| 1 |
1
분석대상 URL에 대응되는 웹페이지를 다운로드 하고, 상기 다운로드 받은 웹페이지를 분석하여 상세분석이 필요한 위험 웹페이지를 판별하는 악성코드 1차 분석부;상기 악성코드 1차 분석부에서 상세분석이 필요한 위험 웹페이지로 판별된 웹페이지의 오탐여부를 확인하는 오탐 필터부; 및상기 오탐 필터부에서 오탐이 아닌 것으로 판단되면, 상기 위험 웹페이지로 판별된 웹페이지를 상세분석하여 악성코드 포함 여부를 판단하는 악성코드 상세 분석부를 포함하는 악성코드 분석 시스템
|
| 2 |
2
제1항에 있어서,상기 악성코드 1차 분석부는상기 분석대상 URL에 대응되는 웹페이지에서 동적으로 실행되는 부분을 실행하지 않고 상기 웹페이지에 포함된 웹 리소스를 수집하는 정적 크롤러;상기 분석대상 URL에 대응되는 웹페이지에서 동적으로 실행되는 부분을 실행하고 상기 웹페이지에 포함된 웹 리소스를 수집하는 동적 크롤러 및상기 정적 크롤러의 수집 결과와 상기 동적 크롤러의 수집 결과를 비교하여, 상기 웹페이지가 위험 웹페이인지 여부를 판별하는 판별부를 포함하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 3 |
3
제2항에 있어서,상기 판별부는상기 정적 크롤러가 수집한 웹페이지의 DOM 트리와 상기 동적 크롤러가 수집한 웹페이지의 DOM 트리를 비교하여 상기 웹페이지가 위험 웹페이지인지 여부를 판별하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 4 |
4
제3항에 있어서,상기 판별부는상기 동적 크롤러가 수집한 웹페이지의 DOM 트리를 확인하여, 상기 정적 크롤러가 수집한 웹페이지의 DOM 트리에 없었던 동적 추가 DOM 노드를 확인하고,상기 동적 추가 DOM 노드에 iframe, script 및 img 중 적어도 하나의 DOM 노드가 생성된 경우 상기 웹페이지를 위험 웹페이지로 판별하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 5 |
5
제2항에 있어서,상기 악성코드 1차 분석부는상기 다운로드 받은 웹페이지에 포함된 웹 리소스의 종류에 따라 YARA 룰을 설정하고, YARA 분석을 수행하는 YARA 분석부를 더 포함하고,상기, 판별부는상기 YARA 분석부의 분석 결과를 더 고려하여 상기 웹페이지가 위험 웹페이지인지 여부를 판별하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 6 |
6
제1항에 있어서,상기 오탐 필터부는상기 악성코드 상세 분석부에서 분석 결과 악성코드가 없는 것으로 판단된 웹페이지에 관한 정보를 오탐 이력으로 저장하는 오탐 이력 데이터베이스; 및상기 악성코드 1차 분석부에서 위험 웹페이지로 판별된 웹페이지가 상기 오탐 이력 데이터베이스에 저장된 오탐 이력 중 적어도 하나에 대응되는지 여부를 판단하는 오탐 분석부를 포함하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 7 |
7
제6항에 있어서,상기 오탐 분석부는상기 위험 웹페이지의 URL의 패턴을 분석하고, 상기 오탐 이력으로 저장된 웹페이지의 URL 패턴과 비교하여 오탐 여부를 판단하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 8 |
8
제6항에 있어서,상기 오탐 분석부는상기 위험 웹페이지의 웹 리소스의 패턴을 분석하고, 상기 오탐 이력으로 저장된 웹페이지의 웹 리소스의 패턴과 비교하여 오탐 여부를 판단하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 9 |
9
제1항에 있어서,상기 악성코드 1차 분석부에서 발생되는 네트워크 트래픽을 저장하는 캐시 서버를 더 포함하고,상기 악성코드 상세 분석부는상기 위험 웹페이지로 판별된 웹페이지를 상세분석 할 때, 상기 캐시서버에 저장된 데이터를 이용하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 10 |
10
제1항에 있어서,상기 악성코드 상세 분석부는동적 행위분석을 수행하는 행위분석기를 이용하여 상기 위험 웹페이지로 판별된 웹페이지에 악성코드가 포함되었는지 여부를 분석하는 것을 특징으로 하는 악성코드 분석 시스템
|
| 11 |
11
중앙처리장치 및 메모리를 구비하는 악성코드 분석 시스템에서 동작하는 악성코드 분석 방법에 있어서,악성코드 1차 분석부에서 분석대상 URL에 대응되는 웹페이지를 다운로드 하고, 상기 다운로드 받은 웹페이지를 분석하여 상세분석이 필요한 위험 웹페이지를 판별하는 악성코드 1차 분석 단계;오탐 필터부에서 상기 악성코드 1차 분석 단계에서 상세분석이 필요한 위험 웹페이지로 판별된 웹페이지의 오탐여부를 확인하는 오탐 필터 단계; 및악성코드 상세 분석부에서 상기 오탐 필터 단계에서 오탐이 아닌 것으로 판단되면, 상기 위험 웹페이지로 판별된 웹페이지를 상세분석하여 악성코드 포함 여부를 판단하는 악성코드 상세 분석 단계를 포함하는 악성코드 분석 방법
|
| 12 |
12
제11항에 있어서,상기 악성코드 1차 분석 단계는정적 크롤러에서 상기 분석대상 URL에 대응되는 웹페이지에서 동적으로 실행되는 부분을 실행하지 않고 상기 웹페이지에 포함된 웹 리소스를 수집하는 정적 크롤 단계;동적 크롤러에서 상기 분석대상 URL에 대응되는 웹페이지에서 동적으로 실행되는 부분을 실행하고 상기 웹페이지에 포함된 웹 리소스를 수집하는 동적 크롤 단계 및판별부에서 상기 정적 크롤러의 수집 결과와 상기 동적 크롤러의 수집 결과를 비교하여, 상기 웹페이지가 위험 웹페이인지 여부를 판별하는 판별 단계를 포함하는 것을 특징으로 하는 악성코드 분석 방법
|
| 13 |
13
제12항에 있어서,상기 판별 단계는상기 정적 크롤 단계에서 수집한 웹페이지의 DOM 트리와 상기 동적 크롤러가 수집한 웹페이지의 DOM 트리를 비교하여 상기 웹페이지가 위험 웹페이지인지 여부를 판별하는 것을 특징으로 하는 악성코드 분석 방법
|
| 14 |
14
제13항에 있어서,상기 판별 단계는상기 동적 크롤 단계에서 수집한 웹페이지의 DOM 트리를 확인하여, 상기 정적 크롤러가 수집한 웹페이지의 DOM 트리에 없었던 동적 추가 DOM 노드를 확인하고,상기 동적 추가 DOM 노드에 iframe, script 및 img 중 적어도 하나의 DOM 노드가 생성된 경우 상기 웹페이지를 위험 웹페이지로 판별하는 것을 특징으로 하는 악성코드 분석 방법
|
| 15 |
15
제12항에 있어서,상기 악성코드 1차 분석 단계는YARA 분석부에서 상기 다운로드 받은 웹페이지에 포함된 웹 리소스의 종류에 따라 YARA 룰을 설정하고, YARA 분석을 수행하는 YARA 분석 단계를 더 포함하고,상기, 판별 단계는상기 YARA 분석 단계의 분석 결과를 더 고려하여 상기 웹페이지가 위험 웹페이지인지 여부를 판별하는 것을 특징으로 하는 악성코드 분석 방법
|
| 16 |
16
제11항에 있어서,상기 오탐 필터 단계는상기 악성코드 상세 분석 단계에서 분석 결과 악성코드가 없는 것으로 판단된 웹페이지에 관한 정보를 오탐 이력으로 저장하는 오탐 이력 데이터베이스; 및상기 악성코드 1차 분석 단계에서 위험 웹페이지로 판별된 웹페이지가 상기 오탐 이력 데이터베이스에 저장된 오탐 이력 중 적어도 하나에 대응되는지 여부를 판단하는 오탐 분석 단계를 포함하는 것을 특징으로 하는 악성코드 분석 방법
|
| 17 |
17
제16항에 있어서,상기 오탐 분석 단계는상기 위험 웹페이지의 URL의 패턴을 분석하고, 상기 오탐 이력으로 저장된 웹페이지의 URL 패턴과 비교하여 오탐 여부를 판단하는 것을 특징으로 하는 악성코드 분석 방법
|
| 18 |
18
제16항에 있어서,상기 오탐 분석 단계는상기 위험 웹페이지의 웹 리소스의 패턴을 분석하고, 상기 오탐 이력으로 저장된 웹페이지의 웹 리소스의 패턴과 비교하여 오탐 여부를 판단하는 것을 특징으로 하는 악성코드 분석 방법
|
| 19 |
19
제11항에 있어서,상기 악성코드 1차 분석 단계에서 발생되는 네트워크 트래픽을 저장하는 캐시 서버를 더 포함하고,상기 악성코드 상세 분석 단계는상기 위험 웹페이지로 판별된 웹페이지를 상세분석 할 때, 상기 캐시서버에 저장된 데이터를 이용하는 것을 특징으로 하는 악성코드 분석 방법
|
| 20 |
20
제11항에 있어서,상기 악성코드 상세 분석 단계는동적 행위분석을 수행하는 행위분석기를 이용하여 상기 위험 웹페이지로 판별된 웹페이지에 악성코드가 포함되었는지 여부를 분석하는 것을 특징으로 하는 악성코드 분석 방법
|
