KR20160142268A - System for detecting and preventing malicious code based on website - Google Patents

System for detecting and preventing malicious code based on website Download PDF

Info

Publication number
KR20160142268A
KR20160142268A KR1020160161515A KR20160161515A KR20160142268A KR 20160142268 A KR20160142268 A KR 20160142268A KR 1020160161515 A KR1020160161515 A KR 1020160161515A KR 20160161515 A KR20160161515 A KR 20160161515A KR 20160142268 A KR20160142268 A KR 20160142268A
Authority
KR
South Korea
Prior art keywords
code
malicious
url
malicious code
program distribution
Prior art date
Application number
KR1020160161515A
Other languages
Korean (ko)
Other versions
KR101688390B1 (en
Inventor
이대호
Original Assignee
주식회사 에프원시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프원시큐리티 filed Critical 주식회사 에프원시큐리티
Priority to KR1020160161515A priority Critical patent/KR101688390B1/en
Publication of KR20160142268A publication Critical patent/KR20160142268A/en
Application granted granted Critical
Publication of KR101688390B1 publication Critical patent/KR101688390B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Disclosed is a malicious code detection and blocking system. According to an embodiment of the present invention, the system for detecting and blocking malicious codes on websites includes: a web providing server which provides websites and homepage services to a communication terminal device of an internet user; and a monitoring server which monitors the websites and homepages provided by the web providing server, detects malicious codes, malicious code access URLs, malicious program distribution codes, and malicious program distribution patterns on a real-time basis, blocks the malicious codes, malicious code access URLs, and malicious program distribution codes in accordance with the detection result, and generates notification messages. Accordingly, the malicious code detection and blocking system can prevent damage to company websites and customers using the websites as well as enhancing company reliability and customer satisfaction.

Description

웹 사이트의 악성코드 탐지 및 차단 시스템{SYSTEM FOR DETECTING AND PREVENTING MALICIOUS CODE BASED ON WEBSITE} BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a malicious code detection /

본 발명은 악성코드 탐지 및 차단 기술에 관한 것으로, 상세하게는 웹 사이트에 삽입된 인코딩 상태의 악성 코드와 악성 프로그램의 유포 코드를 사전에 탐지 및 차단함으로써, 기업의 웹 사이트와 웹 사이트 이용 고객들의 피해를 막고 기업 신뢰도와 고객 만족도를 향상시킬 수 있도록 한 웹 사이트의 악성코드 탐지 및 차단 시스템에 관한 것이다. The present invention relates to a malicious code detection and blocking technique, and more particularly, to a malicious code detection and blocking technique in which a malicious code in an encoded state inserted in a web site and a malicious program distribution code are previously detected and blocked, To a malicious code detection and blocking system for a web site that can prevent damage and improve corporate reliability and customer satisfaction.

네트워크 및 컴퓨터의 발전에 따라 악성코드 역시 폭발적인 증가 추이를 보이고 있으며, 새로운 악성코드의 출현과 더불어 기존의 악성코드를 이용한 변종 역시 큰 몫을 차지하고 있다. With the development of networks and computers, malicious codes are also showing explosive growth. Along with the emergence of new malicious codes, variants using existing malicious codes also play a large part.

악성코드는 사용자가 알지 못하는 사이 컴퓨터 시스템에 침입, 설치되어 시스템이나 네트워크에 피해를 주고, 불법적으로 정보를 취득하도록 설계된 소프트웨어를 의미한다. 이러한 악성코드의 위협에 대응하기 위해, 현재 다양한 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있지만, 날이 갈수록 지능화되고 정교해지는 악성코드들에 대응하기에는 많은 한계가 따르는 것이 현실이다. Malicious code refers to software designed to infiltrate, install, damage the system or network, and illegally obtain information from the computer system without the user's knowledge. In order to cope with such malicious code threats, currently various malicious code analysis and detection researches are actively carried out, but it is a reality that there are many limitations to cope with malicious codes that become more intelligent and sophisticated day by day.

악성코드를 분석하는 방법은 크게 정적 분석과 동적 분석 두 가지로 분류될 수 있다. 정적 분석은 악성코드를 실행시키지 않고 분석하는 방법으로, 바이너리 패턴 매칭, 데이터 플로우와 코드 플로우 분석 등이 대표적인 정적 분석기법의 하나이다. 정적 분석 기법은 악성코드의 실행을 배제하기 때문에 안전하고 빠른 분석이 용이하다는 장점을 가지고 있지만, 정확한 분석이 쉽지 않은 단점을 갖고 있다. The methods of analyzing malicious code can be roughly divided into static analysis and dynamic analysis. Static analysis is a method of analyzing without executing malicious code. Binary pattern matching, data flow and code flow analysis are typical static analysis techniques. The static analysis technique has the merit that safe and quick analysis is easy because it excludes the execution of malicious code, but it has a disadvantage that accurate analysis is not easy.

정적 분석의 단점을 극복하기 위해 제안된 새로운 형태의 분석 접근법이 동적 분석 기법이다. 동적 분석은 가상 머신과 같은 제어 가능한 환경 속에서 악성코드를 동작시켜 그 행위를 분석하는 기법으로, 실행압축과 같은 코드 난독화와 무관하게 정확한 실제 행위를 볼 수 있다는 장점을 가지고 있다. 동적 분석 기법은 실제 악성코드 실행에 따르는 실험환경의 오염 가능성과 행위 관찰을 위해 많은 시간이 소요되는 단점이 있다. A new type of analytical approach proposed to overcome the drawbacks of static analysis is dynamic analysis. Dynamic analysis is a technique to analyze malicious code by operating in a controllable environment such as a virtual machine. It has an advantage that accurate actual behavior can be seen regardless of code obfuscation such as execution compression. The dynamic analysis technique has a disadvantage that it takes a lot of time to observe the contamination possibility and behavior of the experimental environment according to actual malicious code execution.

공개특허공보 제2007-0049511호(2007.05.11, 공개)는 행위 관찰을 위해 많은 시간이 소요되는 단점을 극복하기 위한 방안으로, 악성코드에 관련된 정보를 자체적으로 분석할 수 있도록 기준을 마련함으로써, 악성코드에 의해 발생하는 피해 및 악성코드에 대한 예방 대책 수립 등이 가능한 악성코드 분석 기술을 제시하고 있다. Open Patent Publication No. 2007-0049511 (published on May 11, 2007) discloses a method for overcoming the disadvantages that take a long time to observe the behavior, and by setting standards for analyzing information related to malicious code by itself, And malicious code analysis techniques that can prevent malicious code and prevent malicious code.

하지만, 이러한 종래기술은 백신에 기반하여 악성코드를 탐지하는바, 최근 해커들이 웹사이트를 해킹하여 악성코드를 심어 놓고 유포시키는 등의 신종 기법들을 탐지 및 분석할 수 없는 문제가 있다. 인터넷 사용자들은 웹 사이트에 심어놓은 악성코드의 피해를 입게 되므로, 웹 사이트나 홈페이지에 악성코드가 발생하는 경우 해당 기업의 이미지가 실추될 수 있고 접속 고객이 감소하며, 고객 피해를 해결해야하는 문제가 뒤따른다. However, this conventional technology detects malicious code based on a vaccine, and recently there is a problem that hackers can not detect and analyze new techniques such as hacking a web site to plant and distribute malicious code. Internet users suffer malicious code that is embedded on a web site. Therefore, if a malicious code occurs on a website or a homepage, the image of the company may be lost, the number of connected customers may decrease, Follow.

공개특허공보 제2007-0049511호(2007.05.11, 공개)Open Patent Publication No. 2007-0049511 (published May 11, 2007)

따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 웹 사이트에 삽입된 인코딩 상태의 악성 코드와 악성 프로그램의 유포 코드를 사전에 탐지 및 차단함으로써, 기업의 웹 사이트와 웹 사이트 이용 고객들의 피해를 막고 기업 신뢰도와 고객 만족도를 향상시킬 수 있도록 한 웹 사이트의 악성코드 탐지 및 차단 시스템을 제공하는 것이다. SUMMARY OF THE INVENTION Accordingly, the present invention has been made to solve the above-mentioned problems occurring in the prior art, and it is an object of the present invention to proactively detect and prevent malicious codes in the encoded state and malicious programs, And to provide a malicious code detection and blocking system for a web site that can improve the reliability of the enterprise and the customer satisfaction.

상기와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 웹 사이트의 악성코드 탐지 및 차단 시스템은 인터넷 이용자의 통신 단말기기로 웹 사이트 및 홈페이지 서비스를 제공하는 웹 제공 서버, 및 상기 웹 제공 서버에서 제공하는 웹 사이트 및 홈페이지를 모니터링하여 악성 코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 실시간으로 탐지하고, 탐지 결과에 따라 상기 악성 코드, 상기 악성코드 접속 URL, 상기 악성 프로그램 유포 코드를 차단하며 알림 메시지를 발생시키는 모니터링 서버를 포함한다. According to another aspect of the present invention, there is provided a malicious code detection and blocking system for a web site, including a web providing server for providing a web site and a homepage service through a communication terminal of an Internet user, The malicious code access URL, the malicious program distribution code, and the malicious program distribution pattern in real time by monitoring the website and the homepage of the malicious program by monitoring the website and the homepage of the malicious program, And generates a notification message.

상기에서 설명한 본 발명의 웹 사이트의 악성코드 탐지 및 차단 시스템에 의하면 웹 사이트에 삽입된 인코딩 상태의 악성 코드와 악성 프로그램의 유포 코드를 사전에 탐지 및 차단함으로써, 웹 사이트 운용 기업의 서비스 이용자 및 기업 조직내부의 악성코드 감염 피해를 예방할 수 있다. According to the malicious code detection and blocking system of the web site of the present invention described above, the malicious code in the encoded state inserted in the web site and the distributed code of the malicious program are detected and blocked in advance, It can prevent malicious code infection damage inside the organization.

또한, 기업의 웹 사이트와 웹 사이트 이용 고객들의 피해를 막고 기업 신뢰도와 고객 만족도를 향상시킬 수 있다. In addition, it can prevent damage to corporate website and website users and improve corporate reliability and customer satisfaction.

아울러, 보안관제 서비스와 연계 운영 시 시너지 효과를 기대할 수 있으며, 안전한 인터넷 환경 및 기업/공공기관의 안정적인 웹 서비스 제공으로 고객 신뢰 및 직/간접 이익을 증가시킬 수 있는 효과가 있다. In addition, synergy effect can be expected in connection with security control service, and it is effective to increase customer trust and direct / indirect profit through secure internet environment and stable web service provision of company / public institution.

도 1은 본 발명의 실시 예에 따른 웹 사이트의 악성코드 탐지 및 차단 시스템을 구체적으로 나타낸 구성도이다.
도 2는 웹 사이트의 악성코드 유포 시도 과정과 악성코드 유포를 모니터링하기 위한 과정을 일 예로 나타낸 구성도이다.
도 3은 도 1에 도시된 모니터링 서버를 구체적으로 나타낸 구성도이다.
도 4는 도 3에 도시된 MC 유포패턴 분석엔진과 MC 차단부의 악성 코드 및 악성 코드 유포 패턴 분석 방식을 구체적으로 나타낸 도면이다.
도 5는 도 3 및 도 4에 도시된 HTML 컨텐츠 분석 엔진의 HTML 컨텐츠를 분석 동작을 나타낸 순서도이다.
도 6은 도 3 및 도 4에 도시된 MC 유포패턴 분석 엔진의 악성 프로그램 유포 패턴 탐지 동작을 나타낸 순서도이다.
도 7은 악성코드 유포패턴과 악성코드 유포패턴의 탐지 예를 나타낸 도면이다.
도 8은 는 도 3 및 도 4에 도시된 MC 디코딩 처리엔진의 악성코드 디코딩 및 탐지 동작을 나타낸 순서도이다.
도 9는 악성코드와 악성코드 디코딩 과정 및 탐지 예를 나타낸 도면이다. 1 is a block diagram specifically illustrating a malicious code detection and blocking system of a web site according to an embodiment of the present invention.
2 is a block diagram illustrating a procedure for distributing a malicious code on a web site and a process for monitoring malicious code distribution.
FIG. 3 is a configuration diagram specifically showing the monitoring server shown in FIG. 1. FIG.
FIG. 4 is a diagram illustrating a method of analyzing malicious code and malicious code distribution patterns of the MC spread pattern analyzing engine and the MC breaker shown in FIG. 3;
FIG. 5 is a flowchart showing an operation of analyzing HTML content of the HTML content analysis engine shown in FIG. 3 and FIG.
FIG. 6 is a flowchart illustrating a malicious program distribution pattern detection operation of the MC distribution pattern analysis engine shown in FIGS. 3 and 4. FIG.
7 is a diagram showing an example of detection of a malicious code distribution pattern and a malicious code distribution pattern.
FIG. 8 is a flowchart showing a malicious code decoding and detection operation of the MC decoding processing engine shown in FIGS. 3 and 4. FIG.
9 is a diagram illustrating a malicious code and malicious code decoding process and detection example.

이하, 본 발명의 실시 예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시 예에 따른 웹 사이트의 악성코드 탐지 및 차단 시스템을 구체적으로 나타낸 구성도이다. 그리고, 도 2는 웹 사이트의 악성코드 유포 시도 과정과 악성코드 유포를 모니터링하기 위한 과정을 일 예로 나타낸 구성도이다. 1 is a block diagram specifically illustrating a malicious code detection and blocking system of a web site according to an embodiment of the present invention. 2 is a block diagram illustrating a procedure for distributing a malicious code on a web site and monitoring a malicious code distribution.

먼저, 도 1을 참조하면, 본 발명에 따른 웹 사이트의 악성코드 탐지 및 차단 시스템은 인터넷 이용자의 통신 단말기기(100)로 웹 사이트 및 홈페이지 서비스를 제공하는 웹 제공 서버(200), 웹 제공 서버(200)에서 제공하는 웹 사이트 및 홈페이지를 모니터링하여 좀비 서버(400)나 해커 서버(500)로부터 유포되는 악성 코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 실시간으로 탐지하고, 탐지 결과에 따라 악성 코드, 악성코드 접속 URL, 악성 프로그램 유포 코드를 차단하며 알림 메시지를 발생시키는 모니터링 서버(300)를 구비한다. 1, a malicious code detection and blocking system of a web site according to the present invention includes a web providing server 200 for providing a web site and a homepage service to a communication terminal 100 of an Internet user, A malicious code access URL, a malicious program distribution code, and a malicious program distribution pattern distributed from the zombie server 400 or the hacker server 500 in real time by monitoring a website and a homepage provided in the terminal 200, And a monitoring server 300 for blocking a malicious code, a malicious code access URL and a malicious program distribution code according to the detection result and generating a notification message.

웹 제공 서버(200)는 기업이나 개인이 운용하는 인터넷 호스팅 엔진이나 호스팅 서버가 될 수 있으며, 인터넷을 통해 웹 사이트 및 홈페이지 주소를 유포하며 웹 사이트 및 홈페이지를 운용한다. 그리고, 인터넷 이용자가 노트북이나 태블릿 이동 통신기기, PC 등의 통신 단말기기(100)로 웹 사이트나 홈페이지에 접속하면 웹 사이트 및 홈페이지 서비스를 제공한다. The web providing server 200 may be an Internet hosting engine or a hosting server operated by a company or an individual. The web providing server 200 distributes a web site and a homepage address through the Internet, and operates a web site and a homepage. When an Internet user accesses a web site or a homepage through a communication terminal 100 such as a notebook computer, a tablet mobile communication device, or a PC, a web site and a homepage service are provided.

통신 단말기기(100)는 노트북, 스마트폰, 태블릿 PC, 태블릿 이동 통신기기, 개인 PC 등이 될 수 있으며, 인터넷을 이용하는 고객이나 인터넷 이용자들은 통신 단말기기(100)로 네트워크망을 이루고 웹 사이트나 홈페이지에 접속하고 이용하게 된다. The communication terminal 100 may be a notebook, a smart phone, a tablet PC, a tablet mobile communication device, a personal PC, etc. A customer or an Internet user using the Internet may form a network with the communication terminal 100, You will access the homepage and use it.

하지만, 악성코드를 유포하는 해커들은 좀비 서버(400)나 해커 서버(500), PC 등을 이용하여 웹 사이트나 홈페이지에 드랍퍼(DROPPER)를 심어놓거나, 키로그와 데이터 유출파일을 심어 놓는 등 악성코드나 악성 프로그램의 유포코드 및 악성코드 유포패턴을 심어놓는다. 여기서, 악성코드나 악성 프로그램의 유포코드 및 악성코드 유포패턴은 아이프레임 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그 등으로 포함될 수 있다. However, hackers who distribute malicious code can use a zombie server (400), a hacker server (500), or a PC to embed a dropper on a website or a homepage, It embeds patterns of spreading codes and malicious codes of code or malicious programs. Here, the malicious code or malicious code distribution pattern of the malicious program and the malicious code distribution pattern may be included as the i-frame tag, the embed, the object tag, the link tag, the script tag, and the JavaScript tag.

도 2와 같이, 노트북이나 태블릿 이동 통신기기, PC 등의 통신 단말기기(100)를 통해 웹 제공 서버(200)에서 제공하는 웹 사이트나 홈페이지에 접속하면 자동으로 드랍퍼나 키로그 등 실제 악성행위(예를 들어, 키로깅, 데이터 유출)를 수행하는 파일을 다운받게 된다. 이러한 상태에서 통신 단말기기(100)는 정보를 다운로드 받으라는 명령어에 의해 악성코드가 다운로드하게 되고, 다운로드된 파일이 실행되어 주기적으로 통신 단말기기(100)에 저장되어 있던 개인정보와 다양한 정보들을 하여 유출하는 등 실제로 악성행위에 노출된다. As shown in FIG. 2, when a user accesses a web site or a homepage provided by the web providing server 200 via the communication terminal 100 such as a notebook computer, a tablet mobile communication device, or a PC, the malicious behavior For example, key logging, data leakage). In this state, the communication terminal 100 downloads the malicious code by an instruction to download the information, and the downloaded file is executed to periodically transmit the personal information and various information stored in the communication terminal 100 It is exposed to malicious acts such as leakage.

모니터링 서버(300)는 웹 제공 서버(200)에서 제공하는 웹 사이트 및 홈페이지에 실시간으로 접속된 상태로 웹 제공 서버(200)에서 제공하는 다양한 컨텐츠나 유포 코드 및 실행코드 등을 실시간 모니터링한다. 이때, 모니터링 서버(300)는 웹 제공 서버(200)에서 제공하는 다양한 컨텐츠나 유포코드 및 실행코드 등을 탐지 및 분석하여, 좀비 서버(400)나 해커 서버(500)로부터 유포되는 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 실시간으로 탐지한다. 그리고, 탐지 결과에 따라 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단하고, 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500) 등으로 전송한다. The monitoring server 300 real-time monitors various contents, a distribution code, an execution code, and the like provided by the web providing server 200 while being connected to the web site and the homepage provided by the web providing server 200 in real time. At this time, the monitoring server 300 detects and analyzes various contents, dubbed codes, execution codes, and the like provided from the web providing server 200 and transmits the detected contents, the drop codes, and the execution codes distributed from the zombie server 400 or the hacker server 500, , Data leakage file, malicious code, malicious code access URL, malicious program distribution code, and malicious program distribution pattern in real time. The web server 200 and the zombie server 200 generate a notification message by blocking the dropper, the keylog, the data leakage file, the malicious code, the malicious code access URL, the malicious program distribution code and the malicious program distribution pattern according to the detection result, (400) and the hacker server (500).

도 3은 도 1에 도시된 모니터링 서버를 구체적으로 나타낸 구성도이다. 그리고, 도 4는 도 3에 도시된 MC 유포패턴 분석엔진과 MC 차단부의 악성 코드 및 악성 코드 유포 패턴 분석 방식을 구체적으로 나타낸 도면이다. FIG. 3 is a configuration diagram specifically showing the monitoring server shown in FIG. 1. FIG. 4 is a diagram specifically illustrating a malicious code and malicious code distribution pattern analysis method of the MC fuzzing pattern analysis engine and the MC blocking unit shown in FIG.

도 3을 참조하면, 모니터링 서버(300)는 웹 제공 서버(200)에서 운용하는 웹 사이트 및 홈페이지에 접속하여 웹 사이트 및 홈페이지에서 제공하는 컨텐츠들을 이용하고 컨텐츠 제공시 발생되는 유포 코드 및 실행코드(예를 들어, 스크립트 코드 등)를 제공받는 웹 에이전트(310), 웹 사이트 및 홈페이지에서 제공하는 컨텐츠들과 컨텐츠 제공시 발생되는 유포 코드 및 실행코드를 실시간으로 분석하여 상기 좀비 서버(400)나 해커 서버(500)에 의한 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 검출하는 MC 분석부(320), 상기의 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 디코딩하고 MC 분석부(320)의 검출 결과에 따라 상기의 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단하며, 알림 메시지를 발생시켜 상기 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송하는 MC 차단부(330), 상기의 악성코드, 악성 프로그램 유포 코드의 디코딩 정보, 악성 프로그램 유포 패턴 정보, 악성코드 접속 URL 정보, 통신 단말기기(100)의 접속 정보, 통신 단말기기(100)의 이용자 정보 및 웹 제공 서버(200)를 운용하는 운용자 정보를 저장 및 갱신하고 MC 분석부(320) 및 MC 차단부(330)와 실시간으로 갱신하고 공유하는 데이터 베이스부(340)를 구비한다. Referring to FIG. 3, the monitoring server 300 accesses a web site and a homepage operated by the web providing server 200, and uses contents provided by a web site and a homepage, and transmits a distribution code and an execution code The zombie server 400 or the hacker 400 may analyze the contents provided by the web agent 310, the web site, and the homepage provided with the script code, etc., in real time, An MC analysis unit 320 for detecting a dropper, a keylog, a data leakage file, a malicious code, a malicious code access URL, a malicious program distribution code and a malicious program distribution pattern by the server 500; The URL, the malicious program distribution code, and the malicious program distribution pattern, and outputs the dropper, the keylog, the data And transmits the notification message to the web server 200, the zombie server 400, and the hacker server 500. In this case, the malicious program access URL, the malicious program distribution code, and the malicious program distribution pattern are blocked The malicious program distribution pattern information, the malicious code access URL information, the access information of the communication terminal 100, and the malicious code distribution information of the communication terminal 100, And a database unit 340 that stores and updates the user information and the operator information for operating the web providing server 200 and updates and shares the information with the MC analyzing unit 320 and the MC blocking unit 330 in real time.

웹 에이전트(310)는 웹 제공 서버(200)에서 운용하는 웹 사이트 및 홈페이지에 실시간 접속하여 실시간 접속 상태를 유지한다. 그리고, 웹 사이트 및 홈페이지에서 제공하는 다양한 컨텐츠들을 순차적으로 이용하고, 컨텐츠 제공시 발생되는 유포 코드 및 실행코드(예를 들어, 스크립트 코드 등)를 제공받는 등 웹 사이트 및 홈페이지에서 이용할 수 있는 다양한 행위들을 순차적으로 실행한다. The web agent 310 real-time accesses to a web site and a homepage operated by the web providing server 200 to maintain a real-time connection state. Various behaviors that can be used on websites and homepages, such as by sequentially using various contents provided on a website and a homepage, receiving distributed codes and execution codes (for example, script codes, etc.) Are sequentially executed.

도 4에 도시된 바와 같이, MC 분석부(320)는 웹 에이전트(310)의 실행 동작에 따라 웹 사이트 및 홈페이지에서 제공하는 컨텐츠들과 컨텐츠 제공시 발생되는 유포 코드 및 실행코드를 실시간으로 분석 및 탐지함으로써, 좀비 서버(400)나 해커 서버(500)에 의한 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 검출한다. 이를 위해, MC 분석부(320)는 HTML 컨텐츠를 순차적으로 파싱해서 분석함으로써 HTML을 이용한 악성 프로그램 유포 코드를 탐지하는 HTML 컨텐츠 분석 엔진(321), 및 컨텐츠 제공시 발생되는 스크립트 코드와 HTML 컨텐츠를 실시간으로 분석하여 악성 프로그램 유포시 이용되는 악성 프로그램 유포 패턴을 탐지하는 MC 유포패턴 분석엔진(321)을 구비한다. As shown in FIG. 4, the MC analyzer 320 analyzes the contents provided on the web site and the homepage according to the execution operation of the web agent 310, and the distributed codes and execution codes generated when providing the contents, Detects a dropper, a keylog, a data leakage file, a malicious code, a malicious code access URL, a malicious program distribution code, and a malicious program distribution pattern by the zombie server 400 or the hacker server 500. To this end, the MC analysis unit 320 includes an HTML content analysis engine 321 for sequentially detecting and analyzing HTML content to detect a malicious program distribution code using HTML, And an MC spread pattern analysis engine 321 for detecting a malicious program spread pattern used in spreading a malicious program.

도 5는 도 3 및 도 4에 도시된 HTML 컨텐츠 분석 엔진의 HTML 컨텐츠를 분석 동작을 나타낸 순서도이다. FIG. 5 is a flowchart showing an operation of analyzing HTML content of the HTML content analysis engine shown in FIG. 3 and FIG.

도 5를 참조하면, HTML 컨텐츠 분석 엔진(321)은 웹 에이전트(310)를 통해 HTML 컨텐츠의 Http/Https URL을 제공받고, HTML 컨텐츠를 순차적으로 파싱해서 분석함으로써 HTML DOM을 구성한다. 그리고, HTML 컨텐츠와 Http/Https URL의 존재여부 및 Http/Https URL을 분석함으로써, Http/Https URL에 포함되도록 HTML을 이용하는 악성 프로그램 유포 코드를 탐지 및 분석한다. Referring to FIG. 5, the HTML content analysis engine 321 receives the Http / Https URL of the HTML content through the web agent 310 and sequentially parses and analyzes the HTML content to construct an HTML DOM. And, it analyzes and analyzes Http / Https URL and existence of HTML contents and Http / Https URL, and detects and analyzes malicious program spread code using HTML to be included in Http / Https URL.

도 6은 도 3 및 도 4에 도시된 MC 유포패턴 분석 엔진의 악성 프로그램 유포 패턴 탐지 동작을 나타낸 순서도이다. 그리고, 도 7은 악성코드 유포패턴과 악성코드 유포패턴의 탐지 예를 나타낸 도면이다. FIG. 6 is a flowchart illustrating a malicious program distribution pattern detection operation of the MC distribution pattern analysis engine shown in FIGS. 3 and 4. FIG. 7 is a diagram showing an example of detection of a malicious code distribution pattern and a malicious code distribution pattern.

도 6 및 도 7을 참조하면, MC 유포패턴 분석엔진(321)은 웹 에이전트(310)를 통해 HTML 컨텐츠를 제공받고 웹 에이전트(310)의 동작에 따라 순차적으로 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드 중 적어도 하나의 URL이나 코드들을 실시간으로 디코딩한다. 그리고, HTML 컨텐츠에서 악성 코드 유포에 사용되는 아이 프레임(inline frame, iframe) 태그, 내부 프레임(inline frame) 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그 중 적어도 하나의 태그를 검출한다. 이어, HTML 컨텐츠에서 src, width, height 중 적어도 하나의 속성값을 참조 및 비교하여 악성 코드 유포에 사용되는 패턴의 유무를 확인 및 검출하게 된다. 6 and 7, the MC distribution pattern analysis engine 321 receives HTML contents through the web agent 310 and generates URLs and HTML contents sequentially generated according to the operation of the web agent 310 And decodes at least one URL or codes of the distributed code and the script code in real time. Then, at least one of an inline frame (iframe) tag, an inline frame tag, an embedded tag, an object tag, a link tag, a script tag, and a JavaScript tag used for distributing malicious code is detected do. Next, at least one attribute value of src, width, height is referenced and compared in the HTML contents to check whether there is a pattern used for distributing malicious code or not.

도 7에 도시된 바와 같이, 악성 코드 유포에 사용되는 HTML 컨텐츠나 HTML 코드들은 인코딩된 상태로 URL, 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드와 같은 실행코드에 포함되어 있다. 따라서, MC 유포패턴 분석엔진(321)은 웹 에이전트(310)의 동작에 따라 순차적으로 발생되는 URL, 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드와 같은 실행코드를 실시간으로 디코딩하고, src, width, height 중 적어도 하나의 속성값을 참조하여 악성 코드 유포에 사용되는 패턴의 유무를 확인할 수 있다. As shown in FIG. 7, HTML contents or HTML codes used for distribution of malicious code are included in an execution code such as a URL, a distributed code generated in providing contents, and a script code in an encoded state. Accordingly, the MC distribution pattern analysis engine 321 decodes real-time execution codes such as a URL generated sequentially in accordance with the operation of the web agent 310, a distributed code generated in providing contents, and a script code, height of the malicious code can be checked by referring to at least one attribute value among the patterns.

한편, MC 유포패턴 분석엔진(321)은 상기 URL, 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드와 같은 실행 코드를 실시간으로 디코딩한 후, 상기 데이터 베이스부(340)에서 제공되는 악성 프로그램 유포 패턴 정보 및 악성코드 접속 URL 정보와 각각 비교 분석하여 악성 코드 유포에 사용되는 패턴의 유무를 확인할 수 있다. Meanwhile, the MC distribution pattern analysis engine 321 decodes in real time the execution codes such as the URL, the distributed code generated in providing the contents, and the script code, and then, the malicious program distribution pattern information provided by the database unit 340 And malicious code access URL information, respectively, to check whether there is a pattern used for distributing malicious code.

MC 차단부(330)는 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 디코딩하고, MC 분석부(320)의 검출 결과에 따라 상기의 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단한다. 그리고, 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송한다. 이를 위해, MC 차단부(330)는 웹 에이전트(310)의 동작에 따라 순차적으로 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드를 실시간으로 디코딩하여 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드를 각각 검출하고 검출 결과에 따라 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드 유입 및 접속을 차단하는 MC 디코딩 처리엔진(331), MC 유포패턴 분석엔진(321)의 악성 코드 유포 패턴 유무 확인 결과에 따라 URL, HTML 컨텐츠 제공시 발생되는 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단하고 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송하는 MC 유포 패턴 처리 엔진(332), 악성 코드 유포에 사용되는 패턴의 유무를 확인 결과 및 악성 프로그램 유포 코드 탐지 결과에 따라 URL, 악성코드 접속 URL 접속을 차단하고 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송하는 MC 유포 URL 차단엔진(333)을 구비한다. The MC blocking unit 330 decodes the malicious code, the malicious code access URL, the malicious program distribution code, and the malicious program distribution pattern, and stores the dropper, the keylog, the data leakage file, Block malicious code, malicious code access URL, malicious program distribution code, and malicious program distribution pattern. Then, a notification message is generated and transmitted to the web providing server 200, the zombie server 400, and the hacker server 500. For this purpose, the MC blocking unit 330 decodes in real time the URLs generated in sequence according to the operation of the web agent 310, the distributed codes generated when the HTML contents are provided, and the script codes to generate droppers, An MC decoding processing engine 331 for detecting a malicious code, a malicious code access URL, and a malicious program distributed code, respectively, and for blocking a URL generated according to the detection result, The malicious code access URL generated when the HTML content is provided, the malicious program distribution code, and the malicious program distribution pattern are blocked based on the result of the malicious code distribution pattern check by the distribution pattern analysis engine 321, An MC distribution pattern processing engine 332 for transferring the malicious code to the malicious code distribution server 200, the zombie server 400 and the hacker server 500, And transmits an alert message to the web providing server 200, the zombie server 400, and the hacker server 500 according to the result of the presence / absence checking and the malicious program distribution code detection result, And a distributed URL blocking engine 333.

한편으로, 도 3에 도시된 바와 같이, 데이터 베이스부(340)는 웹 제공 서버(200)를 운용하는 운용자 정보와 웹 제공 서버(200)에서 운용하는 웹 사이트나 홈페이지 접속 이용자들의 로그인 정보 들을 저장하고 공유하는 사용자 정보 DB, 드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 정보 및 드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 디코딩 정보를 각각 저장하고 갱신 및 공유하는 MC 디코딩 정보 DB, 악성코드 접속 URL 및 악성 프로그램 유포 코드를 검출 결과에 따라 발생되는 URL 정보들을 각각 저장하고 갱신 및 공유하는 MC 유포 URL DB, 악성 프로그램 유포 패턴 정보 및 악성 코드 유포에 사용되었던 패턴 정보를 각각 저장하고 갱신 및 공유하는 MC 유포 패턴 DB를 구비한다. 3, the database unit 340 stores the operator information for operating the web providing server 200 and the login information of the web site operated by the web providing server 200 or the homepage accessing users 200 The information of the user information DB, the dropper, the keylog, the data leakage file, the malicious program distribution script, the malicious code script, and the decoding information of the dropper, the keylog, the data leakage file, the malicious program distribution script, A MC distributed URL DB for storing, updating and sharing URL information generated according to detection results of malicious code access URLs and malicious program distribution codes, malicious program distribution pattern information and malicious code distribution And an MC distribution pattern DB for storing, updating, and sharing the pattern information used in All.

도 8은 는 도 3 및 도 4에 도시된 MC 디코딩 처리엔진의 악성코드 디코딩 및 탐지 동작을 나타낸 순서도이다. 그리고, 도 9는 악성코드와 악성코드 디코딩 과정 및 탐지 예를 나타낸 도면이다. FIG. 8 is a flowchart showing a malicious code decoding and detection operation of the MC decoding processing engine shown in FIGS. 3 and 4. FIG. 9 is a diagram illustrating a malicious code and malicious code decoding process and detection example.

도 8 및 도 9를 참조하면, MC 차단부(330)의 MC 디코딩 처리엔진(331)은 웹 에이전트(310)의 동작에 따라 순차적으로 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드의 스크립트 및 악성 코드의 스크립트를 실시간 순차적으로 로딩하고 메모리에 저장한다. 그리고, URL, 유포 코드의 스크립트 및 악성 코드의 스크립트를 순차적으로 파싱(parsing) 해서 분석함으로써 HTML DOM, BOM을 구성한다. Referring to FIGS. 8 and 9, the MC decoding processing engine 331 of the MC interceptor 330 receives a URL sequentially generated according to the operation of the web agent 310, a script of a distributed code generated when HTML contents are provided, The script of the malicious code is loaded in real time and stored in memory. Then, the HTML DOM and the BOM are constructed by sequentially parsing and analyzing the URL, the script of the distributed code, and the script of the malicious code.

이 후, MC 디코딩 처리엔진(331)은 상기의 HTML DOM, BOM의 스크립트들을 상기 MC 디코딩 정보 DB로부터의 드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 디코딩 정보들과 비교하여 실시간으로 디코딩함으로써, 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드를 각각 검출하고, 검출 결과에 따라 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드 유입 및 접속을 차단한다. Thereafter, the MC decoding processing engine 331 compares the scripts of the HTML DOM and the BOM with the decoding information of the dropper, the keylog, the data leakage file, the malicious program distribution script, and the malicious code script from the MC decoding information DB A malicious code, a malicious code access URL, and a malicious program distribution code, and detects a URL generated according to the detection result, a distribution code generated when providing HTML contents, and a script Block code entry and connection.

MC 유포 패턴 처리 엔진(332)은 웹 에이전트(310)의 동작에 따라 순차적으로 발생되는 URL, 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드와 같은 실행 코드를 MC 유포 패턴 DB로부터의 악성 프로그램 유포 패턴 정보, 악성 코드 유포에 사용되었던 패턴 정보, src, width, height 중 적어도 하나의 속성 값과 비교하여 악성 코드 유포 패턴의 유무를 확인할 수 있다. 그리고, 악성코드 유포 패턴 유무 확인 결과에 따라 상기 URL, HTML 컨텐츠 제공시 발생되는 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단하고, 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송한다. The MC distribution pattern processing engine 332 transmits an execution code such as a URL sequentially generated according to the operation of the web agent 310, a distribution code generated in providing contents, and a script code to malicious program distribution pattern information , Pattern information used for distributing malicious code, and attribute value of at least one of src, width, and height to check presence / absence of a malicious code distribution pattern. In accordance with the malicious code distribution pattern check result, the URL, the malicious code access URL generated when providing the HTML content, the malicious program distribution code, and the malicious program distribution pattern are blocked, and a notification message is generated and transmitted to the web providing server 200 To the zombie server (400) and the hacker server (500).

MC 유포 URL 차단엔진(333)은 MC 유포 패턴 처리 엔진(332)의 악성코드 유포패턴의 유무 확인 결과 및 악성 프로그램 유포 코드의 탐지 결과에 따라 URL, 상기 악성코드 접속 URL 접속을 차단하고, 알림 메시지를 발생시켜 웹 제공 서버(200)와 좀비 서버(400) 및 해커 서버(500)로 전송하게 된다. The MC distributed URL blocking engine 333 blocks the URL and the malicious code access URL access according to the result of the presence / absence of the malicious code distribution pattern of the MC distribution pattern processing engine 332 and the detection result of the malicious program distribution code, And transmits it to the web providing server 200, the zombie server 400, and the hacker server 500.

이상 상술한 바와 같이, 본 발명의 웹 사이트의 악성코드 탐지 및 차단 시스템에 의하면 웹 사이트에 삽입된 인코딩 상태의 악성 코드와 악성 프로그램의 유포 코드를 사전에 탐지 및 차단함으로써, 웹 사이트 운용 기업의 서비스 이용자 및 기업 조직내부의 악성코드 감염 피해를 예방할 수 있게 된다. 그리고, 기업의 웹 사이트와 웹 사이트 이용 고객들의 피해를 막고 기업 신뢰도와 고객 만족도를 향상시킬 수 있다. As described above, according to the malicious code detection and blocking system of the web site of the present invention, malicious code in the encoding state inserted in the website and malicious program distribution code are detected and blocked in advance, It is possible to prevent the malicious code infection damage inside the user and enterprise organization. In addition, it can prevent damages to corporate website and website users and improve corporate reliability and customer satisfaction.

또한, 보안관제 서비스와 연계 운영 시 시너지 효과를 기대할 수 있으며, 안전한 인터넷 환경 및 기업/공공기관의 안정적인 웹 서비스 제공으로 고객 신뢰 및 직/간접 이익을 증가시킬 수 있다. In addition, synergy effects can be expected in connection with security management services, and customer trust and direct and indirect profits can be increased through secure internet environment and stable web service provision of corporate / public institutions.

상기에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the following claims And changes may be made without departing from the spirit and scope of the invention.

Claims (6)

인터넷 이용자의 통신 단말기기로 웹 사이트 및 홈페이지 서비스를 제공하는 웹 제공 서버; 및
상기 웹 제공 서버에서 제공하는 웹 사이트 및 홈페이지를 모니터링하여 악성 코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 실시간으로 탐지하고, 탐지 결과에 따라 상기 악성 코드, 상기 악성코드 접속 URL, 상기 악성 프로그램 유포 코드를 차단하며 알림 메시지를 발생시키는 모니터링 서버를 포함하며,
상기 모니터링 서버는
상기 웹 제공 서버에서 운용하는 웹 사이트 및 홈페이지에 접속하여 웹 사이트 및 홈페이지에서 제공하는 컨텐츠들을 이용하고 컨텐츠 제공시 발생되는 유포 코드나 유포 스크립트 및 실행 코드나 실행 스크립트를 제공받는 웹 에이전트;
상기 웹 사이트 및 홈페이지에서 제공하는 컨텐츠들과 상기 유포 코드나 유포 스크립트 및 실행 코드나 실행 스크립트를 실시간으로 분석하여 좀비 서버나 해커 서버에 의한 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 검출하는 MC 분석부;
상기 악성코드, 상기 악성코드 접속 URL, 상기 악성 프로그램 유포 코드 및 상기 악성 프로그램 유포 패턴을 디코딩하고, 상기 MC 분석부의 검출 결과에 따라 상기의 드랍퍼, 상기 키로그, 상기 데이터 유출파일, 상기 악성코드, 상기 악성코드 접속 URL, 상기 악성 프로그램 유포 코드 및 상기 악성 프로그램 유포 패턴을 차단하며, 상기 알림 메시지를 발생시켜 상기 웹 제공 서버와 상기 좀비 서버 및 해커 서버로 전송하는 MC 차단부,
상기 악성코드, 악성 프로그램 유포 코드의 디코딩 정보, 상기 악성 프로그램 유포 패턴 정보, 악성코드 접속 URL 정보, 상기 통신 단말기기의 접속 정보, 상기 통신 단말기기의 이용자 정보 및 상기 웹 제공 서버를 운용하는 운용자 정보를 저장 및 갱신하고 상기 MC 분석부 및 MC 차단부와 실시간으로 공유하는 데이터 베이스부를 포함하고,
상기 MC 차단부는
상기 웹 에이전트의 동작에 따라 순차적으로 발생되는 URL, 상기 유포 코드나 유포 스크립트 및 실행 코드나 실행 스크립트를 실시간으로 휴리스틱 기법을 이용하여 디코딩함으로써, 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드 증 적어도 하나를 검출하고, 상기 검출 결과에 따라 상기 URL, 상기 유포 코드나 유포 스크립트 및 실행 코드나 실행 스크립트의 유입 및 접속을 차단하는 MC 디코딩 처리엔진을 포함하며,
상기 MC 분석부는
HTML 컨텐츠를 순차적으로 파싱(parsing) 해서 분석함으로써 HTML을 이용한 악성 프로그램 유포 코드를 탐지하는 HTML 컨텐츠 분석 엔진; 및
상기 컨텐츠 제공시 발생되는 스크립트 코드와 HTML 컨텐츠를 실시간으로 분석하여 악성 프로그램 유포시 이용되는 악성 프로그램 유포 패턴을 탐지하는 MC 유포패턴 분석엔진을 포함하고,
상기 HTML 컨텐츠 분석 엔진은
상기 웹 에이전트를 통해 HTML 컨텐츠의 Http 또는 Https URL을 제공받고, HTML 컨텐츠를 순차적으로 파싱해서 분석함으로써 HTML DOM을 구성하고, 상기 HTML 컨텐츠와 Http/Https URL의 존재여부 및 Http 또는 Https URL을 분석함으로써, 상기 Http 또는 Https URL에 포함되도록 HTML을 이용하여 악성 프로그램 유포 코드를 탐지 및 분석하는 것을 특징으로 하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
A web providing server for providing a web site and a homepage service to a communication terminal of the Internet user; And
A malicious code access URL, a malicious program distribution code and a malicious program distribution pattern in real time by monitoring a web site and a homepage provided by the web providing server, and detecting the malicious code, the malicious code access URL And a monitoring server for blocking the malicious program distribution code and generating a notification message,
The monitoring server
A web agent that accesses a web site operated by the web providing server and a homepage accessed through a web site and contents provided on a homepage, and receives a distributed code, a distributed script, an executable code, and an execution script,
Analyzing the contents provided on the web site and the homepage, the dubbed code, the dubbing script, the execution code, and the execution script in real time and detecting the dropper, the keylog, the data leakage file, the malicious code, An MC analysis unit for detecting a URL, a malicious program distribution code, and a malicious program distribution pattern;
The malware, the malicious code access URL, the malicious program distribution code, and the malicious program distribution pattern, and distributes the dropper, the keylog, the data leakage file, the malicious code, An MC blocking unit for blocking the malicious code access URL, the malicious program distribution code and the malicious program distribution pattern, generating the notification message, and transmitting the notification message to the web providing server, the zombie server and the hacker server,
The malicious program distribution pattern information, the malicious code access URL information, the connection information of the communication terminal, the user information of the communication terminal, and the operator information for operating the web providing server And a database unit for storing and updating the MC analysis unit and the MC blocking unit in real time,
The MC blocking unit
A drupper, a keylog, a data leakage file, a malicious code, a malicious code, and a malicious code by sequentially decoding a URL generated sequentially according to the operation of the web agent, the dubbed code, And an MC decoding processing engine for detecting at least one of an access URL and a malicious program distribution code and for blocking the inflow and connection of the URL, the dubbed code, the distribution script, and the execution code or the execution script according to the detection result,
The MC analysis unit
An HTML content analysis engine for detecting a malicious program distribution code using HTML by parsing and analyzing HTML content sequentially; And
And an MC dissemination pattern analysis engine for analyzing a script code and HTML contents generated at the time of providing the content in real time to detect a malicious program distribution pattern used in distributing a malicious program,
The HTML content analysis engine
The Http or Https URL of the HTML content is received through the web agent, and the HTML DOM is configured by parsing and analyzing the HTML content sequentially, and analyzing the existence of the Http / Https URL and the Http or Https URL And detecting and analyzing a malicious program distribution code using HTML to be included in the Http or Https URL.
제 1 항에 있어서,
상기 MC 유포패턴 분석엔진은
상기 웹 에이전트를 통해 HTML 컨텐츠를 제공받고, 상기 웹 에이전트의 동작에 따라 순차적으로 발생되는 URL, 상기 HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드 중 적어도 하나의 URL과 코드들을 실시간으로 휴리스틱 기법을 이용하여 디코딩함으로써,
상기 HTML 컨텐츠에서 악성 코드 유포에 사용되는 아이 프레임(inline frame, iframe) 태그, 내부 프레임(inline frame) 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그 중 적어도 하나의 태그를 검출하며,
상기 HTML 컨텐츠에서 src, width, height 중 적어도 하나의 속성값을 참조 및 비교하여 상기 악성 코드 유포에 사용되는 패턴의 유무를 확인 및 검출하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
The method according to claim 1,
The MC dissemination pattern analysis engine
Receiving at least one HTML URL from the web agent, generating a URL sequentially generated according to the operation of the web agent, a distributed code generated at the time of providing the HTML content, and a script code in real time using a heuristic technique By doing so,
At least one of an inline frame (iframe) tag, an inline frame tag, an embedded tag, an object tag, a link tag, a script tag, and a JavaScript tag used for distributing a malicious code is detected in the HTML content ,
A malicious code detection and blocking system for a web site that checks and detects at least one attribute value of src, width, height in the HTML content to check whether there is a pattern used for distributing malicious code.
제 1 항에 있어서,
상기 MC 차단부는
상기 악성 코드 유포 패턴의 유무를 확인하고, 확인 결과에 따라 상기 URL, HTML 컨텐츠 제공시 발생되는 악성코드 접속 URL, 상기 악성 프로그램 유포 코드 및 상기 악성 프로그램 유포 패턴을 차단하고 알림 메시지를 발생시켜 상기 웹 제공 서버와 상기 좀비 서버 및 상기 해커 서버로 전송하는 MC 유포 패턴 처리 엔진;
상기 악성 코드 유포 패턴 유무의 확인 결과 및 상기 악성 프로그램 유포 코드의 탐지 결과에 따라 상기 URL, 상기 악성코드 접속 URL 접속을 차단하고 알림 메시지를 발생시켜 상기 웹 제공 서버와 상기 좀비 서버 및 상기 해커 서버로 전송하는 MC 유포 URL 차단엔진을 포함하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
The method according to claim 1,
The MC blocking unit
Checking whether or not the malicious code distribution pattern exists, blocking the malicious code access URL generated when providing the URL, HTML content, the malicious program distribution code and the malicious program distribution pattern according to the confirmation result, An MC distribution pattern processing engine for transmitting to the providing server, the zombie server and the hacker server;
The URL and the malicious code access URL are blocked according to the result of the malicious code distribution pattern detection and the detection result of the malicious program distribution code, and a notification message is generated so that the web server, the zombie server and the hacker server A malware detection and blocking system on a website that includes an MC-distributed URL blocking engine that sends.
제 1 항에 있어서,
상기 MC 디코딩 처리엔진은
상기 웹 에이전트의 동작에 따라 순차적으로 발생되는 URL, 상기 유포 코드의 스크립트 및 악성 코드의 스크립트를 실시간 순차적으로 로딩하고 메모리에 저장하며,
상기 URL, 유포 코드의 스크립트 및 악성 코드의 스크립트를 순차적으로 파싱(parsing) 해서 분석함으로써 HTML DOM, BOM을 구성하고,
상기의 HTML DOM, BOM의 스크립트들을 상기 데이터 베이스부로부터의 드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 디코딩 정보들과 비교하여 실시간으로 휴리스틱 기법을 이용하여 디코딩함으로써, 상기 드랍퍼, 키로그, 데이터 유출파일, 악성코드, 악성코드 접속 URL, 악성 프로그램 유포 코드를 각각 검출하고,
상기 검출 결과에 따라 발생되는 URL, HTML 컨텐츠 제공시 발생되는 유포 코드 및 스크립트 코드 유입 및 접속을 차단하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
The method according to claim 1,
The MC decoding processing engine
A script of the dubbed code and a script of the malicious code sequentially loaded in accordance with the operation of the web agent,
The HTML DOM and the BOM are constructed by sequentially analyzing and analyzing the URL, the script of the distributed code, and the script of the malicious code,
The above HTML DOM and BOM scripts are compared with decoding information of droppers, a keylog, a data leakage file, a malicious program distribution script and malicious code scripts from the database unit and decoded in real time using a heuristic technique, A dropper, a keylog, a data leakage file, a malicious code, a malicious code access URL, and a malicious program distributed code,
A malicious code detection and blocking system for blocking inflow of a URL generated according to the detection result, a malicious code and a script code generated when HTML contents are provided, and a connection.
제 3 항에 있어서,
상기 MC 유포 패턴 처리 엔진은
상기 웹 에이전트의 동작에 따라 순차적으로 발생되는 URL, 상기 유포 코드의 스크립트 및 악성 코드의 스크립트를 포함한 실행 코드를 상기 데이터 베이스부로부터의 악성 프로그램 유포 패턴 정보, 악성 코드 유포에 사용되었던 패턴 정보, src, width, height 중 적어도 하나의 속성 값과 비교하여 악성 코드 유포 패턴의 유무를 확인하며,
상기 악성코드 유포 패턴 유무 확인 결과에 따라 상기 URL, 상기 HTML 컨텐츠 제공시 발생되는 악성코드 접속 URL, 상기 악성 프로그램 유포 코드 및 악성 프로그램 유포 패턴을 차단하고,
상기 알림 메시지를 웹 제공 서버와 상기 좀비 서버 및 상기 해커 서버로 전송하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
The method of claim 3,
The MC distribution pattern processing engine
A malicious program distribution pattern information from the database unit, pattern information used for distributing a malicious code, src , width, and height to check whether there is a malicious code distribution pattern,
Blocking the malicious code access URL generated upon providing the HTML content, the malicious program distribution code and the malicious program distribution pattern according to the result of the malicious code distribution pattern check,
And transmitting the notification message to the web providing server, the zombie server, and the hacker server.
제 1 항에 있어서,
상기 데이터 베이스부는
상기 웹 제공 서버를 운용하는 운용자 정보와 상기 웹 제공 서버에서 운용하는 웹 사이트나 홈페이지 접속 이용자들의 로그인 정보들을 저장하고 공유하는 사용자 정보 DB;
드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 정보 및 상기 드랍퍼, 키로그, 데이터 유출파일, 악성 프로그램 유포 스크립트, 악성코드 스크립트들의 디코딩 정보를 각각 저장하고 갱신 및 공유하는 MC 디코딩 정보 DB;
악성코드 접속 URL 및 상기 악성 프로그램 유포 코드의 검출 결과에 따라 발생되는 URL 정보들을 각각 저장하고 갱신 및 공유하는 MC 유포 URL DB; 및
상기 악성 프로그램 유포 패턴 정보 및 악성 코드 유포에 사용되었던 패턴 정보를 각각 저장하고 공유하는 MC 유포 패턴 DB를 포함하는 웹 사이트의 악성코드 탐지 및 차단 시스템.
The method according to claim 1,
The database unit
A user information DB storing and sharing operator information for operating the web providing server and login information of a web site operated by the web providing server or login users of a homepage accessing server;
MC for storing, updating, and sharing decoding information of the dropper, the keylog, the data leakage file, the malicious program distribution script, the malicious code script information, and the dropper, the keylog, the data leakage file, the malicious program distribution script, Decoding information DB;
An MC distribution URL DB storing, updating and sharing URL information generated according to a malicious code access URL and a detection result of the malicious program distribution code; And
A malicious code detection and blocking system for a web site including an MC distribution pattern DB for storing and sharing malicious program distribution pattern information and pattern information used for distribution of malicious code, respectively.
KR1020160161515A 2016-11-30 2016-11-30 System for detecting and preventing malicious code based on website KR101688390B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160161515A KR101688390B1 (en) 2016-11-30 2016-11-30 System for detecting and preventing malicious code based on website

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160161515A KR101688390B1 (en) 2016-11-30 2016-11-30 System for detecting and preventing malicious code based on website

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020150077292 Division 2015-06-01

Publications (2)

Publication Number Publication Date
KR20160142268A true KR20160142268A (en) 2016-12-12
KR101688390B1 KR101688390B1 (en) 2016-12-22

Family

ID=57574275

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160161515A KR101688390B1 (en) 2016-11-30 2016-11-30 System for detecting and preventing malicious code based on website

Country Status (1)

Country Link
KR (1) KR101688390B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190001039A (en) * 2017-06-26 2019-01-04 시큐레터 주식회사 Apparatus and method for analyzing malicious file using distributed virtual environment
WO2019027106A1 (en) * 2017-08-01 2019-02-07 주식회사 에프원시큐리티 System for analyzing degree of risk for malicious code distribution site by using machine learning

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102338252B1 (en) 2020-02-18 2021-12-15 한국전자통신연구원 Malware Analysis System and Method for Web Malware Detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049511A (en) 2005-11-08 2007-05-11 한국정보보호진흥원 Analysis system for malicious code and method thereof
KR101481910B1 (en) * 2013-08-14 2015-01-15 한국과학기술원 Apparatus and method for monitoring suspicious information in web page
KR101514984B1 (en) * 2014-03-03 2015-04-24 (주)엠씨알시스템 Detecting system for detecting Homepage spreading Virus and Detecting method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049511A (en) 2005-11-08 2007-05-11 한국정보보호진흥원 Analysis system for malicious code and method thereof
KR101481910B1 (en) * 2013-08-14 2015-01-15 한국과학기술원 Apparatus and method for monitoring suspicious information in web page
KR101514984B1 (en) * 2014-03-03 2015-04-24 (주)엠씨알시스템 Detecting system for detecting Homepage spreading Virus and Detecting method thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190001039A (en) * 2017-06-26 2019-01-04 시큐레터 주식회사 Apparatus and method for analyzing malicious file using distributed virtual environment
WO2019027106A1 (en) * 2017-08-01 2019-02-07 주식회사 에프원시큐리티 System for analyzing degree of risk for malicious code distribution site by using machine learning

Also Published As

Publication number Publication date
KR101688390B1 (en) 2016-12-22

Similar Documents

Publication Publication Date Title
US11297097B2 (en) Code modification for detecting abnormal activity
US10592676B2 (en) Application security service
US10205742B2 (en) Stateless web content anti-automation
US9609006B2 (en) Detecting the introduction of alien content
US9398031B1 (en) Malicious advertisement detection and remediation
US10728274B2 (en) Method and system for injecting javascript into a web page
US9794276B2 (en) Protecting against the introduction of alien content
CA2946695C (en) Fraud detection network system and fraud detection method
US9979726B2 (en) System and method for web application security
US9298919B1 (en) Scanning ad content for malware with varying frequencies
KR101672791B1 (en) Method and system for detection of vulnerability on html5 mobile web application
ES2882125T3 (en) System and procedure to identify attacks on the Internet
US20190222587A1 (en) System and method for detection of attacks in a computer network using deception elements
CN111163094B (en) Network attack detection method, network attack detection device, electronic device, and medium
CN111163095A (en) Network attack analysis method, network attack analysis device, computing device, and medium
KR101688390B1 (en) System for detecting and preventing malicious code based on website
Imamura et al. Web access monitoring mechanism via Android WebView for threat analysis
KR101809159B1 (en) A system for analyzing the risk of malicious codes using machine learning
Imamura et al. Threat Analysis of Fake Virus Alerts Using WebView Monitor
CN103544431B (en) A kind of immunization method to illegal program, system and device
Braun et al. Ghostrail: Ad hoc control-flow integrity for web applications
Invernizzi Detecting the stealthy distribution of malicious and abusive content online

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 4