1 |
1
기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하는 제1 시그니처를 관리하는 시그니처 관리부;상기 시그니처 관리부로부터 상기 제1 시그니처를 제공받고, 상기 제1 시그니처를 이용하여 웹 페이지에 포함된 제1 스크립트를 분석하는 스크립트 분석부; 및상기 스크립트 분석부의 분석 결과를 제공받고, 상기 분석 결과에 따라 상기 제1 스크립트를 처리하는 스크립트 처리부를 포함하되,상기 스크립트 분석부는 정적 분석부와 동적 분석부를 포함하고,상기 정적 분석부는, 상기 제1 시그니처를 이용하여 상기 제1 스크립트의 코드 패턴을 분석하고, 상기 제1 스크립트 중 상기 제1 시그니처와 일치하지 않는 제2 스크립트를 상기 동적 분석부로 제공하고,상기 동적 분석부는, 상기 제2 스크립트에 대해 API(Application Programming Interface) 흐름 정보를 포함하는 제1 콜 트래이스(call trace)를 생성하고, 상기 시그니처 관리부로부터 기 탐지된 악성 스크립트의 제2 콜 트래이스를 포함하는 제2 시그니처를 제공받아 상기 제2 시그니처를 이용하여 상기 제1 콜 트래이스를 분석하는 악성 스크립트 탐지 차단 장치
|
2 |
2
삭제
|
3 |
3
제 1항에 있어서,상기 정적 분석부는 패턴 검사 모듈을 포함하고,상기 패턴 검사 모듈은, 상기 제1 시그니처를 이용하여 상기 제1 스크립트의 코드 패턴을 분석하고, 상기 제1 스크립트에 대한 탐지 정보와 탐지 시간을 포함하는 제1 분석 결과를 생성하는 악성 스크립트 탐지 차단 장치
|
4 |
4
제 3항에 있어서,상기 정적 분석부는 코드 분석 모듈을 더 포함하고,상기 코드 분석 모듈은, 상기 제1 스크립트에 포함된 HTML5 태그를 탐지한 제1 탐지 결과와, 상기 제1 스크립트에 포함된 자바 스크립트의 API 흐름을 탐지한 제2 탐지 결과와, 상기 제1 스크립트의 난독화 정도를 판단한 제3 탐지 결과를 생성하는 악성 스크립트 탐지 차단 장치
|
5 |
5
제 4항에 있어서,상기 정적 분석부는 누적값 비교 모듈을 더 포함하고,상기 누적값 비교 모듈은, 상기 제1 내지 제3 탐지 결과에 각각 가중치를 반영한 누적값을 생성하고, 상기 누적값이 기 설정된 임계값 이상인지 판단하여 제2 분석 결과를 생성하는 악성 스크립트 탐지 차단 장치
|
6 |
6
제 1항에 있어서,상기 동적 분석부는 콜 트래이스 생성 모듈을 포함하고,상기 콜 트래이스 생성 모듈은, 상기 제2 스크립트에 대해 API 트래이스를 생성하고, 상기 API 트래이스를 XML 변환하여 상기 제1 콜 트래이스를 생성하는 악성 스크립트 탐지 차단 장치
|
7 |
7
제 6항에 있어서,상기 동적 분석부는 콜 트래이스 비교 모듈을 더 포함하고,상기 콜 트래이스 비교 모듈은, 상기 제1 콜 트래이스로부터 서브 트리(sub-tree) 코드를 추출하고, 상기 제2 시그니처를 이용하여 상기 서브 트리 코드를 분석하고, 상기 제1 콜 트래이스에 대한 탐지 정보와 탐지 시간을 포함하는 제3 분석 결과를 생성하는 악성 스크립트 탐지 차단 장치
|
8 |
8
제 1항에 있어서,상기 스크립트 처리부는 분석 결과 처리부와 악성 코드 제거부를 포함하고,상기 분석 결과 처리부는, 상기 분석 결과에 따라 이벤트 메시지를 생성하고, 상기 이벤트 메시지를 상기 시그니처 관리부로 제공하고,상기 악성 코드 제거부는, 상기 제1 스크립트에서 악성 스크립트를 제거하는 악성 스크립트 탐지 차단 장치
|
9 |
9
제 8항에 있어서,상기 분석 결과 처리부는, 상기 분석 결과에 따라 상기 스크립트 분석부로 동적 분석을 요청하는 악성 스크립트 탐지 차단 장치
|
10 |
10
제 8항에 있어서,상기 악성 코드 제거부는, 상기 제1 스크립트에 포함된 악성 자바 스크립트를 제거하고, 상기 제1 스크립트에 포함된 악성 HTML을 차단하는 악성 스크립트 탐지 차단 장치
|
11 |
11
제 1항에 있어서,상기 시그니처 관리부는 API 접속 모듈과, 시그니처 수신 모듈과, 시그니처 저장부를 포함하고,상기 API 접속 모듈은, 상기 시그니처 수신 모듈로 API 호출 시에 사용되는 인증 정보를 요청하고,상기 시그니처 수신 모듈은, 상기 인증 정보 요청에 따라 상기 시그니처 저장부로부터 시그니처 업데이트 정보를 제공받고,상기 시그니처 저장부는, 시그니처 업데이트 정보와 시그니처 조회 정보를 저장하는 악성 스크립트 탐지 차단 장치
|
12 |
12
제1 또는 제2 시그니처를 이용하여 웹 페이지에 포함된 제1 스크립트를 분석하고, 상기 제1 스크립트에 악성 스크립트가 존재하는지 판단하고, 분석 결과에 따라 상기 제1 스크립트를 처리하는 악성 스크립트 탐지 차단 장치; 및상기 제1 또는 제2 시그니처를 생성하고 저장하며, 요청에 따라 상기 악성 스크립트 탐지 차단 장치로 상기 제1 또는 제2 시그니처를 제공하는 악성 스크립트 시그니처 관리 장치를 포함하되,상기 제1 시그니처는 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하고, 상기 제2 시그니처는 기 탐지된 악성 스크립트의 API 흐름 정보를 포함하는 콜 트래이스를 포함하고,상기 악성 스크립트 탐지 차단 장치는 1차적으로 상기 제1 시그니처를 이용하여 상기 제1 스크립트를 정적 분석하고, 2차적으로 상기 제2 시그니처를 이용하여 상기 제1 스크립트를 동적 분석하고,상기 악성 스크립트 탐지 차단 장치는 시그니처 관리부와, 스크립트 분석부와, 스크립트 처리부를 포함하고,상기 시그니처 관리부는, 상기 제1 또는 제2 시그니처를 관리하고,상기 스크립트 분석부는, 정적 분석부와, 동적 분석부를 포함하고, 상기 정적 분석부는 상기 제1 시그니처를 이용하여 상기 정적 분석을 수행하고, 상기 동적 분석부는 상기 제2 시그니처를 이용하여 상기 동적 분석을 수행하고,상기 스크립트 처리부는, 상기 스크립트 분석부로부터 상기 분석 결과를 제공받아 상기 제1 스크립트를 처리하고,상기 정적 분석부는 패턴 검사 모듈과, 코드 분석 모듈을 포함하고,상기 패턴 검사 모듈은, 상기 제1 시그니처를 이용하여 상기 제1 스크립트의 코드 패턴을 분석하고, 상기 제1 스크립트 중 상기 제1 시그니처와 일치하지 않는 제2 스크립트를 상기 동적 분석부로 제공하고, 상기 제1 스크립트에 대한 탐지 정보와 탐지 시간을 포함하는 제1 분석 결과를 생성하고,상기 코드 분석 모듈은, 상기 제1 스크립트에 포함된 HTML 5 태그를 탐지한 제1 탐지 결과와, 상기 제1 스크립트에 포함된 자바 스크립트 API를 탐지한 제2 탐지 결과와, 상기 제1 스크립트의 난독화 정도를 판단한 제3 탐지 결과를 생성하는 악성 스크립트 탐지 차단 시스템
|
13 |
13
삭제
|
14 |
14
삭제
|
15 |
15
제 12항에 있어서,상기 정적 분석부는 누적값 비교 모듈을 더 포함하고,상기 누적값 비교 모듈은, 상기 제1 내지 제3 탐지 결과에 각각 가중치를 반영한 누적값을 생성하고, 상기 누적값이 기 설정된 임계값 이상인지 판단하여 제2 분석 결과를 생성하는 악성 스크립트 탐지 차단 시스템
|
16 |
16
제 12항에 있어서,상기 동적 분석부는 콜 트래이스 생성 모듈과, 콜 트래이스 비교 모듈을 포함하고, 상기 콜 트래이스 생성 모듈은, 상기 제2 스크립트에 대해 API 트래이스를 생성하고, 상기 API 트래이스를 XML 변환하여 제1 콜 트래이스를 생성하고,상기 콜 트래이스 비교 모듈은, 상기 제1 콜 트래이스로부터 서브 트리 코드를 추출하고, 상기 제2 시그니처를 이용하여 상기 서브 트리 코드를 분석하고, 상기 제1 콜 트래이스에 대한 탐지 정보와 탐지 시간을 포함하는 제3 분석 결과를 생성하는 악성 스크립트 탐지 차단 시스템
|
17 |
17
제 12항에 있어서,상기 스크립트 처리부는 분석 결과 처리부와 악성 코드 제거부를 포함하고,상기 분석 결과 처리부는, 상기 분석 결과에 따라 이벤트 메시지를 생성하고, 상기 이벤트 메시지를 상기 시그니처 관리부로 제공하고,상기 악성 코드 제거부는, 상기 제1 스크립트에서 악성 스크립트를 제거하는 악성 스크립트 탐지 차단 시스템
|
18 |
18
제 17항에 있어서,상기 분석 결과 처리부는, 상기 분석 결과에 따라 상기 스크립트 분석부로 상기 동적 분석을 요청하는 악성 스크립트 탐지 차단 시스템
|
19 |
19
제 17항에 있어서,상기 악성 코드 제거부는, 상기 제1 스크립트에 포함된 악성 자바 스크립트를 제거하고, 상기 제1 스크립트에 포함된 악성 HTML을 차단하는 악성 스크립트 탐지 차단 시스템
|
20 |
20
제 12항에 있어서,상기 시그니처 관리부는 API 접속 모듈과, 시그니처 수신 모듈과, 시그니처 저장부를 포함하고,상기 API 접속 모듈은, 상기 시그니처 수신 모듈로 API 호출 시에 사용되는 인증 정보를 요청하고,상기 시그니처 수신 모듈은, 상기 인증 정보 요청에 따라 상기 시그니처 저장부로부터 시그니처 업데이트 정보를 제공받고,상기 시그니처 저장부는, 시그니처 업데이트 정보와 시그니처 조회 정보를 저장하는 악성 스크립트 탐지 차단 시스템
|
21 |
21
분석 입력 데이터를 제공받고,상기 분석 입력 데이터로부터 분석 타입을 추출하고,상기 분석 타입에 따라 웹 페이지에 포함된 제1 스크립트를 정적 또는 동적 분석하고,상기 정적 또는 동적 분석 결과에 따라 분석 결과 정보를 업데이트 하고, 상기 정적 또는 동적 분석 결과에 따라 상기 제1 스크립트를 제거하거나 차단하는 것을 포함하되,상기 정적 분석은 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함한 제1 시그니처를 이용하여 상기 제1 스크립트를 분석하고,상기 동적 분석은 기 탐지된 악성 스크립트의 API 흐름 정보를 포함하는 콜 트래이스를 포함한 제2 시그니처를 이용하여 상기 제1 스크립트를 분석하고,상기 제1 스크립트를 동적 분석하는 것은, 상기 제1 스크립트 중 상기 제1 시그니처와 일치하지 않는 제2 스크립트에 대해 수행하되, 상기 제2 스크립트에 대해 API 트래이스를 생성하고, 상기 API 트래이스를 XML 변환하여 제1 콜 트래이스를 생성하고, 상기 제1 콜 트래이스로부터 서브 트리 코드를 추출하고, 상기 제2 시그니처를 이용하여 상기 서브 트리 코드를 분석하는 것을 포함하는 악성 스크립트 탐지 차단 방법
|
22 |
22
삭제
|
23 |
23
삭제
|
24 |
24
제 21항에 있어서,상기 제1 스크립트를 제거하거나 차단하는 것은, 상기 정적 또는 동적 분석 결과에 따라 상기 제1 스크립트에 포함된 악성 자바 스크립트를 제거하거나, 상기 제1 스크립트에 포함된 악성 HTML을 차단하는 악성 스크립트 탐지 차단 방법
|