KR100789722B1 - 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 - Google Patents
웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 Download PDFInfo
- Publication number
- KR100789722B1 KR100789722B1 KR1020060093262A KR20060093262A KR100789722B1 KR 100789722 B1 KR100789722 B1 KR 100789722B1 KR 1020060093262 A KR1020060093262 A KR 1020060093262A KR 20060093262 A KR20060093262 A KR 20060093262A KR 100789722 B1 KR100789722 B1 KR 100789722B1
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- address
- site
- routing
- blocking
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 상의 웹사이트를 이용하여 전파되는 악성 프로그램 공격을 탐지 및 차단할 수 있는 시스템 및 대응방법에 관한 것으로, 악성코드 유포사이트를 검색하는 악성코드 유포사이트 탐지부,와 상기 악성코드 유포사이트 탐지부로부터 추출된 유포사이트 아이피 주소를 포함하는 차단메시지를 라우팅 설정서버에 전송하는 차단메시지 전송부,를 포함하여 구성되는 악성코드 유포사이트 탐지서버;를 구비하되, 가상 아이피 주소를 포함하는 복수 개의 라우터; 및 상기 차단메시지의 수신에 따라 상기 유포사이트로의 접속차단을 위해 상기 유포사이트 아이피 주소를 목적지주소 또는 출발지주소로 하는 패킷들의 라우팅 설정경로를 상기 가상 아이피 주소로 유인하도록 상기 유포사이트의 아이피 주소를 상기 라우터들에게 광고하는 라우팅 설정 서버;를 포함하여 구성되는 것을 특징으로 한다.
악성코드(Malicious code), 원격구동 블랙홀 라우팅, Null0 라우팅, IBGP(Interor/Border Gateway Protocol), 자동 대응(Automatic Response), 웹 기반 확산형 악성코드 대응(Response technology against web based malicious code spread)
Description
도 1은 본 발명의 실시예에 따른 악성코드 유포 및 중계사이트를 통한 사용자 단말의 피해사례를 보여주는 개념도.
도 2는 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템의 개요도.
도 3은 본 발명의 실시예에 따른 악성코드 유포사이트 탐지서버의 내부구성요소를 도시한 기능블록도.
도 4는 본 발명의 실시예에 따른 악성코드 차단메시지의 구성요소를 도시한 예시도.
도 5 내지 7은 웹페이지에 악성코드를 삽입하는 다양한 유형을 도시한 예시도.
도 8 내지 도 10은 공격트래픽의 발생에 따른 각종 보안기능의 CPU 자원사용 률 테스트 분석결과를 도시한 실험도.
도 11은 원격구동 블랙홀 라우팅 과정을 도시하는 개념도.
도 12는 본 발명의 실시예에 따라 원격구동 블랙홀 라우팅 기술이 각 라우터들에 적용된 모습을 도시한 개념도.
도 13은 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단방법을 나타내는 순서도.
도 14는 본 발명의 실시예에 따라 라우터들에 원격 블랙홀 라우팅 기술을 적용시키기 위한 과정을 나타낸 순서도.
도 15는 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템의 각 구성요소 간 동작관계 흐름을 도시한 순서도.
<도면의 주요부분에 대한 부호의 설명>
10 : 사용자 20 : 유포사이트
30 : 중계사이트 50: 공격도구
200 : 악성코드 유포사이트 탐지서버 220 : 악성코드 패턴 데이터베이스 240 : 차단메시지 전송부
250 : 악성코드 유포사이트 탐지부 260 : 도메인 데이터베이스
280 : 사후모니터링부 300 : 라우팅 설정서버
350 : 블랙홀 라우팅 서버 550 : 에지라우터
400 : 웹사이트 500 : 라우터
본 발명은 네트워크 상의 웹사이트를 이용하여 전파되는 악성 프로그램의 공격을 탐지 및 차단할 수 있는 시스템 및 적용방법에 관한 것으로, 특히 악성코드 유포 사이트를 자동으로 검색하여 아이피 주소를 탐지하며 이를 복수개의 라우터에 적용하여 차단함으로써 악성코드 유포를 방지할 수 있다.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성코드(Malicious Code)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
인터넷이 발달함에 따라 웹 사이트의 수는 폭발적으로 증가하고 있으며, 모든 웹 사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어렵게 되었다. 따라서, 최근에는 보안 상태가 취약한 웹 사이트를 해킹하여 악성 코드를 숨겨놓고, 상기 웹 사이트에 방문하거나 상기 웹 사이트와 링크된 사이트에 방문하는 방문자들이 악성 코드에 감염되도록 하는 신종 해킹 수법이 증가하고 있다. 특히 악성 코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터 시스템이나 보안에 치명적인 피해를 가할 수 있다.
하지만, 새로이 만들어지는 악성 코드는 기존에 만들어진 컴퓨터 백신으로 검사하거나 치유할 수 없는 경우가 대부분이다. 따라서, 사용자가 주의를 기울이지 않으면, 해당 웹 사이트 서버의 관리자 및 해당 사이트 방문자가 악성 코드 감염 여부를 느끼지 못한 상태에서, 네트워크를 통하여 악성 코드가 빠른 속도로 확산된다.
그러나, 현재까지는 악성 코드로 인하여 실질적으로 피해를 입은 웹 사이트 서버 관리자 또는 사용자들이 해킹 피해 사이트나 백신 제조 사이트에 이를 신고함으로써, 후속 조치들이 이루어지는 것이 일반적이었다. 즉, 악성 코드의 발견 및 대응이 전적으로 사용자 신고 위주로 되어있어 침해 사이트를 발견하고 악성 코드 유포를 방지하는 작업이 신속하게 이루어질 수 없었다.
따라서, 실질적으로 피해자가 피해 사실을 인지하기까지 이미 급속도로 악성 코드가 번져나간 상태인 경우가 대부분이므로, 최초 유포자를 찾아내 처벌하거나 악성 코드에 감염된 모든 컴퓨터 시스템 및 서버를 치유하고 복구하는 것은 현실적으로 불가능했다. 그러므로, 이러한 악성 코드 감염에 의한 피해 확산을 방지하기 위해서는 조기에 악성 코드 감염 여부를 탐지하고 및 자동으로 신속하게 차단할 수 있는 시스템 개발이 절실하다.
본 발명의 목적은 상기의 문제점을 해결하기 위한 것으로, 복수 개의 웹사이트의 HTML 웹페이지 소스 및 레퍼러정보를 이용하여 악성코드의 중계 또는 유포사이트를 자동으로 탐지하고 원격구동 블랙홀 라우팅 기술을 이용하여 상기 유포사이트로의 사용자 접속 또는 악성코드의 확산을 차단할 수 있는 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법을 제공하는 데 있다.
또한 본 발명의 다른 목적은, 원격구동 블랙홀 라우팅 기술을 이용하여 별도의 보안장비의 교체 및 기존시스템의 변동없이 소정의 라우팅 설정변경 즉 원격에서 내/외부 게이트웨이 프로토콜을 이용하여 블랙홀 라우터 및 에지라우터 간의 라우팅 정보만을 주고받음으로써 장비의 성능저하를 최소화하며, 막대한 장비교체 비용없이 효과적으로 악성코드를 차단할 수 있는 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법을 제공하는 데 있다.
마지막으로 본 발명의 다른 목적은, 상기의 문제점을 해결하기 위한 것으로, 복수의 웹 사이트들에 은닉되어 유포 및 중계되는 악성코드를 수집 및 차단하기 위해, 웹로봇으로써 자동으로 악성코드 유포사이트를 탐지하고 복수 개의 라우터에 자동으로 적용하여 상기 유포사이트로의 사용자 접속을 신속하게 차단함과 아울러 상기 유포사이트에 이를 통보하고, 상기 악성코드를 수집 및 분석하도록 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법을 제공하는 데 있다.
상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템은, 악성코드 유포사이트를 검색하는 악성코드 유포사이트 탐지부,와 상기 악성코드 유포사이트 탐지부로부터 추출된 유포사이트 아이피 주소를 포함하는 차단메시지를 라우팅 설정서버에 전송하는 차단메시지 전송부,를 포함하여 구성되는 악성코드 유포사이트 탐지서버;를 구비하되, 가상 아이피 주소를 포함하는 복수 개의 라우터; 및 상기 차단메시지의 수신에 따라 상기 유포사이트로의 접속차단을 위해 상기 유포사이트 아이피 주소를 목적지주소 또는 출발지주소로 하는 패킷들의 라우팅 설정경로를 상기 가상 아이피 주소로 유인하도록 상기 유포사이트의 아이피 주소를 상기 라우터들에게 광고하는 라우팅 설정 서버;를 포함하여 구성되는 것을 특징으로 한다.
또한 본 발명의 실시예에 따른 상기 악성코드 유포사이트 탐지부는, 감시할 웹사이트 도메인이 등록된 도메인 데이터베이스를 포함하며, 상기 웹사이트를 주기적 또는 비주기적으로 모니터링하여 상기 유포사이트로의 링크정보가 포함되었는지를 조사함으로써 악성코드 중계사이트를 탐지할 수 있는 것을 특징으로 한다.
또한 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단방법은, 악성코드 유포사이트가 탐지되는 제 1 단계; 탐지된 상기 악성코드 유포사이트의 아이피 주소가 담긴 차단메시지를 라우터에 적용하는 제 2 단계; 및 복수 개의 라우터가 미리 설정된 가상아이피 공간으로 상기 악성코드 유포사이트 아이피 주소로의 출입패킷들을 포워딩하는 제 3 단계;를 포함하는 것을 특징으로 한다.
또한 상기 제 1 단계는, 도메인 데이터베이스로부터 감시할 웹사이트 도메인 리스트를 전달받아 상기 웹사이트에 접속하거나 무작위로 임의의 사이트를 접속하는 제 1 부단계; 상기 웹사이트의 HTML 소스코드, XML 소스코드 및 스크립트 소스코드 중 적어도 어느 하나를 수집하고 악성코드 패턴 데이터베이스 내의 악성코드 패턴정보와 비교하여 악성코드 은닉사실을 탐지하는 제 2 부단계; 레퍼러정보를 분석하여 악성코드 유포사이트로의 링크여부를 조사하여 레퍼러 사이트에 접속함과 아울러 상기 제 2 부단계와 동일한 방법으로 상기 유포사이트를 탐지하는 제 3 부단계;를 포함하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
또한 상기 제 3 단계는, 임의의 라우터를 라우팅 설정서버로 지정하는 제 1 부단계; 상기 라우터들이 가상의 아이피 공간인 null0를 갖도록 하는 제 2 부 단계; 상기 라우팅 설정서버가 내부/외부 게이트웨이 프로토콜을 이용하여 상기악성코드 유포 사이트 아이피 주소로의 입출력 패킷을 null0로 향하도록 상기 라우터들에게 광고하는 제 3 부단계; 및 상기 라우터들이 상기 악성코드 유포사이트 아이피 주소를 출발지 주소 또는 목적지 주소로 하는 패킷들을 null0로 드롭시키는 제 4 부단계;를 포함하여 구성되는 것을 특징으로 한다.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여보다 분명해 질 것이다. 이하, 첨부된 도면을 참 조하여 본 발명의 실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명의 실시예에 따른 악성코드 유포 및 중계사이트를 통한 사용자 단말의 피해사례를 보여주는 개념도이고, 도 2는 웹 기술을 사용하여 전파되는 악성코드 차단시스템의 개요도이다.
한편 각 도면의 구성을 설명함에 있어 같은 기능을 가진 구성요소는 도면이 다르다 하더라도 같은 도면부호를 사용하기로 한다.
도 1 및 도 2를 참조하면, 공격자(50)는 사용자의 접근이 많은 특정 웹사이트를 해킹하거나 자체적으로 구축한 웹 사이트에 악성코드를 은닉하고, 사용자(10)의 접근이 많은 웹사이트를 중계사이트(30)로 활용하여 사용자가 중계사이트(30)에 접속시 상기 악성코드가 은닉된 유포사이트(20)로부터 사용자컴퓨터(10)로 악성코드를 다운로드하여 감염시킨다.
사용자(또는 사용자 컴퓨터라 함:10)가 유포사이트(20)를 직접 또는 중계사이트(30)를 거쳐 접속하면 악성코드 유포 사이트(20) 내의 악성코드가 실행되어 사용자컴퓨터(10)를 감염시키고 사용자 ID와 암호 등의 사용자의 개인정보등이 공격자(50)에게 유출된다. 상기와 같은 악성코드의 확산을 방지하기 위해 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템은 크게 악성코드 유포사이트 탐지서버(200), 라우팅 설정서버(300)로 구성된다.
악성코드 유포사이트 탐지서버(200)는 복수개의 웹사이트를 자동으로 탐지하는 웹로봇(Web Robot)을 포함함으로써 상기 웹사이트의 악성코드 은닉 여부를 조사한다. 이를 위해 악성코드 유포사이트 탐지서버(200)는 웹사이트의 메인페이지 및 링크페이지로부터 HTML, XML(Extensible Markup Lnguage) 스크립트 등의 소스를 수집함과 아울러 상기 HTML, XML 등의 소스를 악성코드 패턴 데이터베이스(도 3 참조) 내의 악성코드 패턴정보와 비교하여 상기 소스들에 악성코드 패턴이 존재하면 악성코드가 은닉되었다고 판단한다. 또한 상기 악성코드 유포사이트 탐지부(250)는 탐색된 웹사이트의 방문 경로정보(Referer)를 분석하여 임의적인 변경여부 및 다른 사이트의 링크정보가 조작되어 악성코드 유포사이트(20)로 링크되었는지 조사함으로써 유포사이트(20) 혹은 중계사이트(30)를 판별한다. 아울러 악성코드 유포사이트 탐지서버(200)는 이들 사이트(20, 30)의 운영자에게 사이트 해킹(Hacking)사실을 통보하고 악성코드 유포사이트(20)의 인터넷 프로토콜(Internet Protocol: 이하 아이피)주소 및 라우터 제어코드(Control code)등이 포함된 유포사이트 차단메시지(Prevention_message:이하 P_msg)를 라우팅 설정서버(300)에 전달한다.
라우팅 설정서버(300)는 상기 악성코드 유포사이트 탐지서버(200)로부터 상기 차단메시지(P_msg)를 전달받아 AS(Autonomous System)내의 라우터(500)들에 악성코드 유포사이트(20)의 아이피주소를 등록하여 상기 유포사이트(20)로의 사용자접속을 차단함과 동시에 상기 유포사이트(20)로부터 유입되는 악성코드가 포함된 트래픽을 차단하다. 이를 위해 라우팅 설정서버(300)는 원격구동 블랙홀 라우팅(Remote Triggered Blackhole Routing) 기술을 이용한다. 원격구동 블랙홀 라우팅 기술은 null0 라우팅 기술에 IBGP(Interor/Border Gateway Protocol)을 접목시킨 것으로, 특정한 목적지를 향하거나 또는 특정한 출발지로부터 전달되는 패킷들을 라우터의 가상의 아이피(null0)에 포워딩함으로써 악성코드를 유인하여 드 롭(Drop)시킴과 아울러 IBGP를 사용하여 다른 라우터(에지 라우터)에도 상기 악성코드의 출발지 아이피 또는 도착지 아이피로 가지는 특정 패킷들을 null0에 포워딩하여 드롭시킨다.
상기와 같은 원격구동 블랙홀 라우팅 기술을 이용하기 위하여 라우팅 설정서버(300)는 원격구동 블랙홀로 라우팅하기 위해 즉 특정 아이피를 포함하는 공격패킷들을 이미지정된 아이피(null0) 또는 아이피 블록으로 향하도록 에지라우터(Edge Router)들에게 광고할 수 있는 IBGP서버로써 임의의 라우터를 별도의 블랙홀 라우팅 서버로 지정하고 에지라우터들에는 미리 null0 영역을 확보하도록 설정한다. 이에 대한 상세한 설명은 도 11 및 도 12를 참조하여 상세히 후술하기로 한다.
이하로는 상기의 특징을 갖는 악성코드 유포사이트 탐지서버(200) 및 라우팅 설정서버(300)의 구체적인 구성과 이들 간의 동작관계에 대해 설명하기로 한다.
도 3은 본 발명의 실시예에 따른 악성코드 유포사이트 탐지서버(200)의 내부구성요소를 도시한 기능블록도 이다.
도 3을 참조하면, 본 발명의 실시예에 따른 악성코드 유포사이트 탐지서버(200)는 악성코드 유포사이트 탐지부(250), 차단메시지 전송부(240), 도메인 데이터베이스(260), 악성코드패턴 데이터베이스(220) 및 사후 모니터링부(280)를 포함하여 구성된다.
악성코드 유포사이트 탐지부(250)는 감시할 사이트 및 감시 사이트 우선순위 목록이 저장되어 있는 도메인 데이터베이스(260)로부터 도메인 정보를 획득하여 복수개의 웹사이트(400)를 자동으로 탐지하며 상기 웹사이트(400)내에 은닉된 악성코 드 유무를 조사하여 악성코드 유포사이트를 탐지한다. 즉 감시할 웹사이트의 메인페이지 또는 링크페이지로부터 HTML , XML, 자바스크립트 웹페이지 소스 등을 수집하여 악성코드패턴 데이터베이스(220) 내의 악성코드 패턴정보(mc_pattern_info)와 비교함으로써 웹사이트 내의 악성코드 삽입 여부를 검사한다. 이를 위해 악성코드 유포사이트 탐지부(250)는 중요 도메인 리스트를 참조하거나 무작위로 웹사이트들의 메인페이지로부터 HTML 웹페이지 소스를 수집하고 이를 파싱하여 구문분석을 통해 링크정보를 추출함으로써 링크정보와 관련된 HTML소스 등을 수집한다. 한편 악성코드 유포사이트 탐지부(250)는 악성코드 유포사이트(20)를 탐지함에 있어 상기 웹사이트(400)의 경로정보(Referer)또는 쿠키(Cookie)등을 분석하여 Referer의 임의적인 변경여부, 다른 사이트의 링크정보 조작 및 악성코드 유포사이트(20)로의 자동링크 여부를 조사함으로써 특정 웹사이트(400)가 악성코드 중계사이트(30)로 사용되었는지를 판별한다. 이후 악성코드 유포사이트(20)의 아이피주소가 포함된 네트워크 패킷들을 라우터단에서 차단하기 위해 차단메시지 전송부(240)는 상기 악성코드 유포사이트(20)의 아이피 주소(mc_site_ip) 및 상기 라우터 제어코드(Control code)등이 포함된 차단메시지(P_msg)를 생성하여 라우팅 설정서버(300)에 전송한다.
상기 차단메시지(P_msg)에는 도 4 에 도시된 바와 같이, 라우팅 설정 서버의 주소(맥 어드레스, 아이피 주소)등의 식별정보가 담긴 메시지 발행 아이디, 차단할 악성코드 유포사이트(20) 주소인 차단 대상 아이피주소, 아이피 주소의 출발지 혹은 도착지 여부정보, 수신할 라우터 주소인 수신 라우터 아이피주소, 제어대상 라 우터의 작동모드(Drop , Release)를 설정하기 위한 라우터 제어 코드정보 및 메시지 작성 날짜정보 등이 포함된다.
한편 상기 악성코드패턴 데이터베이스(220)에는 웹사이트(400) 내에 악성코드를 삽입하는 다양한 유형에 따라 다양한 악성코드 패턴 정보(mc_patten_info)가 저장된다. 특정 웹사이트를 해킹하여 악성코드를 은닉시키기 위한 대표적인 방법은 다음과 같다.
도 5 에 도시된 바와 같이 특정 웹사이트의 HTML 소스 내에 다른 사이트로 링크할 수 있는 태그인 IFRAME 태그명령을 HTML소스에 삽입하여 악성코드 유포사이트(20) 또는 중계사이트(30)로 이동시키는 방법, 도 6에 도시된 바와 같이 특정 중계사이트(30)에 존재하지 않는 페이지를 링크시키고 HTTP 404 오류페이지를 이용하여 악성코드 유포사이트(20)로 이동시키는 방법 및 도 7에 도시된 바와 같이악성코드가 포함된 스크립트(Script)를 HTML 문서 내에 삽입하는 방법 등이 있다. 상기한 방법 이외에도 오브젝트 태그, 스크립트 태그 코드 등을 HTML 문서에 삽입하는 다양한 악성코드 은닉유형이 존재하며, 이에 대응되는 악성코드 패턴정보가 악성코드패턴 데이터베이스에 저장될 수 있을 것이다.
본 발명에 따른 악성코드 유포사이트 탐지서버(200)는 상기 악성코드 유포사이트(20)를 라우터를 통해 차단함에 있어, 웹사이트 해킹사실과 이에 따른 사용자 접속차단조치를 상기 악성코드 유포사이트(20)및 중계사이트(30) 운영자에게 통보하여 사후조치가 이루어질 수 있도록 하며 사후모니터링부(280)를 통해 공격 웹사이트 리스트로 상기 웹사이트를 추가한다. 악성코드 유포사이트 탐지서버(250)는 소정시간 경과 후 상기 공격 웹사이트 리스트를 참조하여 유포사이트(20)의 악성코드 여부를 재탐색하며, 악성코드의 삭제 조치가 이루어졌다고 판단되면 다시 서비스를 개시할 수 있도록 접속차단을 해제한다.
이하로는 상기 악성코드 유포사이트 탐지서버(200)로부터 전송되는 악성코드 유포사이트(20)의 아이피 주소(mc_site_ip)를 목적지 아이피 또는 출발지 아이피로 하는 네트워크 패킷들을 효율적으로 차단할 수 있는 방법에 대해 설명하기로 한다.
아이피 기반의 네트워크 보안기술로써 대표적인 것은 ACL, nullo 라우팅, uRPF, Rate-limit 등이 있으며, 공격에 대한 추적을 위해서는 트래픽 흐름을 분석할 수 있는 Netflow기술 등이 있다.
이를 자세히 하면, 우선 ACL(Access Control List)기술은 가장 일반적인 유해 트래픽 차단 기술로써 아이피 주소, 서비스 포트 그리고 컨텐츠를 기반으로 한 차단이 가능하다. 하지만 이 방법은 접근통제를 위한 별도의 ASIC(Application Specific Integrated Circuit)화된 모듈이 없을 경우 네트워크 장비에 많은 부담을 주어 성능저하의 원인이 될 수 있다. 또한 ISP와 같이 많은 네트워크 장비를 보유하고 있는 기관의 경우, 이들 장비들에 접근통제 정책을 업데이트 하기 위해서 별도의 스크립트를 작성하거나, 그렇지 않은 경우 개별적으로 로그인하여 설정을 변경하여햐 하는 어려움이 있다.
Rate-Limit 기술은 특정 서비스 또는 패턴을 가진 패킷의 흐름이 단위시간 동안 일정통신량 이상 초과할 경우 그 이상의 패킷을 통과시키지 않도록 하는 기술을 말한다. 이 기술은 Rate Fitering이라고도 하며, Syn Flooding 또는 Smurf 공 격같은 아이피 위조공격 패킷의 대역폭(BandWidth) 제한 등에 유용하게 사용될 수 있다. 하지만 비정상적인 패킷뿐만 아니라 정상적인 패킷도 차단될 수 있으며, 해당 기능을 수행하는 전용 모듈이 없을 경우 라우터에 과부하를 유발시킬 수 있는 단점이 있다.
uRPF(unicast Reverse Path Forwarding)기술은 출발지 아이피 주소를 위장(Spoofing)한 공격을 차단할 수 있는 기술로써, 라우터가 패킷을 받으면 출발지 IP주소를 확인하여 해당 IP로 갈 수 있는 역경로(Reverse Path)가 존재하는지 확인함으로써 출발지 아이피 주소를 신뢰한다. 대부분의 분산 서비스 거부 공격(Distributed Denial of service)이 자신의 출발지 주소를 위장하므로 uRPF는 상당히 효과적인 서비스 거부 공격 차단수단이 될 수 있다. 하지만 이 기술 역시 다수의 라우팅 경로가 존재하는 비대칭 망 구조를 가지고 있을 경우 적용의 한계(strict 모드 사용못함)가 있으며, Spoofing(아이피 위장)을 방지하는 것 이외에 다양한 서비스 거부 공격에 대한 대응 기능이 존재하지 않는다.
null0 라우팅은 특정한 목적지로 향하는 패킷들을 null0라는 가상 인터페이스에 포워딩함으로써 드롭시킬 수 있는 기술이다. 블랙홀 라우팅 또는 블랙홀 필터링이라고도 하는 이 기술은 네트워크 장비의 기본 기능인 포워딩 기능을 이용하므로 상기 ACL기술에 비해 장비의 과부하가 거의 없으나, 아이피 기반(L3)의 필터링만을 제공한다.
Netflow 기술은 트래픽 흐름분석을 통해 소스 및 대상주소, 각 flow의 바이트 수, 패킷 수, 트래픽 유입 인터페이스 및 업스트림 피어 정보 등을 모니터링 할 수 있다. 이를 이용하여 Spoofing(아이피 위장)된 유해 트래픽이 어떤 인터페이스에서 유입되고 있는지 확인할 수 있다. 하지만 이 기능을 이용한 공격자 추적은 공격로 상의 모든 네트워크 장비에 대한 접근권한이 주어져야 하고, 공격이 이루어지고 있을 동안 분석이 완료되어야 된다는 단점이 있다. Netflow는 공격자를 추적하는 것 이외에 실시간으로 네트워크를 모니터링하여 이상징후를 탐지하는 용도로도 활용될 수 있다.
상기한 악성코드 차단기법이 실제 장비에 적용됨으로써 장비성능에 미치는 영향을 비교한 실험이 도 8 내지 도 10에 도시되어 있다.
실험항목으로는 상기 null0 라우팅(또는 블랙홀 라우팅), uRPF 이외에 특정 프로토콜, 포트 및 아이피 주소에 대하여 대역폭을 할당하여 비정상적으로 증폭하는 트래픽을 통제하는 방법인 CAR(Commit Access Rate)과 소스아이피(출발지 아이피), 목적지 아이피 및 사용 포트별로 트래픽 차단이 가능한 Extended ACL(EACL), 특정사이즈 별로 패킷차단을 수행하는 PBR(Policy Base Routing) 및 상기한 기술들의 조합기술을 각 장비에 적용하여 실험환경에 따른 CPU의 부하를 측정하였다. 실험환경을 위해 7,680 Kbps, 120 Kpps 정도의 네트워크 트래픽을 고정적으로 발생시키고, 4차에 걸쳐 공격조건을 변화시켜 테스트를 실시하였다. 1 차 테스트 조건은 공격트래픽이 발생하지 않을 때의 CPU사용률을 측정하였고, 2 차 테스트 조건은 공격트래픽 1,280 Kbps, 20,000 pps가 발생했을 때의 CPU 사용률, 3 차 테스트 조건은 공격트래픽 2,560 Kbps, 40,000 pps가 발생했을 때의 CPU 사용률, 4 차 테스트 조건은 공격 트래픽 5,120 Kbps, 80,000 pps가 발생했을 때의 CPU 사용률을 각 각 측정하였다.
테스트 절차는 일반적인 실제 사용환경과 유사한 상황을 만들기 위하여, 2,400 여대의 가상 사용자 환경을 구성하고, 7,690 Kbps, 120 Kpps 트래픽을 생성하여, 라우터 부하를 실제 상황과 유사한 수준인 CPU 사용률 40%로 유지하도록 하였다. 또한 공격 환경 구성은 2,000 여대의 가상 DDos(Distributed Denial of Service)Agent를 구성하여 특정 호스트로 일제히 패킷 전송하였다. 즉 라우터에 보안기능인 EACL, uRPF, CAR, PBR, 블랙홀 라우팅을 적용하였을 경우와 이러한 기능을 동시에 적용하였을 경우 라우터 부하발생률을 관찰하고 DDos 공격 bps를 상승시켰을 경우 부하발생률 상승폭 변화 여부를 관찰하였다. 한편 부하 분석 대상 장비는 Cisco 사의 7500 Router 이고 패킷생성기(SmartBit), Foundry Layer3 Switch 등을 이용하였다.
4 차례에 걸쳐 공격트래픽의 양을 증가시켰을 때의 보안기능에 따른 CPU 사용률의 변화를 나타낸 그래프가 도 8 내지 도 10에 도시되어 있다. 상기 실험결과를 종합해볼 때 상기한 악성코드 차단 기법 가운데 uRPF 와 블랙홀 라우팅(null0) 기술의 CPU 사용률이 가장 적은 것으로 나타났다.
지금까지 설명한 기술들을 이용하여 악성코드 유포사이트 탐지서버(200)로부터 전송되는 악성코드 유포사이트(20)의 아이피 주소(mc_site_ip)를 목적지 아이피 또는 출발지 아이피로 하는 네트워크 패킷들을 차단할 수 있다. 하지만 상기 실험결과를 비교해볼 때 바람직하게는 상기의 기술 가운데 원격에서 다수의 장비를 동시에 제어할 수 있고, 장비의 성능에도 거의 영향을 미치지 않아 ISP와 같은 대규 모 네트워크 관리기관에서 적용할 수 있는 기술인 블랙홀 라우팅 기술과 uRPF 기술을 사용할 수 있을 것이다.
본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템에서는 상술한 악성코드 차단기법 중 null0 라우팅(블랙홀 라우팅) 기법과 uRPF 및 IBGP등을 이용하여 라우터(L3)단에서 IP 기반의 악성코드를 차단할 수 있는 원격구동 블랙홀 라우팅 기술이 적용된다.
상술한 바와 같이 원격구동 블랙홀 라우팅 기술(Remote Triggered Blackhole Routing)에는 null0 라우팅 기술이 사용된다. 블랙홀 라우팅 또는 블랙홀 필터링 기술이라고 불리는 null0 라우팅은 가상의 아이피인 null0로 특정 아이피를 목적지 또는 출발지 아이피로 하는 패킷들을 유인 및 차단하며, IBGP를 이용하여 하나의 라우터가 라우팅 서버로써 특정집단의 라우터들의 null0 라우팅 Rule을 동시에 업데이트 한다. 이는 특정 아이피 주소를 가진 패킷들을 ISP(Internet Service Provider) 내의 각 에지라우터들에서 동시에 차단할 수 있도록 한다. 여기서 IBGP를 이용한 라우팅 경로 광고는 IBGP를 공유하는 AS(Autonomous System)내부의 다수 에지라우터들에게 라우팅 정보를 원격에서 전달할 수 있다. 또한 각 에지라우터에 설정된 특정 아이피를 가상 인터페이스인 null0로 포워딩하는 것은 공격 트래픽을 null0로 라우팅함으로써 공격트래픽을 드롭시키는 효과를 가진다.
도 11은 원격구동 블랙홀 라우팅 과정을 설명하고 있다.
도 11을 참조하면, 각 에지라우터에서 null0 라우팅(555) 되도록 하는 특정 아이피 예컨데 192.0.2.1를 사전에 지정해 놓고, 블랙홀 라우팅 서버(350)에서 공 격대상 사이트 예컨데 111.111.111.111로 향하는 트래픽들을 192.0.2.1로 향하도록 광고함으로써, 결과적으로 모든 에지라우터(550)들에서 공격트래픽이 차단되는 과정을 보여주고 있다.
이를 자세히 하면, 원격구동 블랙홀 라우팅을 설정하기 위해 우선 각 에지라우터(550)들에게 특정한 아이피(여기서는 192.0.2.1) 또는 아이피블록을 null0 라우팅(555)하도록 라우팅 경로를 지정해 놓는다. 에지라우터(550)에서 null0(555)로 라우팅하도록 하는 특정 아이피는 일반적으로 사설 아이피 블록에서 택한다. 이렇게 각 에지라우터(550)에서 준비가 되면 공격발생시 블랙홀 라우팅 서버(350)가 차단할 아이피(여기서는 111.111.111.111)가 포함된 트래픽을 이미 지정된 아이피 또는 아이피 블록으로 향하도록 라우팅 경로를 각 에지라우터(550)들에게 알린다. IBGP 경로를 광고하는 블랙홀 라우팅 서버(350)로부터 라우팅 경로를 지정받은 에지라우터(550)들은 사전에 설정된 null0 라우팅 룰과 조합하여 공격 트랙픽을 드롭시킨다.
이하로는 원격 구동 블랙홀 라우팅 기술 가운데 목적지 기반 원격구동 블랙홀 라우팅 기술과 출발지 기반 원격구동 블랙홀 라우팅 기술의 라우터 적용예를 상세히 설명하기로 한다.
목적지 기반 원격구동 블랙홀 라우팅 기술은 특정한 목적지로 향하는 모든 트래픽을 에지라우터(555)들에서 차단할 수 있다. 이 기술은 IBGP 네트워크를 통해 공격 목표 시스템의 next hop 주소 즉 패킷이 목적지로 가기 위해 거쳐야 하는 라우터의 주소를 블랙홀(null0)로 빠지도록 지정된 아이피 주소를 바꾼다.
이를 위해 ISP의 블랙홀 라우터 서버(350)에서 IBGP 광고를 위한 준비와 각 에지라우터(555)들에 null0라는 라우팅을 설정해 놓고, 공격이 발생되면 공격 대상 사이트에서 DNS(Domain Name Server)정보를 변경하고 , ISP업체에서는 각 에지라우터(555)들에게 공격 대상 아이피로 향하는 패킷들을 드롭할 수 있도록 명령을 보낸다. 상기의 기능을 수행하기 위해 에지라우터(555)와 블랙홀 라우팅 서버(350)에서의 절차는 다음과 같다.
우선 에지라우터들에서의 준비는 블랙홀 설정을 위해 사용하지 않는 아이피 주소를 선택한다. 즉 다른 목적으로는 사용하지 않고 블랙홀 필터링 만을 위해 사용할 아이피 또는 아이피 블록을 선정한다. 일반적으로 이 아이피 또는 아이피 블록은 RFC 1918에 정의된 사설 아이피 블록 중에서 선택하며, 동일한 AS내에서 다른 용도로는 절대 사용해서는 안 된다.
또한 ISP 내의 모든 에지라우터(555)들은 블랙홀 필터링을 위해 선택된 아이피 주소 또는 아이피 블록을 null0 인터페이스로 라우팅되도록 하는 특별한 정적경로를 설정한다. 즉 공격 발생시 공격 트래픽이 거쳐야 할 라우터 주소인 'next-hop'을 선택된 아이피로 지정하게 되면 공격 트래픽은 null0 이터페이스로 라우팅되어 차단된다.
에지 라우터들에서 null0 가상 인터페이스는 표 1과 같이 정의할 수 있다.
| interface Null0 no icmp unreachables |
공격 트래픽이 null0 인터페이스에 의해 차단되었을 때 "패킷이 전달되지 않았다"라는 메시지가 소스주소에게 전달되는데 상기 표 1의 "no icmp unreachables" 명령은 이 메시지들로 인한 과부하를 막기 위해 사용할 수 있다. 하지만 후술하는 출발지 기반 원격구동 블랙홀 라우팅에서는 공격자를 추적하기 위해 이 메시지를 발생시켜야 하는 경우도 있다.
그리고 블랙홀 라우팅을 위해 선택한 주소가 192.0.2.1이라고 하였을 경우 각 에지라우터에서는 표 2와 같은 정적경로를 설정한다.
| ip route 192.0.2.1 255.255.255.255 Null0 |
표 2는 Cisco 라우터일 경우 설정명령이다. 만약 적용라우터가 Juniper 라우터 일 경우는 표 3과 같다.
| set routing - options static route 192.0.2.1/32 reject install |
상기한 라우터 설정을 통해 예컨데 블랙홀 라우팅 서버(또는 블랙홀 라우터)에서 공격패킷을 192.0.2.1로 향하도록 next-hop을 설정하면 상기 공격패킷은 1992.0.2.1에서 자동으로 경로설정된 null0영역으로 드롭된다.
지금까지 목적지 기반 원격구동 블랙홀 라우팅 기법 중 에지라우터에서의 설정방법에 대해 설명하였다. 이후 블랙홀 라우터에서의 준비를 설명하기로 한다.
블랙홀 라우터 서버 지정 및 환경설정은 다음과 같다.
우선 네트워크 내에서 한 대의 라우터를 블랙홀 라우터 서버로 지정한다. 이 라우터는 특정 사이트에 대한 공격이 발생 될 때마다 새로운 라우팅 정보를 에지 라우터들에게 알려주는 역할을 담당한다. 이 라우터는 IBGP만을 하기 위한 서버로써 성능이 특별히 높을 필요는 없으나, 가능한 블랙홀 라우터 서버 전용으로 사용하는 것이 바람직하다. 또한 상기 라우터는 ISP에서 24시간 네트워크를 모니터링 하는 네트워크 운영센터(NOC)나 보안운영센터(SOC)에서 관리하여 언제나 공격에 대응할 수 있도록 한다.
블랙홀 라우터 서버로서의 기능을 수행하기 위해서는 공격 발생시 설정할 정적경로 과정을 즉기 IBGP를 통해 에지라우터들에게 전달하기 위해 정적경로를 재분배할 수 있도록 설정되어야 한다. 표 4는 상기한 기능을 수행하기 위한 Cisco 라우터에서의 설정이며 표 5는 Juniper 라우터의 설정이다
| ! jump into the bgp router config ! router bgp 31337 ! redistribute static route - map static - to - bgp ! route - map static - to - bgp permit 5 match tag 666 set ip next - hop 192.0.2.1 set local - preference 50 set community additive no - export set origin igp |
| set protocol bgp group XXX export BlackHoleRoutes # set policy - statement BlackHoleRoutes term match - tag666 from protocol static tag 666 set policy - statement BlackHoleRoutes term match - tag666 then local - preference 50 set policy - statement BlackHoleRoutes term match - tag666 then origin igp set policy - statement BlackHoleRoutes term match - tag666 then community add no - export set policy - statement BlackHoleRoutes term match - tag666 then nexthop 192.0.2.1 set policy - statement BlackHoleRoutes term match - tag666 then accept |
표 4 및 표 5의 설정에서 사용된 애트리뷰트에 대해 간략히 설명하면 다음과 같다.
next-hop은 패킷이 목적지로 가기 위해 다음에 거쳐야 하는 라우터의 주소이며, local-preference는 외부경로에 대한 선호도를 나타내며, community는 라우터들을 특성에 따라 그룹화할 수 있으며, no-expect는 이값을 포함한 BGP(Border Gateway Protocol) 메시지들은 외부 AS에 전달하지 않는다. 또한 표 4에서의 설정은 Tag 666을 가진 정적경로 발생시에 이를 192.0.2.1로 라우팅 되도록 지정하였으며, 이 광고는 외부 AS에는 전파하지 않고 내부에서만 사용하는 것을 정의하고 있다. 여기서 community를 이용하여 제어하고자 하는 라우터들을 그룹화할 수 있다. 예를 들어, BGP AS 번호 65001을 가진 한 네트워크가 2 개의 에지라우터(R1, R2)를 가지고 있다고 가정하면 community값 65001:1 은 R1에게 65001:2는 R2에게 할당하고, community값 65001:666은 R1과 R2를 모두 인식할 수 있도록 할당함으로써, R1과 R2에게 개별적으로 명령을 내릴 수도 있고 한꺼번에 명령을 내릴 수도 있다. community는 공격에 대한 대응을 보다 탄력적으로 적용할 수 있는 수단을 제공해준다. community를 이용하여 모든 가입자단 라우터 그룹에 명령을 내릴 수 있고, 국외에서 공격 발생시 국제망 라우터에만 적용시킬 수 있다. 또는 전용서 가입자 망과 초고속 가입자 망의 라우터들을 분리하여 관리할 수 있을 것이다.
대규모 네트워크에서 라우팅 정보를 변경하는 것은 대단히 조심스럽게 접근하여야 한다. 잘못된 라우팅 정보는 해당 ISP 뿐만 아니라 타 ISP의 라우팅 경로까지 영향을 미칠 수 있다. 원격구동 블랙홀 라우팅 기술에서는 이러한 위험을 줄이기 위해 표 6과 같은 조치를 취할 수 있다.
| 기술 | 설명 |
| No-export BGP Community | 해당 ISP(AS)에만 적용되고 타 ISP(AS)에는 정보를 갱신하지 않음 |
| 추가적인 Community 필터링 | 앞서 살펴본 65001:666와 같이 해당 ISP내에서도 적용받는 라우터 그룹을 제한하는 것으로써, no-export에 이은 추가적인 조치라 할 수있음 |
| 낮은 크기의 prefix 유출제한 | 예를 들어 /24 이하의 prefix를 인접한 ISP들에게 전달하지 못하게함(블랙홀을 위한 특정 주소는 /25에서/32를 사용 |
앞의 단계를 거쳐 각 에지라우터들과 블랙홀 라우터 서버에서의 준비는 완료되었다. 이제 실제 고객 사이트를 대상으로 공격이 발생되고 있을 경우 어떤절차를 거쳐 대응할 수 있는지 살펴보기로 한다.
공격받는 사이트에서는 우선 공격의 대상이 되고 있는 아이피를 버리고, 고객 사이트의 DNS정보를 수정한다. 대부분의 DDos 공격은 공격 대상을 지정할 때 DNS Query에 따른 공격시간의 지연을 줄이기 위해 도메인네임으로 지정하지 않고 해당 사이트의 아이피 주소를 바로 사용하는 경우가 많다. 공격받는 사이트의 네임서버에서 공격대상 시스템의 DNS 엔트리를 변경하였을 때, 일반인들이 이 변경된 정보를 반영하는 것은 공격받는 사이트의 DNS 서버에서 설정한 TTL(Time To Live)값에 따라 다소간의 시차가 발생할 수도 있다. DNS 리소스 레코드의 TTL값은 어떤 서버가 그 레코드를 캐시하고 있을 수 있는 초 단위의 시간이다. 가령 aaa.test.co.kr 레코드에 대한 TTL값이 3600초 라면 aaa 회사의 외부에서는 그 레코드를 캐시 한 후 1시간이 지나면 캐시에서 aaa.test.co.kr에 대한 항목을 지워버리고 해당 데이터가 필요할 경우 aaa.test.co.kr에 대한 정보를 다시 가져온다. TTL값을 작게 잡으면 DNS 데이터의 사본(캐시 서버에 위치함)이 최신의 업데이트된 정보를 볼 수 있는 반면, 네임서버의 부하에 영향을 줄 수 있다. 시스템의 변동이 잦거나, 많은 고객이 찾는 중요한 사이트이거나, 공격의 표적이 될 수 있는 사이트의 경우 사전에 TTL값을 가능한 짧게 설정해 놓는 것이 바람직하다. 각 사이트에서 설정한 TTL 정보는 nslookup명령을 이용하여 확인해 볼 수 있다. 한편 고객사이트에서 DNS 정보를 변경함으로써 해당 아이피 주소에서 수행하고 있는 서비스는 계속할 수 있다. 하지만, 기존의 공격 목표가 되는 아이피 주소로 공격 트래픽은 계속 유입되고 있는 상태이므로 공격 목표 아이피가 속한 고객의 border 라우터 자체에 과부하가 발생하고 대역폭이 소진될 수 있다. 따라서 ISP에서는 사전에 미리 준비된 원격구동 블랙홀 라우팅을 활성화시켜 공격 트래픽을 각 에지라우터에서 차단하여야 한다. 원격구동 블랙홀 라우팅을 활성화하기 위해서는 블랙홀 라우터 서버에서 특정한 태그(여기서는 666)를 가진 정적 경로를 추가함으로써 쉽게 이루어진다. Cisco 라우터를 블랙홀 라우터 서버로 사용하는 경우 표 7 과 같이 설정하고 Juniper 라우터의 경우 표 8과 같이 설정한다.
| ip route victimip 255.255.255.255 null0 tag 666 |
| set routing - options static route victimip /32 discard tag 666 |
tag 666을 가진 이 정적경로는 표 4의 설정에 의해 해당 community 그룹에 속한 모든 에지라우터에게 공격 목표 아이피 주소로 향하는 모든 트래픽을 드롭시키도록 할 것이다. 여기서 한가지 고려해야 할 사항은 목표 호스트가 속한 전체 주소 블록이 아닌 목표가 된 호스트 또는 호스트들에 대해서만 블랙홀로 차단함으로써 공격받는 네트워크에 최소한의 영향을 미치도록 하는 것이다. 즉 블랙홀로 차단시 킬 특정 호스트 또는 호스트들을 제외하고 그 네트워크 내의 다른 모든 트래픽은 정상적으로 목적지에 전달되어 공격받는 기관의 다른 서비스가 영향을 받지 않도록 해야 한다.
상기한 준비과정을 거쳐 목적지 기반 원격구동 블랙홀 라우팅 기법을 적용하기 위한 각 에지라우터들과 블랙홀 라우터 서버에서의 설정 예를 살펴보았다. 이하로는 출발지 기반 원격구동 블랙홀 라우팅 기법에서의 라우터 서버설정 예를 살펴보기로 한다.
출발지 기반 원격구동 블랙홀 라우팅 기술은 상술한 목적지 기반의 원격 구동 블랙홀 라우팅 기술을 약간 변형한 것으로 각 에지라우터의 인터페이스들에 uRPF 기능을 추가적으로 설정하여야 한다. 출발지기반의 원격구동 블랙홀 라우팅 기술에서는 uRPF 기술이 기존의 null0 라우팅 기술과 IBGP 광고 기능과 함께 핵심기술로써 사용된다. uRPF는 상술한 바와 같이 패킷의 근원지 인증을 위해 사용되는 기술로써, Spoofing된 패킷을 차단하는데 효과적으로 적용될 수 있다. uRPF는 일반적으로 strict 모드와 loose 모드가 있는데 차이점은 표 9와 같다.
| 구분 | strict uRPF | loose uRPF |
| FIB(Fowarding Information Base)포워딩 정보가 없을 경우 | drop | drop |
| Null0로 라우팅될 경우 | drop | drop |
| 패킷이 입력된 인터페이스와 Reverse Path의 인터페이스가 다를 경우 | drop | pass |
| 패킷이 입력된 인터페이스와 Reverse Path의 인터페이스가 동일할 경우 | pass | pass |
상술한 바와 같이 출발지 기반 원격구동 블랙홀 라우팅 기술에서는 표 10과 같은 3가지 주요 기술이 접목되어 특정한 주소에서 발생하는 공격을 차단할 수 있다.
| 주요기술 | 기능 |
| null0 라우팅 | 목적지 주소가 null0일 경우 패킷을 드롭시킴 |
| IBGP 광고 | AS내의 에지라우터들에게 공격자 주소가 null0라우팅되도록 광고 |
| uRPF | 소스에 대한 역경로(Reverse Path)가 null0로 향하면 패킷을 드롭시킴 |
즉 NOC 관리자는 차단하고자 하는 출발지 주소 리스트를 IBGP 광고를 통해 알리면 ISP의 에지라우터들은 uRPF와 null0 라우팅 설정에 의해 악성코드 유포사이트의 역경로를 조회하여 해당 출발지 주소를 가진 패킷을 드롭시켜 버린다.
이하 출발지 기반 원격구동 블랙홀 라우팅을 위한 에지라우터와 블랙홀 라우팅 서버의 설정에 대해 살펴보기로 한다.
출발지 기반의 블랙홀 라우팅은 상술한 목적지 기반의 블랙홀 라우팅에서 설정한 에지라우터들과 블랙홀 라우터 서버에서의 설정이 기반이 된다. 여기에 한가지 추가할 것은 에지라우터들에 uRPF를 설정하는 것이다. uRPF 설정은 라우터의 각 인터페이스마다 설정하여야 하며, 공격이 유입될 수 있는 지점에 설정하는 것이 바람직하다. 가령, 다른 ISP와 연결된 IX(Internet eXchange)단이나 가입자단의 인터페이스에 설정할 수 있을 것이다. 악성코드 유포사이트 탐지서버(200)로 부터 공격이 탐지되고 차단될 아이피 주소가 파악되면 Cisco 라우터에서는 표 11과 같이 Juniper 라우터에서는 표 12와 같이 라우터를 설정함으로써 상기 아이피를 차단할 수 있을 것이다.
| ip route attacker _ ip 255.255.255.255 null0 tag 666 |
| set routing - options static route attacker _ ip /32 discard tag 666 |
표 11 및 표 12를 참조하면 태그 666을 가진 이 정적경로는 원격구동 블랙홀 라우팅을 활성화시킨다.
차단하고자 하는 특정한 출발지 주소가 수십개 또는 수백개가 된다고 하더라도 ISP에서는 FIB 테이블에 해당 주소를 이미 약속된 특정한 주소(이 주소는 결국 null0로 라우팅 됨)로 라우팅 되게 추가해 주기만 하면 된다.
지금까지 원격구동 블랙홀 라우팅 기법의 목적지 기반 원격구동 블랙홀 라우팅과 출발지 기반 원격구동 블랙홀 라우팅에 대한 라우터 설정예를 살펴보았다. 도 12는 본 발명의 실시예에 따라 원격구동 블랙홀 라우팅 기술이 각 라우터들에 적용된 모습을 도시하고 있다.
도 12를 참조하면 블랙홀 라우팅 서버(350)는 상기 악성코드 유포사이트 탐지서버(200)로 부터 전달된 악성코드 유포사이트(20)의 아이피 주소를 차단하도록 에지라우터(550)들에게 IBGP를 이용하여 라우팅 경로를 광고한다. 아울러 에지라우터들(550)은 블랙홀 라우팅 서버(350)로 부터 블랙홀 라우팅 경로 설정 정보를 전달받아 미리 에지라우터(550)에 지정된 가상의 아이피(null0)로 사용자의 접속을 유도하여 상기 유포사이트(20)로의 사용자 접속을 차단함과 동시에 유포사이트(20)로부터 유입되는 악성코드를 상기 null0 아이피로 유도하여 드롭시킨다.
이를 위해 상기 악성코드 유포사이트 탐지서버(200)로 부터 차단할 아이피 정보를 전달받아 에지라우터(550)들에게 광고할 수 있는 원격 블랙홀 라우팅 서버(보통의 라우터)를 지정하고 에지라우터(550)들에는 null0 영역을 확보하도록 하는 조치를 취한다.
한편 본 발명의 실시예에서는 상기 유포사이트로부터 유입되는 악성코드를 가상의 아이피 주소로 포워딩함으로써 이를 수집하여 분석하기 위한 별도의 에지라우터를 사용할 수 있을 것이다.
이하로는 본 발명의 실시예에 따른 웹상의 악성코드 차단방법에 대해 설명하기로 한다.
도 13은 본 발명의 실시예에 따른 웹상의 악성코드 차단방법을 나타내는 순서도이다.
도 13을 참조하면, 처음으로 악성코드 유포사이트가 탐지된다(S101).
S101 단계에서 검사할 사이트 도메인이 저장되어 있는 도메인 데이터베이스(260)를 참조하여 중요 사이트 순서대로 혹은 무작위로 웹사이트를 검사하여 웹사이트내의 악성코드 삽입여부를 조사하여 악성코드 유포사이트(20)를 선별한다.
다음으로 유포사이트 아이피주소가 포함된 차단메시지를 라우터에 적용한다(S102).
S102 단계에서, 악성코드 유포사이트 탐지서버(200)는 악성코드 유포사이트 아이피주소 및 라우터 제어코드를 포함하는 유포사이트 차단메시지를 생성하여 라우터(500)에 적용한다. 이때 상기 차단메시지를 라우팅 설정서버(300)에 전달하여 AS(Autonomous System)내의 라우터(500)들에 IBGP를 이용하여 악성코드 유포사이트(20)의 아이피주소를 등록하거나 상기 악성코드 유포사이트 탐지서버(200)가 직접 IBGP통신하여 라우터(500)들에 적용할 수 있을 것이다.
마지막으로 라우터는 미리 설정된 null0 공간으로 유포사이트 아이피주소로의 출입패킷들을 포워딩한다(S103).
S103 단계에서, 각 라우터(500)들은 특정한 목적지를 향하거나 또는 특정한 출발지로부터 전달되는 패킷들을 포워딩할 수 있는 가상의 아이피 주소 또는 주소블록을 지정하고, 악성코드 유포 사이트의 아이피 주소로 출입하는 패킷들을 상기 가상의 공간(null0)으로 유인하여 드롭시킨다.
도 14는 본 발명의 실싱예에 따라 라우터들에 원격 블랙홀 라우팅 기술을 적용시키기 위한 과정을 나타낸 순서도이다.
도 14를 참조하면, 처음으로 임의의 라우터를 라우팅 설정 서버로 지정한다(S201).
S201단계에서, 악성코드 유포사이트의 아이피를 포함하는 패킷들을 이미 지정된 아이피(null0) 또는 아이피 블록으로 향하도록 각 라우터들에게 라우팅 경로를 광고할 수 있는 IBGP서버로써 임의의 라우터를 지정한다.
다음으로 각 라우터들이 가상의 아이피 공간인 null0를 갖도록 설정한다(S202).
S202 단계에서, 상기 라우팅 설정서버(또는 블랙홀 라우팅 서버:350)를 제외한 각 라우터(에지라우터:550)들에는 특정한 아이피 또는 아이피 블록을 null0라우팅 하도록 라우팅 경로를 지정해 놓는다.
다음으로 라우팅 설정서버는 착성코드 유포사이트 아이피 주소를 전달받아 IBGP를 통해 각 라우터들에게 유포사이트 아이피 주소로의 입출력 패킷을 null0로 포워딩하도록 지시한다(S203).
마지막으로 각 라우터들은 악성코드 유포사이트의 아이피 주소를 출발지 주소 또는 목적지 주소로 갖는 패킷들을 null0로 드롭시킨다(S204).
도 15는 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템의 각 구성요소 간 동작관계 흐름을 도시한 순서도이다.
도 15를 참조하면, 우선 악성코드 유포사이트 탐지서버(200)에서는 감시 사이트 우선순위 목록이 저장되어 있는 도메인 데이터베이스(260)을 참조하여 웹사이트에 접속하거나 무작위로 웹사이트에 접속한다(S301).
이후 접속한 웹사이트의 웹페이지 소스코드(HTML, XML, 자바스크립트 등)를 수집하여(S302) 악성코드 유포사이트 탐지서버(200)는 소스코드의 악성코드 유무를 악성코드 패턴 데이터베이스(220)의 악성코드 패턴정보와 비교하여 악성코드 은닉여부 또는 레퍼러 정보를 조사한다(S303). 만약 악성코드가 탐지되면 유포사이트(20)로 간주하여 상기 유포사이트로의 모든 네트워크 패킷출입을 차단함과 아울러 링크된 사이트가 있으면 이를 조사하여 레퍼러 사이트 즉 악성코드 유포사이트(20)로 접속한다(S304).
접속한 유포사이트(20)의 웹페이지 소스코드(HTML, XML, 자바스크립트 등)를 수집(S305)하고, 상술한 바와 같이 소스코드 또는 레퍼러 등록정보 등을 조사(S306)하여 악성코드 유포사이트 여부를 판별한다. 악성코드 유포사이트(20)로 판별되면, 상기 유포사이트(20)로 링크시킨 중계사이트(30)의 관리자에게 악성코드 다운로드 레퍼러정보를 통보하여 조치를 취하도록 한다(S307).
또한 상기 S307단계와 동시에 악성코드 유포사이트(20)의 아이피 주소 및 라우터 제어코드 등이 담긴 차단메시지(P_msg)를 작성(S308)하여 라우팅 설정서버(300)에 전달한다(S309).
차단메시지(P_msg)를 전달받은 라우팅 설정서버(300)는 블랙홀 라우팅 서버로써 동작하여 IBGP를 이용하여 AS내 주변 라우터(500)들에게 악성코드 유포사이트 아이피 주소를 목적지 주소 또는 출발지 주소로 하는 패킷들을 이미 지정된 가상의 공간(null0)로 드롭시키도록 광고한다(S310). 이에따라 라우터(500)들은 상기 유포사이트 아이피 주소를 포함하는 모든 출입패킷들의 경로를 가상의 아이피 주소(null0)로 유인하여 드롭시킨다(S311).
한편 본 발명의 실시예에서는 원격구동 블랙홀 라우팅기법을 라우터에 적용함에 있어 Cisco 라우터 와 Juniper 라우터의 적용만을 예시하였으나 이에 한정되는 것이 아니라 모든 라우터에도 적용가능할 것이며, 본 발명에서 예시하고 있는 블랙홀 라우팅 기법을 라우터에 적용하기 위한 설정방법은 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 변형 및 실시예의 추가가 가능할 것이다.
이상에서 설명한 바와 같이 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법은, 복수 개의 웹사이트의 HTML 웹페이지 소스 및 레퍼러정보를 이용하여 악성코드의 중계 또는 유포사이트를 자동으로 탐지하고 원격구동 블랙홀 라우팅 기술을 이용하여 상기 유포사이트로의 사용자 접속 또는 악성코드의 확산을 차단할 수 있다.
또한 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법은, 원격구동 블랙홀 라우팅 기술을 이용하여 별도의 보안장비의 교체 및 기존시스템의 변동없이 소정의 라우팅 설정변경 즉 원격에서 내/외부 게이트웨이 프로토콜을 이용하여 블랙홀 라우터 및 에지라우터 간의 라우팅 정보만을 주고받음으로써 장비의 성능저하를 최소화하며, 막대한 장비교체 비용없이 효과적으로 악성코드를 차단할 수 있는 효과를 제공한다.
마지막으로 본 발명의 실시예에 따른 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법은, 복수의 웹 사이트들에 은닉되어 유포 및 중계되는 악성코드를 수집 및 차단하기 위해, 웹로봇으로써 자동으로 악성코드 유포사이트를 탐지하고 복수 개의 라우터에 자동으로 적용하여 상기 유포사이트로의 사용자 접속을 신속하게 차단함과 아울러 상기 유포사이트에 이를 통보하고, 상기 악성코드를 수집 및 분석할 수 있는 효과를 제공한다.
아울러 본 발명의 바람직한 실시예들은 예시의 목적을 위해 개시된 것이며, 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가 등이 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구의 범위에 속하는 것으로 보아야 할 것이다.
Claims (14)
- 악성코드 유포사이트를 검색하는 악성코드 유포사이트 탐지부, 와상기 악성코드 유포사이트 탐지부로부터 추출된 유포사이트 아이피 주소를 포함하는 차단메시지를 후술하는 라우팅 설정서버에 전송하는 차단메시지 전송부,를 포함하여 구성되는 악성코드 유포사이트 탐지서버;를 구비하되,가상 아이피 주소를 포함하는 복수 개의 라우터; 및상기 차단메시지의 수신에 따라 상기 유포사이트로의 접속차단을 위해 상기 유포사이트 아이피 주소를 목적지주소 또는 출발지주소로 하는 패킷들의 라우팅 설정경로를 상기 가상 아이피 주소로 유인하도록 상기 유포사이트의 아이피 주소를 상기 라우터들에게 광고하는 라우팅 설정 서버;를 포함하여 구성되는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서, 상기 악성코드 유포사이트 탐지부는감시할 웹사이트 도메인이 등록된 도메인 데이터베이스를 포함하며,상기 웹사이트를 주기적 또는 비주기적으로 모니터링하여 상기 유포사이트로의 링크정보가 포함되었는지를 조사함으로써 악성코드 중계사이트를 탐지할 수 있는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서, 상기 악성코드 유포사이트 탐지서버는기존의 악성코드 패턴이 저장된 악성코드 패턴 데이터베이스;를 구비하며,네트워크상의 웹사이트를 검색하여 상기 웹사이트의 소스코드를 수집하고, 수집된 상기 소스코드와 상기 악성코드 패턴 데이터베이스 내의 악성코드 패턴과 비교함으로써 웹사이트 내의 악성코드 은닉 여부를 검사하여 상기 악성코드 유포사이트를 탐지하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 3 항에 있어서, 상기 소스코드는HTML 소스코드, XML 소스코드 및 스크립트 소스코드 중 적어도 어느 하나인 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서,상기 유포사이트로의 접속차단 방법은 ACL, null0라우팅, uRPF, Rate- limit , Netflow 및 원격구동 블랙홀 라우팅 중 적어도 어느 하나인 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서, 상기 광고는내부/외부 게이트웨이 프로토콜을 사용하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서, 상기 가상 아이피 주소는null0 라우팅되는 사설 아이피 주소인 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항에 있어서, 상기 라우팅 설정서버는상기 복수 개의 라우터들 가운데 하나인 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 제 1 항 또는 제 2 항에 있어서, 상기 악성코드 유포사이트 탐지서버는상기 악성코드 유포사이트 및 상기 악성코드 중계사이트에 해킹사실을 통보하고 소정의 기간 후에 악성코드 은닉 여부를 탐지하여 이를 재통보하거나 유포사이트로의 접속차단을 해제하는 사후모니터링부;를 더 포함하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단시스템.
- 악성코드 유포사이트가 탐지되는 제 1 단계;탐지된 상기 악성코드 유포사이트의 아이피 주소가 담긴 차단메시지를 라우터에 적용하는 제 2 단계;복수 개의 라우터가 미리 설정된 가상 아이피 공간으로 상기 악성코드 유포사이트 아이피 주소로의 출입패킷들을 포워딩하는 제 3 단계;를 포함하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
- 제 10 항에 있어서, 상기 제 1 단계는도메인 데이터베이스로부터 감시할 웹사이트 도메인 리스트를 전달받아 상기 웹사이트에 접속하거나 무작위로 임의의 상기 웹사이트를 접속하는 제 1 부단계;상기 웹사이트의 HTML 소스코드, XML 소스코드 및 스크립트 소스코드 중 적어도 어느 하나를 수집하고 악성코드 패턴 데이터베이스 내의 악성코드 패턴정보와 비교하여 악성코드 은닉사실을 탐지하는 제 2 부단계;상기 웹사이트의 레퍼러정보를 분석하여 악성코드 유포사이트로의 링크여부를 조사하여 레퍼러 사이트에 접속함과 아울러 상기 제 2 부단계와 동일한 방법으로 상기 유포사이트를 탐지하는 제 3 부단계;를 포함하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
- 제 10 항에 있어서, 상기 제 2 단계는상기 악성코드 유포사이트의 아이피 주소 및 라우터 제어코드들의 정보가 담긴 차단메시지를 작성하는 제 1 부단계;상기 차단메시지를 별도의 라우팅 설정서버에 전달하여 각각의 라우터에 차단할 아이피주소의 라우팅 경로를 설정하거나 직접 상기 라우터들에게 전달하여 차단할 상기 아이피주소의 라우팅 경로를 설정하는 제 2 부단계;를 포함하는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
- 제 10 항에 있어서, 상기 제 3 단계는임의의 라우터를 라우팅 설정서버로 지정하는 제 1 부단계;상기 라우터들이 가상의 아이피 공간인 null0를 갖도록 하는 제 2 부 단계;상기 라우팅 설정서버가 내부/외부 게이트웨이 프로토콜을 이용하여 상기악성코드 유포 사이트 아이피 주소로의 입출력 패킷을 null0로 향하도록 상기 라우터들에게 광고하는 제 3 부단계;상기 라우터들이 상기 악성코드 유포사이트 아이피 주소를 출발지 주소 또는 목적지 주소로 하는 패킷들을 null0로 드롭시키는 제 4 부단계;를 포함하여 구성되는 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
- 제 10 항 또는 제 13 항에 있어서, 상기 가상 아이피 공간은null0 라우팅되는 사설 아이피 주소인 것을 특징으로 하는 웹 기술을 사용하여 전파되는 악성코드 차단방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060093262A KR100789722B1 (ko) | 2006-09-26 | 2006-09-26 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US11/552,765 US20080127338A1 (en) | 2006-09-26 | 2006-10-25 | System and method for preventing malicious code spread using web technology |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060093262A KR100789722B1 (ko) | 2006-09-26 | 2006-09-26 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100789722B1 true KR100789722B1 (ko) | 2008-01-02 |
Family
ID=39216061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060093262A KR100789722B1 (ko) | 2006-09-26 | 2006-09-26 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080127338A1 (ko) |
| KR (1) | KR100789722B1 (ko) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100915202B1 (ko) * | 2007-11-27 | 2009-09-02 | 유디코스모 주식회사 | 악성코드 수집 방법 및 장치 |
| KR100916324B1 (ko) | 2007-11-08 | 2009-09-11 | 한국전자통신연구원 | 방화벽을 이용한 악성 코드 유포 사이트 관리 방법, 장치및 시스템 |
| KR100961149B1 (ko) * | 2008-04-22 | 2010-06-08 | 주식회사 안철수연구소 | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 |
| KR100973076B1 (ko) * | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | 분산 서비스 거부 공격 대응 시스템 및 그 방법 |
| KR101027928B1 (ko) * | 2008-07-23 | 2011-04-12 | 한국전자통신연구원 | 난독화된 악성 웹페이지 탐지 방법 및 장치 |
| KR101066209B1 (ko) | 2009-09-21 | 2011-09-20 | 주식회사 안철수연구소 | 패킷 감시 장치 및 그 방법, 프로그램이 기록된 기록 매체와 변조 데이터 관리 장치 및 그 방법 |
| KR101147483B1 (ko) * | 2011-11-25 | 2012-05-22 | 주식회사 엑스엔시스템즈 | 하이브리드 DDoS 차단 시스템 및 그 방법 |
| KR101398852B1 (ko) | 2013-02-13 | 2014-06-27 | 주식회사 잉카인터넷 | 스크립트를 이용한 멀웨어 치료 시스템 및 방법 |
| KR101860915B1 (ko) * | 2016-09-21 | 2018-05-28 | 주식회사 시큐아이 | 보안 장치 및 그 구동 방법 |
| CN109688129A (zh) * | 2018-12-24 | 2019-04-26 | 中电福富信息科技有限公司 | 一种web站点应急处置方法 |
| CN114143085A (zh) * | 2021-11-30 | 2022-03-04 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及*** |
| KR102428235B1 (ko) * | 2021-03-23 | 2022-08-04 | 주식회사 투링크 | 유해 사이트 차단 시스템 및 그 방법 |
Families Citing this family (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7873993B2 (en) * | 2005-11-09 | 2011-01-18 | Cisco Technology, Inc. | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation |
| US7958557B2 (en) * | 2006-05-17 | 2011-06-07 | Computer Associates Think, Inc. | Determining a source of malicious computer element in a computer network |
| US20090064337A1 (en) * | 2007-09-05 | 2009-03-05 | Shih-Wei Chien | Method and apparatus for preventing web page attacks |
| US20090070663A1 (en) * | 2007-09-06 | 2009-03-12 | Microsoft Corporation | Proxy engine for custom handling of web content |
| US9906549B2 (en) * | 2007-09-06 | 2018-02-27 | Microsoft Technology Licensing, Llc | Proxy engine for custom handling of web content |
| US8949990B1 (en) * | 2007-12-21 | 2015-02-03 | Trend Micro Inc. | Script-based XSS vulnerability detection |
| US8578482B1 (en) | 2008-01-11 | 2013-11-05 | Trend Micro Inc. | Cross-site script detection and prevention |
| US8850567B1 (en) | 2008-02-04 | 2014-09-30 | Trend Micro, Inc. | Unauthorized URL requests detection |
| US8533842B1 (en) * | 2008-03-07 | 2013-09-10 | Symantec Corporation | Method and apparatus for evaluating internet resources using a computer health metric |
| US8339959B1 (en) | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
| KR100987354B1 (ko) * | 2008-05-22 | 2010-10-12 | 주식회사 이베이지마켓 | 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법 |
| US20090299862A1 (en) * | 2008-06-03 | 2009-12-03 | Microsoft Corporation | Online ad serving |
| WO2009151863A2 (en) * | 2008-06-10 | 2009-12-17 | Myers Wolin, Llc | A network gateway for time-critical and mission-critical networks |
| US8955107B2 (en) * | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
| US8040808B1 (en) | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
| US8176556B1 (en) * | 2008-10-31 | 2012-05-08 | Symantec Corporation | Methods and systems for tracing web-based attacks |
| US9734125B2 (en) * | 2009-02-11 | 2017-08-15 | Sophos Limited | Systems and methods for enforcing policies in the discovery of anonymizing proxy communications |
| US20100235914A1 (en) * | 2009-03-13 | 2010-09-16 | Alcatel Lucent | Intrusion detection for virtual layer-2 services |
| US8225396B1 (en) * | 2009-03-27 | 2012-07-17 | Symantec Corporation | Systems and methods for detecting and warning users about hidden sensitive information contained in webpages |
| US8239668B1 (en) * | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
| US8516590B1 (en) | 2009-04-25 | 2013-08-20 | Dasient, Inc. | Malicious advertisement detection and remediation |
| US8370938B1 (en) * | 2009-04-25 | 2013-02-05 | Dasient, Inc. | Mitigating malware |
| US8683584B1 (en) * | 2009-04-25 | 2014-03-25 | Dasient, Inc. | Risk assessment |
| US8555391B1 (en) | 2009-04-25 | 2013-10-08 | Dasient, Inc. | Adaptive scanning |
| US8595829B1 (en) * | 2009-04-30 | 2013-11-26 | Symantec Corporation | Systems and methods for automatically blacklisting an internet domain based on the activities of an application |
| US9398032B1 (en) * | 2009-07-09 | 2016-07-19 | Trend Micro Incorporated | Apparatus and methods for detecting malicious scripts in web pages |
| US8458774B2 (en) * | 2009-11-02 | 2013-06-04 | Authentify Inc. | Method for secure site and user authentication |
| US8713674B1 (en) * | 2010-12-17 | 2014-04-29 | Zscaler, Inc. | Systems and methods for excluding undesirable network transactions |
| US10447709B2 (en) * | 2010-12-29 | 2019-10-15 | Rapid7, Inc. | Methods and systems for integrating reconnaissance with security assessments for computing networks |
| US9275238B2 (en) | 2011-04-29 | 2016-03-01 | Antaios (Beijing) Information Technology Co., Ltd. | Method and apparatus for data security reading |
| JP6255336B2 (ja) * | 2011-04-29 | 2017-12-27 | 中天安泰(北京)信息技▲術▼有限公司Antaios (Beijing) Information Technology Co., Ltd. | 安全なデータ格納方法およびデバイス |
| JP2014515858A (ja) | 2011-04-29 | 2014-07-03 | 北京中天安泰信息科技有限公司 | 実行中の命令を再結合する方法および装置 |
| US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| US8966625B1 (en) * | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
| US8640236B2 (en) * | 2011-06-27 | 2014-01-28 | Cisco Technology, Inc. | Performing a defensive procedure in response to certain path advertisements |
| US9811664B1 (en) * | 2011-08-15 | 2017-11-07 | Trend Micro Incorporated | Methods and systems for detecting unwanted web contents |
| US8935750B2 (en) * | 2011-10-03 | 2015-01-13 | Kaspersky Lab Zao | System and method for restricting pathways to harmful hosts in computer networks |
| US20130152196A1 (en) * | 2011-12-08 | 2013-06-13 | Microsoft Corporation | Throttling of rogue entities to push notification servers |
| US9251535B1 (en) | 2012-01-05 | 2016-02-02 | Juniper Networks, Inc. | Offload of data transfer statistics from a mobile access gateway |
| CN103679042B (zh) * | 2012-09-06 | 2016-09-14 | 中天安泰(北京)信息技术有限公司 | 数据安全存储方法及装置 |
| US8719934B2 (en) * | 2012-09-06 | 2014-05-06 | Dstillery, Inc. | Methods, systems and media for detecting non-intended traffic using co-visitation information |
| US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
| US9104870B1 (en) | 2012-09-28 | 2015-08-11 | Palo Alto Networks, Inc. | Detecting malware |
| US9137155B2 (en) | 2012-09-29 | 2015-09-15 | Avaya Inc. | Network virtualization in access networks |
| US9853995B2 (en) | 2012-11-08 | 2017-12-26 | AO Kaspersky Lab | System and method for restricting pathways to harmful hosts in computer networks |
| CN104009964B (zh) * | 2013-02-26 | 2019-03-26 | 腾讯科技(深圳)有限公司 | 网络链接检测方法和*** |
| US9473355B2 (en) * | 2013-03-14 | 2016-10-18 | Amazon Technologies, Inc. | Inferring application inventory |
| US9888028B2 (en) * | 2013-05-03 | 2018-02-06 | Centurylink Intellectual Property Llc | Combination of remote triggered source and destination blackhole filtering |
| US9613210B1 (en) | 2013-07-30 | 2017-04-04 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using dynamic patching |
| US9811665B1 (en) | 2013-07-30 | 2017-11-07 | Palo Alto Networks, Inc. | Static and dynamic security analysis of apps for mobile devices |
| US10019575B1 (en) | 2013-07-30 | 2018-07-10 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using copy-on-write |
| GB2518460B (en) * | 2013-12-09 | 2015-10-28 | F Secure Corp | Unauthorised/Malicious redirection |
| CN104125209B (zh) * | 2014-01-03 | 2015-09-09 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
| CN103942492B (zh) * | 2014-03-04 | 2016-09-21 | 中天安泰(北京)信息技术有限公司 | 单机版数据黑洞处理方法及计算设备 |
| US9489516B1 (en) | 2014-07-14 | 2016-11-08 | Palo Alto Networks, Inc. | Detection of malware using an instrumented virtual machine environment |
| US10038703B2 (en) * | 2014-07-18 | 2018-07-31 | The Regents Of The University Of Michigan | Rating network security posture and comparing network maliciousness |
| US9542554B1 (en) | 2014-12-18 | 2017-01-10 | Palo Alto Networks, Inc. | Deduplicating malware |
| US9805193B1 (en) | 2014-12-18 | 2017-10-31 | Palo Alto Networks, Inc. | Collecting algorithmically generated domains |
| CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| US9699202B2 (en) * | 2015-05-20 | 2017-07-04 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
| CN105656872A (zh) * | 2015-07-17 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种基于骨干网的攻击者追踪方法及*** |
| US9736152B2 (en) | 2015-07-27 | 2017-08-15 | Bank Of America Corporation | Device blocking tool |
| US20170279820A1 (en) * | 2016-03-24 | 2017-09-28 | Charles Dale Herring | System and method for detecting computer attacks |
| US10911483B1 (en) * | 2017-03-20 | 2021-02-02 | Amazon Technologies, Inc. | Early detection of dedicated denial of service attacks through metrics correlation |
| US10594725B2 (en) * | 2017-07-27 | 2020-03-17 | Cypress Semiconductor Corporation | Generating and analyzing network profile data |
| US11195107B1 (en) * | 2017-09-13 | 2021-12-07 | Hrl Laboratories, Llc | Method of malicious social activity prediction using spatial-temporal social network data |
| CN107908961B (zh) * | 2017-10-26 | 2021-10-19 | 深信服科技股份有限公司 | 基于虚拟化的恶意网页检测方法、设备及存储介质 |
| US11010474B2 (en) | 2018-06-29 | 2021-05-18 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
| US10956573B2 (en) | 2018-06-29 | 2021-03-23 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
| FR3083887B1 (fr) * | 2018-07-11 | 2020-11-27 | Wallix | Procede et dispositif de detection de compromission d’une cible par une attaque laterale |
| US10521583B1 (en) * | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
| CN112448931B (zh) * | 2019-09-02 | 2023-12-05 | 北京京东尚科信息技术有限公司 | 网络劫持监控方法和装置 |
| US11196765B2 (en) | 2019-09-13 | 2021-12-07 | Palo Alto Networks, Inc. | Simulating user interactions for malware analysis |
| US11611629B2 (en) * | 2020-05-13 | 2023-03-21 | Microsoft Technology Licensing, Llc | Inline frame monitoring |
| US11483351B2 (en) | 2020-08-26 | 2022-10-25 | Cisco Technology, Inc. | Securing network resources from known threats |
| CN114978563B (zh) * | 2021-02-26 | 2024-05-24 | ***通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164270A (ja) | 2002-11-13 | 2004-06-10 | Nec System Technologies Ltd | ウイルス感染警告通知システム及び方法 |
| KR20040056998A (ko) * | 2002-12-24 | 2004-07-01 | 한국전자통신연구원 | 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법 |
| KR20040080845A (ko) * | 2003-03-14 | 2004-09-20 | 주식회사 안철수연구소 | 코드 삽입 기법을 이용한 악성 스크립트 감지 방법 |
| KR20050107651A (ko) * | 2004-05-10 | 2005-11-15 | 정보통신연구진흥원 | 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을기록한 기록매체 |
| KR20060055147A (ko) * | 2004-11-18 | 2006-05-23 | 한제헌 | 네트워크 악성실행코드 차단장치 및 방법 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6990591B1 (en) * | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| US7013482B1 (en) * | 2000-07-07 | 2006-03-14 | 802 Systems Llc | Methods for packet filtering including packet invalidation if packet validity determination not timely made |
| US7251692B1 (en) * | 2000-09-28 | 2007-07-31 | Lucent Technologies Inc. | Process to thwart denial of service attacks on the internet |
| US7225467B2 (en) * | 2000-11-15 | 2007-05-29 | Lockheed Martin Corporation | Active intrusion resistant environment of layered object and compartment keys (airelock) |
| US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
| US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| US7043757B2 (en) * | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| US7493659B1 (en) * | 2002-03-05 | 2009-02-17 | Mcafee, Inc. | Network intrusion detection and analysis system and method |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| WO2004084063A1 (ja) * | 2003-03-17 | 2004-09-30 | Seiko Epson Corporation | ウィルスの感染を阻止する方法およびシステム |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| JP4051020B2 (ja) * | 2003-10-28 | 2008-02-20 | 富士通株式会社 | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
| US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US7363513B2 (en) * | 2004-04-15 | 2008-04-22 | International Business Machines Corporation | Server denial of service shield |
| US7540013B2 (en) * | 2004-06-07 | 2009-05-26 | Check Point Software Technologies, Inc. | System and methodology for protecting new computers by applying a preconfigured security update policy |
| KR100604604B1 (ko) * | 2004-06-21 | 2006-07-24 | 엘지엔시스(주) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 |
| US20060031928A1 (en) * | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
| US20060161989A1 (en) * | 2004-12-13 | 2006-07-20 | Eran Reshef | System and method for deterring rogue users from attacking protected legitimate users |
| WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| US7640338B2 (en) * | 2005-01-18 | 2009-12-29 | Microsoft Corporation | System and method for mitigation of malicious network node activity |
| TW200644495A (en) * | 2005-06-10 | 2006-12-16 | D Link Corp | Regional joint detecting and guarding system for security of network information |
| US8769663B2 (en) * | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| JP4754922B2 (ja) * | 2005-09-30 | 2011-08-24 | 富士通株式会社 | ワーム感染装置の検出装置 |
| US20070101422A1 (en) * | 2005-10-31 | 2007-05-03 | Carpenter Michael A | Automated network blocking method and system |
-
2006
- 2006-09-26 KR KR1020060093262A patent/KR100789722B1/ko not_active IP Right Cessation
- 2006-10-25 US US11/552,765 patent/US20080127338A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164270A (ja) | 2002-11-13 | 2004-06-10 | Nec System Technologies Ltd | ウイルス感染警告通知システム及び方法 |
| KR20040056998A (ko) * | 2002-12-24 | 2004-07-01 | 한국전자통신연구원 | 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법 |
| KR20040080845A (ko) * | 2003-03-14 | 2004-09-20 | 주식회사 안철수연구소 | 코드 삽입 기법을 이용한 악성 스크립트 감지 방법 |
| KR20050107651A (ko) * | 2004-05-10 | 2005-11-15 | 정보통신연구진흥원 | 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을기록한 기록매체 |
| KR20060055147A (ko) * | 2004-11-18 | 2006-05-23 | 한제헌 | 네트워크 악성실행코드 차단장치 및 방법 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100916324B1 (ko) | 2007-11-08 | 2009-09-11 | 한국전자통신연구원 | 방화벽을 이용한 악성 코드 유포 사이트 관리 방법, 장치및 시스템 |
| KR100915202B1 (ko) * | 2007-11-27 | 2009-09-02 | 유디코스모 주식회사 | 악성코드 수집 방법 및 장치 |
| KR100961149B1 (ko) * | 2008-04-22 | 2010-06-08 | 주식회사 안철수연구소 | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 |
| US8424090B2 (en) | 2008-07-23 | 2013-04-16 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting obfuscated malicious web page |
| KR101027928B1 (ko) * | 2008-07-23 | 2011-04-12 | 한국전자통신연구원 | 난독화된 악성 웹페이지 탐지 방법 및 장치 |
| KR100973076B1 (ko) * | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | 분산 서비스 거부 공격 대응 시스템 및 그 방법 |
| KR101066209B1 (ko) | 2009-09-21 | 2011-09-20 | 주식회사 안철수연구소 | 패킷 감시 장치 및 그 방법, 프로그램이 기록된 기록 매체와 변조 데이터 관리 장치 및 그 방법 |
| KR101147483B1 (ko) * | 2011-11-25 | 2012-05-22 | 주식회사 엑스엔시스템즈 | 하이브리드 DDoS 차단 시스템 및 그 방법 |
| KR101398852B1 (ko) | 2013-02-13 | 2014-06-27 | 주식회사 잉카인터넷 | 스크립트를 이용한 멀웨어 치료 시스템 및 방법 |
| KR101860915B1 (ko) * | 2016-09-21 | 2018-05-28 | 주식회사 시큐아이 | 보안 장치 및 그 구동 방법 |
| CN109688129A (zh) * | 2018-12-24 | 2019-04-26 | 中电福富信息科技有限公司 | 一种web站点应急处置方法 |
| KR102428235B1 (ko) * | 2021-03-23 | 2022-08-04 | 주식회사 투링크 | 유해 사이트 차단 시스템 및 그 방법 |
| CN114143085A (zh) * | 2021-11-30 | 2022-03-04 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及*** |
| CN114143085B (zh) * | 2021-11-30 | 2023-08-01 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080127338A1 (en) | 2008-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100789722B1 (ko) | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 | |
| Karmakar et al. | Mitigating attacks in software defined networks | |
| US7237267B2 (en) | Policy-based network security management | |
| US7624444B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
| US20140245435A1 (en) | Out-of-band ip traceback using ip packets | |
| Ghafir et al. | Tor-based malware and Tor connection detection | |
| Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
| US7299489B1 (en) | Method and apparatus for host probing | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| Jeyanthi et al. | Packet resonance strategy: a spoof attack detection and prevention mechanism in cloud computing environment | |
| Shaar et al. | DDoS attacks and impacts on various cloud computing components | |
| KR101230919B1 (ko) | 이상 트래픽 자동 차단 시스템 및 방법 | |
| Al-Duwairi et al. | Distributed packet pairing for reflector based DDoS attack mitigation | |
| Sachdeva et al. | A comprehensive survey of distributed defense techniques against DDoS attacks | |
| Ghorbani et al. | Network attacks | |
| El Jamous et al. | RADAR: An automated system for near real-time detection and diversion of malicious network traffic | |
| Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
| JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
| Nenova et al. | Intrusion detection system model implementation against ddos attacks | |
| Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
| Tiwari et al. | Alternative (ab) uses for {HTTP} Alternative Services | |
| Kaeo | Operational Security Current Practices in Internet Service Provider Environments | |
| Goel et al. | Botnets: the anatomy of a case | |
| Kontaxis et al. | Protecting Insecure Communications with Topology-aware Network Tunnels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121019 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20140114 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20141204 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20151202 Year of fee payment: 9 |
|
| LAPS | Lapse due to unpaid annual fee |