KR101514984B1 - Detecting system for detecting Homepage spreading Virus and Detecting method thereof - Google Patents

Detecting system for detecting Homepage spreading Virus and Detecting method thereof Download PDF

Info

Publication number
KR101514984B1
KR101514984B1 KR1020140024818A KR20140024818A KR101514984B1 KR 101514984 B1 KR101514984 B1 KR 101514984B1 KR 1020140024818 A KR1020140024818 A KR 1020140024818A KR 20140024818 A KR20140024818 A KR 20140024818A KR 101514984 B1 KR101514984 B1 KR 101514984B1
Authority
KR
South Korea
Prior art keywords
malicious code
server
information
homepage
web
Prior art date
Application number
KR1020140024818A
Other languages
Korean (ko)
Inventor
반성익
Original Assignee
(주)엠씨알시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엠씨알시스템 filed Critical (주)엠씨알시스템
Priority to KR1020140024818A priority Critical patent/KR101514984B1/en
Application granted granted Critical
Publication of KR101514984B1 publication Critical patent/KR101514984B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance

Abstract

The present invention discloses a system for detecting hompage malicious code spread which is connected via at least one hosting server providing homepage of website, zombie web server spreading the malicious code, and the network. The system includes: a database to save the website address, vaccine information, and malicious code spread pattern of a hosting server to be monitored; a server for notifying information, if it connects to the website address of the hosting server to perform certain behavior, which can be done by an Internet user, and if at least one behavioral pattern provided by the hosting server matches the malicious code spread pattern stored in the database, to the hosting server or the zombie web server. The system can connect to web pages of several websites in order to perform different user activities; detect any behavior of the malicious code spread; and notify the malicious code hosting server or zombie web server of it so that it can take an action before the malicious code is spread through this behavior.

Description

홈페이지 악성코드 유포 탐지 시스템 및 방법{Detecting system for detecting Homepage spreading Virus and Detecting method thereof}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system and a method for detecting a malicious code,

본 발명은 홈페이지 악성코드 유포 탐지 시스템 및 방법에 관한 것으로 특히, 다양한 홈페이지를 통해 인터넷 사용자들의 단말기에 감염시키는 악성코드를 탐지하여 홈페이지 운영자에게 알려주는 서비스를 제공하는 홈페이지 악성코드 유포 탐지 시스템 및 방법에 관한 것이다. The present invention relates to a homepage malicious code distribution detection system and method, and more particularly, to a home page malicious code distribution detection system and method for detecting a malicious code infecting terminals of Internet users through various homepages, .

일반적으로 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성코드(Malicious Code)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. In general, the propagation route of malicious software or malicious code through a communication network has been diversified due to the surging wave of the Internet, and the degree of the damage is increasing every year.

악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.Malicious code refers to software that is intentionally made to perform malicious activities such as destroying the system or leaking information against the will and interest of the user. These types of malicious code include hacking tools such as viruses, worms, trojans, backdoors, Logic Bombs, Trap Doors, and malicious spyware spyware, and adware. They have self-replicating and self-replicating functions, such as leakage of personal information such as user ID and password, control of target system, file deletion change / system destruction, denial of application / system service, leakage of key data, installation of other hacking programs The damage is very diverse and serious.

인터넷이 발달함에 따라 웹 사이트의 수는 폭발적으로 증가하고 있으며, 모든 웹 사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어렵게 되었다. 따라서, 최근에는 보안 상태가 취약한 웹 사이트를 해킹하여 악성 코드를 숨겨놓고, 상기 웹 사이트에 방문하거나 상기 웹 사이트와 링크된 사이트에 방문하는 방문자들이 악성 코드에 감염되도록 하는 신종 해킹 수법이 증가하고 있다. 특히 악성 코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터시스템이나 보안에 치명적인 피해를 가할 수 있다.With the development of the Internet, the number of Web sites has exploded and it has become virtually impossible to keep the security of all Web sites at a certain level. Recently, there has been an increasing number of new hacking methods for hacking a web site with a weak security status and hiding malicious code and causing visitors visiting the web site or visiting the site linked to the web site to infect malicious code . In particular, malicious codes are designed to break down or leak confidential information on a user's computer or network depending on the type of the malicious code, which can be devastating to the user's computer system or security.

하지만, 새로이 만들어지는 악성 코드는 기존에 만들어진 컴퓨터 백신으로 검사하거나 치유할 수 없는 경우가 대부분이다. 따라서 사용자가 주의를 기울이지 않으면, 해당 웹 사이트 서버의 관리자 및 해당 사이트 방문자가 악성 코드 감염 여부를 느끼지 못한 상태에서, 네트워크를 통하여 악성 코드가 빠른 속도로 확산된다.However, the newly created malicious code can not be checked or healed by the existing computer vaccine. Therefore, if the user is not careful, the malicious code spreads rapidly through the network in the state where the administrator of the website server and the visitor of the site do not feel infected with the malicious code.

그러나 현재까지는 악성 코드로 인하여 실질적으로 피해를 입은 웹 사이트 서버 관리자 또는 사용자들이 해킹피해 사이트나 백신 제조 사이트에 이를 신고함으로써, 후속 조치들이 이루어지는 것이 일반적이었다. 즉, 악성 코드의 발견 및 대응이 전적으로 사용자 신고 위주로 되어있어 침해 사이트를 발견하고 악성 코드 유포를 방지하는 작업이 신속하게 이루어질 수 없었다.However, up until now, it has been common for web site server administrators or users who have been substantially harmed by malicious code to report this to a hacked site or a vaccine manufacturing site. In other words, malicious code discovery and response were entirely user-reported, and it was not possible to quickly find malicious code and prevent the spread of malicious code.

따라서 실질적으로 피해자가 피해 사실을 인지하기까지 이미 급속도로 악성 코드가 번져나간 상태인 경우가 대부분이므로, 최초 유포자를 찾아내 처벌하거나 악성 코드에 감염된 모든 컴퓨터 시스템 및 서버를 치유하고 복구하는 것은 현실적으로 불가능했다. 그러므로 이러한 악성 코드 감염에 의한 피해 확산을 방지하기 위해서는 조기에 악성 코드 감염 여부를 탐지하고 및 자동으로 신속하게 차단할 수 있는 시스템 개발이 절실하다.Therefore, it is practically impossible to detect and punish the original distributors or to heal and recover all computer systems and servers infected by malicious code, since the malicious code is already rapidly spreading before the victim actually recognizes the victim. did. Therefore, in order to prevent the spread of malicious code infection, it is urgent to develop a system that can detect malicious code infection early and automatically shut down quickly.

따라서 이러한 서비스를 제공하는 종래기술이 국내등록특허 10-0789722호에 개시되어 있다.Accordingly, a conventional technique for providing such a service is disclosed in Korean Patent No. 10-0789722.

그런데 이러한 종래기술은 백신에 기반하여 악성코드를 탐지하고 있다.However, this conventional technology detects malicious code based on a vaccine.

그러나 최근의 해커들은 악성코드에 대한 백신이 개발되지 않은 기간인 제로데이 취약점이 있는 웹사이트를 해킹하여 악성코드를 심어 놓고 인터넷 사용자들은 이로 인한 악성코드의 피해를 입게 되는 문제가 있다.However, recent hackers are hacking websites that have zero-day vulnerabilities during the period when the vaccine against malicious code has not been developed, so that malicious code is planted and Internet users suffer malicious code.

특히, 해당 홈페이지에 악성코드가 발생하는 경우, 해당 기업의 이미지가 실추될 수 있고, 접속고객이 감소하고, 고객 피해를 해결해야하며, 서비스에 대한 불신으로 매출이 하락할 수도 있다.
In particular, malicious code on the homepage may cause the image of the company to be lost, the number of connecting customers to decrease, the damage to the customer, and the sales may drop due to the mistrust of the service.

본 발명이 해결하고자 하는 과제는 종래의 단점을 해결하고자 하는 것으로, 복수 개의 웹사이트의 웹페이지에 접속하여 다양한 유저활동을 하며, 악성코드 유포에 관련된 행위가 일어나는지를 탐지하고, 이러한 행위로 인하여 악성코드가 배포되기 전에 악성코드 호스팅 서버 또는 좀비 웹 서버에 이를 알려주고 조취를 취할 수 있도록 하는 홈페이지 악성코드 유포 탐지 시스템 및 방법을 제공하는 것이다.Disclosure of Invention Technical Problem [8] The present invention has been made to solve the conventional disadvantages of the prior art, and it is an object of the present invention to provide a web page management system, The present invention provides a system and method for detecting a homepage malicious code distribution that allows a malicious code hosting server or a zombie web server to notify a malicious code hosting server before a code is distributed.

이러한 과제를 해결하기 위한 본 발명의 특징에 따른 홈페이지 악성코드 유포 탐지 시스템은,According to an aspect of the present invention, there is provided a homepage malicious code distribution system,

적어도 하나의 웹사이트의 홈페이지를 제공하는 호스팅 서버, 악성코드를 유포하는 좀비 웹서버와 네트워크를 통해 연결되는 홈페이지 악성코드 유포 탐지 시스템으로서,A homepage malicious code distribution system connected through a network with a hosting server providing a homepage of at least one web site and a zombie web server distributing malicious code,

감시할 호스팅 서버의 웹사이트 주소, 백신정보 및 악성코드 유포행위의 패턴을 저장하는 데이터베이스부;A database unit for storing a website address of a hosting server to be monitored, vaccine information, and a pattern of malicious code distribution behavior;

상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하고, 그에 따라 상기 호스팅 서버가 제공하는 적어도 하나의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 서버를 포함한다.At least one behavior pattern provided by the hosting server is associated with the malicious code distribution pattern stored in the database unit by accessing a web site address of the hosting server and executing a predetermined action that the internet user can perform, And notifies the hosting server or the zombie web server of the information.

상기 데이터베이스부는,The database unit,

감시할 호스팅 서버의 웹사이트 주소 및 연락처 정보를 저장하는 회원정보 DB;A member information DB storing a website address and contact information of a hosting server to be monitored;

알려진 악성코드 및 이를 치료하는 백신정보를 저장하는 백신정보 DB;A vaccine information DB storing known malicious codes and vaccine information for treating them;

악성코드 유포행위의 패턴을 저장하는 유포패턴 정보 DB를 포함한다.And a spread pattern information DB for storing patterns of malicious code spreading behavior.

상기 서버는,The server comprises:

상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하는 웹봇;A web server accessing a web site address of the hosting server and executing a predetermined action that an internet user can perform;

상기 웹봇이 실행하는 동작에 따라 상기 호스팅 서버가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출하는 엔진부;An engine unit for analyzing and extracting contents and script code provided by the hosting server according to an operation executed by the webbot;

상기 엔진부에서 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하지 판단하고, 상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 판단부를 포함한다.Judges that the behavior pattern of the content and the script code extracted from the engine section does not correspond to the malicious code distribution pattern of behavior stored in the database section and that the behavior pattern of the extracted contents and the script code corresponds to the malicious code distribution pattern And notifies the hosting server or the zombie web server of the information.

상기 판단부는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템으로 요청하는 것을 특징으로 한다.And the determination unit may request the system of the external vaccine manufacturer if the extracted content corresponds to a malicious code.

상기 판단부는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 상기 데이터베이스부를 참조하여 판단하는 것을 특징으로 한다.The determination unit may determine whether the extracted content corresponds to a malicious code by referring to the database unit.

이러한 과제를 해결하기 위한 본 발명의 특징에 따른 홈페이지 악성코드 유포 탐지 방법은,In order to solve such a problem, a home page malicious code distribution detecting method according to an aspect of the present invention,

감시할 호스팅 서버의 웹사이트 주소, 백신정보 및 악성코드 유포행위의 패턴을 저장하는 데이터베이스부를 구비하고, 적어도 하나의 웹사이트의 홈페이지를 제공하는 호스팅 서버, 악성코드를 유포하는 좀비 웹서버와 네트워크망을 통해 연결되는 홈페이지 악성코드 유포 탐지 시스템의 홈페이지 악성코드 유포 탐지 방법으로서,A host server for providing a homepage of at least one web site, a zombie web server for distributing a malicious code, and a network server for providing a homepage of at least one web site, and a database unit for storing a web site address, a vaccine information, A homepage malicious code distribution system detecting homepage malicious code distribution system,

서버가 상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하는 단계;The server accessing the web site address of the hosting server and executing a predetermined action that the internet user can perform;

상기 서버가 실행하는 동작에 따라 상기 호스팅 서버가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출하는 단계;Analyzing and extracting a content and a script code provided by the hosting server according to an operation executed by the server;

상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하지 판단하는 단계;Determining whether a behavior pattern of the extracted content and the script code corresponds to the malicious code distribution behavior pattern stored in the database unit;

상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 상기 서버가 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 단계를 포함한다.And the server notifies the host server or the zombie web server of the behavior pattern of the extracted content and the script code corresponding to the malicious code distribution behavior pattern.

상기 방법은,The method comprises:

상기 서버가 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템으로 요청하는 단계를 더 포함한다.And the server further includes a step of requesting the system of the external vaccine manufacturer whether the extracted content corresponds to a malicious code.

상기 방법은,The method comprises:

상기 서버가 상기 추출된 콘텐츠가 악성코드에 해당하는 지 상기 데이터베이스부를 참조하여 판단하는 단계를 더 포함한다.
The server further includes a step of referring to the database unit to determine whether the extracted content corresponds to a malicious code.

본 발명의 실시예에서는 복수 개의 웹사이트의 웹페이지에 접속하여 다양한 유저활동을 하며, 악성코드 유포에 관련된 행위가 일어나는지를 탐지하고, 이러한 행위로 인하여 악성코드가 배포되기 전에 악성코드 호스팅 서버 또는 좀비 웹 서버에 이를 알려주고 조취를 취할 수 있도록 하는 홈페이지 악성코드 유포 탐지 시스템 및 방법을 제공할 수 있다.According to the embodiment of the present invention, various user activities are performed by accessing a web page of a plurality of web sites, and it is detected whether an action related to the distribution of malicious code occurs, and before the malicious code is distributed due to such action, It is possible to provide a homepage malicious code distribution detection system and method that can inform the web server and take an action.

도 1은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 방법의 동작 흐름도이다.
도 3은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에서는 탐지 대상인 악성코드 유포패턴의 예를 나타낸 도면이다.
도 4 및 도 5는 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에서 탐지하는 Iframetag가 삽입된 홈페이지 예를 나타낸 도면이다.
도 6은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에 적용되는 악성코드를 다운받는 코드의 예를 나타낸 도면이다.1 is a block diagram of a homepage malicious code distribution system according to an embodiment of the present invention.
FIG. 2 is a flowchart illustrating a homepage malicious code distribution method according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating an example of a malicious code distribution pattern to be detected in the homepage malicious code distribution detection system according to the embodiment of the present invention.
4 and 5 are views showing an example of a homepage in which an Iframetag detected in a homepage malicious code distribution detection system according to an embodiment of the present invention is inserted.
6 is a diagram illustrating an example of a code for downloading malicious code applied to a homepage malicious code distribution detection system according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.

도 1은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템의 구성도이다.1 is a block diagram of a homepage malicious code distribution system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템은,Referring to FIG. 1, a homepage malicious code distribution detection system according to an embodiment of the present invention includes:

적어도 하나의 웹사이트의 홈페이지를 제공하는 호스팅 서버(400), 악성코드를 유포하는 좀비 웹서버(500)와 네트워크망(200)을 통해 연결되는 홈페이지 악성코드 유포 탐지 시스템(100)으로서,A homepage malicious code distribution system (100) connected via a network (200) to a host server (400) providing a homepage of at least one web site, a zombie web server (500)

감시할 호스팅 서버(400)의 웹사이트 주소, 백신정보 및 악성코드 유포행위의 패턴을 저장하는 데이터베이스부(120);A database unit 120 for storing a website address of the hosting server 400 to be monitored, vaccine information, and patterns of malicious code distribution activities;

상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하고, 그에 따라 상기 호스팅 서버(400)가 제공하는 적어도 하나의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버(400) 또는 상기 좀비 웹서버(500)로 통지하는 서버(110)를 포함한다.At least one behavior pattern provided by the hosting server (400) is transmitted to the web site address of the hosting server by executing a predetermined action that the internet user can perform, And a server 110 for notifying the host server 400 or the zombie web server 500 of information on the pattern.

상기 데이터베이스부(120)는,The database unit 120 may include:

감시할 복수개의 호스팅 서버(400)의 웹사이트 주소 및 연락처 정보를 저장하는 회원정보 DB;A member information DB storing a website address and contact information of a plurality of hosting servers 400 to be monitored;

알려진 악성코드 및 이를 치료하는 백신정보를 저장하는 백신정보 DB(112);A vaccine information DB 112 for storing known malicious codes and vaccine information for treating them;

악성코드 유포행위의 패턴을 저장하는 유포패턴 정보 DB(113)를 포함한다.And a spread pattern information DB 113 for storing patterns of malicious code spreading behavior.

상기 서버(110)는,The server (110)

상기 호스팅 서버(400)의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하는 웹봇(111);A web server 111 accessing a web site address of the hosting server 400 and executing a predetermined action that an internet user can perform;

상기 웹봇이 실행하는 동작에 따라 상기 호스팅 서버가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출하는 엔진부(112);An engine unit (112) for analyzing and extracting contents and script codes provided by the hosting server according to an operation executed by the webbot;

상기 엔진부(112)에서 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 데이터베이스부(120)에 저장된 상기 악성코드 유포행위 패턴에 해당하지 판단하고, 상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버(400) 또는 상기 좀비 웹서버(500)로 통지하는 판단부(113)를 포함한다.Judges that the behavior pattern of the content and the script code extracted by the engine unit 112 does not correspond to the malicious code distribution pattern of behavior stored in the database unit 120, And a determination unit (113) for notifying the host server (400) or the zombie web server (500) of information on the code distribution pattern.

상기 판단부(113)는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템(600)으로 요청하는 것을 특징으로 한다. 상기 판단부(113)는 상기 추출된 콘텐츠가 악성코드에 해당하는지 상기 데이터베이스부(120)를 참조하여 판단하는 것을 특징으로 한다.The determination unit 113 requests the system 600 of the external vaccine manufacturer to determine whether the extracted content corresponds to a malicious code. The determination unit 113 determines whether the extracted content corresponds to a malicious code by referring to the database unit 120.

이러한 구성을 가진 본 발명의 특징에 따른 홈페이지 악성코드 유포 탐지 시스템의 동작에 관하여 상세히 설명하면 다음과 같다.The operation of the homepage malicious code distribution detection system according to the present invention having such a configuration will be described in detail as follows.

도 2는 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 방법의 동작 흐름도이고, 도 3은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에서는 탐지 대상인 악성코드 유포패턴의 예를 나타낸 도면이고, 도 4 및 도 5는 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에서 탐지하는 Iframetag가 삽입된 홈페이지 예를 나타낸 도면이고, 도 6은 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템에 적용되는 악성코드를 다운받는 코드의 예를 나타낸 도면이다.FIG. 2 is an operational flowchart of a homepage malicious code distribution detecting method according to an embodiment of the present invention. FIG. 3 is a view showing an example of a malicious code distribution pattern to be detected in a homepage malicious code distribution detection system according to an embodiment of the present invention 4 and 5 are views showing an example of a homepage in which an Iframetag detected in a homepage malicious code distribution detection system according to an embodiment of the present invention is inserted. FIG. 6 is a view showing a homepage malicious code distribution detection system according to an embodiment of the present invention FIG. 2 is a diagram showing an example of a code for downloading a malicious code to be applied to FIG.

먼저, 호스팅 서버(400)의 운영자들은 회원 가입을 통해 자신의 서버의 웹사이트 주소를 알려주고, 최신의 백신정보와 악성코드 유포행위의 패턴을 데이터베이스부(120) 미리 저장해두고 주기적으로 업데이트를 한다.First, the administrators of the hosting server 400 notify the web site address of their server through subscription, store the latest vaccine information and malicious code distribution patterns in advance in the database unit 120, and periodically update them.

여기서 악성코드 유포행위의 패턴은 기존에 알려져 있으며, 도 3과 같다. 이러한 유포 패턴은 필요에 따라 수정, 추가 및 삭제가 가능하다.Here, the pattern of malicious code propagation is known in the art and is shown in FIG. These spread patterns can be modified, added and deleted as needed.

도 3을 참조하면, 악성코드 유포행위 패턴은 아이프레임 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그 등이 포함될 수 있다.Referring to FIG. 3, the malicious code distribution pattern may include an i-frame tag, an embed, an object tag, a link tag, a script tag, a JavaScript tag, and the like.

여기서, 아이프레임(inline frame, iframe)은 하이퍼 텍스트 생성 언어(HTML) 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여 주는 내부 프레임(inline frame) 태그. 이미지 태그로 그림 파일을 문서에 포함시키는 것과 유사하며, 넷스케이프에서는 동작하지 않는다.(출처: IT용어사전, 한국정보통신기술협회)Here, an inline frame (iframe) is an inline frame tag that shows another HTML document at an arbitrary position in a hypertext generation language (HTML) document. It is similar to embedding picture files in image tags, and does not work in Netscape (Source: IT Glossary, Korea Information and Communications Technology Association)

그리고 스타일 시트(style sheet)는 넷스케이프 커뮤니케이터(Netscape Communicator)와 마이크로소프트 익스플로러(Microsoft Explorer) 최신 버전이 발표되면서 새롭게 지원되는 HTML 형식. 워드 프로세서의 스타일과 같은 기능으로, HTML로 보여주는 홈페이지의 여러 가지 속성들(폰트 종류와 크기, 여백, 글자색, 배경색, 정렬 등)을 미리 지정 하는 데 사용될 수 있다. 즉, 홈페이지를 만드는 데 사용될 여러 가지 스타일들을 미리 정의해놓은 후, 원하는 곳에 이 스타일을 지정하면 손쉽게 홈페이지의 일관성을 유지할 수 있을 것이다. 예를 들어 제목에는 언제나 명조체, 가운데 정렬, 글자 크기 15로 정의된 스타일을 지정하고, 본문에는 고딕체, 왼쪽 정렬, 글자 크기 10으로 정의된 스타일을 지정하는 것이다. 주요 스타일 시트에는 CSS(cascading style sheets)와 XSL(extensible style sheet language)이 있으며, CSS는 간단한 레이아웃을 지정할 때 이용되고, XSL은 보다 복잡한 지정이 가능하지만 HTML에서는 사용할 수 없고, XML이나 XHTML에 대해서만 사용이 가능하다.And the style sheet is the newly supported HTML format with the release of the latest version of Netscape Communicator and Microsoft Explorer. It can be used to specify various attributes (font type and size, margins, font color, background color, sorting, etc.) of the homepage displayed in HTML by functions such as the style of a word processor. In other words, after predefining various styles to be used to create homepages, you can easily maintain consistency of homepage by assigning this style to the desired place. For example, a title always has a style defined by Ming, a center, a font size of 15, and a style defined by Gothic, left-aligned, and font size 10 in the body. The main stylesheets are cascading style sheets (CSS) and extensible style sheet language (XSL). CSS is used to specify simple layouts. XSL can be specified more complexly, but can not be used in HTML and only for XML or XHTML It is possible to use.

예를 들어 대부분의 해커들은 취약한 호스트 서버(400)의 웹페이지 1에 드랍퍼(DROPPER)를 심어 놓고, 웹페이지 2에 키로그와 데이터유출 파일을 심어 놓는다. 그 예를 도 4 또는 도 5에 도시하였다.For example, most hackers plant a dropper (DROPPER) on Web page 1 of a vulnerable host server (400) and a keylog and a data leak file on web page 2. An example thereof is shown in Fig. 4 or Fig.

도 4 또는 도 5를 참조하면, 웹페이지에 아이프레임 태그 형태로 악성코드를 심어 놓은 것을 볼 수 있다.Referring to FIG. 4 or 5, it can be seen that a malicious code is embedded in a web page in the form of an eye frame tag.

그리고 나서 사용자 단말기(700)가 호스팅 서버(400)에 접속하여 웹페이지 1을 열면, 자동으로 드랍퍼를 다운받는다.Then, when the user terminal 700 accesses the hosting server 400 and opens the web page 1, the user terminal 700 automatically downloads the dropper.

악성코드에 감염된 사용자 단말기(700)는 드랍퍼를 통해 웹페이지 2에 실제 악성행위(키로깅, 데이터 유출)를 수행하는 파일을 다운받고 되며, 이러한 상태에서 사용자 단말기(700)는 주기적으로 단말기의 특정 정보를 수집하여 원격으로 전송하게 된다. 여기서 웹사이트 2는 좀비 웹서버(500)의 웹사이트 일 수 있다. 이러한 예를 도 6에 도시하였다.The user terminal 700 infected with the malicious code downloads a file for performing malicious acts (key logging, data leakage) on the web page 2 through the dropper. In this state, the user terminal 700 periodically Specific information is collected and transmitted remotely. Here, the web site 2 may be a web site of the zombie web server 500. Such an example is shown in Fig.

도 6을 참조하면, 정보를 다운로드 받으라는 명령어에 의해 악성코드가 다운로드 되고, 다운로드된 파일이 실행되어 주기적으로 정보를 빼돌리게 된다. Referring to FIG. 6, a malicious code is downloaded by an instruction to download information, and the downloaded file is executed to periodically extract information.

본 발명의 실시예에서는 이러한 행위 패턴을 감시함으로써 백신이 나오기 전이라도 이러한 행위가 일어나면 위험한 것이므로 호스트 서버(400) 및 좀비 웹서버(500)에 알려주어 조치를 취하도록 할 수 있다.In the embodiment of the present invention, it is dangerous if such an action occurs even before the vaccine comes out by monitoring the behavior pattern, so that the host server 400 and the zombie web server 500 can be informed and take action.

그러면 이러한 본 발명의 실시예에 따른 홈페이지 악성코드 유포 탐지 시스템의 동작에 관하여 설명한다. The operation of the homepage malicious code distribution detection system according to the embodiment of the present invention will now be described.

도 2를 참조하면, 웹봇(111)은 회원정보 DB(121)를 참조하여 회원사의 호스팅 서버(400)에 접속한다(S210). 그리고 나서, 실제 웹서핑하는 사용자들처럼 다양한 웹페이지의 각종 카테고리를 선택 및 실행한다(S220).Referring to FIG. 2, the web bot 111 refers to the member information DB 121 and accesses the hosting server 400 of the member company (S210). Then, various categories of various web pages are selected and executed as in actual web surfing users (S220).

이때, 호스팅 서버(400)는 웹봇(111)의 요청에 따라 다양한 인터넷 서비스를 제공하게 된다.At this time, the hosting server 400 provides various Internet services according to the request of the web bot 111.

그리고 필요에 따라 정상적인 컨텐츠 또는 코드가 웹봇(111)에 다운될 수도 있고, 악성코드가 다운될 수도 있다. If necessary, the normal content or code may be downloaded to the webbot 111 or the malicious code may be downloaded.

그러면, 엔진부(112)는 상기 웹봇(111)이 실행하는 동작에 따라 상기 호스팅 서버(400)가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출한다(S230). 예를 들면 Then, the engine unit 112 analyzes and extracts the content and the script code provided by the hosting server 400 according to the operation performed by the webbot 111 (S230). For example

웹페이지 1을 열어 호스팅 서버(400)에서 자동으로 드랍퍼를 다운받는 행위와, 드랍퍼를 통해 좀비 웹서버(500)가 제공하는 웹페이지 2에 접속하여 실제 악성행위(키로깅, 데이터 유출)를 수행하는 파일을 다운받는 행위 등을 감시하게 된다.(Key logging, data leakage) by accessing the web page 2 provided by the zombie web server 500 through the dropper, receiving the dropper automatically from the hosting server 400 by opening the web page 1, And downloading a file to be executed.

그리고 나서, 판단부(113)가 상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 유포패턴 DB(123)에 저장된 상기 악성코드 유포행위 패턴에 해당하는지 판단한다(S240). Then, the determination unit 113 determines whether the behavior pattern of the extracted content and the script code corresponds to the malicious code distribution behavior pattern stored in the distribution pattern DB 123 (S240).

판단결과, 상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 판단부(113)가 이에 대한 결과 정보를 상기 호스팅 서버(400) 또는 상기 좀비 웹서버(500)로 통지하여 웹서비스를 중단하도록 한다(S250).If the extracted content and the behavior pattern of the script code correspond to the malicious code distribution pattern, the determination unit 113 transmits the result information to the hosting server 400 or the zombie web server 500 And stops the web service (S250).

그리고 나서, 판단부(113)는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템(600)으로 요청하고, 추후에 결과가 수신되거나 백신정보가 수신되면, 이를 호스팅 서버(400) 또는 좀비 웹서버(500)에 제공할 수 있다(S260).Then, when the result is received or the vaccine information is received at the later time, the judging unit 113 requests the system 600 of the external vaccine manufacturer that the extracted content corresponds to the malicious code, ) Or to the zombie web server 500 (S260).

또한, 판단부(113)는 자체적으로 상기 추출된 콘텐츠가 악성코드에 해당하는 지 상기 데이터베이스부(120)의 백신정보 DB(122)를 참조하여 판단하고, 판단결과를 호스팅 서버(400) 또는 좀비 웹서버(500)에 제공할 수 있다(S260).The determination unit 113 determines whether the extracted content corresponds to a malicious code by referring to the vaccine information DB 122 of the database unit 120 and transmits the determination result to the hosting server 400 or the zombie To the web server 500 (S260).

이러한 본 발명의 실시예에서는 해커시스템(300)으로부터 악성코드가 유포되고나서 백신제조회사 시스템(600)에서 백신을 개발하기 전에도 악성코드 유포 행위를 감시하여 악성코드 유포가 의심되는 경우 이에 대한 방지를 함으로써 다수의 사용자 피해를 방지할 수 있다.According to the embodiment of the present invention, even if a malicious code is distributed from the hacker system 300 and the vaccine manufacturer system 600 develops a vaccine, the malicious code is monitored even if the malicious code is suspected. So that a large number of users can be prevented from being damaged.

특히, 해당 홈페이지에 악성코드가 발생하는 경우라도, 해당 기업의 이미지가 실추되는 것을 방지할 수 있고, 접속고객이 감소하고, 고객 피해를 해결해야하는 문제를 미연에 방지할 수 있다. 그리고 해당 기업은 서비스에 대한 불신으로 매출이 하락하는 것을 방지할 수 있다.
In particular, even when a malicious code is generated on the homepage, it is possible to prevent the image of the corporation from being lost, to prevent a problem that the number of connection customers decreases and the damage to the customer should be solved. And the company can prevent the sales from falling due to the distrust of the service.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (5)

적어도 하나의 웹사이트의 홈페이지를 제공하는 호스팅 서버, 악성코드를 유포하는 좀비 웹서버와 네트워크망을 통해 연결되는 홈페이지 악성코드 유포 탐지 시스템으로서,
감시할 호스팅 서버의 웹사이트 주소, 백신정보 및 악성코드 유포행위의 패턴을 저장하는 데이터베이스부;
상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하고, 그에 따라 상기 호스팅 서버가 제공하는 적어도 하나의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 서버를 포함하고,
상기 데이터베이스부는,
감시할 호스팅 서버의 웹사이트 주소 및 연락처 정보를 저장하는 회원정보 DB;
알려진 악성코드 및 이를 치료하는 백신정보를 저장하는 백신정보 DB;
악성코드 유포행위의 패턴을 저장하는 유포패턴 정보 DB를 포함하고,
상기 서버는,
상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하는 웹봇;
상기 웹봇이 실행하는 동작에 따라 상기 호스팅 서버가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출하는 엔진부;
상기 엔진부에서 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하지 판단하고, 상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 판단부를 포함하며,
상기 판단부는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템으로 요청하고,
상기 판단부는 상기 추출된 콘텐츠가 악성코드에 해당하는 지 상기 데이터베이스부를 참조하여 판단하며,
상기 악성코드 유포행위 패턴은 아이프레임 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그중 적어도 하나를 포함하는 홈페이지 악성코드 유포 탐지 시스템.A homepage malicious code distribution system connected through a network with a hosting server providing a homepage of at least one web site and a zombie web server distributing malicious code,
A database unit for storing a website address of a hosting server to be monitored, vaccine information, and a pattern of malicious code distribution behavior;
At least one behavior pattern provided by the hosting server is associated with the malicious code distribution pattern stored in the database unit by accessing a web site address of the hosting server and executing a predetermined action that the internet user can perform, And notifies the hosting server or the zombie web server of the information,
The database unit,
A member information DB storing a website address and contact information of a hosting server to be monitored;
A vaccine information DB storing known malicious codes and vaccine information for treating them;
A distribution pattern information DB for storing a pattern of a malicious code distribution behavior,
The server comprises:
A web server accessing a web site address of the hosting server and executing a predetermined action that an internet user can perform;
An engine unit for analyzing and extracting contents and script code provided by the hosting server according to an operation executed by the webbot;
Judges that the behavior pattern of the content and the script code extracted from the engine section does not correspond to the malicious code distribution pattern of behavior stored in the database section and that the behavior pattern of the extracted contents and the script code corresponds to the malicious code distribution pattern And notifying the hosting server or the zombie web server of the information,
The judging unit may request the system of the external vaccine manufacturing company that the extracted content corresponds to a malicious code,
Wherein the determination unit determines whether the extracted content corresponds to a malicious code by referring to the database unit,
The malicious code distribution pattern includes at least one of an i-frame tag, an embedded tag, an object tag, a link tag, a script tag, and a JavaScript tag. 삭제delete 삭제delete 감시할 호스팅 서버의 웹사이트 주소, 백신정보 및 악성코드 유포행위의 패턴을 저장하는 데이터베이스부를 구비하고, 적어도 하나의 웹사이트의 홈페이지를 제공하는 호스팅 서버, 악성코드를 유포하는 좀비 웹서버와 네트워크망을 통해 연결되는 홈페이지 악성코드 유포 탐지 시스템의 홈페이지 악성코드 유포 탐지 방법으로서,
서버가 상기 호스팅 서버의 웹사이트 주소에 접속하여 인터넷 사용자가 할 수 있는 소정의 행위를 실행하는 단계;
상기 서버가 실행하는 동작에 따라 상기 호스팅 서버가 제공하는 콘텐츠 및 스크립트 코드를 해석하고 추출하는 단계;
상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 데이터베이스부에 저장된 상기 악성코드 유포행위 패턴에 해당하지 판단하는 단계;
상기 추출된 콘텐츠 및 스크립트 코드의 행위 패턴이 상기 악성코드 유포행위 패턴에 해당하는 경우 상기 서버가 이에 대한 정보를 상기 호스팅 서버 또는 상기 좀비 웹서버로 통지하는 단계를 포함하고,
상기 서버가 상기 추출된 콘텐츠가 악성코드에 해당하는 지 외부 백신제조회사의 시스템으로 요청하는 단계;
상기 서버가 상기 추출된 콘텐츠가 악성코드에 해당하는 지 상기 데이터베이스부를 참조하여 판단하는 단계를 더 포함하고,
상기 악성코드 유포행위 패턴은 아이프레임 태그, 임베드, 오브젝트 태그, 링크 태그, 스크립트 태그, 자바스크립트 태그중 적어도 하나를 포함하는 홈페이지 악성코드 유포 탐지 방법.



A host server for providing a homepage of at least one web site, a zombie web server for distributing a malicious code, and a network server for providing a homepage of at least one web site, and a database unit for storing a web site address, a vaccine information, A homepage malicious code distribution system detecting homepage malicious code distribution system,
The server accessing the web site address of the hosting server and executing a predetermined action that the internet user can perform;
Analyzing and extracting a content and a script code provided by the hosting server according to an operation executed by the server;
Determining whether a behavior pattern of the extracted content and the script code corresponds to the malicious code distribution behavior pattern stored in the database unit;
If the behavior pattern of the extracted contents and the script code corresponds to the malicious code distribution behavior pattern, the server notifies the host server or the zombie web server of the information,
Requesting, by the server, whether the extracted content corresponds to a malicious code or not, to a system of an external vaccine manufacturer;
Further comprising the step of the server determining whether the extracted content corresponds to a malicious code by referring to the database unit,
The malicious code distribution pattern includes at least one of an i-frame tag, an embedded tag, an object tag, a link tag, a script tag, and a JavaScript tag.



삭제delete
KR1020140024818A 2014-03-03 2014-03-03 Detecting system for detecting Homepage spreading Virus and Detecting method thereof KR101514984B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140024818A KR101514984B1 (en) 2014-03-03 2014-03-03 Detecting system for detecting Homepage spreading Virus and Detecting method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140024818A KR101514984B1 (en) 2014-03-03 2014-03-03 Detecting system for detecting Homepage spreading Virus and Detecting method thereof

Publications (1)

Publication Number Publication Date
KR101514984B1 true KR101514984B1 (en) 2015-04-24

Family

ID=53054050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140024818A KR101514984B1 (en) 2014-03-03 2014-03-03 Detecting system for detecting Homepage spreading Virus and Detecting method thereof

Country Status (1)

Country Link
KR (1) KR101514984B1 (en)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101577404B1 (en) * 2015-08-13 2015-12-28 인스소프트 주식회사 System and method for blocking access malware by using monitoring java-script object and computer program for executing the method
KR20160142268A (en) * 2016-11-30 2016-12-12 주식회사 에프원시큐리티 System for detecting and preventing malicious code based on website
KR101809159B1 (en) 2017-08-01 2017-12-14 주식회사 에프원시큐리티 A system for analyzing the risk of malicious codes using machine learning
RU2701040C1 (en) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Method and a computer for informing on malicious web resources
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof
KR20130071617A (en) * 2011-12-21 2013-07-01 한국인터넷진흥원 System and method for detecting variety malicious code

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof
KR20130071617A (en) * 2011-12-21 2013-07-01 한국인터넷진흥원 System and method for detecting variety malicious code

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101577404B1 (en) * 2015-08-13 2015-12-28 인스소프트 주식회사 System and method for blocking access malware by using monitoring java-script object and computer program for executing the method
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
KR20160142268A (en) * 2016-11-30 2016-12-12 주식회사 에프원시큐리티 System for detecting and preventing malicious code based on website
KR101688390B1 (en) 2016-11-30 2016-12-22 주식회사 에프원시큐리티 System for detecting and preventing malicious code based on website
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
KR101809159B1 (en) 2017-08-01 2017-12-14 주식회사 에프원시큐리티 A system for analyzing the risk of malicious codes using machine learning
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
NL2024002A (en) 2018-12-28 2020-07-10 Trust Ltd Method and computing device for informing about malicious web resources
RU2701040C1 (en) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Method and a computer for informing on malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Similar Documents

Publication Publication Date Title
KR101514984B1 (en) Detecting system for detecting Homepage spreading Virus and Detecting method thereof
Wurzinger et al. SWAP: Mitigating XSS attacks using a reverse proxy
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
CA2946695C (en) Fraud detection network system and fraud detection method
EP3113064B1 (en) System and method for determining modified web pages
Kirda et al. Client-side cross-site scripting protection
KR101672791B1 (en) Method and system for detection of vulnerability on html5 mobile web application
US20100037317A1 (en) Mehtod and system for security monitoring of the interface between a browser and an external browser module
CN107209831B (en) System and method for identifying network attacks
US20120272317A1 (en) System and method for detecting infectious web content
EP3281143A1 (en) Modifying web page code to include code to protect output
KR20070049514A (en) Malignant code monitor system and monitoring method using thereof
US20140283078A1 (en) Scanning and filtering of hosted content
CN109977673B (en) Vulnerability repairing method and system based on web website system security
US20060075468A1 (en) System and method for locating malware and generating malware definitions
Shalini et al. Prevention of cross-site scripting attacks (xss) on web applications in the client side
CN111628990A (en) Attack recognition method and device and server
US8127033B1 (en) Method and apparatus for accessing local computer system resources from a browser
KR100961149B1 (en) Method for detecting malicious site, method for gathering information of malicious site, apparatus, system, and recording medium having computer program recorded
CN113645234A (en) Honeypot-based network defense method, system, medium and device
Xu et al. JSCSP: A novel policy-based XSS defense mechanism for browsers
KR101372906B1 (en) Method and system to prevent malware code
KR101234066B1 (en) Web / email for distributing malicious code through the automatic control system and how to manage them
KR101688390B1 (en) System for detecting and preventing malicious code based on website
Barhoom et al. A new server-side solution for detecting cross site scripting attack

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180313

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190214

Year of fee payment: 5