KR20160142101A - Network security system and method for blocking a drive by download - Google Patents

Network security system and method for blocking a drive by download Download PDF

Info

Publication number
KR20160142101A
KR20160142101A KR1020150078029A KR20150078029A KR20160142101A KR 20160142101 A KR20160142101 A KR 20160142101A KR 1020150078029 A KR1020150078029 A KR 1020150078029A KR 20150078029 A KR20150078029 A KR 20150078029A KR 20160142101 A KR20160142101 A KR 20160142101A
Authority
KR
South Korea
Prior art keywords
packet
http request
download
request packet
response
Prior art date
Application number
KR1020150078029A
Other languages
Korean (ko)
Other versions
KR101728764B1 (en
Inventor
이용환
박민혁
김수로
손재식
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020150078029A priority Critical patent/KR101728764B1/en
Priority to PCT/KR2016/005677 priority patent/WO2016195344A1/en
Publication of KR20160142101A publication Critical patent/KR20160142101A/en
Application granted granted Critical
Publication of KR101728764B1 publication Critical patent/KR101728764B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a network security system capable of drive-by download prevention and a method thereof. The network security system mirrors a packet connected to a network apparatus which is connected to a client terminal from a server, transmits the mirrored packet to an external network, checks whether the packet is a hypertext transfer protocol (HTTP) request packet requesting an execution file to be downloaded to a target address not allowed in advance, generates a response in hypertext markup language (HTML) when the mirrored packet is an HTTP request packet being transmitted to an external network and requesting an execution file to be downloaded to a target address not allowed in advance, and transmits a fake response packet including response HTML information to the client terminal, thereby warning a user of the execution file being downloaded and checks whether the execution file is downloaded.

Description

드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법{Network security system and method for blocking a drive by download}[0001] Network security system and method for blocking drive-by download [

아래의 설명은 드라이브 바이 다운로드(Drive-By Download)를 차단하는 기술에 관한 것으로, 네트워크 보안 방법에 관한 것이다.
The following description relates to a technique for blocking Drive-By Download, and relates to a network security method.

최근 악성코드들은 감염 전파를 위해 네트워크를 통한 취약한 서비스를 공격하는 방식에서 벗어나 웹서핑 중 사용자가 악의적인 웹사이트에 접속하는 순간 악성코드에 감염되는 드라이브 바이 다운로드(Drive-By Download) 방식을 통해 유포되고 있다. Drive-By Download를 통한 악성코드 유포 방식은 사용자 몰래 악성코드 감염이 가능하며, 다수의 사용자가 접속하는 웹 서버를 공격 매개체로 활용함으로써, 다수의 사용자를 한 번에 감염시키는 것이 가능하다.Recently, malicious code has been released from attacking vulnerable services through network for spreading infection through the drive-by download method which is infected with malicious code when a user accesses a malicious website while surfing the web. . By using Drive-By Download, it is possible to infect malicious code by users, and by using a Web server accessed by a large number of users as an attack medium, it is possible to infect a large number of users at one time.

악성코드에 감염된 좀비 PC는 대부분 봇넷 구축, 개인정보 탈취 등과 같은 행위에 악용될 수 있으며, 설치된 안티바이러스 제품 삭제, 방화벽 해제 등을 통해 악성코드 탐지 및 치료를 어렵게 하고 있다.Most zombie PCs infected with malicious code can be exploited for actions such as botnet construction, personal information hijacking, etc., and it is making it difficult to detect and treat malicious codes by deleting installed antivirus products and disabling the firewall.

Drive-By Download란 사용자가 자주 방문하는 웹페이지에 공격자가 SQL 주입공격(Injection)과 같은 웹공격 방법으로 악성 스크립트를 삽입하여 사용자가 인식하지 못 한 순간에 웹 페이지에 접속하는 것만으로도 사용자 PC를 감염시키는 방법이다.
Drive-By Download is a program that allows an attacker to insert a malicious script into a Web page that is frequently visited by a Web attack method such as an SQL injection injection (Injection) to access a Web page at a moment when the user is unaware .

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a network security system and method for blocking drive-by download.

구체적으로, 본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.
Specifically, the present invention can check whether a download is made by warning the user of downloading an executable file if the packet is transmitted to the external network and the download request is for an executable file with an unauthorized destination address And generating a fake response packet and providing the fake response packet to the user.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계; 확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of blocking drive-by download in a security server, the method comprising: mirroring a packet through a network device connected to a client terminal in a security server; Confirming whether the mirrored packet is an HTTP request packet (Request Packet) transmitted to the external network and requesting download of an executable file to a destination address not previously authorized; If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, a response html is generated, and a response packet including a response html ; And transmitting the fake response packet to the client terminal.

이때, 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는, 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계; 상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및 상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계 를 포함할 수 있다.
The step of checking whether the mirrored packet is transmitted to the external network or not is an HTTP request packet requesting download of an executable file to an unauthorized destination address, Confirming whether the request packet is a request packet; Checking whether the mirrored packet includes a Get command if the mirrored packet is an HTTP request packet transmitted to an external network; Checking whether the file requested by the Get command is an executable file if the mirrored packet includes a Get command; And checking whether the destination address of the mirrored packet is the permitted address if the file requested by the Get command is an executable file.

이때, 상기 허가된 주소는, 상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.At this time, the authorized address may be an address that the client terminal has permitted to access and download, or an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network .

이때, 상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은, 상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공할 수 있다.At this time, the fake response packet including the response HTML information may provide the uniform resource locator (URL) including the response HTML or the response HTML.

이때, 상기 응답 HTML은, 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.At this time, the response HTML may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on the host, and referrer information.

이때, 상기 응답 HTML은, 돌아가기 버튼과 다운로드 버튼을 포함하고, 상기 돌아가기 버튼은 선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고, 상기 다운로드 버튼은 상기 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.In this case, the response HTML includes a return button and a download button. When the return button is selected, the response button provides a function of returning to a referrer, a page before requesting the HTTP request packet, or a predetermined page, The download button may provide a function to retransmit the HTTP request packet.

이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 할 수 있다.At this time, the download button may change a referer of the HTTP request packet to be retransmitted to a predetermined address corresponding to a previously authorized address and retransmit the HTTP request packet.

이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.At this time, the download button may transmit a packet for registering the destination address of the HTTP request packet with the permitted address to the security server before transmitting the HTTP request packet to be retransmitted.

이때, 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는, 상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신할 수 있다.
In this case, the step of transmitting the fake response packet to the client terminal may transmit the fake response packet to the client terminal before receiving the response packet for the HTTP request packet at the client terminal.

본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하여서, 사용자가 의도한 다운로드인지 확인하고 그렇지 않은 경우 사전에 차단함으로써, 드라이브 바이 다운로드를 차단하는 효과를 제공한다.
The present invention can be applied to a case where an HTTP request packet for mirroring a packet transmitted to an external network and requesting download of an executable file to a destination address not previously permitted is provided, And provides the user with the effect of blocking the drive-by download by confirming that the user intends to download it, and blocking the download in advance if not.

도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.
도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.
도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.
도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.1 is a diagram illustrating a schematic configuration of a network security system that blocks drive-by download according to an embodiment.
2 is a flowchart illustrating a process of blocking drive-by download in a security server of a network security system according to an embodiment.
3 is a flowchart illustrating a process of selecting suspicious packets as a drive-by download in a security server of the network security system according to an exemplary embodiment.
FIG. 4 is a view showing information to be confirmed in a mirrored packet in order to check a suspect condition by drive-by download according to an embodiment.
FIG. 5 is a diagram illustrating a screen provided to a client terminal in case of suspicion of drive-by download according to an exemplary embodiment.

상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.Other objects and features of the present invention will become apparent from the following description of embodiments with reference to the accompanying drawings.

본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.However, the present invention is not limited to or limited by the embodiments. Like reference symbols in the drawings denote like elements.

이하에서는, 본 발명의 일 실시 예에 따른 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.Hereinafter, a network security system and method for blocking drive-by download according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 5.

도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.1 is a diagram illustrating a schematic configuration of a network security system that blocks drive-by download according to an embodiment.

도 1을 참조하면, 네트워크 환경에서 클라이언트 단말(160)로부터 인터넷(100)에 접속할 때, 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결될 수 있다. 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트 단말(160)은 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다. Referring to FIG. 1, when connecting to the Internet 100 from a client terminal 160 in a network environment, the client terminal 160 may be connected to a switch 170 or a router. The client terminal 160 may be connected to the switch 170 or the router to enable network connection and data transmission. At this time, at least one client of the client terminal 160 can be connected to the Internet. For example, the client may be a terminal such as a PC or a smart phone.

보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 패킷(packet)을 미러링할 수 있다. 보안 서버(140)는 사전에 안전하다고 판단되어 다운로드가 허가된 주소들의 리스트를 저장할 수 있다. 예를 들면, 보안 서버(140)는 허가 대상 도메인 주소인 www.aaa.com, www.bbb.com, www.ccc.com을 저장하고 있을 수 있다. The security server 140 may be connected to a network device to which the client terminal 160 is connected and may mirror a packet through the network device. The security server 140 may store a list of addresses that are determined to be safe in advance and are allowed to be downloaded. For example, the security server 140 may store the permitted domain addresses: www.aaa.com, www.bbb.com, www.ccc.com.

패킷은 인터넷(100)을 통하여 외부 DNS 서버(120)로도 전달될 수 있고, 미러링을 통하여 보안 서버(140)로도 전달될 수 있다. 보안 서버(140)는 패킷이 HTTP 요청 패킷인지 여부와 외부 네트워크로 송신되는 패킷인지 확인할 수 있다. The packet may be transmitted to the external DNS server 120 through the Internet 100 and may also be transmitted to the security server 140 through mirroring. The security server 140 can check whether the packet is an HTTP request packet or a packet transmitted to the external network.

보안 서버(140)는 미리렁된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷(Request Packet)이면, 사전에 허가되지 않은 목적지 주소로 실행 파일을 다운로드 요청하는지 여부를 확인할 수 있다.The security server 140 can confirm whether or not the download request of the executable file is requested to a destination address that is not permitted in advance when the packet is an HTTP request packet (Request Packet) transmitted to the external network.

보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하여 클라이언트 단말(160)로 송신할 수 있다. If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, the security server 140 generates a response HTML, A response packet can be generated and transmitted to the client terminal 160.

이때, 응답 HTML은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. At this time, the response HTML may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on a host, and referrer information.

또한, 응답 HTML은 리퍼러(Referer) 또는 기설정된 페이지로 돌아가도록 하는 돌아가기 버튼과 HTTP 요청 패킷을 재전송하는 기능을 제공하는 다운로드 버튼을 포함할 수 있다.In addition, the response HTML may include a return button for returning to a referrer or a predetermined page, and a download button for providing a function of retransmitting the HTTP request packet.

여기서, 다운로드 버튼은 재전송하는 HTTP 요청 패킷이 보안 서버(140)에서 드라이브 바이 다운로드의 조건에 검색되지 않도록 하는 기능을 포함할 수 있다.Here, the download button may include a function for preventing the retransmission of the HTTP request packet from being retrieved from the security server 140 under the condition of drive-by download.

클라이언트 단말(160)은 가짜 응답 패킷을 수신하면, 가짜 응답 패킷에 포함된 응답 HTML을 출력한다.Upon receiving the fake response packet, the client terminal 160 outputs the response HTML included in the fake response packet.

그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 돌아가기 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아간다.When the client terminal 160 detects that the return button included in the response HTML is input, the client terminal 160 returns to the previous page or a predetermined page (for example, the start page).

그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 다운로드 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다. 이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.When the client terminal 160 detects that the download button included in the response HTML is input, the client terminal 160 retransmits the HTTP request packet. At this time, the client terminal 160 changes the referer of the HTTP request packet retransmitted according to the response HTML to a predetermined address corresponding to the previously authorized address, and transmits the HTTP request packet to the client terminal 160 before transmitting the HTTP request packet for retransmission or retransmission The security server 140 may transmit a packet for registering the destination address of the HTTP request packet as an authorized address.

한편, 종래에는 네트워크 보안 시스템이 고장난 경우, 정상적인 네트워크 접속이 안되는 경우가 많았다. 일 실시예에 따른 네트워크 보안 시스템은 보안 서버(140)가 고장 나더라도 네트워크 통신을 계속하여 수행되므로 서비스 정지 문제가 발생하지 않는다. 예를 들면, 보안 서버(140)가 고장난 경우라도 미러링되므로 정상 DNS 서버로부터 응답 패킷이 클라이언트 단말로 전달되므로 클라이언트 단말은 응답 패킷을 이용하여 정상적인 네트워크 접속을 할 수 있다.
On the other hand, in the past, when the network security system failed, normal network connection was often disabled. The network security system according to an embodiment does not cause a service stop problem because network communication is continuously performed even if the security server 140 fails. For example, even when the security server 140 fails, the response packet is transmitted from the normal DNS server to the client terminal, so that the client terminal can make a normal network connection using the response packet.

이하, 상기와 같이 구성된 본 발명에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a method of blocking drive-by download in the network security system according to the present invention will be described with reference to the drawings.

도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of blocking drive-by download in a security server of a network security system according to an embodiment.

도 2를 참조하면, 보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(210).Referring to FIG. 2, the security server 140 mirrors a packet through a network device to which the client terminal 160 is connected (210).

그리고, 보안 서버(140)는 드라이브 바이 다운로드의 조건에 만족하는지 여부를 확인한다(212).Then, the security server 140 confirms whether the condition of the drive-by download is satisfied (212).

드라이브 바이 다운로드로 의심되는 조건은 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인 경우로, 확인하는 과정은 이후 도 3을 참조하여 후술한다.The suspect condition for the drive-by download is a case where the mirrored packet is transmitted to the external network and is an HTTP request packet (Request Packet) requesting download of an executable file to a destination address not previously permitted. 3 will be described later.

212단계의 확인결과 드라이브 바이 다운로드로 의심되는 조건을 만족하면, 보안 서버(140)는 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다(214). 이때, 가짜 응답 패킷은 응답 HTML을 포함하거나 또는 응답 HTML을 포함하고 있는 URL(uniform resource locator) 정보를 포함할 수 있다.As a result of checking in step 212, if the suspect condition for drive-by downloading is satisfied, the security server 140 generates a response HTML and generates a response packet containing the information of the response HTML (214). At this time, the fake response packet may include the response HTML or URL (uniform resource locator) information including the response HTML.

응답 HTML은 아래 도 5의 예와 같이 클라이언트 단말을 통해 출력될 수 있다.The response HTML can be output through the client terminal as shown in the example of FIG. 5 below.

도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.FIG. 5 is a diagram illustrating a screen provided to a client terminal in case of suspicion of drive-by download according to an exemplary embodiment.

도 5를 참조하면, 응답 HTML(500)은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. 이때, 호스트에 관한 정보는 호스트의 주소 및 호스트의 국가 정보를 포함할 수 있고, 다운로드 하려는 파일에 관한 정보는 파일명, 다운로드 하려는 페이지 주소를 포함할 수 있다.Referring to FIG. 5, the response HTML 500 may include at least one of information on a host where a file to be downloaded is stored, information on a file to be downloaded, country information on a host, and referrer information. At this time, the information about the host may include the address of the host and the country information of the host, and the information about the file to be downloaded may include the file name and the page address to be downloaded.

또한, 응답 HTML(500)은 돌아가기 버튼(510)과 다운로드 버튼(520)을 포함할 수 있다.In addition, the response HTML 500 may include a return button 510 and a download button 520.

이때, 돌아가기 버튼(510)은 선택되면 리퍼러(Referer), HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아가는 기능을 제공할 수 있다.At this time, the return button 510 may provide a function of returning to a previous page or a predetermined page (for example, a start page) before requesting a referrer, an HTTP request packet if selected.

다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.The download button 520 may provide a function to retransmit the HTTP request packet.

이때, 다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하기 전에, 재전송 하는 HTTP 요청 패킷이 이미 보안 서버(140)에 의해 처리되었음을 보안 서버(140)에서 인지하도록 하여 불필요 가짜 응답 패킷의 재전송을 방지할 필요가 있다.At this time, the download button 520 allows the security server 140 to recognize that the HTTP request packet to be retransmitted has already been processed by the security server 140 before retransmitting the HTTP request packet, thereby preventing the retransmission of the unnecessary false response packet There is a need.

그래서, 다운로드 버튼(520)은 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하거나 또는 HTTP 요청 패킷을 재전송하기에 앞서, 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하도록 할 수도 있다.Therefore, the download button 520 is configured to change the referrer of the HTTP request packet to be retransmitted to a predetermined address corresponding to the previously authorized address and retransmit the HTTP request packet, or to transmit the HTTP request packet to the security server 140 ) To send a packet registering the destination address of the HTTP request packet as an authorized address.

다시 도 2의 설명으로 돌아와서, 보안 서버(140)는 가짜 응답 패킷을 클라이언트 단말(160)로 송신한다(216).Referring again to FIG. 2, the security server 140 transmits a bogus response packet to the client terminal 160 (step 216).

이후, 가짜 응답 패킷을 수신한 클라이언트 단말(160)은 상기 도 5의 예와 같이 응답 HTML을 출력하고, 다운로드 버튼이 입력되는지 여부를 확인한다(218).Then, the client terminal 160 receiving the fake response packet outputs a response HTML as shown in the example of FIG. 5 and confirms whether a download button is input (218).

218단계의 확인결과 다운로드 버튼이 입력되면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다(220).If it is determined in step 218 that the download button is input, the client terminal 160 retransmits the HTTP request packet (220).

이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 보안 서버(140)로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.At this time, the client terminal 160 changes the referer of the HTTP request packet retransmitted according to the response HTML to a predetermined address corresponding to the previously authorized address, and transmits the HTTP request packet for retransmission or retransmission , And transmits a packet for registering the destination address of the HTTP request packet as an authorized address to the security server 140.

218단계의 확인결과 다운로드 버튼이 입력되지 않으면, 클라이언트 단말(160)은 돌아가기 버튼이 입력되는지 여부를 확인한다(222).If it is determined in step 218 that the download button is not input, the client terminal 160 determines whether a return button is input (step 222).

222단계의 확인결과 돌아가기 버튼이 입력되면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지로 돌아간다(224). 이때, 이전 페이지는 미러링된 패킷에 포함된 리퍼러(Referer) 정보를 통해 확인할 수 있다.If the return button is pressed in step 222, the client terminal 160 returns to the previous page or the predetermined page (step 224). At this time, the previous page can be confirmed through the referer information included in the mirrored packet.

한편, 보안 서버(140)는 HTTP 요청 패킷에 대한 응답 패킷을 클라이언트 단말(160)에서 수신하기 전에, 클라이언트 단말(160)로 가짜 응답 패킷을 송신하여야 한다.Meanwhile, the security server 140 must transmit a false response packet to the client terminal 160 before receiving the response packet for the HTTP request packet from the client terminal 160.

이를 위해서, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하는지 여부를 판단하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.For this, the security server 140 may intercept and discard the response packet transmitted to the client terminal 160 before determining whether the suspicious condition is satisfied by the drive-by download.

한편, 응답 패킷을 폐기하였으나 드라이브 바이 다운로드로 의심되는 조건을 만족하지 않는 경우, 보안 서버(140)는 HTTP 요청 패킷을 재전송하도록 하는 가짜 응답 패킷을 송신할 수 있다.On the other hand, if the response packet is discarded but the suspect condition for the drive-by download is not satisfied, the security server 140 may transmit a bogus response packet to resend the HTTP request packet.

또한, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하여 가짜 응답 패킷을 송신해야 하는 경우, 가짜 응답 패킷을 클라이언트 단말(160)로 송신하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.
In addition, when the security server 140 satisfies the suspicious condition of drive-by download and needs to transmit a fake response packet, the security server 140 transmits a response packet to the client terminal 160 before transmitting the fake response packet to the client terminal 160 Can be intercepted and discarded.

도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of selecting suspicious packets as a drive-by download in a security server of the network security system according to an exemplary embodiment.

도 3을 참조하면, 보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인한다(310). 이때, 패킷의 목적지 포트 넘버(destination port number)가 "80" 또는 "8080"인 경우가 외부 네트워크로 송신되는 패킷으로 판단할 수 있다.Referring to FIG. 3, the security server 140 determines whether the mirrored packet is an HTTP request packet transmitted to the external network (310). At this time, if the destination port number of the packet is "80" or "8080 ", it can be determined that the packet is transmitted to the external network.

310단계의 확인결과 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 보안 서버(140)는 미러링된 패킷에 Get 명령이 포함되어 있는지 확인한다(320). If it is determined in step 310 that the mirrored packet is an HTTP request packet transmitted to the external network, the security server 140 determines whether the mirrored packet includes a Get command (320).

320단계의 확인결과 미러링된 패킷에 Get 명령이 포함되어 있으면, 보안 서버(140)는 Get 명령으로 요청하는 파일이 실행 파일인지 확인한다(330).If it is determined in step 320 that the mirrored packet includes a Get command, the security server 140 determines whether the file requested by the Get command is an executable file (330).

330단계의 확인결과 Get 명령으로 요청하는 파일이 실행 파일이면, 보안 서버(140)는 미러링된 패킷의 목적지 주소가 허가된 주소인지 여부를 확인한다(340). If it is determined in step 330 that the file requested by the Get command is an executable file, the security server 140 determines whether the destination address of the mirrored packet is an authorized address (340).

이때, 미러링된 패킷의 목적지 주소는 아래 도 4의 예와 같이 미러링된 패킷의 호스트(Host) 정보를 통해 확인할 수 있다. 그리고, 허가된 주소는 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.At this time, the destination address of the mirrored packet can be confirmed through the host information of the mirrored packet as shown in the example of FIG. 4 below. The authorized address may be an address to which the client terminal has permitted downloading, or an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network.

340단계의 확인결과 미러링된 패킷의 목적지 주소가 허가된 주소가 아니면, 보안 서버(140)는 214단계에서 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다
If it is determined in step 340 that the destination address of the mirrored packet is not an authorized address, the security server 140 generates a fake response packet including the information of the response HTML in step 214

도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.FIG. 4 is a view showing information to be confirmed in a mirrored packet in order to check a suspect condition by drive-by download according to an embodiment.

도 4를 참조하면,Referring to Figure 4,

보안 서버(140)는 미러링된 HTTP 요청 패킷(400)을 수신하면, 호스트 정보(430)을 확인하여 목적지 주소를 확인하고, 허가된 주소들의 리스트에 포함되어 있는지 비교하여 허가된 주소인지 확인할 수 있다.Upon receipt of the mirrored HTTP request packet 400, the security server 140 can confirm the destination address by checking the host information 430 and comparing whether it is included in the list of permitted addresses, .

그리고, 보안 서버(140)는 Get 정보(410)을 검색하여 Get 명령이 존재하는 지 여부, 수신할 파일명 및 수신할 파일의 확장자를 확인하여 실행 가능 여부를 확인할 수 있다.Then, the security server 140 can check whether the Get command exists, the file name to be received, and the extension of the file to be received by checking the Get information 410, and confirm whether or not the Get command is executable.

한편, 보안 서버(140)는 가짜 응답 패킷에 포함시키기 위해서 리퍼러 정보(420)를 검색할 수 있다.Meanwhile, the security server 140 may search the referrer information 420 for inclusion in the fake response packet.

본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method for blocking the drive-by download in the network security system according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and specific embodiments and drawings. However, it should be understood that the present invention is not limited to the above- And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

120; DNS 서버
140; 보안 서버
160; 클라이언트 단말
170; 스위치120; DNS server
140; Security server
160; Client terminal
170; switch

Claims (10)

보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계;
상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계;
확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및
상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계
를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
Mirroring a packet through a network device to which a client terminal is connected in the security server;
Confirming whether the mirrored packet is an HTTP request packet (Request Packet) transmitted to the external network and requesting download of an executable file to a destination address not previously authorized;
If the mirrored packet is transmitted to the external network and the HTTP request packet requests downloading of an executable file to a destination address not previously authorized, a response html is generated, and a response packet including a response html ; And
Transmitting the fake response packet to the client terminal
To block the drive-by download on the secure server.
제1항에 있어서,
상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는,
상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계;
상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계;
상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및
상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계
를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
The step of verifying whether the mirrored packet is transmitted to the external network and is an HTTP request packet for requesting download of an executable file to a destination address not previously authorized,
Confirming that the mirrored packet is an HTTP request packet transmitted to an external network;
Checking whether the mirrored packet includes a Get command if the mirrored packet is an HTTP request packet transmitted to an external network;
Checking whether the file requested by the Get command is an executable file if the mirrored packet includes a Get command; And
If the file requested by the Get command is an executable file, checking whether the destination address of the mirrored packet is the permitted address
To block the drive-by download on the secure server.
제2항에 있어서,
상기 허가된 주소는,
상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는
내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소임을 특징으로 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
3. The method of claim 2,
The authorized address may be <
The address that the client terminal has accessed and permitted to download, or
And an address that has been downloaded more than a predetermined number of times through a predetermined number of client terminals included in the internal network
How to block drive-by downloads from the security server.
제1항에 있어서,
상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은,
상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
The fake response packet including the information of the response HTML,
And providing a URL (uniform resource locator) containing the response HTML or containing the response HTML
How to block drive-by downloads from the security server.
제1항에 있어서,
상기 응답 HTML은,
다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
In the response HTML,
Information about the host to which the file to be downloaded is stored, information about the file to be downloaded, country information of the host, and referer information
How to block drive-by downloads from the security server.
제1항에 있어서,
상기 응답 HTML은,
돌아가기 버튼과 다운로드 버튼을 포함하고,
상기 돌아가기 버튼은,
선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고,
상기 다운로드 버튼은,
상기 HTTP 요청 패킷을 재전송하는 기능을 제공하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
In the response HTML,
A return button and a download button,
The return button,
If the HTTP request packet is selected, it provides a function of returning to the previous page or the predetermined page requesting the HTTP request packet,
The download button includes:
And provides a function of retransmitting the HTTP request packet
How to block drive-by downloads from the security server.
제6항에 있어서,
상기 다운로드 버튼은,
상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 6,
The download button includes:
(Referer) of the HTTP request packet to be retransmitted is changed to a predetermined address corresponding to a previously authorized address and retransmitted
How to block drive-by downloads from the security server.
제6항에 있어서,
상기 다운로드 버튼은,
상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서,
상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 6,
The download button includes:
Before transmitting the HTTP request packet for retransmission,
And transmits a packet registering the destination address of the HTTP request packet to the secure server as an authorized address
How to block drive-by downloads from the security server.
제1항에 있어서,
상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는,
상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신함을 특징으로 하는
보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
The method according to claim 1,
Wherein the step of transmitting the fake response packet to the client terminal comprises:
And transmits the fake response packet to the client terminal before receiving the response packet for the HTTP request packet at the client terminal.
How to block drive-by downloads from the security server.
제1항 내지 제9항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium having recorded therein a program for executing the method according to any one of claims 1 to 9.
KR1020150078029A 2015-06-02 2015-06-02 Network security system and method for blocking a drive by download KR101728764B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150078029A KR101728764B1 (en) 2015-06-02 2015-06-02 Network security system and method for blocking a drive by download
PCT/KR2016/005677 WO2016195344A1 (en) 2015-06-02 2016-05-30 Network security system and method for blocking drive-by download

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150078029A KR101728764B1 (en) 2015-06-02 2015-06-02 Network security system and method for blocking a drive by download

Publications (2)

Publication Number Publication Date
KR20160142101A true KR20160142101A (en) 2016-12-12
KR101728764B1 KR101728764B1 (en) 2017-04-21

Family

ID=57440722

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150078029A KR101728764B1 (en) 2015-06-02 2015-06-02 Network security system and method for blocking a drive by download

Country Status (2)

Country Link
KR (1) KR101728764B1 (en)
WO (1) WO2016195344A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117579383B (en) * 2024-01-15 2024-03-22 杭州优云科技股份有限公司 Method, device and equipment for detecting and intercepting active HTTP response

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101281160B1 (en) * 2006-02-03 2013-07-02 주식회사 엘지씨엔에스 Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
KR101275708B1 (en) * 2011-12-20 2013-06-17 (주)소만사 Network-based data loss prevention system using information of ssl/tls handshaking packet and https access selection block method thereof
KR101416523B1 (en) * 2012-09-25 2014-07-09 주식회사 시큐아이 Security system and operating method thereof
KR102025296B1 (en) * 2012-10-05 2019-09-25 주식회사 케이티 Server and method for redirecting contents route
KR101518470B1 (en) * 2014-06-16 2015-05-07 주식회사 플랜티넷 Method for detecting a number of the devices of a plurality of client terminals selected by a web server from the internet request traffics sharing the public IP address and System for detecting selectively the same

Also Published As

Publication number Publication date
WO2016195344A1 (en) 2016-12-08
KR101728764B1 (en) 2017-04-21

Similar Documents

Publication Publication Date Title
US9407650B2 (en) Unauthorised/malicious redirection
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US9654494B2 (en) Detecting and marking client devices
US8181246B2 (en) System and method for preventing web frauds committed using client-scripting attacks
US10097520B2 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US8850584B2 (en) Systems and methods for malware detection
US8839424B2 (en) Cross-site request forgery protection
US20150082424A1 (en) Active Web Content Whitelisting
JP2008532133A (en) System and method for detecting and mitigating DNS camouflaged Trojans
WO2009111224A1 (en) Identification of and countermeasures against forged websites
US10348701B2 (en) Protecting clients from open redirect security vulnerabilities in web applications
Gilad et al. Off-path TCP injection attacks
US9680950B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
KR20110059963A (en) Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same
Sinha et al. CookieArmor: Safeguarding against cross‐site request forgery and session hijacking
US10360379B2 (en) Method and apparatus for detecting exploits
KR101728764B1 (en) Network security system and method for blocking a drive by download
CN107294994B (en) CSRF protection method and system based on cloud platform
KR101511474B1 (en) Method for blocking internet access using agent program
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
Sharma et al. Detection of ARP Spoofing: A command line execution method
Sadana et al. Analysis of cross site scripting attack
Murphey Secure session management: preventing security voids in web applications
JP2024038784A (en) Information processing system, server device, method for controlling server device, client terminal device, method for controlling client terminal device, and program
Maragathavalli et al. A Survey on various Security Issues in Health Data in Web Applications

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)