KR101572239B1

KR101572239B1 - 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템

Info

Publication number: KR101572239B1
Application number: KR1020140172527A
Authority: KR
Inventors: 임채태; 정종훈; 배한철; 추현록; 장웅; 오상환; 윤수진
Original assignee: 한국인터넷진흥원
Priority date: 2014-12-03
Filing date: 2014-12-03
Publication date: 2015-11-26

Abstract

호스트 기반 악성 스크립트 탐지 장치 및 시스템이 제공된다. 상기 호스트 기반 악성 스크립트 탐지 장치는, 이벤트 리스너부, 메시지 수신부, 시그니처 수신부, 악성 스크립트 처리부, 악성 URL 처리부, 및 분석 결과 처리부를 포함하는 호스트 기반 악성 스크립트 탐지 장치에 있어서, 웹 페이지 요청 메시지 또는 웹 페이지 수신 메시지를 수신하여 분석 요청 메시지를 생성하는 이벤트 리스너부, 상기 분석 요청 메시지를 수신하여 분석 요청 타입을 확인하고, 상기 분석 요청 타입에 따라 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로 상기 분석 요청 메시지를 제공하는 메시지 수신부, 시그니처 관리 시스템으로부터 시그니처를 제공받는 시그니처 수신부, 상기 분석 요청 메시지에 따라 상기 시그니처 수신부로부터 시그니처를 제공받고, 요청된 스크립트에 대해 시그니처 매칭 동작을 수행하는 악성 스크립트 처리부, 상기 분석 요청 메시지에 포함된 URL이 악성 URL인지 판단하는 악성 URL 처리부, 및 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로부터 분석 결과를 제공받아 기 설정된 처리 모드에 따라 웹 페이지 요청을 처리하는 분석 결과 처리부를 포함한다.

Description

사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템{Apparatus and system for detection and execution prevention for malicious script in user browser level}

본 발명은 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템에 관한 것이다.

네트워크의 보안을 위해서는 우선 공격 패킷들의 특성을 파악하여 두는 작업이 필요하다. 이러한 공격 패킷의 특성을 시그니처(signature)로 등록해두고, 수신된 패킷에서 등록된 시그니처가 감지되면 그에 해당하는 보안정책을 적용하여 악성 사용자나 프로그램으로부터 대상 네트워크를 보호하게 된다.

네트워크상의 공격 패킷들의 특성을 추출하는 기술은 대부분 인터넷상의 웹 문서를 포함하는 전자문서들의 유사성을 검사하거나, 분류하는 기술을 기반으로 한다. 방대한 양의 전자 문서들 간의 유사성을 검사하기 위해서는, 우선 각각의 문서들이 가지는 특성을 간략하게 표현할 필요가 있다. 이렇게 간략화 된 문서들을 비교함으로써 유사성 검증에 소요되는 연산량을 최소화할 수 있다.

한국공개특허 제2012-0070018호에는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 관하여 개시되어 있다.

본 발명이 해결하고자 하는 과제는, 호스트 기반에서 악성 스크립트를 탐지하고, 이에 대한 실행 방지를 구현할 수 있는 호스트 기반 악성 스크립트 탐지 장치를 제공하는 것이다.

본 발명이 해결하고자 하는 다른 과제는, 호스트 기반에서 악성 스크립트를 탐지하고, 이에 대한 실행 방지를 구현할 수 있는 호스트 기반 악성 스크립트 탐지 시스템을 제공하는 것이다.

본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.

상기 과제를 해결하기 위한 본 발명의 호스트 기반 악성 스크립트 탐지 장치의 일 실시예는, 이벤트 리스너부, 메시지 수신부, 시그니처 수신부, 악성 스크립트 처리부, 악성 URL 처리부, 및 분석 결과 처리부를 포함하는 호스트 기반 악성 스크립트 탐지 장치에 있어서, 웹 페이지 요청 메시지 또는 웹 페이지 수신 메시지를 수신하여 분석 요청 메시지를 생성하는 이벤트 리스너부, 상기 분석 요청 메시지를 수신하여 분석 요청 타입을 확인하고, 상기 분석 요청 타입에 따라 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로 상기 분석 요청 메시지를 제공하는 메시지 수신부, 시그니처 관리 시스템으로부터 시그니처를 제공받는 시그니처 수신부, 상기 분석 요청 메시지에 따라 상기 시그니처 수신부로부터 시그니처를 제공받고, 요청된 스크립트에 대해 시그니처 매칭 동작을 수행하는 악성 스크립트 처리부, 상기 분석 요청 메시지에 포함된 URL이 악성 URL인지 판단하는 악성 URL 처리부, 및 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로부터 분석 결과를 제공받아 기 설정된 처리 모드에 따라 웹 페이지 요청을 처리하는 분석 결과 처리부를 포함한다.

본 발명의 몇몇 실시예에서, 상기 이벤트 리스너부는, 상기 웹 페이지 요청 메시지 또는 상기 웹 페이지 수신 메시지로부터 URL 정보 또는 스크립트 정보를 추출하여 상기 분석 요청 메시지를 생성할 수 있다.

본 발명의 몇몇 실시예에서, 상기 스크립트 정보가 src 속성을 갖는 외부 스크립트를 포함하는 경우에, src 경로에 포함된 파일명을 추출하여 상기 분석 요청 메시지를 생성할 수 있다.

본 발명의 몇몇 실시예에서, 상기 시그니처 수신부는, 상기 시그니처 관리 시스템으로부터 제공받는 시그니처를 기 설정된 주기에 따라 업데이트할 수 있다.

본 발명의 몇몇 실시예에서, 상기 악성 스크립트 처리부는, 상기 처리 모드가 악성 스크립트 수정 모드인 경우에, 탐지된 악성 스크립트에 대해 스크립트 수정 동작을 수행할 수 있다.

본 발명의 몇몇 실시예에서, 상기 악성 URL 처리부는, 블랙리스트 URL을 기초로 하여 문자열 매칭 동작을 수행할 수 있다.

상기 과제를 해결하기 위한 본 발명의 호스트 기반 악성 스크립트 탐지 시스템의 일 실시예는, 인터페이스부와 악성 행위 분석부를 포함하는 호스트 기반 악성 스크립트 탐지 시스템에 있어서, 웹 페이지 요청 메시지 또는 웹 페이지 수신 메시지를 기초로 분석 요청 메시지를 생성하여 상기 악성 행위 분석부로 전송하고, 상기 악성 행위 분석부로부터 상기 분석 요청 메시지에 포함된 악성 행위를 분석한 분석 결과를 제공받아 웹 페이지 요청을 처리하는 인터페이스부, 및 상기 분석 요청 메시지를 수신하여 상기 분석 요청 메시지에 포함된 악성 스크립트 또는 악성 URL을 분석하고, 상기 분석 결과를 상기 인터페이스부로 제공하는 악성 행위 분석부를 포함한다.

본 발명의 몇몇 실시예에서, 상기 인터페이스부는, 이벤트 리스너부와, 분석 결과 처리부를 포함하고, 상기 이벤트 리스너부는, 상기 웹 페이지 요청 메시지 또는 상기 웹 페이지 수신 메시지로부터 URL 정보 또는 스크립트 정보를 추출하여 상기 분석 요청 메시지를 생성하고, 상기 분석 결과 처리부는, 상기 분석 결과를 제공받아 기 설정된 처리 모드에 따라 웹 페이지 요청을 처리할 수 있다.

본 발명의 몇몇 실시예에서, 상기 이벤트 리스너부는, 상기 스크립트 정보가 src 속성을 갖는 외부 스크립트를 포함하는 경우에, src 경로에 포함된 파일명을 추출하여 상기 분석 요청 메시지를 생성할 수 있다.

본 발명의 몇몇 실시예에서, 상기 악성 행위 분석부는, 메시지 수신부와, 시그니처 수신부와, 악성 스크립트 처리부와, 악성 URL 처리부를 포함하고, 상기 메시지 수신부는, 상기 분석 요청 메시지를 수신하여 분석 요청 타입을 확인하고, 상기 분석 요청 타입에 따라 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로 상기 분석 요청 메시지를 제공하고, 상기 시그니처 수신부는, 시그니처 관리 시스템으로부터 시그니처를 제공받고, 상기 악성 스크립트 처리부는, 상기 분석 요청 메시지에 따라 상기 시그니처 수신부로부터 시그니처를 제공받고, 요청된 스크립트에 대해 시그니처 매칭 동작을 수행하고, 상기 악성 URL 처리부는, 상기 분석 요청 메시지에 포함된 URL이 악성 URL인지 판단할 수 있다.

본 발명의 몇몇 실시예에서, 상기 악성 스크립트 처리부는, 기 설정된 처리 모드가 악성 스크립트 수정 모드인 경우에, 탐지된 악성 스크립트에 대해 스크립트 수정 동작을 수행할 수 있다.

본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.

본 발명에 따른 호스트 기반 악성 스크립트 탐지 장치 및 시스템에 의하면, 호스트 레벨 에서 악성 스크립트를 탐지하고, 이에 대한 실행 방지를 구현할 수 있다.

도 1은 본 발명의 일 실시예에 따른 호스트 기반 악성 스크립트 탐지 시스템의 개략적인 블록도이다.
도 2는 도 1의 이벤트 리스너부의 동작을 설명하기 위한 블록도이다.
도 3은 이벤트 리스너부의 동작을 설명하기 위한 흐름도이다.
도 4는 도 1의 메시지 수신부의 동작을 설명하기 위한 블록도이다.
도 5는 도 1의 시그니처 수신부의 동작을 설명하기 위한 블록도이다.
도 6 및 도 7은 시그니처 수신부의 동작을 설명하기 위한 흐름도이다.
도 8은 도 1의 악성 스크립트 처리부의 동작을 설명하기 위한 블록도이다.
도 9 및 도 10은 악성 스크립트 처리부의 동작을 설명하기 위한 흐름도이다.
도 11은 도 1의 악성 URL 처리부의 동작을 설명하기 위한 블록도이다.
도 12는 악성 URL 처리부의 동작을 설명하기 위한 흐름도이다.
도 13은 도 1의 분석 결과 처리부의 동작을 설명하기 위한 블록도이다.
도 14 및 도 15는 분석 결과 처리부의 동작을 설명하기 위한 흐름도이다.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.

이하에서는, 본 발명에 따른 호스트 기반 악성 스크립트 탐지 시스템에 대하여 설명한다. 설명에 앞서, 이하의 명세서 내에서 사용되는 용어를 다음과 같이 정의한다. 시그니처(signature)는 스크립트 분석 엔진에서 악성 스크립트 탐지를 위해 사용되는 패턴 정보로서, 기존에 탐지된 악성 스크립트에 관한 패턴 정보를 가진 객체로 정의한다. 유형 정보는 악성 스크립트의 공격 유형을 분류한 정보로서, DDoS 유발, 네트워크 스캐닝 등의 유형이 존재한다.

도 1을 참조하면, 본 발명의 일 실시예에 따른 호스트 기반 악성 스크립트 탐지 시스템은, 인터페이스부(10), 악성 행위 분석부(20)를 포함한다.

호스트 기반 악성 스크립트 탐지 시스템은 사용자 브라우저에서 동작하며, 사용자 브라우저가 접근하고자 하는 웹 서버의 URL을 확인하여 악성 URL 여부를 탐지하거나, 웹 서버로부터 수신하는 웹 페이지를 확인하여 악성 스크립트의 존재 유무를 탐지하도록 동작한다.

본 발명에 따른 호스트 기반 악성 스크립트 탐지 시스템은 인터페이스부(10)와 악성 행위 분석부(20)를 포함하며, 인터페이스부(10)는 URL 요청과 스크립트 수신을 확인하여 분석을 요청하는 이벤트 리스닝 기능과, 분석이 완료된 내용 중에서 악성이 존재하는 컨텐츠를 확인하여 처리하는 분석 결과 처리 기능을 수행한다. 악성 행위 분석부(20)는 시그니처 매칭을 통한 악성 스크립트 확인 및 스크립트 수정을 하는 악성 스크립트 처리 기능과, 악성 URL을 확인하는 악성 URL 처리 기능과, 탐지 정보를 사용자에게 알리고 탐지 설정 및 시스템 설정을 관리하는 탐지 알림 기능을 수행한다.

또한, 본 발명에 따른 호스트 기반 악성 스크립트 탐지 시스템은 시그니처 관리 시스템(30)과 연동하여 탐지에 필요한 악성 스크립트 시그니처 정보를 전달받아서 업데이트하고, 악성 행위 분석부(20)에서 탐지한 탐지 결과 및 탐지 정보를 시그니처 관리 시스템(30)으로 제공한다. 여기에서, 탐지 정보는 탐지된 시그니처 ID, 원본 스크립트 정보, 수정한 스크립트 정보, 탐지 시간, 탐지된 웹 사이트의 IP/Port 정보, 프로토콜 정보 등을 포함한다.

이하에서는, 도 2 내지 도 15를 참조하여, 인터페이스부(10)와 악성 행위 분석부(20)의 세부 모듈에 대해 구체적으로 설명하기로 한다.

인터페이스부(10)는 이벤트 리스너부(100), 분석 결과 처리부(110)를 포함하고, 악성 행위 분석부(20)는 메시지 수신부(120), 시그니처 수신부(130), 악성 스크립트 처리부(140), 악성 URL 처리부(150)를 포함한다.

이벤트 리스너부(100)는 웹 페이지 요청 메시지(R1) 또는 웹 페이지 수신 메시지(R2)를 수신하여 분석 요청 메시지(R3)를 생성한다.

구체적으로, 도 2 및 도 3을 참조하면, 이벤트 리스너부(100)는 웹 페이지 요청 메시지(R1)를 확인하여 요청한 URL을 추출하고, 분석 요청 메시지(R3)를 생성하여 악성 행위 분석부(20)로 전달한다. 그리고, 웹 페이지 수신 메시지(R2)를 확인하여 수신한 웹 페이지의 URL 및 수신한 웹 페이지의 내용을 추출한다.

이벤트 리스너부(100)는 분석을 위한 스크립트 태그의 ID를 부여하며, 예를 들어, 내부에 내용이 있는 내부 스크립트의 경우에는 InternalScript_#로 ID를 부여하고, src 속성을 갖고 있는 외부 스크립트의 경우에는 ExternalScript_#로 ID를 부여한다. 그리고, src 속성을 갖고 있는 외부 스크립트에 대해서 src 경로에 있는 파일명을 추출하고, 분석 요청 메시지(R3)의 External_Script 필드에 해당 내용을 추가한다. 이벤트 리스너부(100)는 분석 요청 메시지(R3)를 생성하여 악성 행위 분석부(20)로 전달한다.

메시지 수신부(120)는 분석 요청 메시지(R3)를 수신하여 분석 요청 타입(RT)을 확인하고, 분석 요청 타입(RT)에 따라 악성 스크립트 처리부(140) 또는 악성 URL 처리부(150)로 분석 요청 메시지(R3)를 전송한다.

구체적으로, 도 4를 참조하면, 메시지 수신부(120)는 분석 요청 메시지(R3)를 수신하여, 웹 페이지 수신 메시지(R2)로 인하여 발생한 스크립트 분석 또는 웹 페이지 요청 메시지(R1)로 인하여 발생한 URL 분석 여부를 확인하여, 각 모듈로 분석 요청 메시지(R3)를 전송한다.

시그니처 수신부(130)는 시그니처 관리 시스템(30)으로부터 시그니처를 제공받는다.

구체적으로, 도 5 내지 도 7을 참조하면, 시그니처 수신부(130)는 기 설정된 배포 주기(DP)에 따라 시그니처 업데이트를 수행하고, 수신 내용을 시그니처/로그 저장부(DB1)에 저장한다. 긴급 업데이트가 필요한 경우에는, 서버측에서 업데이트를 요청하고, 시그니처 수신부(130)는 이러한 요청을 받아서 시그니처 업데이트를 수행하고, 수신 내용을 시그니처/로그 저장부(DB1)에 저장한다.

시그니처 수신부(130)는 시그니처 매칭 동작 수행시에 필요한 시그니처의 요청 정보를 수신하고, 조회된 시그니처를 구조체로 구성하여 출력한다. 도 6 및 도 7을 참조하면, 요청 유형에 따른 시그니처 수신부(130)의 동작에 대해 나타나 있다.

악성 스크립트 처리부(140)는 분석 요청 메시지(R3)에 따라 시그니처 수신부(130)로부터 시그니처를 제공받고, 요청된 스크립트에 대해 시그니처 매칭 동작을 수행한다.

구체적으로, 도 8 내지 도 10을 참조하면, 수신한 분석 요청 메시지(R3)에 외부 스크립트가 있는 경우에 해당 파일명을 통해 파일 경로를 추출한다. 그리고, External_Script의 내용을 분석 페이지에 추가한다.

악성 스크립트 처리부(140)는 분석 페이지에 대해 시그니처 매칭 동작을 수행한다. 전체 시그니처 분석을 최소화하기 위해, 악성 요소 문자열이 있는지 소규모의 문자열로 1차 테스트를 수행하고, 시그니처 수신부(130)에 시그니처를 요청하여 시그니처 매칭 동작을 수행한다. 악성 스크립트 판정 시에, 인증 정보를 수신하여 악성 탐지 보고를 시그니처 관리 시스템(30)으로 전달한다. 그리고, 탐지 로그를 생성하고, 분석 결과 메시지(AR)를 생성하여 응답한다.

악성 스크립트 처리부(140)는 악성 스크립트에 대한 정책을 확인하여, 악성 스크립트 수정 모드인 경우에 스크립트를 수정 처리한다.

악성 URL 처리부(150)는 분석 요청 메시지(R3)에 포함된 URL이 악성 URL인지 판단한다.

구체적으로, 도 11 및 도 12를 참조하면, 악성 URL 처리부(150)는 블랙리스트 URL을 기초로 하여 문자열 매칭 동작을 수행한다. 악성 URL이 발견될 경우 탐지 로그를 기록한다. 악성 URL 판정 시에, 인증 정보를 수신하여 악성 탐지 보고를 시그니처 관리 시스템(30)으로 전달한다. 그리고, 탐지 로그를 생성하고, 분석 결과 메시지(AR)를 생성하여 응답한다.

분석 결과 처리부(110)는 악성 스크립트 처리부(140) 또는 악성 URL 처리부(150)로부터 분석 결과를 제공받아, 기 설정된 처리 모드에 따라 웹 페이지 요청 또는 웹 페이지 수신을 처리한다.

구체적으로, 도 13 내지 도 15를 참조하면, 분석 결과 처리부(110)는 분석 결과를 수신하여 정상/악성 여부를 판단한다. 기 설정된 처리 모드가 Redirection 모드인 경우, 이동할 URL을 확인하여 다른 페이지로 연결되도록 변경을 수행한다. 기 설정된 처리 모드가 악성 스크립트 실행 방지인 경우, 수정할 스크립트를 확인하여 변경한다. 도 15를 참조하면, 내부 스크립트와 외부 스크립트를 구분하여 수정할 내용을 반영한다.

본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

100: 이벤트 리스너부
110: 분석 결과 처리부
120: 메시지 수신부
130: 시그니처 수신부
140: 악성 스크립트 처리부
150: 악성 URL 처리부
DB1: 시그니처/로그 저장부

Claims

이벤트 리스너부, 메시지 수신부, 시그니처 수신부, 악성 스크립트 처리부, 악성 URL 처리부, 및 분석 결과 처리부를 포함하는 호스트 기반 악성 스크립트 탐지 장치에 있어서,
웹 페이지 요청 메시지와 웹 페이지 수신 메시지를 수신하여, 상기 웹 페이지 요청 메시지로부터 접속 URL 정보를 추출하고, 상기 웹 페이지 수신 메시지로부터 URL 정보와 스크립트 정보를 추출하고, 분석 요청 메시지를 생성하는 이벤트 리스너부;
상기 분석 요청 메시지를 수신하여 분석 요청 타입을 확인하고, 상기 분석 요청 타입에 따라 상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로 상기 분석 요청 메시지를 제공하는 메시지 수신부;
시그니처 관리 시스템으로부터 시그니처를 제공받는 시그니처 수신부;
상기 분석 요청 메시지에 따라 상기 시그니처 수신부로부터 시그니처를 제공받고, 요청된 스크립트에 대해 시그니처 매칭 동작을 수행하는 악성 스크립트 처리부;
상기 분석 요청 메시지에 포함된 URL이 악성 URL인지 판단하는 악성 URL 처리부; 및
상기 악성 스크립트 처리부 또는 상기 악성 URL 처리부로부터 분석 결과를 제공받아 기 설정된 처리 모드에 따라 웹 페이지 요청을 처리하는 분석 결과 처리부를 포함하는 호스트 기반 악성 스크립트 탐지 장치.
제 1항에 있어서,
상기 이벤트 리스너부는,
브라우저의 웹 페이지 요청 시점에 발생하는 브라우저 이벤트를 탐지하여 상기 웹 페이지 요청 메시지로부터 상기 접속 URL 정보를 추출하고,
브라우저의 웹 페이지 수신 시점에 발생하는 브라우저 이벤트를 탐지하여 상기 웹 페이지 수신 메시지로부터 상기 URL 정보와 상기 스크립트 정보를 추출하여 상기 분석 요청 메시지를 생성하는 호스트 기반 악성 스크립트 탐지 장치.
제 2항에 있어서,
상기 이벤트 리스너부는, 상기 스크립트 정보가 src 속성을 갖는 외부 스크립트를 포함하는 경우에, src 경로에 포함된 파일명을 추출하여 상기 분석 요청 메시지를 생성하는 호스트 기반 악성 스크립트 탐지 장치.
제 1항에 있어서,
상기 시그니처 수신부는, 상기 시그니처 관리 시스템으로부터 제공받는 시그니처를 기 설정된 주기에 따라 업데이트하는 호스트 기반 악성 스크립트 탐지 장치.
제 1항에 있어서,
상기 분석 결과 처리부는, 상기 처리 모드가 악성 스크립트 수정 모드인 경우에, 탐지된 악성 스크립트에 대해 스크립트 수정 동작을 수행하는 호스트 기반 악성 스크립트 탐지 장치.
제 1항에 있어서,
상기 악성 URL 처리부는, 블랙리스트 URL을 기초로 하여 문자열 매칭 동작을 수행하는 호스트 기반 악성 스크립트 탐지 장치.
삭제
삭제
삭제
삭제
삭제
삭제
삭제