KR20200107612A - Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof - Google Patents
Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof Download PDFInfo
- Publication number
- KR20200107612A KR20200107612A KR1020190027003A KR20190027003A KR20200107612A KR 20200107612 A KR20200107612 A KR 20200107612A KR 1020190027003 A KR1020190027003 A KR 1020190027003A KR 20190027003 A KR20190027003 A KR 20190027003A KR 20200107612 A KR20200107612 A KR 20200107612A
- Authority
- KR
- South Korea
- Prior art keywords
- image file
- image
- file
- format
- malicious code
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/32—Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
- H04N1/32101—Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
- H04N1/32144—Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title embedded in the image data, i.e. enclosed or integrated in the image, e.g. watermark, super-imposed logo or stamp
- H04N1/32149—Methods relating to embedding, encoding, decoding, detection or retrieval operations
- H04N1/32154—Transform domain methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명의 다양한 실시예는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법에 관한 것이다.Various embodiments of the present invention relate to an apparatus for disabling malicious code and hidden information included in an image file and a driving method thereof.
점차 지능화되고 있는 악성코드는 실행형 파일(PE, ELF 등)뿐만 아니라 다양한 문서형 파일(MS Office, HWP, PDF, Images 등)에도 삽입되어 공격에 이용되고 있다. 이러한 악성코드를 탐지하기 위해 시그니처 기반의 안티 바이러스 기술과 파일 내 액티브 콘텐츠(Macro, JavaScript 등)를 제거하는 콘텐츠 무해화 및 재조합(CDR; Content Disarm & Reconstruction) 기술이 주로 사용되고 있다. 또한, 평판 기반(reputation-based)으로 알려진 악성코드 파일을 분류하거나 알려지지 않은 악성코드 파일을 분류하기 위해 머신러닝 기술을 적용하기도 한다.Malicious codes, which are becoming more intelligent, are inserted into not only executable files (PE, ELF, etc.) but also various document-type files (MS Office, HWP, PDF, Images, etc.) and are used for attacks. To detect such malicious codes, signature-based anti-virus technology and content disarm & reconstruction (CDR) technology that removes active content (Macro, JavaScript, etc.) in files are mainly used. In addition, machine learning technology is applied to classify known malicious code files as reputation-based or unknown malicious code files.
한편, 문서형 파일 중에서 이미지 파일에 악성코드를 삽입하여 공격에 이용되고 있으며, 평판 기반으로 악성코드를 분석하는 글로벌 상용 서비스에서도 악성코드 은닉형 이미지 파일이 다수 수집되고 있다.Meanwhile, among document-type files, malicious code is inserted into an image file and used for attack, and a number of malicious code concealed image files are also collected in a global commercial service that analyzes malicious code based on reputation.
이와같이 악성 코드 은닉형 이미지 파일의 경우, 이미 알려진 알려진 악성코드 은닉형 이미지 파일에 대해서는 종래의 시그니처 기반의 안티 바이러스나 콘텐츠 무해화 및 재조합 기술을 통해 탐지되어 보안 처리되고 있지만, 알려지지 않은 악성코드가 은닉되어 있는 이미지 파일에 대해서는 평판 정보나 시그니처가 없어 탐지에 어려움이 있다. As such, in the case of malicious code concealment type image files, known malicious code concealment type image files are detected and secured through conventional signature-based anti-virus or content detoxification and recombination technology, but unknown malicious codes are concealed. There is no reputation information or signature for the image file, which makes it difficult to detect.
추가적으로 스테가노그래피(Steganography)는 숨기려는 정보를 이미지나 오디오 등의 미디어에 교묘하게 삽입하여 외부에 정보 자체의 존재 여부가 드러나지 않도록 하는 정보 은닉 방법이다. 악성코드를 스테가노그래피 기법으로 이미지 파일에 은닉시켜 외부자가 전파(Stegosploit, Shellcode hiding 등)하거나, 내부자가 기밀 정보를 은닉한 이미지 파일을 이용하여 의도적인 정보 유출할 경우, 탐지가 어려울 뿐만 아니라, 정보 은닉 여부를 명확히 판별하는데도 한계가 있다. In addition, steganography is an information hiding method in which information to be hidden is subtly inserted into media such as images or audio so that the existence of the information itself is not revealed. It is difficult to detect when malicious code is concealed in an image file using steganography and transmitted by an outsider (Stegosploit, Shellcode hiding, etc.) or if an insider intentionally leaks information using an image file that conceals confidential information. There are also limitations in clearly determining whether or not information is hidden.
본 발명의 실시예에 따른 해결하고자 하는 과제는 악성코드의 시그니처나 특징에 대한 어떠한 사전 정보가 없더라도 원본 이미지 파일 포맷의 구조를 분석하고 이미지 데이터 영역별 변환을 통해 이미지 파일에 숨겨진 악성코드나 은닉 정보를 무력화시킬 수 있는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법을 제공하는 데 있다. The problem to be solved according to an embodiment of the present invention is to analyze the structure of the original image file format even if there is no prior information on the signature or characteristic of the malicious code, and convert the image data area to the malicious code or hidden information hidden in the image file. It is to provide an apparatus and a driving method for disabling malicious code and hidden information included in an image file capable of incapacitating an image file.
본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법는 파일 유입 경로를 통해 유입된 원본 이미지 파일의 포맷 구조가 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역으로 이루어진 정상적인 구조인지 여부를 확인하는 이미지 파일 포맷 분석부 및, 상기 이미지 파일 포맷 분석부와 전기적으로 연결되어, 상기 이미지 파일 포맷 분석부에서 정상적인 구조의 원본 이미지 파일을 전달 받아 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역 각각을 순차적으로 변환하여 변환 이미지 파일을 생성하는 이미지 파일 변환부를 포함할 수 있다. An apparatus for neutralizing malicious code and hidden information included in an image file according to the present invention and a driving method thereof include the format structure of the original image file introduced through the file inflow path, consisting of image header information, image additional information, and image data area. An image file format analysis unit that checks whether it has a normal structure, and an image file format analysis unit that is electrically connected to the image file format analysis unit, and receives the original image file of a normal structure from the image file format analysis unit. It may include an image file conversion unit that sequentially converts each of the image data areas to generate a converted image file.
상기 파일 유입 경로를 통해 유입된 파일이 문서 파일일 경우, 상기 문서 파일에 포함된 이미지 파일을 추출하여 상기 이미지 파일 포맷 분석부로 제공하는 이미지 파일 추출부를 더 포함할 수 있다. When the file introduced through the file inflow path is a document file, an image file extracting unit for extracting an image file included in the document file and providing it to the image file format analysis unit may be further included.
상기 이미지 파일 변환부와 전기적으로 연결되어, 상기 이미지 파일 변환부에서 변환된 상기 변환 이미지 파일과, 상기 변환 이미지 파일의 원본 이미지인 원본 이미지 파일의 해쉬값을 함께 저장하는 저장소를 포함한 변환 이미지 파일 관리부를 더 포함할 수 있다. A converted image file management unit including a storage that is electrically connected to the image file conversion unit and stores the converted image file converted by the image file conversion unit and a hash value of the original image file that is the original image of the converted image file. It may further include.
상기 이미지 파일 변환부는 상기 이미지 파일 포맷 분석부로부터 전달받은 원본 이미지 파일의 해쉬값을 계산하고, 상기 변환 이미지 파일 관리부에서 상기 원본 이미지 파일의 해쉬값 정보와 동일한 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일이 저장되어 있는지 확인 및 제공받을 수 있다. The image file conversion unit calculates the hash value of the original image file received from the image file format analysis unit, and the converted image file management unit calculates the hash value of the image file identical to the hash value information of the original image file and the corresponding conversion You can check and receive an image file.
상기 변환 이미지 파일 관리부는 저장된 원본 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일을 생성 시간을 시점으로 일정 시간동안만 보관 후, 삭제하여 주기적으로 갱신할 수 있다. The converted image file management unit may store the hash value of the stored original image file and the converted image file corresponding thereto for a predetermined period of time based on the creation time, and then delete and periodically update the hash value.
상기 이미지 파일 변환부는 상기 이미지 헤더 정보를 상기 원본 이미지 파일에 해당하는 식별 시그니처를 변환될 이미지 포맷의 식별 시그니처로 바꿈으로써 변환하고, 상기 이미지 부가 정보를 악성코드 스크립트에서 자주 사용되는 특정 스트링을 필터링(html, head, script 등)하여 변환하고, 상기 이미지 데이터 영역을 비선형 전달 함수를 이용하여 변환 하여, 변환 이미지 파일로 변환할 수 있다. The image file conversion unit converts the image header information by converting the identification signature corresponding to the original image file into an identification signature of the image format to be converted, and filters the image additional information to a specific string frequently used in a malicious code script ( html, head, script, etc.), and the image data area can be converted to a converted image file by using a nonlinear transfer function.
상기 이미지 영역을 변환하기 위한 비선형 전달 함수는 
상기 이미지 파일 변환부는 상기 이미지 영역을 변환하기 위한 비선형 전달 함수에서 
상기 이미지 파일 포맷 분석부는 상기 원본 이미지 파일이 애니메이션 이미지 포맷인지 여부를 더 확인할 수 있다. The image file format analysis unit may further check whether the original image file is an animation image format.
상기 이미지 파일 변환부는 상기 파일 포맷 분석부로부터 애니메이션 이미지 포맷을 전달 받으면, 애니메이션 이미지 파일을 애니메이션 개수만큼 동일 포맷의 분리 이미지 파일로 분리한 후, 복수의 분리 이미지 파일 각각을 변환할 수 있다. When the image file conversion unit receives the animation image format from the file format analysis unit, the animation image file may be divided into separate image files of the same format by the number of animations, and then each of the plurality of separated image files may be converted.
또한 본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법는 파일 유입 경로를 통해 유입된 원본 이미지 파일의 포맷 구조가 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역으로 이루어진 정상적인 구조인지 여부를 확인하는 이미지 파일 포맷 분석부에서 확인 하는 이미지 파일 포맷 구조 분석 단계 및, 상기 이미지 파일 포맷 분석부로부터 정상적인 구조의 원본 이미지 파일을 이미지 파일 변환부에서 전달 받아, 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역 각각을 순차적으로 변환하여 변환 이미지 파일을 생성하는 이미지 파일 변환 단계를 포함할 수 있다. In addition, the apparatus for neutralizing malicious code and hidden information included in an image file according to the present invention and its driving method include the format structure of the original image file introduced through the file inflow path as image header information, image additional information, and image data area. The image file format structure analysis step checked by the image file format analysis unit to check whether or not the structure is a normal structure, and the image file conversion unit receives the original image file of a normal structure from the image file format analysis unit, and image header information, An image file conversion step of generating a converted image file by sequentially converting each of the image additional information and the image data area may be included.
상기 이미지 파일 포맷 구조 분선 단계 이전에, 상기 파일 유입 경로를 통해 유입된 파일이 문서 파일일 경우, 이미지 파일 추출부가 상기 문서 파일에 포함된 이미지 파일을 추출하여 상기 이미지 파일 포맷 분석부로 제공하는 원본 이미지 파일 추출 단계를 더 포함할 수 있다. Before the step of dividing the image file format structure, if the file introduced through the file inflow path is a document file, an image file extracting unit extracts an image file included in the document file and provides the original image to the image file format analysis unit A file extraction step may be further included.
상기 이미지 파일 변환 단계 이전에, 상기 이미지 파일 변환부에서 상기 이미지 파일 포맷 분석부로부터 전달받은 원본 이미지 파일의 해쉬값을 계산하는 단계와, 상기 변환 이미지 파일 관리부의 저장소에 상기 원본 이미지 파일의 해쉬값 정보와 동일한 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일이 저장되어 있는지 확인하는 단계를 더 포함할 수 있다. Prior to the image file conversion step, calculating a hash value of the original image file received from the image file format analysis unit in the image file conversion unit, and a hash value of the original image file in the storage of the converted image file management unit The step of checking whether a hash value of the image file identical to the information and a converted image file corresponding thereto are stored.
상기 이미지 파일 변환 단계 이후에, 상기 이미지 파일 변환부에서 변환된 상기 변환 이미지 파일과, 상기 변환 이미지 파일의 원본 이미지인 원본 이미지 파일의 해쉬값을 함께 저장하는 상기 변환 이미지 파일 관리부에서 저장된 원본 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일을 생성 시간을 시점으로 일정 시간동안만 보관 후, 삭제하여 주기적으로 갱신하는 이미지 파일 저장 및 주기적 갱신 단계를 더 포함할 수 있다. After the image file conversion step, the converted image file converted by the image file conversion unit and the original image file stored in the converted image file management unit for storing a hash value of the original image file that is the original image of the converted image file The hash value of and the converted image file corresponding thereto may be stored only for a certain period of time as a time point, and then deleted and periodically updated. The image file storage and periodic update steps may be further included.
상기 이미지 파일 포맷 구조 분석 단계에서는 상기 이미지 파일 포맷 분석부에서 원본 이미지 파일의 포맷 구조가 정상적인 구조가 아닌 것으로 판단할 경우, 상기 이미지 파일 포맷 분석부는 지정된 임의의 파일을 파일 유출 경로를 통해 제공하여 변환이 실패된 이미지임을 알릴 수 있다. In the image file format structure analysis step, if the image file format analysis unit determines that the format structure of the original image file is not a normal structure, the image file format analysis unit provides and converts a designated arbitrary file through a file outflow path. You can signal that this is a failed image.
상기 이미지 파일 변환 단계는 상기 이미지 파일 변환부에서 상기 이미지 헤더 정보를 상기 원본 이미지 파일에 해당하는 식별 시그니처를 변환될 이미지 포맷의 식별 시그니처로 바꿈으로써 변환하는 헤더 정보 변환 단계와, 상기 이미지 부가 정보를 악성코드 스크립트에서 자주 사용되는 특정 스트링을 필터링(html, head, script 등)하여 변환하는 부가 정보 변환 단계 및, 상기 이미지 데이터 영역을 비선형 전달 함수를 이용하여 변환 하여, 변환 이미지 파일로 변환하는 데이터 변환 단계를 포함할 수 있다. In the image file conversion step, the image file conversion unit converts the image header information by converting the identification signature corresponding to the original image file into an identification signature of an image format to be converted, and the image additional information Additional information conversion step of filtering a specific string frequently used in malicious code scripts (html, head, script, etc.) and converting the image data area using a nonlinear transfer function, and converting data into a converted image file It may include steps.
상기 이미지 파일 변환 단계에서, 상기 헤더 정보 변환 단계 이전에 상기 이미지 파일 포맷 분석부에서 원본 이미지 파일이 애니메이션 이미지 포맷인지 확인 단계 및 상기 이미지 파일 변환부에서 상기 파일 포맷 분석부로부터 애니메이션 이미지 포맷을 전달 받으면, 애니메이션 이미지 파일을 애니메이션 개수만큼 동일 포맷의 분리 이미지 파일로 분리하는 단계를 더 포함할 수 있다. In the image file conversion step, before the header information conversion step, when the image file format analysis unit checks whether the original image file is an animation image format, and the image file conversion unit receives the animation image format from the file format analysis unit And separating the animation image files into separate image files of the same format as many as the number of animations.
상기 이미지 파일 변환 단계에서, 상기 데이터 변환 단계 이후에는 상기 이미지 파일 변환부에서 원본 이미지 파일이 애니메이션 이미지 포맷인 경우에 모든 분리 이미지 파일의 변환이 끝났는지 확인하는 단계 및, 상기 이미지 파일 변환부에서 모든 분리 이미지 파일 변환이 완료된 경우 애니메이션 이미지 포맷에 해당하는 분리 이미지 파일들의 변환 이미지 파일들을 원본 이미지 포맷과 동일한 하나의 이미지 포맷으로 재조립하는 단계를 더 포함할 수 있다. In the image file conversion step, after the data conversion step, in the image file conversion unit, when the original image file is in the animation image format, checking whether conversion of all separated image files has been completed, and the image file conversion unit When the conversion of the split image file is completed, the step of reassembling converted image files of the split image files corresponding to the animation image format into one image format identical to the original image format may be further included.
상기 이미지 영역을 변환하기 위한 비선형 전달 함수는 
상기 이미지 영역을 변환하기 위한 비선형 전달 함수에서 
본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법는 이미지 파일에 포함된 악성코드 및 은닉 정보의 무력화 장치 및 그 방법은 원본 이미지 파일에 숨겨진 악성코드나 은닉 정보를 어떤 분석이나 탐지 기법을 적용하지 않고, 이미지 파일 포맷의 구조를 분석하고 각 영역별 데이터를 변환하여 악성코드 동작이나 은닉 정보를 무력화시켜 악성코드 전파를 사전 차단하거나 정보 유출을 방지할 수 있게 된다.The device for disabling malicious code and hidden information included in an image file according to the present invention and a driving method thereof include a device for disabling malicious code and concealed information included in the image file, and the method thereof is a malicious code or hidden information hidden in the original image file. Without applying any analysis or detection technique, the structure of the image file format is analyzed and data for each area is converted to neutralize malicious code operation or hidden information, thereby preventing the spread of malicious code or information leakage. .
또한 본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법는 알려진 악성코드의 시그니처 기반 안티 바이러스나 평판 분석, 콘텐츠 무해화 및 재조립 기술과 다른 방식으로, 알려진 또는 알려지지 않은 악성코드의 시그니처나 특징에 대한 어떠한 사전 정보 없이도 악성코드 동작을 사전에 무력화시킬 수 있게 된다.In addition, the device for incapacitating the malicious code and hidden information included in the image file according to the present invention and the driving method thereof are different from the signature-based anti-virus or reputation analysis, content detoxification and reassembly technology of known malicious codes. It is possible to disable malicious code operation in advance without any prior information about the signature or characteristic of unknown malicious code.
또한 본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법는 원본 이미지 파일에 포함된 악성코드나 은닉 정보를 무력화시킨 변환된 이미지 파일은 육안으로 구분하지 못할 정도의 원본 이미지 품질과 유사한 수준으로 제공해 줄 수 있게 된다.In addition, the device for incapacitating the malicious code and hidden information included in the image file according to the present invention and the driving method thereof are such that the converted image file in which the malicious code or hidden information included in the original image file is disabled cannot be distinguished by the naked eye. It can provide a level similar to the original image quality.
도 1은 본 발명의 일실시예에 따른 이미지 파일의 악성코드와 은닉 정보 무력화 장치를 도시한 구조도이다.
도 2는 정상적인 이미지 파일 구조 및 불량 이미지 파일 구조의 일예이다.
도 3은 도 1의 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법을 도시한 순서도이다.
도 4는 도 3의 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법에서 이미지 파일 변환 단계를 상세히 도시한 순서도이다.
도 5는 도 4의 이미지 파일의 각 영역별 변환 방법 도시한 구조도이다.
도 6은 도 5의 이미지 파일에서 이미지 데이터 변환 결과의 일예이다.
도 7 및 8은 악성코드나 은닉 정보가 본 발명의 이미지 파일의 악성코드와 은닉 정보 무력화 장치와 그의 구동 방법을 통해 무력화된 모의 실험 결과이다. 1 is a structural diagram illustrating an apparatus for disabling malicious code and hidden information of an image file according to an embodiment of the present invention.
2 is an example of a normal image file structure and a bad image file structure.
3 is a flowchart illustrating a method of driving the apparatus for disabling malicious code and hidden information of the image file of FIG. 1.
FIG. 4 is a detailed flowchart illustrating a step of converting an image file in the driving method of the apparatus for disabling malicious code and hidden information of the image file of FIG. 3.
5 is a structural diagram illustrating a method of converting the image file of FIG. 4 for each area.
6 is an example of an image data conversion result in the image file of FIG. 5.
7 and 8 are simulation results in which malicious code or hidden information is disabled through the device for disabling malicious code and hidden information of an image file of the present invention and a driving method thereof.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 하기 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 하기 실시예에 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하고, 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.The embodiments of the present invention are provided to more completely describe the present invention to those of ordinary skill in the art, and the following examples may be modified in various other forms, and the scope of the present invention is as follows. It is not limited to the examples. Rather, these embodiments are provided to make the present disclosure more faithful and complete, and to completely convey the spirit of the present invention to those skilled in the art.
또한, 이하의 도면에서 각 층의 두께나 크기는 설명의 편의 및 명확성을 위하여 과장된 것이며, 도면상에서 동일 부호는 동일한 요소를 지칭한다. 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다. 또한, 본 명세서에서 "연결된다"라는 의미는 A 부재와 B 부재가 직접 연결되는 경우뿐만 아니라, A 부재와 B 부재의 사이에 C 부재가 개재되어 A 부재와 B 부재가 간접 연결되는 경우도 의미한다.In addition, in the following drawings, the thickness or size of each layer is exaggerated for convenience and clarity of description, and the same reference numerals refer to the same elements in the drawings. As used herein, the term "and/or" includes any and all combinations of one or more of the corresponding listed items. In addition, the meaning of "connected" in the present specification means not only the case where the member A and the member B are directly connected, but also the case where the member A and the member B are indirectly connected by interposing a member C between the member A and the member B do.
본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이, 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 경우 "포함한다(comprise)" 및/또는 "포함하는(comprising)"은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및 /또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다.The terms used in this specification are used to describe specific embodiments, and are not intended to limit the present invention. As used herein, the singular form may include the plural form unless the context clearly indicates another case. Further, as used herein, "comprise" and/or "comprising" specifies the presence of the mentioned shapes, numbers, steps, actions, members, elements and/or groups thereof. And does not exclude the presence or addition of one or more other shapes, numbers, actions, members, elements, and/or groups.
본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있을 정도로 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명하면 다음과 같다.A preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily implement the present invention.
도 1을 참조하면, 본 발명의 일실시예에 따른 이미지 파일의 악성코드와 은닉 정보 무력화 장치를 도시한 구조도가 도시되어 있다. Referring to FIG. 1, a structural diagram showing an apparatus for disabling malicious code and hidden information of an image file according to an embodiment of the present invention is shown.
도 1에 도시된 바와 같이 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)는 이미지 파일 추출부(110), 이미지 파일 포맷 분석부(120), 이미지 파일 변환부(130) 및 변환 이미지 파일 관리부(140)를 포함할 수 있다. 우선 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)는 파일 유입 경로(10)와 파일 유출 경로(20)사이에 개재되어, 파일 유입 경로(10)를 통해 유입된 이미지 파일이나, 문서에 포함된 이미지 파일을 변환하여 악성코드나 은닉정보을 무력화하여 파일 유출 경로(20)로 제공할 수 있다. 이와같은 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)는 사내로 유입되는 이미지 파일이나, 문서에 포함된 이미지 파일을 변환하여 악성코드를 무력화할 수 있을 뿐만 아니라, 사내에서 외부로 유출되는 기밀 정보를 은닉한 이미지 파일이나, 문서에 포함된 이미지 파일을 변환하여 기밀 정보 유출을 방지하도록 할 수 있다. 여기서, 파일 유입 경로(10)가 사내망일 경우 파일 유출 경로(20)는 사외망일 수 있으며, 파일 유입 경로(10)가 사외망일 경우 파일 유출 경로(20)는 사내망일 수 있다. 즉, 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)는 파일 유입 경로(10)와 파일 유출 경로(20) 사이에 개재되어 유입되는 이미지 파일이나, 문서에 포함된 이미지 파일을 변환하여 악성코드와 은닉 정보를 무력화한 후 유출할 수 있다. As shown in FIG. 1, the
우선 이미지 파일 추출부(110)는 인터넷(web-site), 데스크탑 PC(Desktop PC), 노트북 및 모바일 단말기등과 같은 파일 유입 경로(10)로부터 유입된 다양한 문서 파일(doc, ppt, xls, hwp, odt, odp 등)내에 포함된 이미지 파일(JPEG, GIF, PNG, BMP 등) 또는 이미지 객체(OLE)를 추출한다. 또한 이미지 파일 추출부(110)는 다양한 파일 유입 경로(10)로부터 유입된 이미지 파일의 파일 확장자와 파일 헤더 정보에서 이미지 파일을 확인할 수도 있다. 즉, 이미지 파일 추출부(110)는 다양한 파일 유입 경로(10)로부터 유입된 이미지 파일을 확인하거나, 문서 파일내에 포함된 이미지 파일을 추출할 수 있다. 여기서, 이미지 파일 추출부(110)는 유입된 문서 파일로부터 이미지 파일만을 선별하기 위해 각 문서 파일의 확장자나 파일 헤더 정보에서 이미지 파일 포맷의 식별 시그니처를 확인하여 추출할 수 있다. First, the image
이하에서 이미지 파일 추출부(110)에서 추출되거나 확인된 이미지 파일을 원본 이미지 파일로 지칭하고자 한다. 상기 이미지 파일 추출부(110)는 원본 이미지 파일을 이미지 파일 포맷 분석부(120)로 전달할 수 있다.Hereinafter, the image file extracted or confirmed by the image
또한 이미지 파일 포맷 분석부(120)는 이미지 파일 추출부(110)에서 전달된 원본 이미지 파일의 포맷 구조를 분석한다. 일반적으로 정상적인 이미지 파일의 포맷 구조는 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역으로 이루어질 수 있다. 우선 이미지 파일 포맷 분석부(120)는 원본 이미지 파일의 헤더 정보로부터 이미지의 종류(JPEG, GIF, PNG, BMP 등)를 파악할 수 있다. 또한 이미지 파일 포맷 분석부(120)는 각 이미지 종류에 따른 기본 이미지 파일 포맷 구조 정보를 기준으로, 원본 이미지 파일의 구조가 정상적인 구조인지 여부를 판별할 수 있다. 여기서 이미지 파일 포맷 분석부(120)는 다양한 이미지 종류에 따른 이미지 파일 포맷 구조 정보를 저장하고 있거나, 다양한 이미지 종류에 따른 이미지 파일 포맷 구조 정보가 저장된 메모리로부터 이미지 파일 포맷 구조를 제공받을 수 있다. 상기 이미지 파일 포맷 분석부(120)는 원본 이미지 파일의 헤더 정보와 포맷 구조를 통해 정상적인 구조인지 여부를 판별하여, 이미지 파일 변환부(130)로 그 정보를 전달할 수 있다. 예를들어, 포맷 구조가 정상 구조인지 판별하는 방법은 원본 이미지 파일의 이미지 헤더 정보, 이미지 부가 정보, 이미지 데이터 영역이 기준 포맷의 자료구조와 동일한지 여부를 확인하여 알 수 있다. In addition, the image file
이미지 파일 포맷 변환부(130)는 이미지 파일 포맷 분석부(120)에서 정상적인 구조의 파일로 판단된 원본 이미지 파일을 전달받을 수 있다. 상기 이미지 파일 변환부(130)는 원본 이미지 파일의 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역를 변환 이미지 파일에 대응되도록 각각 변환할 수 있다. 먼저 이미지 파일 포맷 분석부(120)는 이미지 헤더 정보에서 원본 이미지 헤더의 파일 식별자 정보를 변환 이미지 헤더의 파일 식별자 정보로 바꿀 수 있다. 또한 이미지 파일 변환부(130)는 이미지 부가 정보에서, 원본 이미지 부가 정보 중에서 특정 스트링을 제외한 정보를 변환 이미지 파일의 부가 정보 영역에 복사할 수 있다. 그리고 이미지 파일 변환부(130)는 이미지 데이터 영역에서 악성코드나 은닉정보의 특성을 무력화시키기 위해 특정 범위값의 비선형 전달 함수(Nonlinear Transfer Function)를 적용하여 원본 이미지의 속성값을 변환할 수 있다. 이와같은 이미지 파일 변환부(130)는 변환 이미지 파일을 원본 이미지 파일을 대신하여 파일 유출 경로(20)를 통해 제공할 수 있다. The image file
변환 이미지 파일 관리부(140)는 이미지 파일 변환부(130)와 전기적으로 연결되어, 반복적으로 동일한 이미지 파일의 변환으로 인한 처리 속도 감소를 방지 하기 위해서, 변환 이미지 파일에 대한 원본 이미지 파일의 해쉬값 정보를 저장할 수 있다. 이와같은 변환 이미지 파일 관리부(140)는 변환 이미지 파일에 대한 원본 이미지 파일의 해쉬값 정보를 저장하기 위한 저장소를 구비할 수 있다. 또한 변환 이미지 파일 관리부(140)는 저장소에 저장된 이미지 파일의 해쉬값 정보중, 일정 시간이상 경과된 이미지 파일의 해쉬값은 삭제하여 주기적으로 갱신할 수 있다. The converted image
도 2를 참조하면, 원본 이미지 파일의 정상적인 포맷 구조(a)와, 악성코드 및 은닉 정보를 포함한 불량 이미지 파일 포맷 구조(b, c, d, e)의 일예가 도시되어 있다. Referring to FIG. 2, an example of a normal format structure (a) of an original image file and a bad image file format structure (b, c, d, e) including malicious code and hidden information are shown.
도 2에 도시된 바와 같이, 불량 이미지 파일 포맷 구조(b, c, d, e)는 악성코드나 은닉 정보가 이미지 파일의 일정 영역 내에 삽입 또는 변조될 수 있는 일예들을 설명하고자 한다. 그리고 불량 이미지 파일 포맷 구조(b, c, d, e)는 도 2에서 4개의 구조를 도시하였으나, 이는 예시적인 것으로 본 발명에서 불량 이미지 파일 포맷 구조(b, c, d, e)를 4가지로 한정하는 것은 아니다. 이하에서는 본 발명의 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)에서 불량 이미지 파일 포맷 구조(b, c, d, e)를 확인하는 방법을 설명하고자 한다. As shown in FIG. 2, the bad image file format structure (b, c, d, e) is intended to describe examples in which malicious codes or hidden information may be inserted or altered in a certain area of an image file. In addition, the structure of the bad image file format (b, c, d, e) shows four structures in FIG. 2, but these are exemplary, and in the present invention, the structure of the bad image file format (b, c, d, e) is 4 types. It is not limited to. Hereinafter, a method of checking the bad image file format structure (b, c, d, e) in the
여기서, 정상적인 포맷 구조(a)는 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역을 가질 수 있다. Here, the normal format structure (a) may have image header information, image additional information, and an image data area.
예를 들어, 제1불량 이미지 파일 포맷 구조(b)와 같이 이미지 헤더 정보영역에 이미지 종류에 대한 파일 식별 시그니처만 표시하고, 다른 영역에서 악성코드 스크립트(JavaScript, HTML, PHP 등)가 삽입되는 포맷 구조가 있다. 이와같은 제1불량 이미지 파일 포맷 구조(b)의 경우 헤더 정보만으로 MIME Type을 판단하는 경우에 탐지되지 않을 수 있으나, 본 발명의 이미지 파일 포맷 분석부(120)에서는 정상 포맷 구조인 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역을 포함하지 않으므로 불량 이미지로 판단할 수 있다. For example, as in the first defective image file format structure (b), only the file identification signature for the image type is displayed in the image header information area, and malicious code scripts (JavaScript, HTML, PHP, etc.) are inserted in other areas. There is a structure. The first defective image file format structure (b) may not be detected when the MIME type is determined only by header information, but the image file
또한, 이미지 포맷은 제2불량 이미지 파일 포맷 구조(c)와 같이 구성되어 있으나, 데이터의 끝에 악성코드 바이너리(PE, DLL, ELF 등)나 악성코드 스크립트, 기밀 정보(기업 정보, 개인정보 등) 등을 추가함으로써 이미지 보기 애플리케이션들이 이미지 끝(EOI)까지만 처리하고 그 이후 영역은 무시된다는 것을 악용하는 하는 포맷 구조도 있다. In addition, the image format is composed of the second bad image file format structure (c), but at the end of the data, malicious code binaries (PE, DLL, ELF, etc.), malicious code scripts, confidential information (company information, personal information, etc.) There is also a format structure that exploits the addition of a light so that image viewing applications only process up to the end of the image (EOI) and areas after that are ignored.
또한 제3불량 이미지 파일 포맷 구조(d)와 같이, 악성코드가 DBD(Drive by Download) 유형인 경우에는 다운로드 시점에 이미지 파일로 가장하여 유입된 후, 이미지 파일 포맷의 부가 정보 영역에 악성코드 스크립트를 삽입하고, 이미지 데이터 영역(이미지 픽셀 정보)에 악성코드를 은닉시킴으로써 악성코드 스크립트에 의해 은닉된 악성코드를 복원 시키는 포맷 구조도 있다. In addition, as in the third bad image file format structure (d), if the malicious code is of DBD (Drive by Download) type, it is introduced as an image file at the time of download, and then the malicious code script is placed in the additional information area of the image file format. There is also a format structure for restoring the malicious code hidden by the malicious code script by inserting and hiding the malicious code in the image data area (image pixel information).
이와같은 제2불량 이미지 파일 포맷 구조(c)와 제3불량 이미지 파일 포맷 구조(d)는 악성코드 은닉을 위해 다양한 방식의 암호화 및 난독화 알고리즘을 사용하거나 스테가노그래피 알고리즘을 사용하게 되면, 시그니처 기반 안티 바이러스(AV)나 평판 기반 탐지 기법을 우회할 수 있고, 머신 러닝(Machine Learning) 기반 기법으로도 분석이 어려울 수 있다. 그러나 본 발명에서는 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역의 각 영역별로 원본 이미지 파일을 변환하여, 악성코드나 은닉 정보 없는 변환 이미지 파일을 파일 유출 경로(20)를 통해 제공할 수 있다. In the second bad image file format structure (c) and the third bad image file format structure (d), if various encryption and obfuscation algorithms are used or steganography algorithms are used to conceal malicious codes, the signature It can bypass anti-virus (AV) or reputation-based detection techniques, and analysis can be difficult even with machine learning-based techniques. However, in the present invention, the original image file may be converted for each area of the image header information, the additional image information, and the image data area, and a converted image file without malicious code or hidden information may be provided through the
또한, 제4불량 이미지 파일 포맷 구조(e)와 같이 이미지 데이터 영역에 기밀 정보를 다양한 스테가노그래피 알고리즘이나 도구를 악용하여 은닉시킴으로써 의도적으로 정보 유출을 하는 경우 은닉 정보의 존재 여부를 분석하거나 탐지하기가 매우 어려울 수 있다. 그러나 본 발명에서는 데이터 영역 변환시 악성코드나 은닉정보의 특성을 무력화시키기 위해 특정 범위값의 비선형 전달 함수(Nonlinear Transfer Function)를 적용하므로, 악성코드나 은닉 정보 없는 변환 이미지 파일을 제공할 수 있다. In addition, in the case of intentional information leakage by concealing confidential information in the image data area by exploiting various steganography algorithms or tools, such as the fourth defective image file format structure (e), analyze or detect the presence of hidden information. Can be very difficult. However, in the present invention, since a nonlinear transfer function of a specific range value is applied to neutralize the characteristics of malicious codes or hidden information when converting a data area, it is possible to provide a converted image file without malicious code or hidden information.
도 3을 참조하면, 도 1에 도시된 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법을 도시한 순서도가 도시되어 있다. 이와같은 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법은 도 1에 도시된 이미지 파일의 악성코드와 은닉 정보 무력화 장치를 참조하여 설명하고자 한다. Referring to FIG. 3, a flow chart showing a method of driving an apparatus for disabling malicious code and hidden information of an image file shown in FIG. 1 is shown. A method of driving the device for disabling malicious code and hidden information of the image file will be described with reference to the device for disabling malicious code and hidden information of the image file shown in FIG. 1.
도 3에 도시된 바와 같이, 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법은 원본 이미지 파일 추출 단계(S10), 이미지 파일 포맷 구조 분석 단계(S20), 이미지 파일 변환 단계(S30) 및 이미지 파일 저장 및 주기적 갱신 단계(S40)를 포함할 수 있다. As shown in FIG. 3, the driving method of the device for disabling malicious code and hidden information of an image file includes an original image file extraction step (S10), an image file format structure analysis step (S20), an image file conversion step (S30), and an image. A file storage and periodic update step (S40) may be included.
우선 원본 이미지 파일 추출 단계(S10)에서는 이미지 파일 추출부(110)가 다양한 파일 유입 경로(10)로부터 유입된 다양한 문서 파일에서 이미지 파일만을 추출한다. 또한 원본 이미지 파일 추출 단계(S10)에서는 다양한 파일 유입 경로(10)로부터 유입된 파일의 파일 확장자와 파일 헤더 정보에서 이미지 파일을 확인할 수도 있다. First, in the original image file extraction step (S10), the image
또한 이미지 파일 포맷 구조 분석 단계(S20)에서는 이미지 파일 추출부(110)에서 추출한 원본 이미지 파일을, 이미지 파일 포맷 분석부(120)에서 원본 이미지 파일이 각 이미지별 기준 포맷의 자료구조로 구성되어 있는지 분석한다. 여기서 상기 이미지 파일 변환부는 이미지 파일 포맷이 정상적인 구성으로 판단된 경우에 원본 이미지 파일의 해쉬값을 계산하고 동일한 해쉬값의 파일 정보가 변환 이미지 파일 관리부(140)에 저장되어 있는지 확인할 수 있다. 이미지 파일 변환 단계(S30)는 도3에 도시된 바와 같이 원본 이미지 파일을 각 정보 영역별로 변환하고, 변환 이미지 파일은 변환 이미지 파일 관리부(140)의 저장소에 저장한다. 이미지 파일 저장 및 주기적 갱신 단계(S240)는 저장된 이미지 파일의 생성 시간을 시점으로 일정 기간 동안 보관하고 그 기간이 지난 이미지 파일은 삭제하고 주기적으로 이 과정을 반복하여 갱신한다. 여기서 일정 기간은 임의로 설정 및 변경할 수 있다. In addition, in the image file format structure analysis step (S20), the original image file extracted by the image
보다 구체적으로, 원본 이미지 파일 추출 단계(S10)에서는 상기 이미지 파일 추출부(110)가 다양한 파일 유입 경로(10)를 통해 수집된 파일들 중에서 파일 확장자와 파일 헤더 정보에서 이미지 파일 포맷의 식별 시그니처(S11)를 확인하여, 원본 이미지 파일을 추출한다. 예를 들어, 이미지 파일 추출부(110)는 JPEG 포맷의 이미지 파일을 선별하기 위해서는 유입된 파일의 확장자가 'JPEG' 또는 'JPG'인 경우이거나, 파일 헤더의 식별 시그니처가 'FF D8 FF DB'또는 'FF D8 FF E0' 또는 'FF D8 FF E1'과 일치하면 추출할 수 있다. 또한 이미지 파일 추출부(110)는 다양한 이미지 파일의 확장자 및 이미지 파일 헤더의 식별 시그니처가 저정된 메모리(미도시)로부터 이를 제공받거나, 이미지 파일 추출부(110)내에 저장된 정보를 통해 이를 알 수 있다. More specifically, in the original image file extraction step (S10), the image
또한, 이미지 파일 추출부(110)는 MS Office 문서 파일(doc, docx, ppt, pptx, xls, xlsx)이나 HWP 문서 파일(hwp, hwpx)인 경우 경우에도 각 문서 파일의 포맷 구조를 참조하여 문서에 포함된 이미지 객체만을 추출할 수 있다. 예를들어 문서 파일의 경우 제품 제작처에서 제공하는 공개된 문서 포맷 구조를 이용하여, 특정 폴더내로 문서 파일 내에 포함된 이미지 객체만을 추출할 수 있다. In addition, the image
이미지 파일 포맷 구조 분석 단계(S20)에서는 이미지 파일 포맷 분석부(120)가 상기 원본 이미지 파일 추출 단계(S10)에서 추출한 원본 이미지 파일의 포맷 구조가 정상적인 구조인지 여부를 확인한다. 이때 이미지 파일 포맷 분석부(120)는 다양한 이미지 종류에 따른 이미지 파일 포맷 구조 정보를 저장하고 있거나, 다양한 이미지 종류에 따른 이미지 파일 포맷 구조 정보가 저장된 메모리로부터 이미지 파일 포맷 구조 정보를 제공(S21) 받을 수 있다. 상기 이미지 파일 포맷 분석부(120)는 원본 이미지 파일 포맷의 파일 식별자, 이미지 부가 정보, 이미지 데이터 영역이, 기본 이미지 파일의 포맷 구조 정보와 동일하게 구성되어 있는지만 확인하고, 실제 데이터들이 유효한 범위값인지는 이미지 파일 변환부(130)에서 확인한다. 예를 들어, 이미지 파일 포맷 분석부(120)는 원본 이미지 파일의 포맷이 JPEG 포맷의 이미지 파일인 경우, 파일 식별자가 0xFFD8(SOI; Start of Image)로 시작하면서 이미지 부가 정보 영역이 0xFFE0~0xFFEF(Application Marker)으로 구분되고, 이미지 데이터 영역이 0xFFC0(SOF; Start of Frame)로 시작하여 이미지 포맷의 마지막이 0xFFD9(EOI; End of Image)일 경우, 정상적인 구조의 이미지 파일임을 판단할 수 있다.In the image file format structure analysis step (S20), the image file
또한 이미지 파일 포맷 분석부(120)는 원본 이미지 파일의 포맷 구조가 정상적인 구조의 이미지 파일이 아닐 경우, 원본 이미지 파일이 변환이 불가능한 포맷인 것으로 판단(S25)할 수 있다. 이와같이 원본 이미지 파일이 변환 가능한 포맷이 아니라면, 파일 유출 경로(20)로 변환이 실패된 이미지임을 알리기 위해 지정된 임의의 이미지 파일로 대체(S26)하여 제공할 수 있으며, 이미지 파일 변환 과정을 생략하고 파일 유출 경로(20)로 지정된 임의의 이미지 파일을 제공(S50)할 수 있다. In addition, when the format structure of the original image file is not an image file having a normal structure, the image file
또한, 이미지 파일 포맷 분석부(120)는 원본 이미지 파일의 포맷 구조가 정상적인 구조의 이미지 파일일 경우, 변환이 가능한 포맷인 것으로 판단(S25)할 수 있다. 또한 이미지 파일 포맷 분석부(120)에서 원본 이미지 파일의 포맷 구조가 정상적인 구조로 판단될 경우, 이미지 파일 변환부(130)는 원본 이미지 파일을 전달 받아 변환 이미지 파일로 변환할 수 있다.In addition, when the format structure of the original image file is an image file having a normal structure, the image file
우선, 이미지 파일 변환부(130)는 원본 이미지 파일을 전달 받으면, 원본 이미지 파일에 대한 해쉬값을 계산할 수 있다. 상기 이미지 파일 변환부(130)는 SHA256, MD5 등의 해쉬 알고리즘을 사용하여 원본 이미지 파일의 해쉬값을 계산할 수 있으나, 본 발명에서 해쉬 알고리즘을 한정하는 것은 아니다. 또한 이미지 파일 변환부(130)는 변환 이미지 파일 관리부(140)의 저장소에 동일한 해쉬값을 갖는 파일이 저장되어 있는지 여부를 확인(S28)할 수 있다. 이때 변환 이미지 파일 관리부(140)는 저장소에 동일한 해쉬값을 갖는 파일이 저장되어 있을 경우, 이를 추출해서 해쉬값에 해당하는 변환 이미지 파일을 이미지 파일 변환부(130)로 전달할 수 있다. 또한 변환 이미지 파일 관리부(140)는 저장된 해쉬값에 해당하는 변환 이미지 파일을, 주기적 갱신(S40)할 수 있다. First, when the image
또한 이미지 파일 변환부(130)는 변환 이미지 파일 관리부(140)의 저장소에 동일한 해쉬값을 갖는 파일이 없을 경우, 원본 이미지 파일에 대한 이미지 변환을 실행(S30)할 수 있다. Also, when there is no file having the same hash value in the storage of the converted image
그리고 이미지 파일 변환 단계(S30)에서 이미지 파일 변환부(130)는 원본 이미지 파일의 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역을 변환 이미지 파일에 대응되도록 영역별로 각각 변환할 수 있다. 또한 이미지 파일 변환 단계(S30)에서 변환 이미지 파일은 변환 이미지 파일 관리부(140)의 저장소에 원본 이미지의 해쉬값과 함께 저장(S40)될 수 있다. 또한 변환 이미지 파일 관리부(140)에 저장된 원본 이미지 파일의 해쉬값은 이후에 동일한 해쉬값을 갖는 변환 이미지 파일을 확인(S28)하는데 사용될 수 있다. In addition, in the image file conversion step S30, the image
이와같은 이미지 파일 변환 단계(S30)에서는 원본 이미지 파일에 악성 코드 또는 기밀 정보를 은닉하여 삽입된 경우에도, 각 영역 별로 변환하므로 악성 코드 또는 기밀 정보를 이미지 파일 내에서 제거 할 수 있다. 이와 같은 이미지 파일 변환 단계(S30)는 도 4에서 자세히 설명하고자 한다. In the image file conversion step (S30), even if malicious code or confidential information is hidden and inserted into the original image file, the malicious code or confidential information can be removed from the image file because the conversion is performed for each area. This image file conversion step (S30) will be described in detail with reference to FIG. 4.
또한 이미지 파일 변환부(130)는 이미지 파일 변환 단계(S30)에서 변환 이미지 파일이나, 변환 이미지 파일 관리부(140)에서 추출된 동일한 해쉬값을 갖는 변환 이미지 파일 결과(S50)를 원본 이미지 파일을 대신하여 파일 유출 경로(20)를 통해 제공할 수 있다. 즉, 파일 유출 경로(20)에서는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치(100)을 통해 악성 코드 또는 기밀 정보를 은닉하여 삽입된 원본 이미지 파일을 대신하여, 악성 코드 또는 기밀 정보가 제거된 이미지 파일인 변환 이미지 파일을 제공 받을 수 있다. In addition, the image
또한, 이미지 파일 변환 단계(S30)에서는 도 2에 도시된 바와 같이 불량 이미지 파일 포맷 구조(b, c, d, e)와 같이 의도적으로 이미지에 악성코드를 삽입하거나 스테가노그래피 기법으로 이미지에 악성코드 또는 기밀 정보를 은닉하는 경우에도 각 이미지 정보 영역별 변환 과정을 통해 그 특성이 없어지게 할 수 있다. In addition, in the image file conversion step (S30), as shown in FIG. 2, malicious code is intentionally inserted into the image, or malicious code is intentionally inserted into the image as shown in FIG. Even when code or confidential information is concealed, its characteristics can be eliminated through a conversion process for each image information area.
도 4를 참조하면, 도 3에 도시된 이미지 파일의 악성코드와 은닉 정보 무력화 장치의 구동 방법에서 이미지 파일 변환 단계에서 원본 이미지 파일을 변환 이미지 파일로 변환하는 방법을 도시한 순서도가 도시되어 있다. Referring to FIG. 4, a flowchart illustrating a method of converting an original image file into a converted image file in an image file conversion step in the method of driving the apparatus for disabling malicious code and hidden information of the image file shown in FIG. 3 is shown.
도 4에 도시된 원본 이미지 파일을 변환 이미지 파일로 변환하는 방법(S30)은 애니메이션 포맷 확인 단계(S31), 애니메이션 이미지 분리 단계(S32), 이미지 헤더 및 부가 정보 영역 변화 단계(S33), 이미지 데이터 영역 변환 단계(S34), 변환 확인 단계(S35) 및 변환 이미지 후처리 단계(S36)를 포함할 수 있다. 이하에서는 도 1 내지 도 4를 참조하여, 원본 이미지 파일을 변환 이미지 파일로 변환하는 방법(S30)을 자세히 설명 하고자 한다. The method (S30) of converting the original image file shown in FIG. 4 into a converted image file includes an animation format confirmation step (S31), an animation image separation step (S32), an image header and additional information area change step (S33), and image data. A region conversion step (S34), a conversion confirmation step (S35), and a converted image post-processing step (S36) may be included. Hereinafter, a method S30 of converting an original image file into a converted image file will be described in detail with reference to FIGS. 1 to 4.
우선 애니메이션 포맷 확인 단계(S31)에서는 도 2의 이미지 파일 포맷 구조 분석 단계(S20)에서 이미지 파일 포맷 분석부(120)가 원본 이미지 파일의 포맷이 애니메이션을 지원하는 이미지 포맷(GIF, APNG, WebP 등)인지 확인할 수 있다. First, in the animation format confirmation step (S31), in the image file format structure analysis step (S20) of FIG. 2, the image file
또한 이미지 파일 변환부(130)는 이미지 파일 포맷 분석부(120)로부터 애니메이션 이미지 포맷의 원본 이미지를 제공 받을 경우, 애니메이션 이미지를 애니메이션 개수만큼의 동일 포맷의 이미지 파일로 분리(S32)할 수 있다. In addition, when the image
예를 들어, 이미지 파일 변환부(130)는 원본 이미지 파일이 애니메이션을 지원하는 GIF 포맷(GIF89a)의 이미지 파일일 경우, 이미지 파일 식별 시그니처가 GIF89a(0x4749 0x4638 0x3961)로 시작하고, Graphic Control Extension 항목(0x21F9) 이후의 Block Size를 확인하여, 애니메이션 포맷을 각 이미지 파일 개수만큼 분리할 수 있다. 이하에서, 애니메이션 포맷의 원본 이미지를 분리한 다수의 이미지 파일을 분리 이미지 파일로 지칭하고자 한다.For example, when the original image file is a GIF format (GIF89a) supporting animation, the image
상기 이미지 파일 변환부(130)는 다수의 분리 이미지 파일을 이미지 헤더 영역과, 부가 정보 영역에 대해 각각 변환 이미지 파일로 변환(S33)한다. 또한 이미지 파일 변환부(130)는 이미지 파일 포맷 분석부(120)에서 전달된 원본 이미지 파일이 애니메이션 포맷이 아닐 경우, 원본 이미지 파일을 이미지 헤더 영역과, 부가 정보 영역에 대해 각각 변환 이미지 파일로 변환(S33)할 수 있다. The image
이미지 헤더 및 부가 정보 변환 단계(S33)는 도 5에서 도시한 바와 같이 원본 이미지 파일과 분리 이미지 파일을 이미지 헤더 영역과 이미지 부가 정보 영역에 대해 각각 변환 이미지 파일로 변환한다. 여기서, 이미지 파일 변환부(130)는 다양한 이미지 파일의 확장자 및 이미지 파일 헤더의 식별 시그니처가 저정된 메모리(미도시)로부터 제공된 원본 및 분리 이미지 파일 포맷의 식별 시그니처를 변환할 이미지 포맷의 식별 시그니처로 바꿈으로써 이미지 헤더 정보를 변환할 수 있다. 또한, 이미지 파일 변환부(130)는 이미지 부가 정보 영역에 대해서는 악성코드 스크립트에서 자주 사용되는 특정 스트링을 필터링(html, head, script 등)하여 변환할 수 있다. 또한, 이미지 부가 정보 영역의 변환은 특정 스트링 필터링 변환(TF2) 방법을 적용할 수 있으며 예를 들어, JavaScript, PHP, HTML 등과 관련된 키워드(html, head, script, type 등)는 0x00으로 그 값을 바꾸어 복사하고 원래 크기에는 영향을 주지 않도록 할 수 있으나, 본 발명에서 이를 한정하는 것은 아니다. In the image header and additional information conversion step (S33), as shown in FIG. 5, the original image file and the separate image file are converted into converted image files for the image header area and the image additional information area, respectively. Here, the image
상기 이미지 파일 변환부(130)는 원본 및 분리 이미지 파일의 이미지 헤더 정보 영역과, 이미지 부가 정보 영역을 변환한 후, 이미지 데이터 영역을 변환 이미지 파일로 변환(S34)할 수 있다. The image
이미지 데이터 영역 변환 단계(S34)에서 이미지 파일 변환부(130)는 도 5에 도시한 바와 같이 이미지 데이터 영역의 픽셀 데이터 값들을 비선형 전달 함수를 통해 변환할 수 있다. 여기서, 변환할 픽셀 데이터는 RGB(or YCbCr) 색상으로 원본 및 분리 이미지 데이터 영역의 각 픽셀 RGB 값들을 비선형 전달 함수를 통해 변환하여 변환 이미지 데이터 영역에 복사한다.In the image data region conversion step S34, the
추가적으로 도 6에서는 비선형 전달 함수를 통해 원본 또는 분리 이미지 파일의 한 픽셀의 RGB 값([RGB]in)이 같은 위치의 변환 픽셀 RGB 값([RGB]out)으로 변환되는 과정을 도시한 예가 도시되어 있다. 도 5에 도시된 바와 같이 원본 또는 분리 이미지 파일의 이미지 데이터 영역을 변환하기 위한 비선형 전달 함수는 다음 수학식1과 같이 정의하여 사용한다.Additionally, FIG. 6 shows an example showing a process in which the RGB value ([RGB]in) of one pixel of the original or separated image file is converted to the converted pixel RGB value ([RGB]out) at the same location through a nonlinear transfer function. have. As shown in FIG. 5, a nonlinear transfer function for converting an image data area of an original or separate image file is defined and used as shown in Equation 1 below.
여기서, 
또한, 수학식1로 정의된 비선형 전달 함수에서 
예를 들어, 도 6에서 도시한 바와 같이 원본 및 분리 이미지 파일의 한 픽셀 [RGB]in의 값이 (205, 107, 66)일 때 상기 수학식1의 비선형 전달 함수를 통해 변환된 픽셀 [RGB]out의 값은 (212, 110, 68)으로 계산된다. 여기서, 원본 및 분리 이미지 파일의 픽셀 값에 해당하는 색상과 변환 이미지의 픽셀값에 해당하는 색상을 육안으로 비교해 보면 거의 구분할 수 없을 정도에서 변환되었음을 알 수 있다.For example, as shown in FIG. 6, when the value of one pixel [RGB]in in the original and separated image files is (205, 107, 66), the pixel converted through the nonlinear transfer function of Equation 1 [RGB The value of ]out is calculated as (212, 110, 68). Here, when the color corresponding to the pixel value of the original and separated image files and the color corresponding to the pixel value of the converted image are compared with the naked eye, it can be seen that the converted image is almost indistinguishable.
상기 이미지 파일 변환부(130)는 원본 이미지 파일을 이미지 헤더 정보 영역과, 이미지 부가 정보 영역을 변환한 후, 이미지 데이터 영역을 변환하였다면, 변환을 종료할 수 있다. The image
한편, 이미지 파일 변환부(130)에서는 애니메이션 이미지 포맷인 경우에 모든 분리 이미지 파일의 변환이 끝났는지 확인(S35)하고, 아직 변환할 분리 이미지 파일이 남아 있다면 다음 분리 이미지 파일을 대상으로 이미지 헤더 및 부가 정보 변환 단계(S33)와 이미지 데이터 영역 변환 단계(S34)를 이미지별로 순차적으로 반복할 수 있다. Meanwhile, in the case of the animation image format, the image
또한 이미지 파일 변환부(130)는 애니메이션 이미지 포맷의 모든 분리 이미지 파일의 변환이 끝난 경우에는 애니메이션 이미지 포맷에 해당하는 분리 이미지 파일들의 변환 이미지 파일들을 원본 이미지 포맷과 동일한 하나의 이미지 포맷으로 재조립하여 완료(S36)할 수 있다.In addition, when the conversion of all the separated image files of the animation image format is finished, the image
도 7 및 도 8을 참조하면, 본 발명의 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법을 통해 수행된 이미지 파일에 삽입된 악성코드나 은닉 정보가 무력화되는 모의실험 결과이다. 이하에서는, 도 7과 도 8을 참조하여 본 발명에 따른 악성코드 이미지 파일 또는 은닉 정보 이미지 파일을 무력화하는 모의실험한 과정과 그 결과를 상세히 설명하고자 한다. 7 and 8, a device for disabling malicious code and concealed information included in an image file of the present invention and a simulation experiment in which malicious code or concealed information inserted in an image file performed through the driving method thereof is disabled. It is the result. Hereinafter, a simulated process of incapacitating a malicious code image file or a hidden information image file according to the present invention and a result thereof will be described in detail with reference to FIGS. 7 and 8.
도 7은 GIF 포맷의 이미지 파일에 악성코드가 삽입되어 있는 경우에 대해서 본 발명의 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법을 이용한 이미지 변환 과정을 통해 JPEG 포맷의 이미지 파일로 변환하여 악성코드가 무력화되는지 모의실험 한 결과이다. 여기서, 도 7은 GIF 포맷의 악성코드를 포함하는 원본 이미지 파일을 VT 서비스에서 확인한 결과로 악성코드가 삽입되어 있음을 알 수 있고, 본 발명의 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법을 통해 변환된 변환 이미지 파일을 다시 확인한 결과를 통해 악성코드의 특성이 없어져 무력화되었다고 판단할 수 있다.7 shows a JPEG format through an image conversion process using a device for disabling malicious code and hidden information included in an image file of the present invention and a driving method thereof in case a malicious code is inserted in a GIF format image file. This is the result of a simulation of whether the malicious code is neutralized by converting it to an image file. Here, FIG. 7 shows that the malicious code is inserted as a result of checking the original image file including the malicious code in the GIF format in the VT service, and neutralizing the malicious code and hidden information included in the image file of the present invention. Through a result of reconfirming the converted image file converted by the device for and the driving method thereof, it can be determined that the characteristic of the malicious code has disappeared and has been neutralized.
또한, 도 8은 도 2에 도시된 제2불량 이미지 파일 포맷 구조(c)와 제3불량 이미지 파일 포맷 구조(d)와 같이 스테가노그래피 도구를 이용하여 악성코드 파일을 정상 이미지 구조인 JPG 포맷에 은닉시킨 BMP 포맷의 악성코드 이미지 파일에 대해서 본 발명에 따른 이미지 변환 과정을 통해 JPG 포맷의 이미지 파일로 변환하여 악성코드가 무력화되는지 모의실험 한 결과이다. 여기서, 원본 이미지 파일은 스테가노그래피 OpenStego 도구를 이용하여 숨길 메시지 파일로 PE 포맷의 악성코드 파일을 선택하고, 커버 파일로 JPG 포맷의 정상 이미지 파일을 선택하여 그 결과로 상기 악성코드가 은닉된 BMP 포맷의 악성코드 이미지 파일을 생성하였다. 또한, BMP 포맷의 악성코드 이미지 파일을 VT 서비스에서 확인한 결과에서 악성코드가 탐지되지 않았다고 분석되었지만, 상기 OpenStego 도구를 이용하면 정상적으로 PE 포맷의 악성코드를 다시 복원시킬 수 있다. 한편, 본 발명의 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법을 통해 변환한 변환 이미지 파일을 다시 확인한 결과를 통해 상기의 OpenStego 도구를 이용하더라도 악성 코드가 복원되지 않고 실패 메시지가 출력되어서 무력화되었다고 판단할 수 있다.In addition, FIG. 8 is a JPG format that is a normal image structure by using a steganography tool as shown in the second defective image file format structure (c) and the third defective image file format structure (d) shown in FIG. This is the result of a simulation of whether the malicious code is neutralized by converting the image file of the BMP format hidden in the image file into a JPG format image file through the image conversion process according to the present invention. Here, the original image file is a message file to be hidden using the Steganography OpenStego tool, and a malicious code file in PE format is selected, and a normal image file in JPG format is selected as the cover file, and as a result, the malicious code is hidden BMP. A format malware image file was created. In addition, it was analyzed that malicious code was not detected from the result of checking the malicious code image file in the BMP format by the VT service. However, by using the OpenStego tool, the malicious code in the PE format can be restored normally. On the other hand, the device for neutralizing the malicious code and hidden information included in the image file of the present invention and the converted image file converted by the driving method thereof are re-checked. Even if the OpenStego tool is used, the malicious code is not restored. It can be determined that it has been disabled because a failure message is displayed.
이상에서 설명한 것은 본 발명에 의한 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치 및 그의 구동 방법를 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.What has been described above is only one embodiment for implementing a device for neutralizing malicious code and hidden information included in an image file according to the present invention and a driving method thereof, and the present invention is not limited to the above embodiment, As claimed in the claims below, anyone of ordinary skill in the field to which the present invention pertains will have the technical spirit of the present invention to the extent that various changes can be implemented without departing from the gist of the present invention.
100:이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치
110: 이미지 파일 추출부
120: 이미지 파일 포맷 분석부
130: 이미지 파일 변환부
140: 변환 이미지 파일 관리부100: Device for neutralizing malicious code and hidden information contained in image files
110: image file extraction unit 120: image file format analysis unit
130: image file conversion unit 140: converted image file management unit
Claims (20)
상기 이미지 파일 포맷 분석부와 전기적으로 연결되어, 상기 이미지 파일 포맷 분석부에서 정상적인 구조의 원본 이미지 파일을 전달 받아 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역 각각을 순차적으로 변환하여 변환 이미지 파일을 생성하는 이미지 파일 변환부를 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.An image file format analysis unit that checks whether the format structure of the original image file introduced through the file inflow path is a normal structure consisting of image header information, image additional information, and image data area; And
Electrically connected to the image file format analysis unit, the image file format analysis unit receives the original image file of a normal structure and sequentially converts image header information, image additional information, and image data areas to generate a converted image file. An apparatus for disabling malicious code and hidden information included in an image file, comprising: an image file converter to perform an image file conversion.
상기 파일 유입 경로를 통해 유입된 파일이 문서 파일일 경우, 상기 문서 파일에 포함된 이미지 파일을 추출하여 상기 이미지 파일 포맷 분석부로 제공하는 이미지 파일 추출부를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.The method of claim 1,
When the file introduced through the file inflow path is a document file, the image file extracting unit further comprises an image file extracting unit for extracting the image file included in the document file and providing it to the image file format analysis unit. A device to neutralize malicious code and hidden information.
상기 이미지 파일 변환부와 전기적으로 연결되어, 상기 이미지 파일 변환부에서 변환된 상기 변환 이미지 파일과, 상기 변환 이미지 파일의 원본 이미지인 원본 이미지 파일의 해쉬값을 함께 저장하는 저장소를 포함한 변환 이미지 파일 관리부를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치. The method of claim 1,
A converted image file management unit including a storage that is electrically connected to the image file conversion unit and stores the converted image file converted by the image file conversion unit and a hash value of the original image file that is the original image of the converted image file. Device for incapacitating malicious code and hidden information included in the image file, characterized in that it further comprises.
상기 이미지 파일 변환부는 상기 이미지 파일 포맷 분석부로부터 전달받은 원본 이미지 파일의 해쉬값을 계산하고, 상기 변환 이미지 파일 관리부에서 상기 원본 이미지 파일의 해쉬값 정보와 동일한 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일이 저장되어 있는지 확인 및 제공받는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.The method of claim 3,
The image file conversion unit calculates the hash value of the original image file received from the image file format analysis unit, and the converted image file management unit calculates the hash value of the image file identical to the hash value information of the original image file and the corresponding conversion A device for disabling malicious code and hidden information included in an image file, characterized in that checking and receiving whether an image file is stored.
상기 변환 이미지 파일 관리부는 저장된 원본 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일을 생성 시간을 시점으로 일정 시간동안만 보관 후, 삭제하여 주기적으로 갱신하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.The method of claim 3,
The converted image file management unit stores the hash value of the stored original image file and the converted image file corresponding to the hash value of the stored original image file for a certain period of time as a time point of creation, and then deletes and periodically updates the malicious code included in the image file. And a device for disabling hidden information.
상기 이미지 파일 변환부는
상기 이미지 헤더 정보를 상기 원본 이미지 파일에 해당하는 식별 시그니처를 변환될 이미지 포맷의 식별 시그니처로 바꿈으로써 변환하고,
상기 이미지 부가 정보를 악성코드 스크립트에서 자주 사용되는 특정 스트링을 필터링(html, head, script 등)하여 변환하고,
상기 이미지 데이터 영역을 비선형 전달 함수를 이용하여 변환 하여, 변환 이미지 파일로 변환하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.
The method of claim 1,
The image file conversion unit
Converting the image header information by changing the identification signature corresponding to the original image file into an identification signature of the image format to be converted,
The image additional information is converted by filtering (html, head, script, etc.) specific strings frequently used in malicious code scripts,
A device for neutralizing malicious code and hidden information included in an image file, comprising converting the image data region into a converted image file by converting the image data region using a nonlinear transfer function.
상기 이미지 영역을 변환하기 위한 비선형 전달 함수는
이며,
The nonlinear transfer function for transforming the image region is
Is,
상기 이미지 파일 변환부는 상기 이미지 영역을 변환하기 위한 비선형 전달 함수에서
The image file conversion unit in a nonlinear transfer function for converting the image area
상기 이미지 파일 포맷 분석부는 상기 원본 이미지 파일이 애니메이션 이미지 포맷인지 여부를 더 확인하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.The method of claim 1,
The image file format analysis unit further checks whether the original image file is an animation image format or not. The apparatus for neutralizing malicious code and hidden information included in an image file.
상기 이미지 파일 변환부는 상기 파일 포맷 분석부로부터 애니메이션 이미지 포맷을 전달 받으면, 애니메이션 이미지 파일을 애니메이션 개수만큼 동일 포맷의 분리 이미지 파일로 분리한 후, 복수의 분리 이미지 파일 각각을 변환하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치.The method of claim 8,
The image file conversion unit, when receiving the animation image format from the file format analysis unit, divides the animation image file into separate image files of the same format as many as the number of animations, and then converts each of the plurality of separated image files. A device to neutralize malicious code and hidden information contained in files.
상기 이미지 파일 포맷 분석부로부터 정상적인 구조의 원본 이미지 파일을 이미지 파일 변환부에서 전달 받아, 이미지 헤더 정보, 이미지 부가 정보 및 이미지 데이터 영역 각각을 순차적으로 변환하여 변환 이미지 파일을 생성하는 이미지 파일 변환 단계를 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동 방법.An image file format structure analysis step of checking whether the format structure of the original image file introduced through the file inflow path is a normal structure consisting of image header information, image additional information, and image data area; And
An image file conversion step of generating a converted image file by sequentially converting each of the image header information, image additional information, and image data areas by receiving the original image file of a normal structure from the image file format analysis unit from the image file conversion unit. A method of driving an apparatus for disabling malicious code and hidden information included in an image file, comprising: a.
상기 이미지 파일 포맷 구조 분선 단계 이전에,
상기 파일 유입 경로를 통해 유입된 파일이 문서 파일일 경우, 이미지 파일 추출부가 상기 문서 파일에 포함된 이미지 파일을 추출하여 상기 이미지 파일 포맷 분석부로 제공하는 원본 이미지 파일 추출 단계를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동 방법.The method of claim 11,
Before the image file format structure segmentation step,
When the file introduced through the file inflow path is a document file, the image file extraction unit extracting an image file included in the document file and providing the image file format analysis unit to the image file format analysis unit further comprising: A method of operating a device to neutralize malicious code and hidden information contained in an image file to be used.
상기 이미지 파일 변환 단계 이전에,
상기 이미지 파일 변환부에서 상기 이미지 파일 포맷 분석부로부터 전달받은 원본 이미지 파일의 해쉬값을 계산하는 단계와,
상기 변환 이미지 파일 관리부의 저장소에 상기 원본 이미지 파일의 해쉬값 정보와 동일한 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일이 저장되어 있는지 확인하는 단계를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동방법.The method of claim 11,
Before the image file conversion step,
Calculating a hash value of the original image file received from the image file format analysis unit by the image file conversion unit,
And checking whether the hash value of the image file identical to the hash value information of the original image file and the converted image file corresponding thereto are stored in the storage of the converted image file management unit. A method of driving a device to neutralize malicious code and hidden information.
상기 이미지 파일 변환 단계 이후에,
상기 이미지 파일 변환부에서 변환된 상기 변환 이미지 파일과, 상기 변환 이미지 파일의 원본 이미지인 원본 이미지 파일의 해쉬값을 함께 저장하는 상기 변환 이미지 파일 관리부에서 저장된 원본 이미지 파일의 해쉬값과 그에 해당하는 변환 이미지 파일을 생성 시간을 시점으로 일정 시간동안만 보관 후, 삭제하여 주기적으로 갱신하는 이미지 파일 저장 및 주기적 갱신 단계를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동 방법.The method of claim 11,
After the image file conversion step,
The converted image file converted by the image file conversion unit and the hash value of the original image file stored in the converted image file management unit that stores the hash value of the original image file, which is the original image of the converted image file, and the corresponding conversion To neutralize malicious code and hidden information included in the image file, characterized in that it further comprises storing and periodically updating the image file by storing the image file for a certain period of time as the time point of creation, then deleting and updating periodically. How to drive the device.
상기 이미지 파일 포맷 구조 분석 단계에서는
상기 이미지 파일 포맷 분석부에서 원본 이미지 파일의 포맷 구조가 정상적인 구조가 아닌 것으로 판단할 경우, 상기 이미지 파일 포맷 분석부는 지정된 임의의 파일을 파일 유출 경로를 통해 제공하여 변환이 실패된 이미지임을 알리는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동 방법.The method of claim 11,
In the image file format structure analysis step
When the image file format analysis unit determines that the format structure of the original image file is not a normal structure, the image file format analysis unit provides a designated arbitrary file through the file outflow path to inform the image that the conversion has failed. A device driving method for neutralizing malicious code and hidden information included in an image file to be used.
상기 이미지 파일 변환 단계는
상기 이미지 파일 변환부에서 상기 이미지 헤더 정보를 상기 원본 이미지 파일에 해당하는 식별 시그니처를 변환될 이미지 포맷의 식별 시그니처로 바꿈으로써 변환하는 헤더 정보 변환 단계;
상기 이미지 부가 정보를 악성코드 스크립트에서 자주 사용되는 특정 스트링을 필터링(html, head, script 등)하여 변환하는 부가 정보 변환 단계; 및
상기 이미지 데이터 영역을 비선형 전달 함수를 이용하여 변환 하여, 변환 이미지 파일로 변환하는 데이터 변환 단계를 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동 방법.The method of claim 11,
The image file conversion step
A header information conversion step of converting the image header information by converting the image header information into an identification signature of an image format to be converted from an identification signature corresponding to the original image file;
An additional information conversion step of converting the image additional information by filtering (html, head, script, etc.) a specific string frequently used in a malicious code script; And
And converting the image data region into a converted image file by converting the image data region using a nonlinear transfer function. 14. A method of driving an apparatus for neutralizing malicious code and hidden information included in an image file.
상기 이미지 파일 변환 단계에서,
상기 헤더 정보 변환 단계 이전에
상기 이미지 파일 포맷 분석부에서 원본 이미지 파일이 애니메이션 이미지 포맷인지 확인 단계; 및
상기 이미지 파일 변환부에서 상기 파일 포맷 분석부로부터 애니메이션 이미지 포맷을 전달 받으면, 애니메이션 이미지 파일을 애니메이션 개수만큼 동일 포맷의 분리 이미지 파일로 분리하는 단계를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동방법.The method of claim 16,
In the image file conversion step,
Before the header information conversion step
Checking whether the original image file is an animation image format in the image file format analysis unit; And
When the image file conversion unit receives the animation image format from the file format analysis unit, the method further comprises dividing the animation image file into separate image files of the same format as the number of animations. A method of driving a device to disable code and hidden information.
상기 이미지 파일 변환 단계에서,
상기 데이터 변환 단계 이후에는
상기 이미지 파일 변환부에서 원본 이미지 파일이 애니메이션 이미지 포맷인 경우에 모든 분리 이미지 파일의 변환이 끝났는지 확인하는 단계; 및
상기 이미지 파일 변환부에서 모든 분리 이미지 파일 변환이 완료된 경우 애니메이션 이미지 포맷에 해당하는 분리 이미지 파일들의 변환 이미지 파일들을 원본 이미지 포맷과 동일한 하나의 이미지 포맷으로 재조립하는 단계를 더 포함하는 것을 특징으로 하는 이미지 파일에 포함된 악성코드와 은닉 정보를 무력화하기 위한 장치의 구동방법.The method of claim 17,
In the image file conversion step,
After the data conversion step
Checking whether conversion of all separated image files has been completed when the original image file is an animation image format by the image file conversion unit; And
When the conversion of all the separated image files is completed by the image file conversion unit, the step of reassembling converted image files of the separated image files corresponding to the animation image format into one image format identical to the original image format. A method of operating a device to neutralize malicious code and hidden information contained in image files.
상기 이미지 영역을 변환하기 위한 비선형 전달 함수는
이며,
The nonlinear transfer function for transforming the image region is
Is,
상기 이미지 영역을 변환하기 위한 비선형 전달 함수에서
In the nonlinear transfer function to transform the image area
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190027003A KR102188396B1 (en) | 2019-03-08 | 2019-03-08 | Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190027003A KR102188396B1 (en) | 2019-03-08 | 2019-03-08 | Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200107612A true KR20200107612A (en) | 2020-09-16 |
| KR102188396B1 KR102188396B1 (en) | 2020-12-08 |
Family
ID=72670143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190027003A KR102188396B1 (en) | 2019-03-08 | 2019-03-08 | Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102188396B1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102262688B1 (en) * | 2020-10-29 | 2021-06-09 | (주)지란지교시큐리티 | Recording medium |
| KR102574832B1 (en) * | 2022-11-01 | 2023-09-06 | (주)지란지교시큐리티 | A Method of Anti-steganography for Image File |
| WO2023229062A1 (en) * | 2022-05-25 | 2023-11-30 | 시큐레터 주식회사 | Method and device for disarming ole object in ms-ooxml |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100722711B1 (en) * | 1999-04-15 | 2007-06-04 | 소니 가부시끼 가이샤 | Imaging device and signal processing method |
| KR100889026B1 (en) * | 2008-07-22 | 2009-03-17 | 김정태 | Searching system using image |
| KR101670456B1 (en) * | 2015-03-20 | 2016-10-28 | 소프트캠프(주) | document security system and security method |
| KR101865785B1 (en) | 2015-03-20 | 2018-07-04 | 소프트캠프(주) | document security system and security method through verifying and converting document file |
-
2019
- 2019-03-08 KR KR1020190027003A patent/KR102188396B1/en active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100722711B1 (en) * | 1999-04-15 | 2007-06-04 | 소니 가부시끼 가이샤 | Imaging device and signal processing method |
| KR100889026B1 (en) * | 2008-07-22 | 2009-03-17 | 김정태 | Searching system using image |
| KR101670456B1 (en) * | 2015-03-20 | 2016-10-28 | 소프트캠프(주) | document security system and security method |
| KR101865785B1 (en) | 2015-03-20 | 2018-07-04 | 소프트캠프(주) | document security system and security method through verifying and converting document file |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102262688B1 (en) * | 2020-10-29 | 2021-06-09 | (주)지란지교시큐리티 | Recording medium |
| WO2023229062A1 (en) * | 2022-05-25 | 2023-11-30 | 시큐레터 주식회사 | Method and device for disarming ole object in ms-ooxml |
| KR102574832B1 (en) * | 2022-11-01 | 2023-09-06 | (주)지란지교시큐리티 | A Method of Anti-steganography for Image File |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102188396B1 (en) | 2020-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102188396B1 (en) | Apparatus for neutralizing malicious code and hidden information included in image file and driving method thereof | |
| US9104872B2 (en) | Memory whitelisting | |
| US9336389B1 (en) | Rapid malware inspection of mobile applications | |
| US20120183174A1 (en) | System, method, and computer program product for preventing image-related data loss | |
| KR101860546B1 (en) | Apparatus and method for disarm of contents included in file, recording medium thereof | |
| GB2443469A (en) | Detection of image spam | |
| US9246933B1 (en) | Systems and methods for detecting malicious email attachments | |
| CN111083307A (en) | File detection and cracking method based on steganography | |
| Dubin | Content disarm and reconstruction of RTF files a zero file trust methodology | |
| US20210165904A1 (en) | Data loss prevention | |
| Dubin | Content disarm and reconstruction of PDF files | |
| Verma et al. | Detecting stegomalware: malicious image steganography and its intrusion in windows | |
| CN111881446A (en) | Method and device for identifying malicious codes of industrial internet | |
| Gennissen et al. | Gamut: sifting through images to detect android malware | |
| Pevný et al. | Malicons: Detecting payload in favicons | |
| CN113553586B (en) | Virus detection method, model training method, device, equipment and storage medium | |
| Pelosi et al. | Positive identification of lsb image steganography using cover image comparisons | |
| US20220058261A1 (en) | System and method for identifying a cryptor that encodes files of a computer system | |
| CN106487771B (en) | Network behavior acquisition method and device | |
| Steinebach et al. | Privacy and robust hashes | |
| Pelosi et al. | Identification of LSB image steganography using cover image comparisons | |
| Chapman | {SAD}{THUG}: Structural Anomaly Detection for Transmissions of High-value Information Using Graphics | |
| Ibrahim | Steganalysis in computer forensics | |
| WO2020105308A1 (en) | Phishing site detection device, phishing site detection method and phishing site detection program | |
| Chee | Steganographic techniques on social media: Investigation guidelines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |