request packet transmitted to an external network;
Checking whether the file requested by the Get command is an executable file if the mirrored packet includes a Get command; And
If the file requested by the Get command is an executable file, checking whether the destination address of the mirrored packet is the permitted address
To block the drive-by download on the secure server.
상기 허가된 주소는,
상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는
내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소임을 특징으로 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
3. The method of claim 2,
The authorized address may be <
The address that the client terminal has accessed and permitted to download, or
And an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network
How to block drive-by downloads from the security server.
상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은,
상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
The fake response packet including the information of the response HTML,
And providing a URL (uniform resource locator) containing the response HTML or containing the response HTML
How to block drive-by downloads from the security server.
상기 응답 HTML은,
다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
In the response HTML,
Information about the host to which the file to be downloaded is stored, information about the file to be downloaded, country information of the host, and referer information
How to block drive-by downloads from the security server.
상기 응답 HTML은,
돌아가기 버튼과 다운로드 버튼을 포함하고,
상기 돌아가기 버튼은,
선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고,
상기 다운로드 버튼은,
상기 HTTP 요청 패킷을 재전송하는 기능을 제공하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
In the response HTML,
A return button and a download button,
The return button,
If the HTTP request packet is selected, it provides a function of returning to the previous page or the predetermined page requesting the HTTP request packet,
The download button includes:
And provides a function of retransmitting the HTTP request packet
How to block drive-by downloads from the security server.
상기 다운로드 버튼은,
상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 6,
The download button includes:
(Referer) of the HTTP request packet to be retransmitted is changed to a predetermined address corresponding to a previously authorized address and retransmitted
How to block drive-by downloads from the security server.
상기 다운로드 버튼은,
상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서,
상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 6,
The download button includes:
Before transmitting the HTTP request packet for retransmission,
And transmits a packet registering the destination address of the HTTP request packet to the secure server as an authorized address
How to block drive-by downloads from the security server.
상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는,
상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신함을 특징으로 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
Wherein the step of transmitting the fake response packet to the client terminal comprises:
And transmits the fake response packet to the client terminal before receiving the response packet for the HTTP request packet at the client terminal.
How to block drive-by downloads from the security server.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150078029A KR101728764B1 (en) | 2015-06-02 | 2015-06-02 | Network security system and method for blocking a drive by download |
PCT/KR2016/005677 WO2016195344A1 (en) | 2015-06-02 | 2016-05-30 | Network security system and method for blocking drive-by download |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150078029A KR101728764B1 (en) | 2015-06-02 | 2015-06-02 | Network security system and method for blocking a drive by download |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20160142101A true KR20160142101A (en) | 2016-12-12 |
KR101728764B1 KR101728764B1 (en) | 2017-04-21 |
Family
ID=57440722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150078029A KR101728764B1 (en) | 2015-06-02 | 2015-06-02 | Network security system and method for blocking a drive by download |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101728764B1 (en) |
WO (1) | WO2016195344A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579383B (en) * | 2024-01-15 | 2024-03-22 | 杭州优云科技股份有限公司 | Method, device and equipment for detecting and intercepting active HTTP response |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101281160B1 (en) * | 2006-02-03 | 2013-07-02 | 주식회사 엘지씨엔에스 | Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same |
KR101275708B1 (en) * | 2011-12-20 | 2013-06-17 | (주)소만사 | Network-based data loss prevention system using information of ssl/tls handshaking packet and https access selection block method thereof |
KR101416523B1 (en) * | 2012-09-25 | 2014-07-09 | 주식회사 시큐아이 | Security system and operating method thereof |
KR102025296B1 (en) * | 2012-10-05 | 2019-09-25 | 주식회사 케이티 | Server and method for redirecting contents route |
KR101518470B1 (en) * | 2014-06-16 | 2015-05-07 | 주식회사 플랜티넷 | Method for detecting a number of the devices of a plurality of client terminals selected by a web server from the internet request traffics sharing the public IP address and System for detecting selectively the same |
-
2015
- 2015-06-02 KR KR1020150078029A patent/KR101728764B1/en active IP Right Grant
-
2016
- 2016-05-30 WO PCT/KR2016/005677 patent/WO2016195344A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2016195344A1 (en) | 2016-12-08 |
KR101728764B1 (en) | 2017-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9407650B2 (en) | Unauthorised/malicious redirection | |
US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
US9654494B2 (en) | Detecting and marking client devices | |
US8181246B2 (en) | System and method for preventing web frauds committed using client-scripting attacks | |
US10097520B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
US8850584B2 (en) | Systems and methods for malware detection | |
US8839424B2 (en) | Cross-site request forgery protection | |
US20150082424A1 (en) | Active Web Content Whitelisting | |
JP2008532133A (en) | System and method for detecting and mitigating DNS camouflaged Trojans | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
US10348701B2 (en) | Protecting clients from open redirect security vulnerabilities in web applications | |
Gilad et al. | Off-path TCP injection attacks | |
US9680950B1 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
KR20110059963A (en) | Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same | |
Sinha et al. | CookieArmor: Safeguarding against cross‐site request forgery and session hijacking | |
US10360379B2 (en) | Method and apparatus for detecting exploits | |
KR101728764B1 (en) | Network security system and method for blocking a drive by download | |
CN107294994B (en) | CSRF protection method and system based on cloud platform | |
KR101511474B1 (en) | Method for blocking internet access using agent program | |
JP6635029B2 (en) | Information processing apparatus, information processing system, and communication history analysis method | |
Sharma et al. | Detection of ARP Spoofing: A command line execution method | |
Sadana et al. | Analysis of cross site scripting attack | |
Murphey | Secure session management: preventing security voids in web applications | |
JP2024038784A (en) | Information processing system, server device, method for controlling server device, client terminal device, method for controlling client terminal device, and program | |
Maragathavalli et al. | A Survey on various Security Issues in Health Data in Web Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) |