KR101327865B1 - 악성코드에 감염된 홈페이지 탐지 장치 및 방법 - Google Patents

악성코드에 감염된 홈페이지 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101327865B1
KR101327865B1 KR1020110145760A KR20110145760A KR101327865B1 KR 101327865 B1 KR101327865 B1 KR 101327865B1 KR 1020110145760 A KR1020110145760 A KR 1020110145760A KR 20110145760 A KR20110145760 A KR 20110145760A KR 101327865 B1 KR101327865 B1 KR 101327865B1
Authority
KR
South Korea
Prior art keywords
tag
file
infected
web source
homepage
Prior art date
Application number
KR1020110145760A
Other languages
English (en)
Other versions
KR20130077184A (ko
Inventor
조성준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145760A priority Critical patent/KR101327865B1/ko
Publication of KR20130077184A publication Critical patent/KR20130077184A/ko
Application granted granted Critical
Publication of KR101327865B1 publication Critical patent/KR101327865B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

악성코드에 감염된 홈페이지 탐지 장치 및 방법은 탐지하고자 하는 홈페이지의 웹소스를 다운로드하여 특정 패턴(또는 규칙)을 검출하고, 검출된 특정 패턴이 악성코드가 설치된 경우의 패턴과 일치하는 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다.

Description

악성코드에 감염된 홈페이지 탐지 장치 및 방법{Homepage infected with a malware detecting device and method}
본 발명은 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 관한 것이다.
악성코드(malware)는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 과거에는 디스크 복제 등 저장매체를 통해 악성코드가 전파되었으나 최근에는 네트워크가 발달함에 따라 이메일이나 웹사이트를 통해 악성코드에 감염되는 경우가 증가하고 있다.
특히, 해커들은 웹사이트의 홈페이지를 해킹한 후 악성코드를 설치하여, 사용자들이 해당 홈페이지에 접속하면 사용자의 컴퓨터가 악성코드에 감염되도록 한다. 컴퓨터가 악성코드에 감염되면 컴퓨터의 성능이 저하될 뿐만 아니라 개인 정보가 유출될 위험도 있기 때문에 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 방법이 필요하다.
본 발명이 해결하고자 하는 과제는 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 장치 및 방법을 제공하는 것이다.
본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.
본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계. 상기 웹소스에 삽입된 파일을 다운로드하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 및 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.
본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 및 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.
본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.
본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계, 상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.
본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지장치는 홈페이지로부터 웹소스를 다운로드하거나 또는 상기 웹소스에 삽입된 파일을 다운로드하는 다운로드부, 취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스, 상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부, 및 상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함한다.
본 발명의 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 의하면,
탐지하고자 하는 홈페이지에 접속하지 않고 홈페이지의 웹소스를 다운로드하여 특정 패턴(또는 규칙)을 검출하고, 검출된 특정 패턴이 악성코드가 설치된 경우의 패턴과 일치하는 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다.
도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 1을 참조하면, 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 110).
그 다음, 다운로드된 웹소스에 클래스 아이디 태그(<classid=)가 존재하는지 검색한다(단계 120).
검색결과, 클래스 아이디 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 140). 해커들은 웹 페이지 내에 취약점이 존재하는 클래스 아이디를 삽입하여 악성코드를 설치하기 때문에, 웹소스에 이러한 취약점 클래스 아이디 태그가 존재하는 경우에는 해당 홈페이지가 악성코드에 감염되었을 가능성이 높다. 따라서 웹소스에 취약점 클래스 아이디 태그가 존재하는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 취약점 클래스 아이디 태그값은 데이터베이스 등에 미리 저장될 수 있다. 취약점 클래스 아이디 리스트는 아래의 <표 1>과 같다.
취약점 클래스 아이디 리스트
Classid 취약점
C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61 HTTP C6 Messenger ActiveX File Overwrite
BD96C556-65A3-11D0-983A-00C04FC29E36 MS06-014
AB9BCEDD-EC7E-47E1-9322-D4A210617116 MS06-014
0006F033-0000-0000-C000-000000000046 MS06-014
6e32070a-766d-4ee6-879c-dc1fa91d2fc3 MS06-014
6414512B-B978-451D-A0D8-FCFDF33E833C WUWebControl Class
7F5B7F63-F06F-4331-8A26-339E03C0AE3D MS06-014, MS06-073, MS07-016
06723E09-F4C2-43c8-8358-09FCD1DB0766 MS06-014
639F725F-1B2D-4831-A9FD-874847682010 MS06-014
BA018599-1DB3-44f9-83B4-461454C84BF8 MS06-014
D0C07D56-7C69-43F1-B4A0-25F5A11FAB19 Metasploit
E8CCCDDF-CA28-496b-B050-6C07C962476B Metasploit
웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값을 비교한 결과 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 150).
도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 2를 참조하면, 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 210).
그 다음, 웹소스에 삽입된 파일을 다운로드한다(단계 220). 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함한다. 미디어 파일은 확장자가 jpg, gif, swf 등인 파일들을 포함하고, PE 파일은 확장자가 exe 인 파일을 포함한다.
다음으로, 파일의 헤더(header)값과 정상 파일의 헤더값을 비교한다(단계 230). 해커들은 앞서 예시한 바와 같은 jpg, gif, swf, exe 등의 파일 확장자를 갖는 파일들을 웹 페이지에 삽입하는데 이러한 파일들은 실제로는 악성코드 링크 등을 포함하는 경우가 많다. 따라서 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 정상 파일의 헤더값은 데이터베이스 등에 미리 저장될 수 있다. jpg, gif, swf, exe 등의 확장자를 갖는 정상 파일의 헤더값은 아래의 <표 2>에 개시되어 있다.
정상 파일의 헤더값
파일 종류 파일 헤더
jpg FF D8 FF
gif 47 49 46 38
swf 43 57 53
exe 4D 5A
웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 240) 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 250).
도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 3을 참조하면, 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 310).
그 다음, 다운로드된 웹소스에 아이프레임(iframe) 태그 또는 이미지(img) 태그가 존재하는지를 검색한다(단계 320).
검색결과, 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 아이프레임 태그 또는 이미지 태그가 존재하는 경우에는 검색된 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 340). 해커들은 웹 페이지 내의 이미지 태그 사이즈의 넓이 또는 높이 값을 이용하여 악성코드 링크를 삽입한다. 예를 들면, 정상적인 이미지 태그의 링크 파일은 홈페이지 내에 존재하지만 이미지 태그에 악성코드 링크가 삽입된 경우에는 외부 주소를 사용하며 유관으로는 확인할 수 없는 1 또는 널(null) 사이즈의 값 등을 이용한 패턴으로 사용되는 경우가 많다. 따라서 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 비정상 태그 사이즈 패턴은 데이터베이스 등에 미리 저장될 수 있다. 비정상 아이프레임 이미지 태그 사이즈 규칙 리스트는 아래의 <표 3>과 같다.
비정상 아이프레임, 이미지 태그 사이즈 규칙 리스트
탐지 패턴 비고
img 및 iframe + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이나 높이=0 iframe + 외부주소(아스키) + 넓이나 높이=0(넓이와 높이=0)
iframe + 외부주소(hex 인코딩) + 넓이나 높이=0(넓이와 높이=0)
iframe + 외부주소(utf 인코딩) + 넓이나 높이=0(넓이와 높이=0)
img + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이와 높이=1 img + 외부주소(아스키) + 넓이와 높이=1
img + 외부주소(hex 인코딩) + 넓이와 높이=1
img + 외부주소(utf 인코딩) + 넓이와 높이
img + 외부주소(형식:아스키,hex,utf 인코딩) + 넓이나 높이=1,500 (x≥500) img + 외부주소(아스키) + 넓이나 높이=1, 500
img + 외부주소(hex 인코딩) + 넓이나 높이=1, 500
img + 외부주소(utf 인코딩) + 넓이나 높이=1, 500
OBJECT width=0 외부주소(형식:아스키,hex,utf 인코딩) OBJECT width=0 외부주소(아스키)
OBJECT width=0 외부주소(hex 인코딩)
OBJECT width=0 외부주소(utf 인코딩)
EMBED width=0 외부주소(형식:아스키,hex,utf 인코딩) EMBED width=0 외부주소(아스키)
EMBED width=0 외부주소(hex 인코딩)
EMBED width=0 외부주소(utf 인코딩)
웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 350).
도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 4를 참조하면, 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 410).
그 다음, 웹소스가 악성 쉘코드를 포함하는지 검색한다(단계 420). 해커들은 웹 페이지 내에 악성코드를 삽입하기 위해 쉘코드를 이용한다. 따라서 웹소스 내에 악성 쉘코드가 포함되어 있는 경우에는 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 악성 쉘코드 리스트는 데이터베이스 등에 미리 저장될 수 있다. 악성 쉘코드 리스트는 아래의 <표 4>와 같다.
악성 쉘코드 리스트
종류
unescape("%u0D0D%u0D0D
unescape("%u9090%u9090
eval(function(p,a,c,k,e,d)
document.write(unescape(
Eval(gzinflate(base64_decode(
검색결과, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 430) 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 440).
도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 앞서 도 1 내지 도 4에서 설명한 제1 내지 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 조합하여 수행한다.
도 5를 참조하면, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 510).
그 다음, 웹소스에 파일이 삽입된 경우 삽입된 파일을 다운로드한다(단계 520).
다음으로, 다운로드된 웹소스에 클래스 아이디 태그가 존재하는지 검색한다(단계 530).
검색결과, 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 532).
비교결과, 웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 두 번째 악성코드 감염 판별 조건 즉, 파일 헤더값과 정상 파일의 헤더값을 비교한다(단계 540). 단계 530에서 다운로드된 웹소스에 클래스 아이디 태그가 존재하지 않는 경우에도 단계 540을 수행한다.
비교결과, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 웹소스가 세 번째 악성코드 감염 판별 조건 즉, 아이프레임 태그 또는 이미지 태그 조건을 만족하는지를 판별한다.
웹소스에 아이프레임 태그 또는 이미지 태그가 존재하는지를 검색하고(단계 550), 검색결과 아이프레임 태그 또는 이미지 태그가 존재하는 경우 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 552).
웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 네 번째 악성코드 감염 판별 조건 즉, 웹소스가 악성 쉘코드를 포함하는지를 검색한다(단계 560). 단계 550에서 다운로드된 웹소스에 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에도 단계 560을 수행한다.
검색결과, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 비로소 홈페이지가 악성코드에 감염되지 않은 것으로 판별한다(단계 580).
이와 같이, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에 의하면 도 1 내지 도 4에서 설명한 네 가지의 악성코드 감염 판별 조건을 모두 만족하지 않는 경우에만 홈페이지가 악성코드에 감염되지 않은 것으로 판별함으로써 홈페이지가 악성코드에 감염되지 않은 경우에 좀 더 정확한 판별이 가능하다. 각 악성코드 감염 판별 조건을 검사하는 순서 즉, 단계 530 내지 560을 수행하는 순서는 적절하게 변경될 수 있고 도 5에서 설명한 순서에 한정되는 것은 아니다.
한편, 도 5에서는 홈페이지가 악성코드에 감염되었는지 여부만을 판별하였으나, 홈페이지가 악성코드에 감염되었을 확률을 산출하는 것도 가능하다. 이를 위해, 각 악성코드 감염 판별 조건을 검사하고, 각 악성코드 감염 판별 조건이 충족되는 개수에 기초하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수 있다. 예를 들면, 4개의 악성코드 감염 판별 조건들이 충족되는 개수가 각각 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 25%, 50%, 75%, 100%로 출력할 수 있다. 또한, 각 악성코드 감염 판별 조건에 가중치를 적용하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수도 있다. 이때에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력한다.
도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.
도 6을 참조하면, 악성코드에 감염된 홈페이지 탐지 장치(600)는 다운로드부(610), 데이터베이스(620), 검색부(630), 및 비교판별부(640)를 포함하고, 수치화부(650)를 더 포함할 수 있다.
다운로드부(610)는 웹소스 다운로드부(612)와 파일 다운로드부(614)를 포함한다. 웹소스 다운로드부(612)는 홈페이지로부터 웹소스를 다운로드하여 출력한다. 파일 다운로드부(614)는 웹소스 다운로드부(612)로부터 출력된 웹소스로부터 파일을 다운로드하여 출력한다. 파일은 jpg, gif, 또는 swf 등의 확장자를 가질 수 있다.
데이터베이스(620)는 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드를 저장한다. 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 태그 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드 등은 이미 도 1 내지 도4에서 이미 설명하였으므로 부가적인 설명은 생략하기로 한다.
검색부(630)는 클래스 아이디 태그 검색부(632), 아이프레임 및 이미지 태그 검색부(634), 악성 쉘코드 검색부(636), 및 파일 헤더값 검색부(638)를 포함한다. 클래스 아이디 태그 검색부(632)는 웹소스로부터 클래스 아이디 태그를 검색하여 출력한다. 파일 헤더값 검색부(638)는 파일의 헤더값을 검색하여 출력한다. 아이프레임 및 이미지 태그 검색부(634)는 웹소스로부터 아이프레임 태그 및 이미지 태그를 검색하여 출력한다. 악성 쉘코드 검색부(636)는 데이터베이스(620)로부터 악성 쉘코드 리스트를 입력받아 웹소스에 악성 쉘코드가 존재하는지를 검색하고, 그 검색 결과에 따라 홈페이지가 악성코드에 감염되었는지를 판별한다. 즉, 웹소스에 악성 쉘코드가 포함된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다.
비교판별부(640)는 제1 내지 제3 비교판별부(642, 644, 646)를 포함한다. 제1 비교판별부(642)는 클래스 아이디 태그 검색부(632)가 출력한 클래스 아이디 태그의 값과 데이터베이스(620)에 저장된 취약점 클래스 아이디 태그값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 클래스 아이디 태그값이 취약점 클래스 아이디 태그값과 일치하는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제2 비교판별부(644)는 아이 프레임 및 이미지 태그 검색부(634)가 출력한 아이프레임 태그 및 이미지 태그가 데이터베이스(620)에 저장된 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하고, 확인 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 아이프레임 태그 및 이미지 태그가 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제3 비교판별부(646)는 파일 헤더값 검색부(638)가 출력한 파일의 헤더값과 데이터베이스(620)에 저장된 정상 파일 헤더값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 파일 헤더값이 정상 파일 헤더값과 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다.
본 발명의 악성코드에 감염된 홈페이지 탐지 장치(600)는 수치화부(650)를 더 포함할 수 있다.
수치화부(650)는 악성 쉘코드 검색부(632)로부터 입력된 악성코드 감염 여부 판별 결과값과 제1 내지 제3 비교 판별부(642, 644, 646)로부터 입력된 판별 결과값을 수치화하고, 각 판별 결과값에 가중치를 적용하여 해당 홈페이지가 악성 코드에 감염되었을 확률을 출력한다. 예를 들면, 가중치를 적용하지 않는 경우 악성코드에 감염된 것으로 판별한 결과값들이 0개, 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 0%, 25%, 50%, 75%, 100%로 출력할 수 있다. 각 판별 결과값에 가중치를 적용하는 경우에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
610: 다운로드부
612: 웹소스 다운로드부
614: 파일 다운로드부
620: 데이터베이스
630: 검색부
632: 클래스 아이디 태그 검색부
634: 아이프레임 및 이미지 태그 검색부
636: 악성쉘코드 검색부
638: 파일 헤더값 검색부
640: 비교판별부
642: 제1 비교판별부
644: 제2 비교판별부
646: 제3 비교판별부
650: 수치화부

Claims (16)

  1. 홈페이지로부터 웹소스를 다운로드하는 단계;
    상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계; 및
    상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  2. 제1항에 있어서, 상기 취약점 클래스 아이디 태그값은
    "C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  3. 홈페이지로부터 웹소스를 다운로드하는 단계;
    상기 웹소스에 삽입된 파일을 다운로드하는 단계;
    상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계; 및
    상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  4. 제3항에 있어서, 상기 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함하고,
    상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
    상기 PE 파일은 exe 파일을 포함하고,
    정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
    정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
    정상 swf 파일의 헤더값은 "43 57 53" 이고,
    정상 exe 파일의 헤더값은 "4D 5A" 인
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  5. 홈페이지로부터 웹소스를 다운로드하는 단계;
    상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계; 및
    상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  6. 제5항에 있어서, 상기 비정상 태그 사이즈 패턴은
    "img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  7. 홈페이지로부터 웹소스를 다운로드하는 단계;
    상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
    상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  8. 제7항에 있어서, 상기 악성 쉘코드는
    "unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
    로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  9. 홈페이지로부터 웹소스를 다운로드하는 단계;
    상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계;
    상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계;
    상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계;
    상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계;
    상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
    상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  10. 제9항에 있어서, 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계에서,
    상기 홈페이지가 악성코드에 감염된 것으로 판별할 수 있는 조건들이 충족되는 개수에 기초하여 상기 홈페이지가 악성코드에 감염되었을 확률을 출력하는
    악성코드에 감염된 홈페이지를 탐지하는 방법.
  11. 홈페이지로부터 웹소스를 다운로드하거나 또는 상기 웹소스에 삽입된 파일을 다운로드하는 다운로드부;
    취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스;
    상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부; 및
    상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함하는
    악성코드에 감염된 홈페이지 탐지 장치.
  12. 제11항에 있어서, 상기 악성 쉘코드 검색부 및 상기 비교판별부로부터 입력되는 판별 결과값을 수치화하고 수치화된 각 판별 결과값에 가중치를 적용하여 상기 홈페이지가 악성 코드에 감염되었을 확률을 출력하는 수치화부를 더 포함하는
    악성코드에 감염된 홈페이지 탐지 장치.
  13. 제11항에 있어서, 상기 취약점 클래스 아이디 태그값은
    "C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지 탐지 장치.
  14. 제11항에 있어서, 상기 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함하고,
    상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
    상기 PE 파일은 exe 파일을 포함하고,
    정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
    정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
    정상 swf 파일의 헤더값은 "43 57 53" 이고,
    정상 exe 파일의 헤더값은 "4D 5A" 인
    악성코드에 감염된 홈페이지 탐지 장치.
  15. 제11항에 있어서, 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴은
    "img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지 탐지 장치.
  16. 제11항에 있어서, 상기 악성 쉘코드는
    "unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
    로 이루어진 군에서 선택되는
    악성코드에 감염된 홈페이지 탐지 장치.
KR1020110145760A 2011-12-29 2011-12-29 악성코드에 감염된 홈페이지 탐지 장치 및 방법 KR101327865B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145760A KR101327865B1 (ko) 2011-12-29 2011-12-29 악성코드에 감염된 홈페이지 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145760A KR101327865B1 (ko) 2011-12-29 2011-12-29 악성코드에 감염된 홈페이지 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130077184A KR20130077184A (ko) 2013-07-09
KR101327865B1 true KR101327865B1 (ko) 2013-11-12

Family

ID=48990487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145760A KR101327865B1 (ko) 2011-12-29 2011-12-29 악성코드에 감염된 홈페이지 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101327865B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102159399B1 (ko) * 2013-12-03 2020-09-23 주식회사 케이티 웹서버 모니터링 및 악성코드 분석 장치
CN105989284B (zh) * 2015-02-10 2019-01-11 阿里巴巴集团控股有限公司 网页入侵脚本特征的识别方法及设备
CN112580034B (zh) * 2019-09-30 2022-04-22 奇安信安全技术(珠海)有限公司 脱壳文件的验证方法及装置、存储介质、计算机设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (ko) * 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
KR20100073126A (ko) * 2008-12-22 2010-07-01 한국전자통신연구원 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법
KR20100123368A (ko) * 2009-05-15 2010-11-24 인포뱅크 주식회사 악성코드 분석 방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (ko) * 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
KR20100073126A (ko) * 2008-12-22 2010-07-01 한국전자통신연구원 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법
KR20100123368A (ko) * 2009-05-15 2010-11-24 인포뱅크 주식회사 악성코드 분석 방법 및 시스템

Also Published As

Publication number Publication date
KR20130077184A (ko) 2013-07-09

Similar Documents

Publication Publication Date Title
RU2607231C2 (ru) Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
JP5511097B2 (ja) 中央集中的にマルウェアを検出するための知的ハッシュ
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
US20070152854A1 (en) Forgery detection using entropy modeling
KR101874373B1 (ko) 난독화 스크립트에 대한 악성 스크립트 탐지 방법 및 그 장치
US8307276B2 (en) Distributed content verification and indexing
JP5779334B2 (ja) 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
KR20150038738A (ko) 비밀 정보의 검출
CN109983464B (zh) 检测恶意脚本
EP1751649A1 (en) Systems and method for computer security
US11580220B2 (en) Methods and apparatus for unknown sample classification using agglomerative clustering
JP2005522800A (ja) 悪性コードを検知するシステム及び方法
CN110034921A (zh) 基于带权模糊hash的webshell检测方法
US8726377B2 (en) Malware determination
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
KR101327865B1 (ko) 악성코드에 감염된 홈페이지 탐지 장치 및 방법
US8484232B2 (en) Method, computer arrangement, computer program and computer program product for checking for the presence of control statements in a data value
JP6297425B2 (ja) 攻撃コード検出装置、攻撃コード検出方法、及びプログラム
US20130179975A1 (en) Method for Extracting Digital Fingerprints of a Malicious Document File
JP6169497B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
US8132258B1 (en) Remote security servers for protecting customer computers against computer security threats
KR101526500B1 (ko) 정보 엔트로피를 이용한 악성 의심 웹사이트 탐지 방법 및 시스템
JP6194180B2 (ja) 文章マスク装置及び文章マスクプログラム
CN114003907A (zh) 恶意文件检测方法、装置、计算设备及存储介质
US10515219B2 (en) Determining terms for security test

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191105

Year of fee payment: 7