KR102022058B1 - 웹 페이지 위변조 탐지 방법 및 시스템 - Google Patents

웹 페이지 위변조 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR102022058B1
KR102022058B1 KR1020180019753A KR20180019753A KR102022058B1 KR 102022058 B1 KR102022058 B1 KR 102022058B1 KR 1020180019753 A KR1020180019753 A KR 1020180019753A KR 20180019753 A KR20180019753 A KR 20180019753A KR 102022058 B1 KR102022058 B1 KR 102022058B1
Authority
KR
South Korea
Prior art keywords
web page
forgery
image
histogram
web
Prior art date
Application number
KR1020180019753A
Other languages
English (en)
Other versions
KR20190099816A (ko
Inventor
서승철
이근기
Original Assignee
주식회사 디로그
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 디로그 filed Critical 주식회사 디로그
Priority to KR1020180019753A priority Critical patent/KR102022058B1/ko
Publication of KR20190099816A publication Critical patent/KR20190099816A/ko
Application granted granted Critical
Publication of KR102022058B1 publication Critical patent/KR102022058B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/50Information retrieval; Database structures therefor; File system structures therefor of still image data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/0002Inspection of images, e.g. flaw detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20081Training; Learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Image Analysis (AREA)

Abstract

본 발명은 이미지 기반의 웹 페이지 위변조 탐지 방법 및 시스템에 관한 것으로, 기 설정된 기간 동안 기 설정된 횟수 이상으로 웹 사이트에 접속하며, 접속할 때마다 상기 웹 페이지에 대한 이미지를 수집하는 단계와, 상기 수집한 이미지 각각과 웹 페이지의 원본 이미지간 비교를 통해 상기 이미지 각각에 대한 수치화 결과 값을 계산한 후 이를 저장매체에 저장하는 단계와, 상기 저장매체에 저장된 상기 이미지 각각에 대한 수치화 결과 값을 이용하여 학습 모델을 생성하여 학습 모델 데이터베이스에 저장하는 단계와, 이후 수집되는 웹 페이지의 이미지에 대한 특징점을 추출하며, 상기 특징점과 원본 이미지의 특징점간의 비교를 통해 위변조 판단용 정보를 산출하며, 상기 산출한 위변조 판단용 정보와 상기 학습 모델 데이터베이스에 저장된 학습 모델간의 비교를 통해 상기 이후 수집되는 웹 페이지에 대한 위변조 여부를 판단하는 단계를 포함하는 웹 페이지 위변조 탐지 방법을 제공할 수 있다.

Description

웹 페이지 위변조 탐지 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING COUNTERFEIT OF WEB PAGE}
본 발명은 이미지 기반으로 웹 페이지의 위변조 여부를 판단하는 웹 페이지 위변조 탐지 방법 및 시스템에 관한 것이다.
최근 국내 웹사이트의 보안 취약성과 관련하여 악성코드 유포사이트나 사기쇼핑몰 등 네티즌들을 위험에 빠뜨릴 수 있는 웹사이트 수가 무려 1만2000여 개를 넘어섰다. 웹사이트 곳곳이 '함정'인 셈이다.
또한 최신의 해킹 기법은 웹사이트를 통한 악성코드를 유포하는 방식도 보다 교묘해지고 있는 실정이다.
일반적으로 이 같은 방식은 웹사이트를 해킹한 뒤 이용자 PC가 접속할 경우, 악성코드 숙주서버와 링크되는 코드를 홈페이지 안에 숨겨놓는 경우가 대부분인데, 해당 코드를 암호화하는 방법 등을 통해 탐지시스템을 우회하는 것이 그 핵심에 있다고 하겠다.
여기에 구글의 검색엔진을 활용해 취약점에 노출된 다량의 웹사이트를 한꺼번에 공격하는 해킹방식도 여전히 기승을 부리고 있는 실정이다.
과거에는 주로 MS 윈도 보안업데이트만 제대로 받으면 웹 바이러스 피해를 최소화할 수 있었지만, 최근에는 웹서버 자체에 대한 응용프로그램 및 데이터 베이스에 대한 종합적인 보안업데이트가 시급해지고 있다는 얘기다.
이러한 시대적 상황을 배경으로 다양한 보안장비 및 소프트웨어들이 개발되었음에도 왜 네트워크를 통하여 공격 및 전파되는 위협으로부터 자유롭지 못한 것은 웹이 주는 다양한 편의성 때문이다.
이러한 편의성은 종종 공격자로 하여금 유용한 Evasion(탐지 회피)기술이 된다.
상기 회피 기술을 이용한 해킹 공격에 공격당하는 경우, 보통 관리자들에게 발견되지 않으며, 아주 오랜 기간 동안 웹 서버의 서비스 내에 활동하는 각종 정보들을 유출 및 열람하고, 추가적으로 발생되는 부가 정보를 얻기 위하여 시스템 내에 인위적으로 기생한다.
더불어 공격자는 자신에게 주어진 제어권을 이용하여 웹서버 내지는 서비스에 접속하는 정상 사용자들에게 악의적인 프로그램을 내려보내기 위하여 초기 웹페이지내(디폴트 웹페이지)를 수정하는 방법들을 널리 이용하고 있다.
또한 기존에 사용되던 웹페이지의 위변조를 체크하던 방법론의 경우, 단순히 HASH 알고리즘을 이용하여 Checksum만을 비교하여 홈페이지의 위변조를 경보하고 복구하는 수준에 그쳐 다이나믹한(동적인) 웹페이지가 보편화된 현재의 웹구조에서는 오탐 확률이 매우 높아져 단순히 Checksum만을 비교하는 방법은 이미 구세대의 유물이 되고 말았다.
대한민국 등록특허 제10-0912794호(2009.08.18. 등록)
본 발명은 웹 페이지의 이미지를 기반으로 웹 페이지의 위변조 여부를 판별할 수 있는 웹 페이지 위변조 탐지 시스템 및 방법을 제공한다.
또한, 본 발명은 웹 페이지의 이미지를 수치화시키며, 수치화된 결과 값을 이용하여 웹페이지의 위변조 여부를 판별할 수 있는 웹 페이지 위변조 탐지 시스템 및 방법을 제공한다.
본 발명은 웹페이지가 위변조된 경우 원본 웹 페이지 파일을 이용하여 복구할 수 있는 웹 페이지 위변조 탐지 시스템 및 방법을 제공한다.
상술한 해결하고자 하는 과제를 해결하기 위해서 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 방법은 기 설정된 기간 동안 기 설정된 횟수 이상으로 웹 사이트에 접속하며, 접속할 때마다 상기 웹 페이지에 대한 이미지를 수집하는 단계와, 상기 수집한 이미지 각각과 웹 페이지의 원본 이미지간 비교를 통해 상기 이미지 각각에 대한 수치화 결과 값을 계산한 후 이를 저장매체에 저장하는 단계와, 상기 저장매체에 저장된 상기 이미지 각각에 대한 수치화 결과 값을 이용하여 학습 모델을 생성하여 학습 모델 데이터베이스에 저장하는 단계와, 이후 수집되는 웹 페이지의 이미지에 대한 특징점을 추출하며, 상기 특징점과 원본 이미지의 특징점간의 비교를 통해 위변조 판단용 정보를 산출하며, 상기 산출한 위변조 판단용 정보와 상기 학습 모델 데이터베이스에 저장된 학습 모델간의 비교를 통해 상기 이후 수집되는 웹 페이지에 대한 위변조 여부를 판단하는 단계를 포함할 수 있다.
본 발명의 실시예에 따른 상기 저장매체에 저장하는 단계는 기 설정된 기간 동안 수집한 웹 페이지에 대한 이미지 각각과 원본 이미지에 대한 특징점 매칭 또는 히스토그램 비교 분석을 통해 상기 이미지 각각에 대한 수치화 결과 값을 계산할 수 있다.
본 발명의 실시예에 따르면, 상기 수집하는 단계는 상기 웹 사이트 접속 시 접근 타임 아웃 시간을 산출하는 단계와, 상기 접근 타임 아웃 시간 이내에 상기 웹 사이트에 접속되어 생성된 상기 웹 페이지의 이미지를 저장매체에 저장하여 수집하는 단계를 포함할 수 있다.
상술한 해결하고자 하는 과제를 해결하기 위해서 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템은 기 설정된 기간 동안 기 설정된 횟수 이상으로 웹 사이트에 접속하며, 접속할 때마다 상기 웹 페이지에 대한 이미지를 수집하는 이미지 수집부와, 상기 수집한 이미지 각각과 웹 페이지의 원본 이미지간 비교를 통해 상기 이미지 각각에 대한 수치화 결과 값을 계산한 후 이를 저장매체에 저장하는 모델러부와, 상기 저장매체에 저장된 상기 이미지 각각에 대한 수치화 결과 값을 이용하여 학습 모델을 생성하여 학습 모델 데이터베이스에 저장하는 머신 러닝부와, 이후 수집되는 웹 페이지의 이미지에 대한 특징점을 추출하며, 상기 특징점과 원본 이미지의 특징점간의 비교를 통해 위변조 판단용 정보를 산출하며, 상기 산출한 위변조 판단용 정보와 상기 학습 모델 데이터베이스에 저장된 학습 모델간의 비교를 통해 상기 이후 수집되는 웹 페이지에 대한 위변조 여부를 판단하 위변조 판단부를 포함할 수 있다.
본 발명의 실시예에 따르면, 상기 위변조 탐지 시스템은 상기 웹 사이트의 접속 주기가 설정되어 있으며, 상기 접속 주기에 따라 상기 이미지 수집부 및 상기 위변조 판단부를 동작시켜 웹 사이트에 접속시키는 스케쥴러부를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 상기 위변조 탐지 시스템은 복구용 웹 페이지 파일이 저장된 복구용 파일 저장소와, 상기 웹 사이트 상에 복구용 에이전트를 설치하며, 상기 위변조 판단부의 판단 결과 상기 웹 페이지가 위변조된 것으로 판단될 때 상기 복구용 에이전트와의 통신을 통해 상기 복구용 파일 저장소에 저장된 복구용 웹 페이지 파일을 전송하는 웹 페이지 복구부를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 상기 모델러부는 기 설정된 기간 동안 수집한 웹 페이지에 대한 이미지 각각과 원본 이미지간의 특징점 매칭 또는 히스토그램 비교 분석을 통해 상기 이미지 각각에 대한 수치화 결과 값을 계산할 수 있다.
본 발명의 실시예에 따르면, 상기 이미지 수집부는 상기 웹 사이트 접속 시 접근 타임 아웃 시간을 산출하며, 상기 접근 타임 아웃 시간 내에 상기 웹 사이트에 접속된 경우에만 상기 웹 페이지에 대한 이미지를 수집할 수 있다.
전술한 본 발명의 과제 해결 수단에 따르면, 웹 페이지의 이미지를 수치화시키며, 수치화된 결과 값을 이용하여 웹페이지의 위변조 여부를 판별할 수 있는 웹 페이지 위변조 탐지 시스템 및 방법을 제공함으로써, 웹 페이지 변조 공격에 민감하게 대응할 수 있다.
또한, 전술한 본 발명의 과제 해결 수단에 따르면, 웹 페이지의 이미지를 기반으로 학습 모델을 구축하고, 구축한 학습 모델을 이용하여 웹 페이지 위변조 공격에 대응할 수 있는 시스템 및 방법을 제공함으로써, 웹 페이지 위변조 판단 시간을 최소화시킬 수 있을 뿐만 아니라 네트워크 망 내 부하를 최소화시킬 수 있다.
도 1은 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템의 전반적인 구성을 도시한 블록도이다.
도 2는 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템이 웹 페이지에 대한 위변조 판단을 위한 학습 모델을 생성하는 과정을 도시한 흐름도이다.
도 3은 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템이 웹 페이지에 대한 위변조 판단을 위한 학습 모델을 생성하는 과정을 도시한 흐름도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시 예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다.
이하 첨부된 도면을 참조하여 웹 페이지 위변조 탐지 시스템에 대해 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템의 전반적인 구성을 도시한 블록도이다.
도 1에 도시된 바와 같이, 웹 페이지 위변조 탐지 시스템은 크게 이미지 수집부(100), 모델러부(102), 머신 러닝부(104), 위변조 판단부(106), 저장매체(108) 및 학습 모델 데이터베이스(110) 등을 포함할 수 있다.
이미지 수집부(100)는 기 설정된 주기, 예컨대 5분∼10분 단위로 웹 사이트에 접속하여 주기별로 웹 페이지 이미지를 수집할 수 있다. 구체적으로, 이미지 수집부(100)는 기 설정된 주기를 이용하여 기 저장된 웹 사이트의 접속 정보, 예컨대 URL 정보를 이용하여 웹 사이트에 접속한 후 멀티스레드 다운로더를 이용하여 웹 사이트에 대한 웹 페이지를 다운로드받아 이미지화시켜 저장매체(108)에 저장할 수 있다. 이에 따라, 저장매체(108)에는 주기별 웹 페이지의 이미지가 저장될 수 있다.
또한, 이미지 수집부(100)는 웹 사이트에 대한 접근 타임 아웃 시간이 설정되어 있으며, 웹 사이트 접속 시 접속에 걸리는 시간(접속 시간)을 산출한 후 산출한 접속 시간이 접근 타임 아웃 시간 이내일 경우 정상적인 웹 사이트의 접속으로 판단하여 웹 페이지에 대한 이미지를 저장매체(108)에 저장할 수 있다.
본 발명의 실시예에 따른 이미지 수집부(100)는 웹 크롤러, 봇(bot), 웹 스파이더, 앤트, 웹 로봇, 윔 등을 이용하여 구현될 수 있으나, 이에 한정하지는 않는다.
모델러부(102)는 기 설정된 기간 동안 수집된 주기별 웹 페이지의 이미지 각각에 수치화 알고리즘을 적용하여 웹 페이지 이미지 각각에 대한 수치화 결과 값을 계산하며, 계산한 수치화 결과 값을 저장매체(108)에 저장할 수 있다. 구체적으로, 모델러부(102)는 웹 페이지에 대한 원본 이미지와 주기별 웹 페이지의 이미지 각각에 대한 특징점, 예컨대 이미지의 윤곽선을 추출한 후 원본 이미지의 윤곽선과 수집된 웹 페이지의 이미지에 대한 윤곽선간의 비교를 통해 수치화 결과 값을 계산하거나 원본 이미지와 수집한 웹 페이지 이미지의 컬러분포(히스토그램)를 추출한 후 이를 기반으로 컬러 분포에 대한 수치화 결과 값을 계산하여 저장매체(108)에 저장할 수 있다.
이를 위하여, 본 발명의 실시예에 따른 모델러부(102)는 웹 페이지에 대한 원본 이미지를 저장 및 관리할 수 있다. 구체적으로, 모델러부(102)는 원본 이미지에 대한 특징점 정보, 예컨대 윤곽선, 히스토그램 등의 정보를 저장 및 관리할 수 있다.
한편, 본 발명의 실시예에 따른 모델러부(102)에서 이용되는 알고리즘의 예로는 "feature matching", "compare Histogram" 등을 들 수 있으나, 이에 한정하지는 않는다.
본 발명의 실시예에서 모델러부(102)에 의해 계산되는 수치화 결과 값은 원본 이미지의 윤곽선을 기준으로 하여 수집한 이미지와 원본 이미지간 윤곽선의 이동 값(근거리 이동 값, 원거리 이동 값, 유사한 위치 값 등을 포함함)일 수 있으며, 원본 이미지의 히스토그램과 수집한 이미지의 히스토그램간의 유사도 값 또는 변동 값일 수 있다.
머신 러닝부(104)는 저장매체(108)에 저장된 복수의 이미지에 대한 수치화 결과 값에 대한 머신 러닝을 수행하여 학습 모델을 생성하며, 생성한 웹 페이지에 대한 학습 모델을 웹 페이지의 식별 정보에 매칭시켜 학습 모델 데이터베이스(110)에 저장할 수 있다. 구체적으로, 머신 러닝부(104)는 윤곽선의 이동 값 또는 히스토그램 변동 값을 훈련 데이터로 설정하여 학습을 수행함으로써, 학습 모델을 생성할 수 있다.
먼저, 윤곽선의 이동 값을 이용한 경우 머신 러닝부(104)는 원본 이미지의 윤곽선을 기준으로 한 주기별로 수집한 웹 페이지의 이미지에 대한 윤곽선 이동 값을 이용하여 정상 웹 페이지의 윤관선 이동 범위 값을 포함한 학습 모델을 생성하며, 컬러 분포(히스토그램)를 이용한 경우 정상 웹 페이지의 컬러 분포 변동 범위 값을 포함한 학습 모델을 생성할 수 있다.
위변조 판단부(106)는 학습 모델을 생성한 후 웹 페이지에 대한 이미지를 수집(이하, '검사용 웹 페이지 이미지'라고 함)하며, 검사용 웹 페이지 이미지의 특징점, 예컨대 윤곽선, 히스토그램 등의 특징점을 추출한 후 추출한 특징점과 학습 모델 데이터베이스(110)에 저장된 학습 모델간의 비교를 통해 위변조 여부를 판단할 수 있다. 구체적으로, 위변조 판단부(106)는 검사용 웹 페이지의 이미지에서 윤곽선을 추출한 후 추출한 윤곽선이 원본 이미지에서 어느 정도 이동되었는지를 판단하며, 판단한 정도 값과 학습 모델을 비교하여 검사용 웹 페이지가 위조 또는 변조되었는지를 판단하거나, 검사용 웹 페이지의 이미지에서 히스토그램을 추출한 후 추출한 히스토그램과 원본 이미지의 히스토그램간의 비교를 통해 변동 정도를 산출하며, 산출한 변동 정보와 학습 모델을 비교하여 검사용 웹 페이지가 위조 또는 변조되었는지를 판단할 수 있다.
본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템은 스케쥴러부(112)를 더 포함할 수 있다.
스케쥴러부(112)는 이미지 수집부(100) 및 위변조 판단부(106)의 웹 페이지에 대한 접속 주기를 설정할 수 있는 인터페이스를 제공하며, 인터페이스를 통해 설정된 접속 주기에 따라 이미지 수집부(100) 및 위변조 판단부(106)를 동작시킬 수 있다.
또한, 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템은 복수용 웹 페이지 파일이 저장된 복구용 파일 저장소(116) 및 웹 페이지 복구부(114)를 더 포함할 수 있다.
웹 페이지 복구부(114)는 웹 페이지 상에 복구용 에이전트를 설치하며, 위변조 판단부(106)의 판단 결과 웹 페이지가 위변조된 것으로 판단될 때 복구용 에이전트와의 통신을 통해 복구용 파일 저장소(116)에 저장된 복구용 웹 페이지 파일을 전송하여 웹 페이지를 복구시킬 수 있다. 구체적으로, 웹 페이지 복구부(114)는 웹 페이지와 관련된 파일을 저장 및 관리하는 웹 서버 상에 복구용 에이전트를 설치한 후 웹 페이지가 위변조된 것으로 판단될 경우 복구용 에이전트와의 통신을 통해 복구용 파일 저장소(116)에 저장된 복수용 웹 페이지 파일을 웹 서버에 전송하여 현재의 웹 페이지 파일을 정상 웹 페이지 파일로 변경시켜 복구시킬 수 있다.
또한, 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템은 인가된 접속만을 허용하기 위한 액세스 제어부(118), 저장매체(108)에 저장된 수치화된 데이터를 체계적으로 관리하기 위한 데이터 관리부(120), 저장매체(108), 학습 모델 데이터베이스(110) 및 복수용 파일 저장소(116)에 대한 저장용량을 관리하기 위한 저장매체 관리부(122) 등을 더 포함할 수 있다.
본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템은 관리자용 뷰어(124) 및 관제용 대시보드(126) 등을 제공하여 목적에 맞게 적합한 사용자 인터페이스를 제공할 수 있다.
상술한 바와 같은 구성을 갖는 웹 페이지 위변조 탐지 시스템이 이미지를 기반으로 웹 페이지의 위변조를 탐지하는 과정에 대해 도 2 및 도 3을 참조하여 설명한다.
도 2는 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템이 웹 페이지에 대한 위변조 판단을 위한 학습 모델을 생성하는 과정을 도시한 흐름도이다.
도 2에 도시된 바와 같이, 먼저 웹 페이지 위변조 탐지 시스템은 스케쥴러부(112)에 설정된 접속 주기에 따라 이미지 수집부(100)를 구동시키며(S200), 이미지 수집부(100)의 구동을 통해 저장매체(108)의 검색을 통해 접속할 웹 사이트를 선택한 후 선택한 웹 사이트에 접속하여 웹 사이트에 대한 웹 페이지의 이미지를 생성한다(S202).
이때, 웹 페이지 위변조 탐지 시스템의 이미지 수집부(100)는 웹 사이트에 접속하는데 걸리는 시간인 접속 시간을 산출하며(S204), 산출한 접속 시간이 기 저장된 접근 타임 아웃 시간 이내인지를 판단, 즉 정상 접속인지를 판단한다(S206).
S206의 판단 결과, 접근 타임 아웃 시간 이내일 경우 이미지 수집부(100)는 생성한 웹 페이지의 이미지를 저장매체(108)에 저장하며(S208), 그렇지 않을 경우 S200으로 진행하여 이후 단계를 진행한다.
이후, 웹 페이지 위변조 탐지 시스템의 이미지 수집부(100)는 기 설정된 시간이 경과되었는지를 판단한다(S210).
S210의 판단 결과, 기 설정된 시간이 경과된 경우 웹 페이지 위변조 탐지 시스템은 모델러부(102)를 구동시켜 웹 페이지의 이미지에 대한 수치화 작업을 수행한다(S212). 구체적으로, 모델러부(102)는 저장매체(108)에 저장된 웹 페이지 이미지에서 윤곽선 정보를 추출하며, 추출한 윤곽선 정보와 원본 이미지의 윤곽선간의 비교를 통해 윤곽선 이동 값을 계산하거나 저장매체(108)에 저장된 웹 페이지 이미지의 히스토그램과 원본 이미지의 히스토그램간의 비교를 통해 히스토그램 변동 정도 값을 산출하는 방식으로 수집한 웹 페이지 각각에 대한 수치화 작업을 수행한다.
그런 다음, 모델러부(102)는 수치화 작업을 수행한 결과 값, 즉 수집한 웹 페이지 각각에 대한 윤곽선 이동 값 또는 히스토그램 변동 정도 값을 이용하여 머신 러닝을 수행하여 학습 모델을 생성한 후 이를 학습 모델 데이터베이스(110)에 저장한다(S214).
상술한 바와 같은 도 2에 도시된 바와 같은 단계들을 통해 생성한 학습 모델을 이용하여 웹 페이지에 대한 위변조를 탐지하는 방법에 대해 도 3을 참조하여 설명하다.
도 3은 본 발명의 실시예에 따른 웹 페이지 위변조 탐지 시스템이 웹 페이지에 대한 위변조를 탐지하는 과정을 도시한 흐름도이다.
도 3에 도시된 바와 같이, 먼저 웹 페이지 위변조 탐지 시스템은 위변조 판단부(106)를 통해 웹 사이트에 접속한 후(S300), 접속한 웹 사이트의 웹 페이지에 대한 이미지(이하,'검사용 웹 페이지 이미지'라고 함)를 수집한다(S302).
그런 다음, 웹 페이지 위변조 탐지 시스템은 검사용 웹 페이지 이미지에서 특징점, 예컨대 윤곽선, 히스토그램 등의 정보를 추출하며(S304), 추출한 특징점과 원본 이미지의 특징점간의 비교를 통해 윤곽선의 이동 값, 히스토그램의 변동 값 등을 계산한다(S306).
이후, 위변조 판단부(106)는 계산한 이동 값, 변동 값 등과 학습 모델 데이터베이스(110) 내 학습 모델간의 비교를 통해 웹 페이지의 위변조 여부를 판단한다(S308).
S308의 판단 결과, 위변조된 경우 웹 페이지 위변조 탐지 시스템은 웹 페이지 복구부(114)를 구동시킨다(S310).
이에 따라, 웹 페이지 복구부(114)는 웹 사이트에 복구용 에이전트를 설치한 후 복구용 에이전트와 통신을 통해 복구 파일 저장소(116)에 저장된 웹 페이지 파일을 전송하여 웹 사이트 내 웹 페이지를 복구시킨다(S312).
한편, S308의 판단 결과, 위변조되지 않는 것으로 판단되는 경우 위변조 판단부(106)는 접속 주기인지를 판단한다(S314).
S314의 판단 결과, 접속 주기일 경우 위변조 판단부(106)는 S300으로 진행하여 이후 단계를 수행하며, 그렇지 않을 경우 S314로 진행하여 계속해서 접속 주기인지를 판단한다.
전술한 본원의 설명은 예시를 위한 것이며, 본원이 속하는 기술분야의 통상의 지식을 가진 자는 본원의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본원의 범위에 포함되는 것으로 해석되어야 한다.
100 : 이미지 수집부
102 : 모델러부
104 : 머신 러닝부
106 : 위변조 판단부
108 : 저장매체
110 : 학습 모델 데이터베이스
112 : 스케쥴러부
114 : 웹 페이지 복구부
116 : 복구용 파일 저장소
118 : 액세스 제어부
120 : 데이터 관리부
122 : 저장매체 관리부
124 : 관리자용 뷰어
126 : 관제용 대시 보드

Claims (8)

  1. 기 설정된 기간 동안 기 설정된 횟수 이상으로 웹 사이트에 접속하며, 접속할 때마다 웹 페이지에 대한 이미지를 수집하는 단계와,
    기 설정된 기간 동안 수집한 웹 페이지에 대한 이미지 각각에서 윤곽선을 추출하고, 상기 추출한 윤곽선과 원본 이미지의 윤곽선간의 비교를 통해 윤곽선 이동 값을 산출하고, 상기 수집한 웹 페이지에 대한 이미지 각각에서 히스토그램과 상기 원본 이미지의 히스토그램간의 비교를 통해 히스토그램의 변동 정도 값을 산출한 후 이를 저장매체에 저장하는 단계와,
    상기 저장매체에 저장된 상기 이미지 각각에 대한 윤곽선 이동 값과 히스토그램의 변동 정도 값을 이용하여 정상 웹 페이지의 윤곽선 이동 범위 값과 히스토그램 분포 변동 범위 값을 포함하는 학습 모델을 생성하여 학습 모델 데이터베이스에 저장하는 단계와,
    이후 수집되는 웹 페이지의 이미지에 대한 윤곽선 및 히스토그램의 특징점을 추출하며, 상기 특징점과 원본 이미지의 윤곽선 및 히스토그램간의 비교를 통해 위변조 판단용 정보인 윤곽선 이동 값 및 히스토그램 변동 값을 산출하며, 상기 산출한 위변조 판단용 정보와 상기 학습 모델 데이터베이스에 저장된 학습 모델인 상기 정상 웹 페이지의 윤곽선 이동 범위 값과 히스토그램 분포 변동 범위 값간의 비교를 통해 상기 이후 수집되는 웹 페이지에 대한 위변조 여부를 판단하는 단계를 포함하는 웹 페이지 위변조 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 수집하는 단계는,
    상기 웹 사이트 접속 시 접근 타임 아웃 시간을 산출하는 단계와,
    상기 접근 타임 아웃 시간 이내에 상기 웹 사이트에 접속되어 생성된 상기 웹 페이지의 이미지를 저장매체에 저장하여 수집하는 단계를 포함하는 웹 페이지 위변조 탐지 방법.
  4. 기 설정된 기간 동안 기 설정된 횟수 이상으로 웹 사이트에 접속하며, 접속할 때마다 웹 페이지에 대한 이미지를 수집하는 이미지 수집부와,
    기 설정된 기간 동안 수집한 웹 페이지에 대한 이미지 각각에서 윤곽선을 추출하고, 상기 추출한 윤곽선과 원본 이미지의 윤곽선간의 비교를 통해 윤곽선 이동 값을 산출하고, 상기 수집한 웹 페이지에 대한 이미지 각각에서 히스토그램과 상기 원본 이미지의 히스토그램간의 비교를 통해 히스토그램의 변동 정도 값을 산출한 후 이를 저장매체에 저장하는 모델러부와,
    상기 저장매체에 저장된 상기 이미지 각각에 대한 윤곽선 이동 값과 히스토그램의 변동 정도 값을 이용하여 정상 웹 페이지의 윤곽선 이동 범위 값과 히스토그램 분포 변동 범위 값을 포함하는 학습 모델을 생성하여 학습 모델 데이터베이스에 저장하는 머신 러닝부와,
    이후 수집되는 웹 페이지의 이미지에 대한 윤곽선 및 히스토그램의 특징점을 추출하며, 상기 특징점과 원본 이미지의 윤곽선 및 히스토그램간의 비교를 통해 위변조 판단용 정보인 윤곽선 이동 값 및 히스토그램 변동 값을 산출하며, 상기 산출한 위변조 판단용 정보와 상기 학습 모델 데이터베이스에 저장된 학습 모델인 상기 정상 웹 페이지의 윤곽선 이동 범위 값과 히스토그램 분포 변동 범위 값간의 비교를 통해 상기 이후 수집되는 웹 페이지에 대한 위변조 여부를 판단하는 위변조 판단부를 포함하는 웹 페이지 위변조 탐지 시스템.
  5. 제4항에 있어서,
    상기 위변조 탐지 시스템은,
    상기 웹 사이트의 접속 주기가 설정되어 있으며, 상기 접속 주기에 따라 상기 이미지 수집부 및 상기 위변조 판단부를 동작시켜 웹 사이트에 접속시키는 스케쥴러부를 더 포함하는 웹 페이지 위변조 탐지 시스템.
  6. 제4항에 있어서,
    상기 위변조 탐지 시스템은,
    복구용 웹 페이지 파일이 저장된 복구용 파일 저장소와,
    상기 웹 사이트 상에 복구용 에이전트를 설치하며, 상기 위변조 판단부의 판단 결과 상기 웹 페이지가 위변조된 것으로 판단될 때 상기 복구용 에이전트와의 통신을 통해 상기 복구용 파일 저장소에 저장된 복구용 웹 페이지 파일을 전송하는 웹 페이지 복구부를 더 포함하는 웹 페이지 위변조 탐지 시스템.
  7. 삭제
  8. 제4항에 있어서,
    상기 이미지 수집부는,
    상기 웹 사이트 접속 시 접근 타임 아웃 시간을 산출하며, 상기 접근 타임 아웃 시간 내에 상기 웹 사이트에 접속된 경우에만 상기 웹 페이지에 대한 이미지를 수집하는 웹 페이지 위변조 탐지 시스템.
KR1020180019753A 2018-02-20 2018-02-20 웹 페이지 위변조 탐지 방법 및 시스템 KR102022058B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180019753A KR102022058B1 (ko) 2018-02-20 2018-02-20 웹 페이지 위변조 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180019753A KR102022058B1 (ko) 2018-02-20 2018-02-20 웹 페이지 위변조 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20190099816A KR20190099816A (ko) 2019-08-28
KR102022058B1 true KR102022058B1 (ko) 2019-11-04

Family

ID=67775108

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180019753A KR102022058B1 (ko) 2018-02-20 2018-02-20 웹 페이지 위변조 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102022058B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022124430A1 (ko) * 2020-12-08 2022-06-16 주식회사 앰진시큐러스 동적 컨텐츠와 링크를 포함하는 웹사이트에서 상호작용과 연결성에 대한 채증 규격 및 그 방법
KR102238784B1 (ko) * 2020-12-18 2021-04-16 주식회사 에이아이디비 블록체인 네트워크를 이용하여 웹페이지를 저장 및 검증하는 방법 및 시스템
KR102313414B1 (ko) * 2021-04-19 2021-10-15 주식회사 에프원시큐리티 인공지능과 패턴을 이용한 하이브리드 홈페이지 변조 탐지 시스템 및 방법
CN114124564B (zh) * 2021-12-03 2023-11-28 北京天融信网络安全技术有限公司 一种仿冒网站检测方法、装置、电子设备及存储介质
CN117729041A (zh) * 2023-12-22 2024-03-19 云尖(北京)软件有限公司 一种网页防篡改数据加密方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100736540B1 (ko) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 웹 서버 위/변조 감시장치 및 그 방법
KR101761513B1 (ko) * 2016-06-13 2017-07-26 한남대학교 산학협력단 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (ko) 2008-11-18 2009-08-18 주식회사 나우콤 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
KR101140699B1 (ko) * 2010-06-03 2012-05-03 한국조폐공사 디지털 포렌직 기술을 이용한 보안 인쇄물 위조식별 시스템 및 그 방법
KR102159399B1 (ko) * 2013-12-03 2020-09-23 주식회사 케이티 웹서버 모니터링 및 악성코드 분석 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100736540B1 (ko) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 웹 서버 위/변조 감시장치 및 그 방법
KR101761513B1 (ko) * 2016-06-13 2017-07-26 한남대학교 산학협력단 이미지를 이용한 위변조 웹사이트 탐지 시스템 및 탐지방법

Also Published As

Publication number Publication date
KR20190099816A (ko) 2019-08-28

Similar Documents

Publication Publication Date Title
KR102022058B1 (ko) 웹 페이지 위변조 탐지 방법 및 시스템
CN107659543B (zh) 面向云平台apt攻击的防护方法
US8839440B2 (en) Apparatus and method for forecasting security threat level of network
CN102110198B (zh) 一种网页防伪的方法
EP2691848B1 (en) Determining machine behavior
CN102592103B (zh) 文件安全处理方法、设备及***
CN107786564B (zh) 基于威胁情报的攻击检测方法、***及电子设备
CN110837640B (zh) 恶意文件的查杀方法、查杀设备、存储介质及装置
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的***和方法
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN104836781A (zh) 区分访问用户身份的方法及装置
CN104657665B (zh) 一种文件处理方法
CN109684835A (zh) 使用机器学习来检测恶意文件的***和方法
US20210203686A1 (en) Reliability calculation apparatus, reliability calculation method and program
CN109800560B (zh) 一种设备识别方法和装置
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及***
CN107294953A (zh) 攻击操作检测方法及装置
CN106549980A (zh) 一种恶意c&c服务器确定方法及装置
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及***
CN105471842A (zh) 一种大数据环境下的网络安全分析方法
CN113190839A (zh) 一种基于SQL注入的web攻击防护方法及***
CN106713293A (zh) 一种云平台恶意行为检测***及其方法
CN112235304A (zh) 一种工业互联网的动态安全防护方法和***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant