[go: up one dir, main page]

KR102552330B1 - System and Method for detecting malicious internet address using search engine - Google Patents

System and Method for detecting malicious internet address using search engine Download PDF

Info

Publication number
KR102552330B1
KR102552330B1 KR1020210011674A KR20210011674A KR102552330B1 KR 102552330 B1 KR102552330 B1 KR 102552330B1 KR 1020210011674 A KR1020210011674 A KR 1020210011674A KR 20210011674 A KR20210011674 A KR 20210011674A KR 102552330 B1 KR102552330 B1 KR 102552330B1
Authority
KR
South Korea
Prior art keywords
search
internet address
malicious
search results
message information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020210011674A
Other languages
Korean (ko)
Other versions
KR20220108549A (en
Inventor
장민해
김명수
정남준
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020210011674A priority Critical patent/KR102552330B1/en
Publication of KR20220108549A publication Critical patent/KR20220108549A/en
Application granted granted Critical
Publication of KR102552330B1 publication Critical patent/KR102552330B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

피싱, 스미싱, 파밍 등의 공격을 위해 사용되는 악성 인터넷 주소를 판별하여 사용자의 공격피해를 예방할 수 있는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템이 개시된다. 상기 악성 인터넷 주소 탐지 시스템은, 메시지 정보를 저장하는 데이터베이스, 상기 메시지 정보를 제공하며, 검색엔진이 구비되는 관리 서버, 및 통신망을 통해 상기 관리 서버에 통신 연결되며, 상기 메시지 정보에 링크되는 인터넷 주소를 검색어로 상기 검색엔진에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단말기를 포함하는 것을 특징으로 한다.Disclosed is a malicious Internet address detection system using a search engine capable of preventing user damage by identifying malicious Internet addresses used for attacks such as phishing, smishing, and pharming. The malicious Internet address detection system includes a database for storing message information, a management server providing the message information and equipped with a search engine, and an Internet address linked to the message information and connected to the management server through a communication network. and a terminal that determines whether the Internet address is malicious or not by using the number of search results calculated by applying ? as a search word to the search engine.

Description

검색엔진을 이용한 악성 인터넷 주소 탐지 시스템 및 방법{System and Method for detecting malicious internet address using search engine}System and Method for detecting malicious internet address using search engine}

본 발명은 악성 인터넷 주소 탐지 기술에 관한 것으로서, 더 상세하게는 포털사이트 검색엔진을 활용한 악성 인터넷 주소 탐지 시스템 및 방법에 대한 것이다.The present invention relates to a malicious Internet address detection technology, and more particularly, to a malicious Internet address detection system and method using a portal site search engine.

IoT(Internet of Things) 기술이 발달하면서 실생활의 모든 것이 유기적으로 연결되는 초연결 사회로 발전하고 있다. 그에 따라 보안의 중요성 이슈가 강조되고 있고, 그중에서 악성 URL(Uniform Resource Locator)을 이용한 악의적인 공격이 사회적인 문제로 대두되고 있다. 악성 URL이란 스미싱, 파싱, 피싱 등 악의적인 목적을 가진 URL을 이용하여 사용자의 정보를 탈취하기 위해 사용되는 것이다. As the Internet of Things (IoT) technology develops, it is developing into a hyper-connected society in which everything in real life is organically connected. Accordingly, the importance of security issues is being emphasized, and among them, malicious attacks using malicious URLs (Uniform Resource Locators) are emerging as a social problem. Malicious URLs are used to steal user information by using URLs with malicious purposes such as smishing, parsing, and phishing.

피싱(Phishing)이란 개인정보(Private data)와 낚시(Fishing)의 합성어로 사용자 스스로 개인정보를 입력하도록 유도하는 공격이다. 스미싱(Smishing)이란 문자 메시지(SMS: Short Messaging System)와 피싱(Fishing)의 합성어로 통신 단말기 사용자들에게 악성 URL을 포함하는 문자 메시지를 보내 사용자의 정보를 탈취하여 악의적으로 이용하는 공격이다. Phishing is a compound word of private data and fishing, and is an attack that induces users to enter personal information themselves. Smishing is a compound word of SMS (Short Messaging System) and phishing, and is an attack that steals user information and maliciously uses it by sending a text message containing a malicious URL to communication terminal users.

파밍(Pharming)이란 사용자의 PC(Personal Computer)에 악성코드를 감염시킨 후, 악성 URL 접근을 유도하여 사용자 정보를 탈취하는 공격이다. 이러한 공격들의 공통점은 이메일 또는 문자, PC의 악성코드 등에 의해 비정상 인터넷 사이트로 유도하여 필요한 정보를 탈취후 악의적으로 이용한다는 점이다. Pharming is an attack that steals user information by infecting a user's PC (Personal Computer) with malicious code and then inducing access to a malicious URL. What these attacks have in common is that they are induced to an abnormal Internet site by e-mail, text message, or malicious code on a PC, and then steal necessary information and use it maliciously.

이를 예방하기 위해서는 개인의 수신물(이메일, 문자메시지, SNS 등)에 포함된 URL 주소를 무분별하게 클릭하지 않고, 발신자확인 및 해당 URL에 대한 정보확인이 불가한 경우 즉시 삭제하거나 신고해야 한다. 그 외에도 기본적인 스팸방지 프로그램 및 백신 프로그램을 이용 및 최신 버전으로 업데이트하는 방법 등이 있다. In order to prevent this, do not indiscriminately click on URL addresses included in personal messages (e-mails, text messages, SNS, etc.), and if it is impossible to verify the sender and information on the URL, delete or report it immediately. In addition, there are ways to use and update basic anti-spam programs and vaccine programs to the latest version.

그러나 이러한 기존의 예방법은 정상 URL 주소와 매우 유사하게 악성 URL을 만들거나(예시 : nate.com을 natte.com , amazon.com을 amizon.com), '이벤트 당첨', '계정 해킹', '계약'등의 사용자들이 관심을 가지는 내용으로 접근을 유도하여 사전에 방지하기가 매우 어렵다. 이를 예시하는 도면이 도 1에 도시된다. 즉, 도 1은 악성 인터넷 주소(특히 URL)의 배포 예시이다.However, these existing prevention methods create malicious URLs that look very similar to normal URL addresses (e.g. nate.com to natte.com, amazon.com to amizon.com), 'win an event', 'account hack', or 'contract'. It is very difficult to prevent in advance by inducing access to content that users are interested in, such as '. A diagram illustrating this is shown in FIG. 1 . That is, FIG. 1 is an example of distribution of malicious Internet addresses (especially URLs).

이를 해결하기 위해서 사이트 주소의 정상 여부 확인을 목적으로 하는 'PhishTank.com'과 같이 사용자들이 피싱 의심증명을 제출하여 피싱 여부를 투표로 확인하는 서비스 등을 이용하여 불분명한 URL을 점검할 수 있다. 그러나, 관련 공격에 대한 의견을 사람이 제시하기 때문에 정확성이 떨어진다. To solve this problem, users can check unclear URLs by using services such as 'PhishTank.com', which aims to check whether the site address is normal or not, where users submit proof of phishing suspicion and check whether it is phishing or not by voting. However, accuracy is poor because of the human opinion on the attack involved.

또한, 악성 키워드를 블랙리스트로 차단하는 방법이 있지만, 신규 악성 키워드가 셀 수 없이 생성되고 있기에 모든 악성 키워드를 차단하는 것은 거의 불가능하다. In addition, although there is a method of blocking malicious keywords through a blacklist, it is almost impossible to block all malicious keywords because countless new malicious keywords are generated.

부연하면, 사람이 직접 악성 사이트의 URL 주소를 판단함에 따른 정확성이나 편의성이 떨어지는 문제점과 기하급수적으로 증가하는 신규 악성 URL에 대한 대응이 미흡한 문제점을 해결하지 못하였다.In other words, the problem of low accuracy or convenience when a person directly determines the URL address of a malicious site and the problem of insufficient response to new malicious URLs that increase exponentially have not been solved.

1. 한국등록특허번호 제10-1724307호(등록일자: 2017년04월03일)1. Korea Patent Registration No. 10-1724307 (registration date: April 3, 2017)

본 발명은 위에서 제시된 과제를 달성하기 위해, 피싱, 스미싱, 파밍 등의 공격을 위해 사용되는 악성 인터넷 주소를 판별하여 사용자의 공격피해를 예방할 수 있는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템 및 방법을 제공하는데 그 목적이 있다.In order to achieve the object presented above, the present invention provides a system and method for detecting malicious Internet addresses using a search engine capable of preventing user damage by identifying malicious Internet addresses used for attacks such as phishing, smishing, and pharming. Its purpose is to provide

또한, 본 발명은 메일이나 문자, SNS(Social Network Service)에 링크되는 인터넷 주소에 대하여 검색엔진을 통해 자동 검색하고, 그와 일치하는 검색결과의 갯수(Count)를 활용하여 해당 검색 인터넷 주소의 악성 여부를 판단할 수 있는 악성 인터넷 주소 탐지 시스템 및 방법을 제공하는데 다른 목적이 있다.In addition, the present invention automatically searches through a search engine for Internet addresses linked to e-mail, text messages, and SNS (Social Network Service), and utilizes the number (Count) of matching search results to detect malicious information of the searched Internet address. Another object is to provide a malicious Internet address detection system and method capable of determining whether

본 발명은 위에서 제시된 과제를 달성하기 위해, 피싱, 스미싱, 파밍 등의 공격을 위해 사용되는 악성 인터넷 주소를 판별하여 사용자의 공격피해를 예방할 수 있는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템을 제공한다.In order to achieve the object presented above, the present invention provides a malicious Internet address detection system using a search engine that can prevent user damage by identifying malicious Internet addresses used for attacks such as phishing, smishing, and pharming. .

상기 악성 인터넷 주소 탐지 시스템은,The malicious internet address detection system,

메시지 정보를 저장하는 데이터베이스;database for storing message information;

상기 메시지 정보를 제공하며, 검색엔진이 구비되는 관리 서버; 및a management server providing the message information and equipped with a search engine; and

통신망을 통해 상기 관리 서버에 통신 연결되며, 상기 메시지 정보에 링크되는 인터넷 주소를 검색어로 상기 검색엔진에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단말기;를 포함하는 것을 특징으로 한다.A terminal that is communicatively connected to the management server through a communication network and determines whether the Internet address is malicious by using the number of search results calculated by applying the Internet address linked to the message information as a search word to the search engine. It is characterized by doing.

또한, 상기 메시지 정보는 이메일, 문자, 및 SNS(Social Networking Service) 중 어느 하나인 것을 특징으로 한다.In addition, the message information is characterized in that any one of e-mail, text, and SNS (Social Networking Service).

또한, 상기 단말기는, 상기 메시지 정보의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진에 상기 인터넷 주소에 대한 상기 검색어를 적용하여 검색을 실행하는 검색 모듈; 상기 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 분석 모듈; 및 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 판정 모듈;을 포함하는 것을 특징으로 한다.In addition, the terminal may include a search module extracting the Internet address from the body of the message information and performing a search by applying the search word for the Internet address to the search engine; an analysis module counting the number of search results generated as a result of the execution of the search; and a determination module for determining whether the Internet address is malicious by using the number of search results.

또한, 상기 검색 모듈은 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색 및 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색을 실행하는 것을 특징으로 한다.In addition, the search module is characterized in that it executes a search for a normal Internet address related to the Internet address and a search for an abnormal Internet address not related to the Internet address.

또한, 상기 판정 모듈은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수가 제 1 기준값 보다 큰지를 판단하고, 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 크면 상기 인터넷 주소를 정상 인터넷 주소로 판정하고, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 작으면, 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 것을 특징으로 한다.In addition, the determination module determines whether the number of first search results is greater than a first reference value based on the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. and as a result of the determination, if the number of first search results is greater than the first reference value, the Internet address is determined to be a normal Internet address, and if the number of first search results is less than the first reference value, the Internet It is characterized in that the address is determined as an abnormal Internet address.

또한, 상기 판정 모듈은 상기 인터넷 주소가 상기 비정상 인터넷 주소로 판정되면 접속을 차단하는 것을 특징으로 한다.In addition, the determination module may block access if the Internet address is determined to be the abnormal Internet address.

또한, 상기 판정 모듈은 상기 인터넷 주소가 상기 정상 인터넷 주소로 판정되면 정상 서비스를 유지하는 것을 특징으로 한다.In addition, the determination module is characterized in that if the Internet address is determined to be the normal Internet address, normal service is maintained.

또한, 상기 제 1 기준값은 제 2 검색 결과의 상기 갯수의 최대값인 것을 특징으로 한다.In addition, the first reference value is characterized in that the maximum value of the number of second search results.

또한, 상기 판정 모듈은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수와 제 2 검색 결과의 갯수의 차이값이 미리 설정되는 제 2 기준값 보다 큰지를 판단하고, 상기 판단 결과, 상기 차이값이 상기 제 2 기준값보다 크면 상기 인터넷 주소를 정상 인터넷 주소로 판정하고, 상기 차이값이 상기 제 2 기준값보다 작으면, 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 것을 특징으로 한다.The determination module determines the number of first search results and the number of second search results based on the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. It is determined whether the difference value of is greater than a preset second reference value, and as a result of the determination, if the difference value is greater than the second reference value, the Internet address is determined as a normal Internet address, and the difference value is greater than the second reference value. If it is small, the Internet address is determined as an abnormal Internet address.

또한, 상기 인터넷 주소는 URL(Uniform Resource Locator)인 것을 특징으로 한다.Also, the Internet address is characterized in that it is a URL (Uniform Resource Locator).

다른 한편으로, 본 발명의 다른 일실시예는, 메시지 정보를 저장하는 데이터베이스; 상기 메시지 정보를 제공하며, 제 1 검색어와 유사한 제 2 검색어로 자동변환기능이 있는 검색엔진이 구비되는 관리 서버; 및 통신망을 통해 상기 관리 서버에 통신 연결되며, 상기 메시지 정보에 링크되는 인터넷 주소를 상기 제 1 검색어 및 상기 제 2 검색어로 상기 검색엔진에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단말기;를 포함하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템을 제공한다.On the other hand, another embodiment of the present invention, a database for storing message information; a management server provided with a search engine that provides the message information and has a function of automatically converting a second search word similar to the first search word; and a communication connection to the management server through a communication network, and using the number of search results calculated by applying the Internet address linked to the message information to the search engine as the first search word and the second search word, It provides a malicious internet address detection system using a search engine including;

이때, 상기 단말기는, 상기 메시지 정보의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진에 상기 인터넷 주소에 대한 상기 제 1 검색어를 적용하여 검색을 실행하는 검색 모듈; 상기 제 1 검색어 및 상기 제 2 검색어에 의해 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 분석 모듈; 및 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 판정 모듈;을 포함하는 것을 특징으로 한다.At this time, the terminal may include: a search module extracting the Internet address from the body of the message information and performing a search by applying the first search word for the Internet address to the search engine; an analysis module counting the number of search results generated as a result of executing a search by the first search word and the second search word; and a determination module for determining whether the Internet address is malicious by using the number of search results.

또한, 상기 제 1 검색어는 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색에 적용되고, 상기 제 2 검색어는 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색에 적용되는 것을 특징으로 한다.In addition, the first search word is applied to search for normal internet addresses related to the internet address, and the second search word is applied to search for abnormal internet addresses not related to the internet address.

또 다른 한편으로, 본 발명의 다른 일실시예는, (a) 메시지 정보가 데이터베이스에 저장되는 단계; (b) 통신망을 통하여 단말기와 통신으로 연결되며, 검색엔진이 구비되는 관리 서버가 상기 메시지 정보를 상기 단말기에 제공하는 단계; 및 (c) 상기 단말기가 상기 메시지 정보에 링크되는 인터넷 주소를 검색어로 상기 검색엔진에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단계;를 포함하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법을 제공한다.On the other hand, another embodiment of the present invention, (a) message information is stored in a database; (b) providing the message information to the terminal by a management server connected to the terminal through a communication network and equipped with a search engine; and (c) determining whether the Internet address is malicious by using the number of search results calculated by applying the Internet address linked to the message information to the search engine as a search term, by the terminal. A method for detecting malicious Internet addresses using a search engine is provided.

이때, 상기 (c) 단계는, (c-1) 검색 모듈이 상기 메시지 정보의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진에 상기 인터넷 주소에 대한 상기 검색어를 적용하여 검색을 실행하는 단계; (c-2) 분석 모듈이 상기 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 단계; 및 (c-3) 판정 모듈이 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 단계;를 포함하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법을 제공한다.In this case, the step (c) is: (c-1) a step in which the search module extracts the Internet address from the content of the body of the message information and executes a search by applying the search term for the Internet address to the search engine; ; (c-2) counting, by an analysis module, the number of search results generated as a result of the search being executed; and (c-3) a determination module determining whether the Internet address is malicious using the number of search results.

또한, 상기 (c-1)단계는, 상기 검색 모듈이 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색 및 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색을 실행하는 단계;를 포함하는 것을 특징으로 한다.Further, the step (c-1) may include the step of the search module executing a normal Internet address search related to the Internet address and an abnormal Internet address unrelated to the Internet address.

또한, 상기 (c-3) 단계는, (c-3-1) 상기 판정 모듈이 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수가 제 1 기준값 보다 큰지를 판단하는 단계; (c-3-2) 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 크면 상기 판정 모듈이 상기 인터넷 주소를 정상 인터넷 주소로 판정하는 단계; 및 (c-3-3) 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 작으면, 상기 판정 모듈이 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 단계;를 포함하는 것을 특징으로 한다.In addition, in step (c-3), (c-3-1) the determination module determines the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. determining whether the number of first search results is greater than a first reference value based on the number of first search results; (c-3-2) as a result of the determination, if the number of first search results is greater than the first reference value, determining, by the determination module, the Internet address as a normal Internet address; and (c-3-3) if the number of first search results is less than the first reference value as a result of the determination, determining, by the determination module, the Internet address as an abnormal Internet address. do.

또 다른 한편으로, 본 발명의 또 다른 일실시예는, (a) 메시지 정보가 데이터베이스에 저장하는 단계; (b) 통신망을 통하여 단말기와 통신으로 연결되며, 제 1 검색어와 유사한 제 2 검색어로 자동변환기능이 있는 검색엔진이 구비되는 관리 서버가 상기 단말기에 상기 메시지 정보를 제공하는 단계; (c) 상기 단말기가 상기 메시지 정보에 링크되는 인터넷 주소를 상기 제 1 검색어 및 상기 제 2 검색어로 상기 검색엔진에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단계;를 포함하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법을 제공한다.On the other hand, another embodiment of the present invention, (a) storing the message information in the database; (b) providing the message information to the terminal by a management server connected to the terminal through a communication network and equipped with a search engine capable of automatically converting a second search word similar to the first search word; (c) determining whether the Internet address is malicious by using the number of search results calculated by applying the Internet address linked to the message information to the search engine as the first search word and the second search word; Provides a malicious Internet address detection method using a search engine including ;.

또한, 상기 (c) 단계는, (c-1) 검색 모듈이 상기 메시지 정보의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진에 상기 인터넷 주소에 대한 상기 제 1 검색어를 적용하여 검색을 실행하는 단계; (c-2) 분석 모듈이 상기 제 1 검색어 및 상기 제 2 검색어에 의해 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 단계; 및 (c-3) 판정 모듈이 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 단계;를 포함하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법을 제공한다.In addition, in step (c), (c-1) the search module extracts the Internet address from the body of the message information and applies the first search term for the Internet address to the search engine to perform a search. doing; (c-2) counting, by an analysis module, the number of search results generated as a result of performing a search based on the first search word and the second search word; and (c-3) a determination module determining whether the Internet address is malicious using the number of search results.

본 발명에 따르면, 악성 인터넷 주소를 사람의 판단보다 정확하고 효율적으로 탐지할 수 있다.According to the present invention, malicious Internet addresses can be detected more accurately and efficiently than human judgment.

또한, 본 발명의 다른 효과로서는 신규 악성 인터넷 주소에 기존보다 더 효과적인 탐지 대응을 위해 검색엔진을 이용한 검색 인터넷 주소와 일치하는 검색결과 갯수(count)를 기반으로 정상/비정상 인터넷 주소를 자동 판별하여 비정상 인터넷 주소를 사전에 알아냄으로써 악성 인터넷 주소를 이용한 공격을 탐지 및/또는 차단할 수 있다는 점을 들 수 있다.In addition, another effect of the present invention is to detect and respond to new malicious Internet addresses more effectively than before, by automatically discriminating normal/abnormal Internet addresses based on the number of search results (count) matching the search Internet address using a search engine. For example, it is possible to detect and/or block an attack using a malicious Internet address by finding out an Internet address in advance.

도 1은 일반적인 악성 인터넷 주소의 배포 예시이다.
도 2는 본 발명의 일실시예에 따른 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템의 구성 블럭도이다.
도 3은 도 2에 도시된 단말기의 세부 구성 블럭도이다.
도 4는 본 발명의 일실시예에 따른 검색엔진을 이용하여 비정상 인터넷 주소를 차단하는 과정을 보여주는 흐름도이다.
도 5는 본 발명의 일실시예에 따라 검색한 정상 인터넷 주소와 비정상 인터넷 주소가 일치하는 검색 결과 갯수의 비교 결과를 보여주는 도면이다.
도 6은 일반적인 정상 인터넷 주소와 비정상 인터넷 주소의 검색화면예이다.
도 7은 도 6에 따른 검색한 정상 인터넷 주소 및 비정상 인터넷 주소와 일치하는 검색 결과의 갯수를 나타내는 화면예이다.
도 8은 본 발명의 일실시예에 따른 검색어 자동변형화면 및 정상 인터넷 주소 및 비정상 인터넷 주소의 검색결과 길이를 보여주는 화면예이다
도 9는 본 발명의 일실시예에 따른 정상 인터넷 주소와 일치하는 검색결과 갯수를 나타내는 화면예이다.
도 10은 본 발명의 일실시예에 따른 비정상 인터넷 주소와 일치하는 검색결과 갯수 및 검색어 자동변형화면을 나타내는 도면이다.1 is an example of distribution of a common malicious internet address.
2 is a block diagram of a malicious Internet address detection system using a search engine according to an embodiment of the present invention.
FIG. 3 is a detailed block diagram of the terminal shown in FIG. 2 .
4 is a flowchart illustrating a process of blocking an abnormal Internet address using a search engine according to an embodiment of the present invention.
5 is a diagram showing a comparison result of the number of search results in which normal Internet addresses and abnormal Internet addresses searched according to an embodiment of the present invention match each other.
6 is an example of a normal internet address and an abnormal internet address search screen.
FIG. 7 is an example of a screen showing the number of search results matching normal and abnormal Internet addresses searched according to FIG. 6 .
8 is an example of a screen showing an automatic transformation screen of a search word and search result lengths of normal and abnormal Internet addresses according to an embodiment of the present invention.
9 is an example of a screen showing the number of search results matching a normal Internet address according to an embodiment of the present invention.
10 is a diagram showing the number of search results matching an abnormal Internet address and an automatic transformation screen of a search word according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.Advantages and features of the present invention, and methods for achieving them, will become clear with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in a variety of different forms, only the present embodiments make the disclosure of the present invention complete, and those skilled in the art in the art to which the present invention belongs It is provided to fully inform the person of the scope of the invention, and the invention is only defined by the scope of the claims. The sizes and relative sizes of components shown in the drawings may be exaggerated for clarity of explanation.

명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, “및/또는”은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.Like reference numbers throughout the specification indicate like elements, and “and/or” includes each and every combination of one or more of the recited items.

본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 “포함한다” 및/또는 “구성된다”는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.Terms used in this specification are for describing embodiments and are not intended to limit the present invention. In this specification, singular forms also include plural forms unless specifically stated otherwise in a phrase. The referenced elements, steps, operations and/or elements that “comprise” and/or “comprise” as used in the specification do not exclude the presence or addition of one or more other elements, steps, operations and/or elements. .

비록 제1, 제2 등의 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 대해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소와 구별하기 위하여 사용되는 것이다. 따라서, 이하에서 언급되는 제 1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.Although used to describe various components such as first and second, these components are not limited to these terms, of course. These terms are only used to distinguish one component from another. Accordingly, it goes without saying that the first component mentioned below may also be the second component within the technical spirit of the present invention.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않은 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in this specification may be used in a meaning commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in commonly used dictionaries are not interpreted ideally or excessively unless explicitly specifically defined.

도 2는 본 발명의 일실시예에 따른 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템(200)의 구성 블럭도이다. 도 2를 참조하면, 메시지 정보를 저장하는 데이터베이스(210), 메시지 정보를 제공하는 관리 서버(220), 메시지 정보에 링크되는 인터넷 주소를 검색하여 검색결과의 갯수를 이용하여 인터넷 주소의 악성 여부를 판별하는 단말기(240), 관리 서버(220)와 단말기(240)를 통신으로 연결하는 통신망(230) 등을 포함하여 구성될 수 있다.2 is a block diagram of a malicious Internet address detection system 200 using a search engine according to an embodiment of the present invention. Referring to FIG. 2, a database 210 for storing message information, a management server 220 for providing message information, and Internet addresses linked to message information are searched to determine whether an Internet address is malicious by using the number of search results. It may be configured to include a terminal 240 that determines, a communication network 230 that connects the management server 220 and the terminal 240 through communication, and the like.

메시지 정보는 이메일, 문자, SNS(Social Networking Service) 등이 될 수 있다. 이들 메시지 정보는 인터넷 주소를 포함할 수 있다. 인터넷 주소로는 URL(Uniform Resource Locator)이 될 수 있다.The message information may be e-mail, text message, SNS (Social Networking Service), and the like. These message information may include internet addresses. An Internet address may be a URL (Uniform Resource Locator).

데이터베이스(210)는 메시지 정보를 저장하는 기능을 수행한다. 데이터베이스(210)는 관리 서버(220)에 구성될 수도 있고, 별도의 데이터베이스 서버로 구성될 수도 있다.The database 210 performs a function of storing message information. The database 210 may be configured in the management server 220 or may be configured as a separate database server.

관리 서버(220)는 메시지 정보를 받아 데이터베이스(210)에 저장하거나, 데이터베이스(210)에 저장된 메시지 정보를 사용자의 단말기(240)에 전송하는 기능을 한다. 또한, 관리 서버(220)에는 검색 엔진(221)이 구성된다. The management server 220 functions to receive message information and store it in the database 210 or transmit message information stored in the database 210 to the user's terminal 240 . In addition, a search engine 221 is configured in the management server 220 .

검색 엔진(221)은 컴퓨터 시스템에 저장된 정보를 찾아주는 것을 도와주도록 설계된 정보 검색 시스템이다. 이러한 검색 결과는 목록으로 표현되는 것이 보통이다. 예컨대, 사용자로부터 "야후"라는 질의어가 수신되는 경우, "야후"라는 웹사이트에 대해 "http://kryahoocom/"이라는 URL과 "http://wwwyahoocokr"이라는 URL이 할당되어 있기 때문에, 관리 서버는 검색결과에 "야후"라는 웹사이트를 노출한다.Search engine 221 is an information retrieval system designed to help find information stored in a computer system. These search results are usually presented as a list. For example, when a query word "Yahoo" is received from a user, since URLs "http://kryahoocom/" and "http://wwwyahoocokr" are assigned to the website "Yahoo", the management server exposes a website called "Yahoo" in search results.

이러한 검색 엔진(221)은 질의어에 따라 데이터베이스(210)를 검색하고, 검색후 결과를 출력하는 알고리즘을 갖는 프로그램으로 구성된다.This search engine 221 is composed of a program having an algorithm that searches the database 210 according to a query and outputs the result after the search.

통신망(230)은 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 공중교환 전화망(PSTN), 공중교환 데이터망(PSDN), 종합정보통신망(ISDN: Integrated Services Digital Networks), 광대역 종합 정보 통신망(BISDN: Broadband ISDN), 근거리 통신망(LAN: Local Area Network), 대도시 지역망(MAN: Metropolitan Area Network), 광역 통신망(WLAN: Wide LAN) 등이 될 수 있다, 그러나, 본 발명은 이에 한정되지는 않으며, 무선 통신망인 CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), Wibro(Wireless Broadband), WiFi(Wireless Fidelity), HSDPA(High Speed Downlink Packet Access) 망, 블루투스(bluetooth), NFC(Near Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 될 수 있다. 또는, 이들 유선 통신망 및 무선 통신망의 조합일 수 있다. The communication network 230 means a connection structure capable of exchanging information between each node, such as a plurality of terminals and servers, such as a public switched telephone network (PSTN), a public switched data network (PSDN), and an integrated information communication network (ISDN: Integrated Services Digital Networks), Broadband ISDN (BISDN), Local Area Network (LAN), Metropolitan Area Network (MAN), Wide LAN (WLAN), etc. However, the present invention is not limited thereto, and the wireless communication network CDMA (Code Division Multiple Access), WCDMA (Wideband Code Division Multiple Access), Wibro (Wireless Broadband), WiFi (Wireless Fidelity), HSDPA (High Speed Downlink) A packet access) network, a Bluetooth network, a near field communication (NFC) network, a satellite broadcasting network, an analog broadcasting network, a digital multimedia broadcasting (DMB) network, and the like. Alternatively, it may be a combination of these wired communication networks and wireless communication networks.

단말기(240)는 통신망(230)을 통해 메시지 정보를 수신한다. 또한, 수신된 메시지 정보에서 인터넷 주소로 검색을 실행하는 기능을 수행하여 검색 결과를 디스플레이하는 기능을 수행한다. 따라서, 단말기(240)는 휴대폰(mobile phone), 스마트폰(smart phone), 노트북 컴퓨터(laptop computer), 디지털방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, 퍼스널 컴퓨터 등이 될 수 있다.The terminal 240 receives message information through the communication network 230 . In addition, it performs a function of executing a search with an Internet address in the received message information and a function of displaying a search result. Accordingly, the terminal 240 is a mobile phone, a smart phone, a laptop computer, a digital broadcasting terminal, a PDA (Personal Digital Assistants), a PMP (Portable Multimedia Player), a navigation device, a personal computer, and the like. This can be.

도 3은 도 2에 도시된 단말기(240)의 세부 구성 블럭도이다. 도 3을 참조하면, 단말기(240)는, 메시지 정보(310)를 수신하여 메시지 정보(310)에 링크되는 인터넷 주소를 추출하고, 관리 서버(210)에 구비되는 검색엔진(221)을 이용하여 인터넷 주소의 검색을 실행하는 검색 모듈(320), 실행된 인터넷 주소의 검색 결과의 갯수를 카운팅하는 분석 모듈(330), 검색 결과의 갯수를 이용하여 인터넷 주소의 악성 여부를 판단하는 판정 모듈(340) 등을 포함하여 구성될 수 있다.FIG. 3 is a detailed block diagram of the terminal 240 shown in FIG. 2 . Referring to FIG. 3, the terminal 240 receives message information 310, extracts an Internet address linked to the message information 310, and uses the search engine 221 provided in the management server 210 to A search module 320 that searches Internet addresses, an analysis module 330 that counts the number of search results of executed Internet addresses, and a determination module 340 that determines whether an Internet address is malicious by using the number of search results. ) and the like.

메시지 정보(310)는 이메일(311), 문자(312), SNS(Social Networking Service)(313) 등이 될 수 있다. SNS(Social Networking Service)(313)는 페이스북, 트위터, 라인 등이 될 수 있다.The message information 310 may be e-mail 311, text message 312, SNS (Social Networking Service) 313, and the like. SNS (Social Networking Service) 313 may be Facebook, Twitter, Line, and the like.

구글, 네이버 등의 관리 서버(220)에서 제공하는 검색 엔진(221)을 이용하여 해당 사이트를 검색하게 되면, 정상 인터넷 주소/비정상 인터넷 주소와 검색결과의 일치 갯수(Count)는 차이가 난다. 왜냐하면, 일반적으로 정상 인터넷 주소의 경우 서비스되는 자료가 많아, 해당 검색 키워드의 검색결과가 많지만, 비정상 인터넷 주소의 경우 실제로 서비스되는 경우가 적기 때문에 검색결과가 거의 없는 것을 확인할 수 있기 때문이다. When a corresponding site is searched using the search engine 221 provided by the management server 220 such as Google or Naver, the number of matches between normal Internet address/abnormal Internet address and the search result is different. This is because, in general, in the case of a normal Internet address, there are many serviced data, so there are many search results for the corresponding search keyword, but in the case of an abnormal Internet address, there are few search results because it is rarely actually serviced.

도 3에 도시된 검색 모듈(320), 분석 모듈(330), 및 판정 모듈(340)은 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 소프트웨어 및/또는 하드웨어로 구현될 수 있다. 하드웨어 구현에 있어, 상술한 기능을 수행하기 위해 디자인된 ASIC(application specific integrated circuit), DSP(digital signal processing), PLD(programmable logic device), FPGA(field programmable gate array), 프로세서, 마이크로프로세서, 다른 전자 유닛 또는 이들의 조합으로 구현될 수 있다. 소프트웨어 구현에 있어, 소프트웨어 구성 컴포넌트(요소), 객체 지향 소프트웨어 구성 컴포넌트, 클래스 구성 컴포넌트 및 작업 구성 컴포넌트, 프로세스, 기능, 속성, 절차, 서브 루틴, 프로그램 코드의 세그먼트, 드라이버, 펌웨어, 마이크로 코드, 데이터, 데이터베이스, 데이터 구조, 테이블, 배열 및 변수를 포함할 수 있다. 소프트웨어, 데이터 등은 메모리에 저장될 수 있고, 프로세서에 의해 실행된다. 메모리나 프로세서는 당업자에게 잘 알려진 다양한 수단을 채용할 수 있다.The search module 320, analysis module 330, and decision module 340 shown in FIG. 3 refer to units that process at least one function or operation, and may be implemented in software and/or hardware. In hardware implementation, ASIC (application specific integrated circuit), DSP (digital signal processing), PLD (programmable logic device), FPGA (field programmable gate array), processor, microprocessor, other It may be implemented as an electronic unit or a combination thereof. In software implementation, software component components (elements), object-oriented software component components, class component components and task component components, processes, functions, properties, procedures, subroutines, segments of program code, drivers, firmware, microcode, data , databases, data structures, tables, arrays, and variables. Software, data, etc. may be stored in memory and executed by a processor. The memory or processor may employ various means well known to those skilled in the art.

도 4는 본 발명의 일실시예에 따른 검색엔진을 이용하여 비정상 인터넷 주소를 차단하는 과정을 보여주는 흐름도이다. 도 4를 참조하면, 검색 모듈(320)이 이메일, 문자, SNS 등의 메시지 정보를 수신하고, 메시지 정보의 본문 내용중 인터넷 주소(즉 URL)를 추출한다(단계 S410,S420).4 is a flowchart illustrating a process of blocking an abnormal Internet address using a search engine according to an embodiment of the present invention. Referring to FIG. 4 , the search module 320 receives message information such as e-mail, text, and SNS, and extracts an Internet address (ie, URL) from the body of the message information (steps S410 and S420).

이후, 관리 서버(220)에 접속하여 검색엔진(221)에 추출된 인터넷 주소를 검색하는 검색 명령을 전달한다(단계 S430). 부연하면, 검색 모듈(320)은 메시지 정보(210)의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색 및 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색을 포함하는 검색 요청을 검색엔진(221)측에 전송한다. 이에 따라, 검색엔진(221)은 검색을 수행하여, 검색 결과을 검색 모듈(320)에 전송한다.Thereafter, it accesses the management server 220 and transmits a search command for searching the extracted Internet address to the search engine 221 (step S430). In other words, the search module 320 extracts the Internet address from the body of the message information 210, and searches for a normal Internet address related to the Internet address and an abnormal Internet address not related to the Internet address. The search request is transmitted to the search engine 221 side. Accordingly, the search engine 221 performs a search and transmits a search result to the search module 320 .

이후, 분석 모듈(330)은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 산출한다. 따라서, 판정 모듈(340)은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로, 제 1 검색 결과의 상기 갯수가 기준값(threshold) 보다 큰지를 판단한다(단계 S440). 여기서, 기준값은 제 2 검색 결과의 갯수의 최대값이 될 수 있다.Then, the analysis module 330 calculates the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. Accordingly, the determination module 340 determines that the number of first search results is a threshold based on the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. ) is greater than (step S440). Here, the reference value may be the maximum value of the number of second search results.

단계 S440에서, 상기 판단 결과, 제 1 검색 결과(즉 정상 인터넷 주소와 일치하는 검색결과)의 상기 갯수가 상기 기준값보다 크면, 판정 모듈(340)은 상기 인터넷 주소를 정상 인터넷 주소로 판정하고 정상 서비스를 수행한다(단계 S450,S451).In step S440, as a result of the determination, if the number of first search results (i.e., search results matching normal Internet addresses) is greater than the reference value, the determination module 340 determines that the Internet address is a normal Internet address and provides normal service. is performed (steps S450 and S451).

이와 달리, 단계 S440에서, 상기 판단 결과, 제 1 검색 결과의 갯수가 상기 기준값보다 작으면, 상기 인터넷 주소를 비정상 인터넷 주소로 판정하고, 접속을 차단한다(단계 S460,S461).In contrast, in step S440, if the number of first search results is less than the reference value as a result of the determination, the internet address is determined as an abnormal internet address and access is blocked (steps S460 and S461).

한편, 검색할 정상/비정상 URL 주소 자체는 다르기에 검색 URL과 검색결과가 일치하는 갯수는 차이가 발생한다. 이 차이를 이용하여 차이값이 특정 임계치(Threshhold)보다 많으면 정상, 작으면 비정상으로 URL을 판별할 수 있다.On the other hand, since the normal/abnormal URL address itself to be searched is different, the number of matches between the search URL and the search result is different. Using this difference, URLs can be determined as normal if the difference is greater than a specific threshold, and abnormal if the difference is smaller.

본 발명의 일실시예에 따르면, 정상 인터넷 주소(URL)/비정상 인터넷 주소(URL)를 각각 10개씩 구글 검색엔진에서 검색을 실행하고, 그 검색한 인터넷 주소와 일치하는 검색결과의 갯수를 비교할 수 있는 코드를 구성할 수 있다. 이를 위한 프로그래밍 언어로는 파이썬(Python)이 사용되었으나, 이에 외에도 C, Java, C++ 등이 사용될 수 있다. "IpURLnormal = ['wwww.amazon.com', 'www.microsoft.com', 'www.netflix.com',...등"은 정상 인터넷 주소이고, "IpURLabnomal = ['www.ai amazon.com/apikeytokenid.php?set = 10000120', 'www.news.pointer.co.id',...등"은 비정상 인터넷 주소를 나타내게 구성할 수 있다.According to one embodiment of the present invention, it is possible to perform a search on the Google search engine for 10 normal internet addresses (URLs)/abnormal internet addresses (URLs), respectively, and compare the number of search results matching the searched internet addresses. code can be constructed. Python was used as a programming language for this, but other than this, C, Java, C++, etc. may be used. "IpURLnormal = ['wwww.amazon.com', 'www.microsoft.com', 'www.netflix.com',...etc" is a normal internet address, "IpURLabnomal = ['www.ai amazon.com /apikeytokenid.php?set = 10000120', 'www.news.pointer.co.id',...etc" can be configured to indicate an abnormal Internet address.

또한, 위에서 입력되는 정상 인터넷 주소와 일치하는 검색결과의 갯수를 출력하기 위해, In addition, to output the number of search results that match the normal Internet address entered above,

for userURL in IpURLnomal:for userURL in IpURLnomal:

response = requests.get(URL + userURL + strOri) response = requests.get(URL + userURL + strOri)

txt = (response.text).lower() txt = (response.text).lower()

getCount = txt.count(userURL.lower()) getCount = txt.count(userURL.lower())

getlen=len(response.text) getlen=len(response. text)

site.append(userURL) site.append(userURL)

res.append(getlen) res.append(getlen)

lpMinMAx.append(getCount) lpMinMAx. append(getCount)

totalCount+= getCounttotalCount+= getCount

print('{} 사이트 Response 일치갯수 : {}".format(userURL,getCount))print('{} Site Response matching number: {}".format(userURL,getCount))

nor_t = np.array([userURL,getCount])nor_t = np.array([userURL,getCount])

.......가 코딩될 수 있다. 여기서, getCount는 인터넷 주소의 카운팅을 의미하고, getlen은 문자 갯수의 카운팅을 의미하고, strOri은 문자열 변수를 의미한다....... can be coded. Here, getCount means counting internet addresses, getlen means counting number of characters, and str Ori means string variable.

또한, 비정상 인터넷 주소와 일치하는 검색력과의 갯수를 출력하기 위해, In addition, in order to output the number of matching search powers with abnormal Internet addresses,

for userURL in IpURLabnomal:for userURL in IpURLabnomal:

response = requests.get(URL + userURL + strOri)response = requests.get(URL + userURL + strOri)

txt = (response.text).lower() txt = (response.text).lower()

getCount = txt.count(userURL.lower()) getCount = txt.count(userURL.lower())

getlen=len(response.text) getlen=len(response. text)

site.append(userURL) site.append(userURL)

res.append(getlen) res.append(getlen)

lpMinMAx.append(getCount) lpMinMAx. append(getCount)

totalCount+= getCounttotalCount+= getCount

print('{} 사이트 Response 일치갯수 : {}".format(userURL,getCount))print('{} Site Response matching number: {}".format(userURL,getCount))

nor_t = np.array([userURL,getCount])nor_t = np.array([userURL,getCount])

.......가 코딩될 수 있다. 위에 보인 소스 코드는 예시를 위한 것으로 일부분을만을 나타낸 것이다....... can be coded. The source code shown above is for illustrative purposes only and represents only a portion of it.

도 5는 본 발명의 일실시예에 따라 검색한 정상 인터넷 주소와 비정상 인터넷 주소가 일치하는 검색 결과 갯수의 비교 결과를 보여주는 도면이다. 도 5를 참조하면, 실제로 검색한 정상 인터넷 주소(URL)와 일치하는 검색결과의 갯수의 최대값은 46이고, 최소값은 29이며, 평균값은 34.6이다. 평균값은 검색 지정된 인터넷 주소들의 갯수합으로 검색 결과로 검색된 인테넷 주소들의 갯수합을 나눈 것이다. 검색한 비정상 인터넷 주소(URL)와 일치하는 검색결과의 갯수의 최대값은 20이고, 최소값은 0이며, 평균값은 10이다. 5 is a diagram showing comparison results of the number of search results in which normal Internet addresses and abnormal Internet addresses searched according to an embodiment of the present invention match each other. Referring to FIG. 5 , the maximum value of the number of search results matching the actually searched normal Internet address (URL) is 46, the minimum value is 29, and the average value is 34.6. The average value is obtained by dividing the sum of the number of Internet addresses searched as a search result by the sum of the number of Internet addresses designated for search. The maximum value of the number of search results matching the searched abnormal Internet address (URL) is 20, the minimum value is 0, and the average value is 10.

정상 인터넷 주소(URL)에 비해 비정상 인터넷 주소(URL)와 일치하는 검색결과의 갯수가 상대적으로 작은 것을 확인할 수 있다. 이러한 결과를 토대로 특정 임계치(Threshold)를 지정하여 임계치(Threshold)보다 크면 정상 인터넷 주소, 작으면 비정상 인터넷 주소로 판별이 가능하다. 도 5의 경우, 정상의 최소값보다 비정상의 최대값이 더 크기 때문에, 비정상의 최대값을 임계치(Threshold)로 지정할 수 있다. 이와 같은 방법으로 비정상 URL 주소를 자동으로 탐지할 수 있다.It can be seen that the number of search results matching the abnormal Internet address (URL) is relatively small compared to the normal Internet address (URL). Based on these results, a specific threshold is set, and if it is greater than the threshold, it can be determined as a normal Internet address, and if it is smaller, it can be determined as an abnormal Internet address. In the case of FIG. 5 , since the maximum value of abnormality is greater than the minimum value of normality, the maximum value of abnormality may be designated as a threshold. In this way, abnormal URL addresses can be automatically detected.

도 6은 일반적인 정상 인터넷 주소와 비정상 인터넷 주소의 검색 화면예이다. 검색엔진을 이용하여 해당 사이트를 검색하게 되면, 정상 인터넷 주소와 비정상 인터넷 주소의 검색결과의 일치 갯수(Count)는 차이가 난다. 왜냐하면, 일반적으로 정상 URL의 경우 서비스되는 자료가 많아, 해당 검색키워드의 검색결과가 많지만, 비정상 URL의 경우 실제로 서비스되는 경우가 적기 때문에 검색결과가 거의 없는 것을 확인할 수 있기 때문이다. 6 is an example of a normal internet address and an abnormal internet address search screen. When a corresponding site is searched using a search engine, there is a difference in the number of matches between normal and abnormal Internet addresses. This is because, in general, in the case of normal URLs, there are many serviced data, so there are many search results for the corresponding search keyword, but in the case of abnormal URLs, there are few search results because there are few cases in which they are actually served.

도 6에 도시된 바와 같이, 구글의 검색엔진(710)을 활용하여 정상 URL인 amazon.com과 비정상 URL인 annaizoina.com를 검색할 수 있다. As shown in FIG. 6 , it is possible to search for amazon.com, which is a normal URL, and annaizoina.com , which is an abnormal URL, by using the search engine 710 of Google.

도 7은 도 6에 따른 검색한 정상 인터넷 주소 및 비정상 인터넷 주소와 일치하는 검색 결과의 갯수를 나타내는 화면예이다. 도 7에서 구글의 검색엔진을 이용하여 검색한 정상/비정상 URL과 일치하는 검색결과(Response) 갯수를 비교하면, 정상 URL과 일치하는 검색결과의 갯수는 216개(810), 비정상 URL과 일치하는 검색결과의 갯수는 39개(820)로 확연한 차이를 보인다.FIG. 7 is an example of a screen showing the number of search results matching normal and abnormal Internet addresses searched according to FIG. 6 . In FIG. 7, comparing the number of search results (Responses) matching normal/abnormal URLs searched using Google's search engine, the number of search results matching normal URLs is 216 (810), and matching abnormal URLs The number of search results is 39 (820), showing a clear difference.

도 8은 본 발명의 일실시예에 따른 검색어 자동변형화면(920) 및 정상 인터넷 주소 및 비정상 인터넷 주소의 검색결과 길이를 보여주는 화면예이다. 구글, 야후, 네이버, 다음 등의 포털 사이트의 검색엔진(221)은 비슷한 검색어에 대해서 검색률이 높은 검색어(정상 검색어)(910)로 자동변형시키는 기능이 있다. 8 is an example of a screen showing an automatic transformation screen 920 of a search word and search result lengths of normal and abnormal Internet addresses according to an embodiment of the present invention. Search engines 221 of portal sites such as Google, Yahoo, Naver, and Daum have a function of automatically transforming similar search terms into search terms (normal search terms) 910 having a high search rate.

정상 인터넷 주소(URL)와 이를 매우 유사하게 바꾼 비정상 인터넷 주소(URL)를 검색하면, 검색엔진(221)의 검색어 자동변기능이 발생할 수 있다. 이러한 경우, 정상 인터넷 주소(URL)과 비정상 인터넷 주소의 검색결과가 동일하겠지만, 정상/비정상 URL 자체가 다르기 때문에 검색 URL과 검색결과가 일치하는 갯수는 차이가 발생한다. When a normal Internet address (URL) and an abnormal Internet address (URL) changed to be very similar are searched for, the search engine 221 may automatically change a search term. In this case, although the search results of the normal Internet address (URL) and the abnormal Internet address are the same, since the normal/abnormal URL itself is different, a difference occurs in the number of matched search URLs and search results.

예시로, 구글 검색기준 정상 인터넷 주소(URL)인 wooribank.com의 검색결과 길이는 42175이다(930). 유사하게 변형된 비정상 URL wooridank.com의 검색결과는 정상 인터넷 주소(URL)인 wooribank.com의 검색결과로 자동변형되고, 길이는 43480으로 정상 인터넷 주소(URL)의 길이와 거의 유사하므로 정상/비정상 URL의 검색결과가 거의 같은 것을 확인할 수 있다.As an example, the search result length of wooribank.com , which is a normal Internet address (URL) based on Google search, is 42175 (930). The search results for similarly transformed abnormal URL wooridank.com are automatically transformed into search results for wooribank.com , which is a normal Internet address (URL), and the length is 43480, which is almost similar to the length of the normal Internet address (URL), so it is normal/abnormal. You can see that the URL search results are almost the same.

물론, 거의 동일한 검색결과를 갖더라도, 정상/비정상 URL 주소 자체는 동일하지 않기 때문에 도 9 및 도 10에 도시된 바와 같이, 정상 URL wooribank.com과 일치하는 검색결과 갯수는 89개, 비정상 URL wooridank.com은 16개로 확연한 차이가 있어 이상 여부 판별이 가능하다.Of course, even with almost identical search results, normal/abnormal URL addresses themselves are not the same, so as shown in FIGS. 9 and 10, the number of search results matching the normal URL wooribank.com is 89, and the abnormal URL wooridank There are 16 .com , and there is a clear difference, so it is possible to determine whether there is an abnormality.

도 9는 본 발명의 일실시예에 따른 정상 인터넷 주소와 일치하는 검색결과 갯수를 나타내는 화면예이다. 도 9를 참조하면, 프로그래밍 코드(1010)에 따른 검색어(1011)를 검색엔진(221)에 적용하여 검색된 검색 결과 화면(1020)이 도시된다. 이 검색 결과 화면(1020)에 검색결과의 갯수(1021)가 표시된다.9 is an example of a screen showing the number of search results matching a normal Internet address according to an embodiment of the present invention. Referring to FIG. 9 , a search result screen 1020 obtained by applying a search word 1011 according to a programming code 1010 to a search engine 221 is shown. The number of search results 1021 is displayed on the search result screen 1020 .

도 10은 본 발명의 일실시예에 따른 비정상 인터넷 주소와 일치하는 검색결과 갯수 및 검색어 자동변형화면을 나타내는 도면이다. 도 10을 참조하면, 프로그래밍 코드(1110)에 따른 검색어(1111)를 검색엔진(221)에 적용하여 유사 검색어(1112)로 자동변환하고 검색된 검색 결과 화면(1120)이 도시된다. 이 검색 결과 화면(1120)에 검색결과의 갯수(1121)가 표시된다.10 is a diagram showing the number of search results matching an abnormal Internet address and an automatic transformation screen of a search word according to an embodiment of the present invention. Referring to FIG. 10 , a search term 1111 according to a programming code 1110 is applied to a search engine 221 to be automatically converted into a similar search word 1112 and a search result screen 1120 is displayed. The number of search results 1121 is displayed on the search result screen 1120 .

본 발명의 일실시예에서는 검색 인터넷 주소(URL)와 일치하는 검색결과 갯수를 특정 임계치에 따라 정상/비정상 URL로 판별한다. 이는 모바일 어플리케션(Application)에도 적용될 수 있다. 스마트폰 도입 이후 악성 Application 다운으로 인한 개인정보 및 금전 탈취 공격 방식이 증가하고 있다. 이러한 문제점을 해결하기 위해 'Google play' 나 'Apple store'등의 Application 다운로드 서비스 내 검색엔진을 활용하여 검색한 Application과 일치하는 검색결과의 갯수를 비교하여 정상/비정상 Application으로 판별할 수 있다.In one embodiment of the present invention, the number of search results matching a search Internet address (URL) is determined as normal/abnormal URL according to a specific threshold. This can also be applied to mobile applications. Since the introduction of smartphones, personal information and money theft attack methods are increasing due to malicious application downloads. In order to solve this problem, it is possible to determine normal/abnormal applications by comparing the number of search results matching the searched application by utilizing search engines in application download services such as 'Google play' or 'Apple store'.

또한, 여기에 개시된 실시형태들과 관련하여 설명된 방법 또는 알고리즘의 단계들은, 마이크로프로세서, 프로세서, CPU(Central Processing Unit) 등과 같은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 (명령) 코드, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. In addition, the steps of a method or algorithm described in connection with the embodiments disclosed herein are implemented in the form of program instructions that can be executed through various computer means such as a microprocessor, processor, CPU (Central Processing Unit), etc. It can be recorded on any available medium. The computer readable medium may include program (instruction) codes, data files, data structures, etc. alone or in combination.

상기 매체에 기록되는 프로그램 (명령) 코드는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프 등과 같은 자기 매체(magnetic media), CD-ROM, DVD, 블루레이 등과 같은 광기록 매체(optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 (명령) 코드를 저장하고 수행하도록 특별히 구성된 반도체 기억 소자가 포함될 수 있다. The program (command) code recorded on the medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs, DVDs, and Blu-rays, and ROMs and RAMs ( A semiconductor storage element specially configured to store and execute program (instruction) codes such as RAM), flash memory, or the like may be included.

여기서, 프로그램 (명령) 코드의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Here, examples of the program (command) code include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes such as those produced by a compiler. The hardware devices described above may be configured to act as one or more software modules to perform the operations of the present invention, and vice versa.

200: 악성 인터넷 주소 탐지 시스템
210: 데이터베이스 220: 관리 서버
221: 검색엔진 230: 통신망
240: 단말기
310: 메시지 정보
311: 이메일 312: 문자
313: SNS(Social Networking Service)
320: 분석 모듈 340: 판정 모듈200: malicious internet address detection system
210: database 220: management server
221: search engine 230: communication network
240: terminal
310: message information
311: Email 312: Text
313: SNS (Social Networking Service)
320: analysis module 340: determination module

Claims (20)

메시지 정보(310)를 저장하는 데이터베이스(110);
상기 메시지 정보(310)를 제공하며, 검색엔진(221)이 구비되는 관리 서버(120); 및
통신망(130)을 통해 상기 관리 서버(120)에 통신 연결되며, 상기 메시지 정보(310)에 링크되는 인터넷 주소를 검색어로 상기 검색엔진(221)에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단말기(240);를 포함하며,
상기 단말기(240)는,
상기 메시지 정보(310)의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진(221)에 상기 인터넷 주소에 대한 상기 검색어를 적용하여 검색을 실행하는 검색 모듈(320);
상기 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 분석 모듈(330); 및
검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 판정 모듈(340);을 포함하고,
상기 검색 모듈(320)은 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색 및 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색을 실행하고,
상기 판정 모듈(340)은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수가 제 1 기준값 보다 큰지를 판단하고, 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 크면 상기 인터넷 주소를 정상 인터넷 주소로 판정하고, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 작으면, 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
database 110 for storing message information 310;
a management server 120 providing the message information 310 and having a search engine 221; and
It is communicatively connected to the management server 120 through the communication network 130 and uses the number of search results calculated by applying the Internet address linked to the message information 310 to the search engine 221 as a search term. A terminal 240 that determines whether the Internet address is malicious; includes,
The terminal 240,
a search module 320 extracting the Internet address from the text of the message information 310 and performing a search by applying the search term for the Internet address to the search engine 221;
an analysis module 330 counting the number of search results generated as a result of the search being executed; and
A determination module 340 for determining whether the Internet address is malicious by using the number of search results;
The search module 320 searches for normal Internet addresses related to the Internet address and searches for abnormal Internet addresses not related to the Internet address;
The determination module 340 determines whether the number of first search results is greater than a first reference value based on the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. and as a result of the determination, if the number of first search results is greater than the first reference value, the Internet address is determined as a normal Internet address, and if the number of first search results is less than the first reference value, the A malicious Internet address detection system using a search engine, characterized in that the Internet address is determined as an abnormal Internet address.
 제 1 항에 있어서,
상기 메시지 정보(310)는 이메일(310), 문자(311), 및 SNS(Social Networking Service)(313) 중 어느 하나인 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The message information 310 is a malicious Internet address detection system using a search engine, characterized in that any one of e-mail 310, text 311, and SNS (Social Networking Service) 313.
 삭제delete 삭제delete 삭제delete 제 1 항에 있어서,
상기 판정 모듈(340)은 상기 인터넷 주소가 상기 비정상 인터넷 주소로 판정되면 접속을 차단하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The system for detecting malicious Internet addresses using a search engine, characterized in that the determination module 340 blocks access when the Internet address is determined to be the abnormal Internet address.
 제 1 항에 있어서,
상기 판정 모듈(340)은 상기 인터넷 주소가 상기 정상 인터넷 주소로 판정되면 정상 서비스를 유지하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The system for detecting malicious Internet addresses using a search engine, characterized in that the determination module 340 maintains a normal service when the Internet address is determined as the normal Internet address.
 제 1 항에 있어서,
상기 제 1 기준값은 제 2 검색 결과의 상기 갯수의 최대값인 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The system for detecting malicious Internet addresses using a search engine, characterized in that the first reference value is the maximum value of the number of second search results.
 제 1 항에 있어서,
상기 판정 모듈(340)은 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수와 제 2 검색 결과의 상기 갯수의 차이값이 미리 설정되는 제 2 기준값 보다 큰지를 판단하고, 상기 판단 결과, 상기 차이값이 상기 제 2 기준값보다 크면 상기 인터넷 주소를 정상 인터넷 주소로 판정하고, 상기 차이값이 상기 제 2 기준값보다 작으면, 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The determination module 340 determines the number of first search results and second search results based on the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. It is determined whether the difference value of the number is greater than a preset second reference value, and as a result of the determination, if the difference value is greater than the second reference value, the Internet address is determined as a normal Internet address, and the difference value is determined as the second reference value. A system for detecting malicious Internet addresses using a search engine, characterized in that if the Internet address is smaller than the reference value, the Internet address is determined as an abnormal Internet address.
 제 1 항에 있어서,
상기 인터넷 주소는 URL(Uniform Resource Locator)인 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
According to claim 1,
The Internet address is a malicious Internet address detection system using a search engine, characterized in that URL (Uniform Resource Locator).
 메시지 정보(310)를 저장하는 데이터베이스(110);
상기 메시지 정보(310)를 제공하며, 제 1 검색어와 유사한 제 2 검색어로 자동변환기능이 있는 검색엔진(221)이 구비되는 관리 서버(120); 및
통신망(130)을 통해 상기 관리 서버(120)에 통신 연결되며, 상기 메시지 정보(310)에 링크되는 인터넷 주소를 상기 제 1 검색어 및 상기 제 2 검색어로 상기 검색엔진(221)에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단말기(240);를 포함하며,
상기 단말기(240)는,
상기 메시지 정보(310)의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진(221)에 상기 인터넷 주소에 대한 상기 제 1 검색어를 적용하여 검색을 실행하는 검색 모듈(320);
상기 제 1 검색어 및 상기 제 2 검색어에 의해 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 분석 모듈(330); 및
검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 판정 모듈(340);을 포함하고,
상기 제 1 검색어는 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색에 적용되고, 상기 제 2 검색어는 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색에 적용되는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템.
database 110 for storing message information 310;
A management server 120 provided with a search engine 221 that provides the message information 310 and has a function of automatically converting a second search word similar to the first search word; and
It is communicatively connected to the management server 120 through the communication network 130 and is calculated by applying the Internet address linked to the message information 310 to the search engine 221 as the first and second search words A terminal 240 that determines whether the Internet address is malicious by using the number of search results;
The terminal 240,
a search module (320) extracting the Internet address from the body of the message information (310) and executing a search by applying the first search term for the Internet address to the search engine (221);
an analysis module 330 counting the number of search results generated as a result of executing a search by the first search word and the second search word; and
A determination module 340 for determining whether the Internet address is malicious by using the number of search results;
wherein the first search word is applied to search for a normal internet address related to the internet address, and the second search word is applied to a search for an abnormal internet address not related to the internet address. system.
 삭제delete 삭제delete (a) 메시지 정보(310)가 데이터베이스(110)에 저장되는 단계;
(b) 통신망(230)을 통하여 단말기(240)와 통신으로 연결되며, 검색엔진(221)이 구비되는 관리 서버(220)가 상기 메시지 정보(310)를 상기 단말기(240)에 제공하는 단계; 및
(c) 상기 단말기(240)가 상기 메시지 정보(310)에 링크되는 인터넷 주소를 검색어로 상기 검색엔진(221)에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단계;를 포함하며,
상기 (c) 단계는,
(c-1) 검색 모듈(320)이 상기 메시지 정보(310)의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진(221)에 상기 인터넷 주소에 대한 상기 검색어를 적용하여 검색을 실행하는 단계;
(c-2) 분석 모듈(330)이 상기 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 단계; 및
(c-3) 판정 모듈(340)이 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 단계;를 포함하고,
상기 (c-1)단계는,
상기 검색 모듈(320)이 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색 및 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색을 실행하는 단계;를 포함하고,
상기 (c-3) 단계는,
(c-3-1) 상기 판정 모듈(340)이 상기 정상 인터넷 주소 검색에 따른 제 1 검색 결과의 갯수와 상기 비정상 인터넷 주소 검색에 따른 제 2 검색 결과의 갯수를 기반으로 제 1 검색 결과의 상기 갯수가 제 1 기준값 보다 큰지를 판단하는 단계;
(c-3-2) 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 크면 상기 판정 모듈(340)이 상기 인터넷 주소를 정상 인터넷 주소로 판정하는 단계; 및
(c-3-3) 상기 판단 결과, 제 1 검색 결과의 상기 갯수가 상기 제 1 기준값보다 작으면, 상기 판정 모듈(340)이 상기 인터넷 주소를 비정상 인터넷 주소로 판정하는 단계;를 포함하는 것을 특징으로 하는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법.
(a) storing the message information 310 in the database 110;
(b) providing the message information 310 to the terminal 240 by a management server 220 connected to the terminal 240 via a communication network 230 and having a search engine 221; and
(c) The terminal 240 applies the Internet address linked to the message information 310 to the search engine 221 as a search term, and determines whether the Internet address is malicious by using the number of search results calculated. Step; including,
In step (c),
(c-1) extracting, by the search module 320, the Internet address from the text of the message information 310, and executing a search by applying the search term for the Internet address to the search engine 221; ;
(c-2) counting, by the analysis module 330, the number of search results generated as a result of the search being executed; and
(c-3) determining, by the determination module 340, whether the Internet address is malicious using the number of search results;
In the step (c-1),
Searching, by the search module 320, a normal Internet address related to the Internet address and an abnormal Internet address not related to the Internet address;
In the step (c-3),
(c-3-1) The determination module 340 determines the number of first search results according to the normal Internet address search and the number of second search results according to the abnormal Internet address search. determining whether the number is greater than a first reference value;
(c-3-2) as a result of the determination, if the number of first search results is greater than the first reference value, determining, by the determination module 340, the Internet address as a normal Internet address; and
(c-3-3) as a result of the determination, if the number of first search results is less than the first reference value, determining, by the determination module 340, the Internet address as an abnormal Internet address; A malicious Internet address detection method using a search engine, characterized in that.
 제 14 항에 있어서,
상기 메시지 정보(310)는 이메일(310), 문자(311), 및 SNS(Social Networking Service)(313) 중 어느 하나인 것을 특징으로 검색엔진을 이용한 악성 인터넷 주소 탐지 방법.
15. The method of claim 14,
The message information 310 is any one of e-mail 310, text message 311, and SNS (Social Networking Service) 313, characterized in that malicious Internet address detection method using a search engine.
 삭제delete 삭제delete 삭제delete (a) 메시지 정보(310)가 데이터베이스(110)에 저장하는 단계;
(b) 통신망(230)을 통하여 단말기(240)와 통신으로 연결되며, 제 1 검색어와 유사한 제 2 검색어로 자동변환기능이 있는 검색엔진(221)이 구비되는 관리 서버(220)가 상기 단말기(240)에 상기 메시지 정보(310)를 제공하는 단계;
(c) 상기 단말기(240)가 상기 메시지 정보(310)에 링크되는 인터넷 주소를 상기 제 1 검색어 및 상기 제 2 검색어로 상기 검색엔진(221)에 적용하여 산출되는 검색결과의 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판별하는 단계;를 포함하며,
상기 (c) 단계는,
(c-1) 검색 모듈(320)이 상기 메시지 정보(310)의 본문 내용으로부터 상기 인터넷 주소를 추출하고, 상기 검색엔진(221)에 상기 인터넷 주소에 대한 상기 제 1 검색어를 적용하여 검색을 실행하는 단계;
(c-2) 분석 모듈(330)이 상기 제 1 검색어 및 상기 제 2 검색어에 의해 검색이 실행된 결과로 발생하는 검색 결과의 상기 갯수를 카운팅하는 단계; 및
(c-3) 판정 모듈(340)이 검색 결과의 상기 갯수를 이용하여 상기 인터넷 주소의 악성 여부를 판정하는 단계;를 포함하고,
상기 제 1 검색어는 상기 인터넷 주소와 관련되는 정상 인터넷 주소 검색에 적용되고, 상기 제 2 검색어는 상기 인터넷 주소와 관련이 없는 비정상 인터넷 주소 검색에 적용되는 것을 특징으로 하는 검색엔진을 이용한 악성 인터넷 주소 탐지 방법.(a) storing the message information 310 in the database 110;
The terminal ( 240) providing the message information 310;
(c) The terminal 240 uses the number of search results calculated by applying the Internet address linked to the message information 310 to the search engine 221 as the first search word and the second search word, Including; determining whether the Internet address is malicious;
In step (c),
(c-1) The search module 320 extracts the Internet address from the body of the message information 310 and applies the first search term for the Internet address to the search engine 221 to perform a search. doing;
(c-2) counting, by the analysis module 330, the number of search results generated as a result of performing a search based on the first search word and the second search word; and
(c-3) determining, by the determination module 340, whether the Internet address is malicious using the number of search results;
wherein the first search word is applied to search for a normal internet address related to the internet address, and the second search word is applied to a search for an abnormal internet address not related to the internet address. method. 삭제delete
KR1020210011674A 2021-01-27 2021-01-27 System and Method for detecting malicious internet address using search engine Active KR102552330B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210011674A KR102552330B1 (en) 2021-01-27 2021-01-27 System and Method for detecting malicious internet address using search engine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210011674A KR102552330B1 (en) 2021-01-27 2021-01-27 System and Method for detecting malicious internet address using search engine

Publications (2)

Publication Number Publication Date
KR20220108549A KR20220108549A (en) 2022-08-03
KR102552330B1 true KR102552330B1 (en) 2023-07-07

Family

ID=82847523

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210011674A Active KR102552330B1 (en) 2021-01-27 2021-01-27 System and Method for detecting malicious internet address using search engine

Country Status (1)

Country Link
KR (1) KR102552330B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101574652B1 (en) * 2015-01-14 2015-12-11 한국인터넷진흥원 Sytem and method for mobile incident analysis

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100921712B1 (en) * 2007-08-30 2009-10-15 주식회사 제이니스 Harmful Site Blocking Method and System
KR100944442B1 (en) * 2007-12-28 2010-02-25 에스케이커뮤니케이션즈 주식회사 Messaging system and method for providing search links
KR20150007191A (en) * 2013-12-27 2015-01-20 주식회사 좋은친구 Hacking Preventing Method on Communication Terminal, and Communication Terminal Thereof
CN106295333B (en) 2015-05-27 2018-08-17 安一恒通(北京)科技有限公司 method and system for detecting malicious code

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101574652B1 (en) * 2015-01-14 2015-12-11 한국인터넷진흥원 Sytem and method for mobile incident analysis

Also Published As

Publication number Publication date
KR20220108549A (en) 2022-08-03

Similar Documents

Publication Publication Date Title
US11343269B2 (en) Techniques for detecting domain threats
RU2632408C2 (en) Classification of documents using multilevel signature text
US9218482B2 (en) Method and device for detecting phishing web page
US10250526B2 (en) Method and apparatus for increasing subresource loading speed
US8925087B1 (en) Apparatus and methods for in-the-cloud identification of spam and/or malware
CN109768992B (en) Webpage malicious scanning processing method and device, terminal device and readable storage medium
CN109274632B (en) Method and device for identifying a website
US10135766B2 (en) System and method for evaluating domains to send emails while maintaining sender reputation
US8799465B2 (en) Fake web addresses and hyperlinks
US9027128B1 (en) Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks
CN109246064B (en) Method, device and equipment for generating security access control and network access rule
US11750649B2 (en) System and method for blocking phishing attempts in computer networks
US8190693B2 (en) Reclaiming lost internet customers
US20180131708A1 (en) Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names
CN104767747A (en) Click-jacking security detection method and device
CN105337993A (en) Dynamic and static combination-based mail security detection device and method
CN110392032B (en) Method, device and storage medium for detecting abnormal URL
KR102552330B1 (en) System and Method for detecting malicious internet address using search engine
US11647046B2 (en) Fuzzy inclusion based impersonation detection
CN111083705A (en) Group-sending fraud short message detection method, device, server and storage medium
US9558167B2 (en) Method, system and web server for adding related microblogs on webpage
WO2016118153A1 (en) Marking nodes for analysis based on domain name system resolution
Swathi et al. Detection of Phishing Websites Using Machine Learning
Naru et al. Detection of fake websites using machine learning techniques
US11962618B2 (en) Systems and methods for protection against theft of user credentials by email phishing attacks

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20210127

PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20210714

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20210127

Comment text: Patent Application

PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20221128

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20230627

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20230703

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20230704

End annual number: 3

Start annual number: 1

PG1601 Publication of registration