1 |
1
탐지 대상인 도메인 정보를 관리하고 큐서버를 통해 분배하는 도메인 저장 관리 모듈; 상기 도메인 정보를 수집하고 실제 다중 브라우저를 통해 접속하도록 상기 실제 다중 브라우저를 로딩하는 역할을 수행하는 브라우저 로딩 모듈;로딩되는 상기 실제 다중 브라우저를 통해 악성행위를 모니터링 하기 위한 악성 행위 감시용 DLL(Dynamic Linking Library) 파일 인젝션 모듈;인젝션된 상기 DLL 파일안에서 악성행위를 모니터링하기 위해 인젝션된 다중 브라우저를 통해 요청되는 API(application programming interface) 함수를 식별하고 동작시키는 API 후킹 모듈;API 후킹을 통해 사전에 정의된 특정 감시대상 API가 요청되는지 모니터링하여 악성 파일 여부를 판단하는 탐지 모니터링 모듈;악성으로 판단된 프로세스들의 정보를 로깅하여 로그 정보를 수집하는 탐지정보 수집 모듈;상기 로그 정보를 데이터베이스에 저장 관리하는 DB 관리 모듈; 및상기 데이터베이스의 로그 정보를 이용하여 악성 도메인의 위험수준을 시각화하는 대쉬보드및 관리 모듈;을 포함하여 구성되며,상기 API 후킹 모듈은 상기 실제 다중 브라우저가 로딩되면서 해당 웹사이트의 웹페이지에 숨어있는 악성코드로부터 발생되는 악성행위를 모니터링하고,API 후킹 정보가 로딩되는 다중 실제 브라우저마다 API를 후킹하고 종료할시 언후킹을 통해 정상종료되도록 수행하여 악성 페이지로부터 정상 페이지로 분류되며,상기 API 후킹 모듈은 DLL 인젝션을 통해 브라우저로 연결된 DLL 파일 내에 API 후킹 정보를 삽입하여 다중 실제 브라우저로 로딩되는 악성 웹페이지의 행위를 감시하기 위해, 악성웹페이지가 요청하는 API를 리스트하고,상기 DLL 파일은 상기 실제 다중 브라우저의 코드 수정 없이 별도의 악성행위를 모니터링 하기 위한 별도의 DLL 파일이고,상기 모니터링은 특정 주소를 변조함으로써 공격자가 심어놓은 악성 웹페이지가 특정 악성행위를 위해 요청하는 API 함수를 중간에 가로채어 이루어지는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
2 |
2
제 1 항에 있어서, 상기 도메인 정보는 후보군 도메인, URL(uniform resource locator)을 포함하는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
3 |
3
제 2 항에 있어서, 상기 도메인 수집 모듈은 로컬 디렉토리에 CONFIG 파일을 저장하며, 상기 CONFIG 파일내에는 대상이 되는 큐서버 및 큐네임 정보가 포함되어, 상기 큐서버 및 큐네임 정보를 바탕으로 상기 브라우저 로딩 모듈의 요청에 따라 상기 도메인 정보를 분배하는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
4 |
4
삭제
|
5 |
5
제 1 항에 있어서,상기 API 후킹을 위해서 특정 주소가 코드 패치(CODE PATCH)되는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
6 |
6
제 1 항에 있어서,상기 탐지 모니터링 모듈은 악성행위가 발생할 시 총체적인 현상을 보고 악성으로 판단하며, 상기 악성 행위는 응용 프로그램 로딩, 파일 생성, 레지스트리 변경, 다른 네트워크 포트 오픈, 잘사용되지 않는 포트의 연결성, 코맨드라인(cmdline을 통한 명령어 실행 중 어느 하나인 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
7 |
7
제 1 항에 있어서,상기 탐지 정보 수집 모듈은 상기 로그 정보를 수집하기 위해 로컬 폴더를 생성하고 시간별, 행위별, 파일별, 링크별 정보를 수집하는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
8 |
8
제 1 항에 있어서,상기 DB 관리 모듈은 상기 로그 정보를 생성된 프로세스 ID를 시간별로 톱-다운(TOP-DOWN) 형태로 이력관리하고 해당 프로세스에 의해 생성된 로그 정보를 시간기반으로 저장된 형태인 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
9 |
9
제 2 항에 있어서,상기 도메인 저장 관리 모듈은 해당 후보군 도메인을 관리 페이지를 통해 등록 여부를 수행하는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
10 |
10
제 2 항에 있어서,상기 탐지 모니터링 모듈은 상기 API 후킹으로부터 수집되는 로그 정보에 대해 악성여부를 판단하기 위해, 특정 대기시간 동안 악성행위의 발생여부를 판단하며, 접속 후보군 도메인의 비정상 연결 상태에 대해 빠르게 종료하는 역할을 제공하는 것을 특징을 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템
|
11 |
11
삭제
|
12 |
12
도메인 저장 관리 모듈이 탐지 대상인 도메인 정보를 관리하고 큐서버를 통해 분배하는 단계;브라우저 로딩 모듈이 상기 도메인 정보를 수집하고 실제 다중 브라우저를 통해 접속하도록 상기 실제 다중 브라우저를 로딩하는 역할을 수행하는 단계;DLL(Dynamic Linking Library) 인젝션 모듈이 로딩되는 상기 실제 다중 브라우저를 통해 악성행위를 모니터링 하기 위한 초기작업을 위해 상기 실제 다중 브라우저로 악성 행위 감시용 DLL 파일을 인젝션하는 단계;API(application programming interface) 후킹 모듈이 인젝션된 상기 DLL 파일안에서 악성행위를 모니터링하기 위한 API를 식별하고 동작시키는 API 후킹을 수행하는 단계;탐지 모니터링 모듈이 API 후킹을 통해 해당 API가 요청되는지 모니터링하여 사전에 정의된 특정 악성 파일의 탐지 여부에 따라 악성으로 판단하는 단계;탐지정보 수집 모듈이 악성으로 판단된 프로세스들의 정보를 로깅하여 로그 정보를 수집하는 단계;DB 관리 모듈이 상기 로그 정보를 데이터베이스에 저장 관리하는 단계; 및대쉬보드및 관리 모듈이 상기 데이터베이스의 로그 정보를 이용하여 악성 도메인의 위험수준을 시각화하는 단계;를 포함하여 구성되며,상기 API 후킹 모듈은 상기 실제 다중 브라우저가 로딩되면서 해당 웹사이트의 웹페이지에 숨어있는 악성코드로부터 발생되는 악성행위를 모니터링하고,API 후킹 정보가 로딩되는 다중 실제 브라우저마다 API를 후킹하고 종료할시 언후킹을 통해 정상종료되도록 수행하여 악성 페이지로부터 정상 페이지로 분류되며,상기 API 후킹 모듈은 DLL 인젝션을 통해 브라우저로 연결된 DLL 파일 내에 API 후킹 정보를 삽입하여 다중 실제 브라우저로 로딩되는 악성 웹페이지의 행위를 감시하기 위해, 악성웹페이지가 요청하는 API를 리스트하고,상기 DLL 파일은 상기 실제 다중 브라우저의 코드 수정 없이 별도의 악성행위를 모니터링 하기 위한 별도의 DLL 파일이고,상기 모니터링은 특정 주소를 변조함으로써 공격자가 심어놓은 악성 웹페이지가 특정 악성행위를 위해 요청하는 API 함수를 중간에 가로채어 이루어지는 것을 특징으로 하는 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 방법
|