JP2023516621A - Web attack detection and blocking system and method by artificial intelligence machine learning behavior-based web protocol analysis - Google Patents
Web attack detection and blocking system and method by artificial intelligence machine learning behavior-based web protocol analysis Download PDFInfo
- Publication number
- JP2023516621A JP2023516621A JP2022551682A JP2022551682A JP2023516621A JP 2023516621 A JP2023516621 A JP 2023516621A JP 2022551682 A JP2022551682 A JP 2022551682A JP 2022551682 A JP2022551682 A JP 2022551682A JP 2023516621 A JP2023516621 A JP 2023516621A
- Authority
- JP
- Japan
- Prior art keywords
- web
- http request
- user
- request packet
- request packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 34
- 238000010801 machine learning Methods 0.000 title claims abstract description 21
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 title claims description 9
- 230000006399 behavior Effects 0.000 title description 5
- 230000000903 blocking effect Effects 0.000 title description 2
- 238000002372 labelling Methods 0.000 claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 10
- 230000008859 change Effects 0.000 claims description 9
- 238000012800 visualization Methods 0.000 claims description 9
- 235000014510 cooky Nutrition 0.000 claims description 5
- 239000000284 extract Substances 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000007689 inspection Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
人工知能ベースのウェブ攻撃検知システムであって、ウェブユーザから複数のHTTP要請パケットを受信するフィルタ部と、前記複数のHTTP要請パケットから複数のフィーチャを抽出し、前記複数のフィーチャに基づいて前記複数のHTTP要請パケットを複数のグループにクラスタリングし、クラスタリングされた情報をウェブ管理者サーバに伝送し、前記ウェブ管理者サーバから前記複数のグループが異常クラスタであるか否かに関するラベリング情報を受信し、前記ラベリング情報に基づいて機械学習を行う学習部と、ウェブユーザから受信するHTTP要請パケットを入力変数とする前記機械学習を用いて、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断する分析部とを含むウェブ攻撃検知システムが提供される。An artificial intelligence-based web attack detection system, comprising: a filter unit that receives a plurality of HTTP request packets from a web user; extracts a plurality of features from the plurality of HTTP request packets; clustering the HTTP request packets of into a plurality of groups, transmitting the clustered information to a web administrator server, receiving from the web administrator server labeling information regarding whether the plurality of groups are abnormal clusters; A learning unit that performs machine learning based on the labeling information; A web attack detection system is provided that includes an analyzer that determines whether
Description
本発明は、ウェブ攻撃検知システムおよび方法に関し、特に、人工知能マシンラーニング行為ベースウェブプロトコル分析によるウェブ攻撃検知システムおよび方法に関する。 The present invention relates to web attack detection systems and methods, and more particularly to web attack detection systems and methods by artificial intelligence machine learning behavior-based web protocol analysis.
現在、HTTP通信上での攻撃検知方法として、インジェクション攻撃、パラメータ検査、アップロードバイナリ検査などペイロード中心の研究が活発に行われている。 Currently, payload-centered studies such as injection attacks, parameter inspection, and upload binary inspection are being actively conducted as methods of detecting attacks on HTTP communication.
人工知能ベース攻撃検知方法に関する研究も活発に行われている。従来の人工知能ベース攻撃検知方法は、ネットワークとペイロード(Length of payload、Byte entropy of payload、Number of distinct bytesなど)に基づいてデータセット(Data set)およびフィーチャ(Feature)を抽出したため、ウェブ攻撃検知の正確度が低い問題があった。 Research on artificial intelligence-based attack detection methods is also actively conducted. Conventional AI-based attack detection methods extract data sets and features based on networks and payloads (Length of payload, Byte entropy of payload, Number of distinct bytes, etc.). There was a problem of low accuracy of
そのため、ユーザのウェブ行為に基づいてフィーチャの選択、抽出、およびクラスタリングを行うことで、ウェブ攻撃検知の正確度を向上させることができる技術が求められている。 Therefore, there is a need for techniques that can improve the accuracy of web attack detection by selecting, extracting, and clustering features based on user web behavior.
本発明が解決しようとする技術的課題は、ユーザのウェブ行為に基づいてフィーチャの選択、抽出、およびクラスタリングを行うことで、ウェブ攻撃検知の正確度を向上させることができる人工知能ベースのウェブ攻撃検知システムおよび方法を提供することである。 The technical problem to be solved by the present invention is to select, extract and cluster features based on user's web behavior, which can improve the accuracy of web attack detection. An object is to provide a detection system and method.
一実施形態によると、人工知能ベースのウェブ攻撃検知システムが提供される。前記ウェブ攻撃検知システムは、ウェブユーザから複数のHTTP要請パケットを受信するフィルタ部と、前記複数のHTTP要請パケットから複数のフィーチャを抽出し、前記複数のフィーチャに基づいて前記複数のHTTP要請パケットを複数のグループにクラスタリングし、クラスタリングされた情報をウェブ管理者サーバに伝送し、前記ウェブ管理者サーバから前記複数のグループが異常クラスタであるか否かに関するラベリング情報を受信し、前記ラベリング情報に基づいて機械学習を行う学習部と、ウェブユーザから受信するHTTP要請パケットを入力変数とする前記機械学習を用いて、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断する分析部とを含む。 According to one embodiment, an artificial intelligence-based web attack detection system is provided. The web attack detection system includes a filter unit that receives a plurality of HTTP request packets from web users, a plurality of features extracted from the plurality of HTTP request packets, and a plurality of HTTP request packets based on the plurality of features. clustering into a plurality of groups, transmitting the clustered information to a web administrator server, receiving labeling information as to whether the plurality of groups are abnormal clusters from the web administrator server, and based on the labeling information; and a learning unit that performs machine learning using the HTTP request packet received from the web user, and the machine learning that uses the HTTP request packet received from the web user as an input variable to determine whether the HTTP request packet received from the web user is a web attack packet. and an analysis part.
前記ウェブ攻撃検知システムは、前記クラスタリングされた情報に基づいて、画面上に各クラスタを互いに異なる色で出力し、前記ウェブ管理者サーバから各クラスタに対応するラベリング情報の提供を受ける視覚化部をさらに含むことができる。 The web attack detection system outputs each cluster in a different color on a screen based on the clustered information, and includes a visualization unit that receives labeling information corresponding to each cluster from the web administrator server. can further include:
前記複数のフィーチャは、ウェブユーザの遠隔公認IP、ウェブユーザのメイン要請パケット、メイン要請パケットによって連結される下位要請パケットの数、下位要請パケットのリソース種類、下位要請のリソース種類別の個数、要請パケットのヘッダ、要請ユーザのセッションID、セッションIDの生成間隔、セッションIDの更新繰り返し数、要請パケットのグループ内でのヘッダクッキーの変化、および要請パケットのグループ内でのヘッダユーザエージェントの変化のうち少なくとも一つを含むことができる。 The plurality of features includes a web user's remote authorized IP, a web user's main request packet, the number of sub-request packets connected by the main request packet, the resource type of the sub-request packet, the number of each sub-request resource type, and the request. Packet header, session ID of the requesting user, session ID generation interval, session ID update repetition count, change in header cookie within a group of request packets, and change in header user agent within a group of request packets It can contain at least one.
前記分析部は、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであると判断した場合、要請リソースを遮断するかまたはリダイレクション動作を行うことができる。 When the analysis unit determines that the HTTP request packet received from the web user is a web attack packet, the analysis unit may block the request resource or perform a redirection operation.
一実施形態によると、人工知能ベースのウェブ攻撃検知方法が提供される。前記ウェブ攻撃検知方法は、ウェブユーザから受信する複数のHTTP要請パケットを用いて機械学習を行うステップと、ウェブユーザから受信するHTTP要請パケットを入力変数とする前記機械学習を用いて、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断するステップとを含み、前記機械学習を行うステップは、ウェブユーザから複数のHTTP要請パケットを受信するステップと、前記複数のHTTP要請パケットから複数のフィーチャを抽出するステップと、前記複数のフィーチャに基づいて前記複数のHTTP要請パケットを複数のグループにクラスタリングするステップと、クラスタリングされた情報をウェブ管理者サーバに伝送するステップと、前記ウェブ管理者サーバから前記複数のグループが異常クラスタであるか否かに関するラベリング情報を受信するステップと、前記ラベリング情報に基づいて機械学習を行うステップとを含む。 According to one embodiment, an artificial intelligence-based web attack detection method is provided. The web attack detection method comprises: performing machine learning using a plurality of HTTP request packets received from a web user; determining whether an HTTP request packet received from the extracting a plurality of features from packets; clustering the plurality of HTTP request packets into a plurality of groups based on the plurality of features; transmitting the clustered information to a web administrator server; The method includes receiving labeling information about whether the plurality of groups are abnormal clusters from a web administrator server, and performing machine learning based on the labeling information.
前記複数のフィーチャは、ウェブユーザの遠隔公認IP、ウェブユーザのメイン要請パケット、メイン要請パケットによって連結される下位要請パケットの数、下位要請パケットのリソース種類、下位要請のリソース種類別の個数、要請パケットのヘッダ、要請ユーザのセッションID、セッションIDの生成間隔、セッションIDの更新繰り返し数、要請パケットのグループ内でのヘッダクッキーの変化、および要請パケットのグループ内でのヘッダユーザエージェントの変化のうち少なくとも一つを含むことができる。 The plurality of features includes a web user's remote authorized IP, a web user's main request packet, the number of sub-request packets connected by the main request packet, the resource type of the sub-request packet, the number of each sub-request resource type, and the request. Packet header, session ID of the requesting user, session ID generation interval, session ID update repetition count, change in header cookie within a group of request packets, and change in header user agent within a group of request packets It can contain at least one.
ユーザのウェブ行為に基づいて、フィーチャの選択、抽出、およびクラスタリングを行うことで、ウェブ攻撃検知の正確度を向上させることができる。 Feature selection, extraction, and clustering based on user web behavior can improve the accuracy of web attack detection.
複数のHTTP要請パケット群に対して、フィーチャの選択、抽出、クラスタリングを行うことで、ハッカーのハッキング試み前の異常行為(例:単独リソースの要請および命令要請、明示的なエラー発生誘導、存在しないリソースの周期的な要請、所定間隔の均一な要請パターン、同じエラーの繰り返しの発生、GeoIPによる不可能な移動要請行為判別)に関する検知が可能である。 By selecting, extracting, and clustering features from multiple HTTP request packet groups, abnormal behavior before hacking attempts by hackers (e.g. single resource request and command request, explicit error induction, non-existent Periodic requests for resources, uniform request patterns at predetermined intervals, repeated occurrence of the same error, determination of impossible movement request actions by GeoIP) can be detected.
各フィールド別の値に対してフィーチャの選択、抽出、およびクラスタリングを行うことで、コンテンツ(Content)全体に対してクラスタリングを行うことに比べて攻撃検知の正確度を向上させることができる。 By performing feature selection, extraction, and clustering on values for each field, the accuracy of attack detection can be improved compared to clustering on the entire content.
以下、添付の図面を参照して、本発明の実施形態について、本発明が属する技術分野において通常の知識を有する者が容易に実施するように詳細に説明する。しかし、本発明は、様々な相違する形態に具現されることができ、ここで説明する実施形態に限定されない。また、図面において、本発明を明確に説明するために、説明と関係のない部分は省略し、明細書の全体にわたり、類似する部分に対しては類似する図面符号を付けた。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry them out. This invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In addition, in the drawings, in order to clearly explain the present invention, parts unrelated to the description are omitted, and similar parts are given similar reference numerals throughout the specification.
明細書の全体において、ある部分がある構成要素を「含む」とした時に、これは、特別に反対の意味の記載がない限り、他の構成要素を除くのではなく、他の構成要素をさらに含み得ることを意味する。 Throughout the specification, when a part "includes" a certain component, this does not exclude other components, but further includes other components, unless specifically stated to the contrary. It means that it can contain
図1は一実施形態による人工知能ベースのウェブ攻撃検知システムのブロック図である。図2は一実施形態によるHTTP要請パケットを説明するための図である。図3は一実施形態による視覚化部の動作内容を説明するための図である。 FIG. 1 is a block diagram of an artificial intelligence-based web attack detection system according to one embodiment. FIG. 2 is a diagram illustrating an HTTP request packet according to one embodiment. FIG. 3 is a diagram for explaining the operation contents of the visualization unit according to one embodiment.
図1を参照すると、一実施形態による人工知能ベースのウェブ攻撃検知システム100は、フィルタ部110と、学習部120と、分析部130と、データベース部140と、視覚化部150とを含む。
Referring to FIG. 1 , an artificial intelligence-based web
フィルタ部110は、ウェブユーザ10から複数のHTTP要請パケットを受信する。フィルタ部110は、ウェブユーザ10のHTTP要請パケットを受信すると、分析部130に攻撃検知要請メッセージを伝送する。
フィルタ部110は、一実施形態として、分析部130から攻撃検知結果を受信して遮断動作(例:Deny、Allow)を行うか、またはフィルタリングされたデータをウェブアプリケーションに伝達することができる。
In one embodiment, the
フィルタ部110は、一実施形態として、分析部130によってフィルタリング処理された(例:住民登録番号などの個人情報および注釈の除去が行われた)HTTP応答を実際のウェブユーザ10に伝達することができる。フィルタ部110は、一実施形態として、アパッチ(Apache)フィルタモジュールであることができる。
As one embodiment, the
学習部120は、ウェブユーザ10から受信した複数のHTTP要請パケット(ウェブトラフィック)に対して前処理を行い、前処理されたデータからフィーチャの選択(Feature Selection)、抽出(Extraction)、クラスタリング(Clustering)、およびウェブ管理者サーバ30から受信したラベリング情報に基づいて機械学習を行う。
The
具体的には、学習部120は、一実施形態として、予め格納されたアルゴリズムを用いて、前処理過程として、Json形式になっているHTTPトラフィック情報からフィーチャ抽出のためのデータに加工する。
Specifically, as one embodiment, the
学習部120は、予め格納されたアルゴリズムを用いて、前処理された複数のHTTP要請パケットから複数のフィーチャを選択および抽出する。学習部120は、表1のように、複数のHTTP要請パケットのコンテンツタイプ(Content―Type)別にデータ値(value)を抽出する。
The
学習部120は、予め格納されたアルゴリズムを用いて、複数のフィーチャに基づいて複数のHTTP要請パケットを複数のグループにクラスタリングする。学習部120は、HTTP Main Requestを始まりとするすべてのサブ要請(Sub Request)を所定時間(例:最大10秒)の間要請グループ(Request Group)にクラスタリング(グループ分け)することができる。
The
複数のフィーチャは、表2のようにウェブユーザの遠隔公認IP、ウェブユーザのメイン要請パケット、メイン要請パケットによって連結される下位要請パケットの数、下位要請パケットのリソース種類、下位要請のリソース種類別の個数、要請パケットのヘッダ、要請ユーザのセッションID、セッションIDの生成間隔、セッションIDの更新繰り返し数、要請パケットのグループ内でのヘッダクッキーの変化、および要請パケットのグループ内でのヘッダユーザエージェントの変化を含むことができる。 As shown in Table 2, a plurality of features are classified into a web user's remote authorized IP, a web user's main request packet, the number of sub-request packets connected by the main request packet, resource types of sub-request packets, resource types of sub-request. request packet header, session ID of the requesting user, session ID generation interval, session ID update repetition count, header cookie change within a group of request packets, and header user agent within a group of request packets can include changes in
学習部120は、クラスタリングされた情報(グループ分けした情報)をウェブ管理者サーバ30に伝送する。学習部120は、ウェブ管理者サーバ30から複数のグループが異常クラスタであるか否かに関するラベリング情報を受信する。ウェブ管理者サーバ30は、ウェブ管理者または保安管理者からクラスタリングされた情報に関する正常または異常ラベリング(Labeling)設定情報の入力を受けることができる。
The
学習部120は、予め格納されたアルゴリズムを用いて、ウェブ管理者サーバ30から受信したラベリング情報に基づいて機械学習を行う。予め格納されたアルゴリズムは、一実施形態として、教師なし学習(Unsupervised Learning)アルゴリズムまたは教師あり学習(Supervised Learning)アルゴリズムであることができる。
The
図2を参照すると、ウェブユーザは、ほとんどがウェブブラウザまたはモバイルアプリを使用するため、ウェブサーバに要請されるHTTP要請(Request)パケットは、一つではなく、複数であることができる。本発明は、複数のHTTP要請パケット群に対して、フィーチャの選択、抽出、クラスタリングを行うことで、ハッカーのハッキング試み前の異常行為(例:単独リソースの要請および命令要請、明示的なエラー発生誘導、存在しないリソースの周期的な要請、所定間隔の均一な要請パターン、同じエラーの繰り返しの発生、GeoIPによる不可能な移動要請行為判別)に関する検知が可能である。 Referring to FIG. 2, since most web users use web browsers or mobile applications, the number of HTTP request packets sent to the web server may be multiple instead of one. The present invention selects, extracts, and clusters features from a group of multiple HTTP request packets to detect abnormal actions (e.g., single resource requests and command requests, explicit error occurrences) before hacking attempts by hackers. guidance, periodic requests for non-existent resources, uniform request patterns at predetermined intervals, repeated occurrences of the same error, and determination of impossible movement request actions by GeoIP).
コンテンツタイプ(Content―Type)の場合、コンテンツ(Content)がフィールドと値で構成されており、本発明は、各フィールド別の値に対してフィーチャの選択、抽出、およびクラスタリングを行うことで、コンテンツ(Content)全体に対してクラスタリングを行うことに比べて、攻撃検知の正確度を向上させることができる。 In the case of the content type (Content-Type), the content (Content) consists of fields and values. The accuracy of attack detection can be improved compared to clustering the entire (Content).
分析部130は、ウェブユーザ10から受信するHTTP要請パケットを入力変数とする機械学習を用いて、ウェブユーザ10から受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断する。
The
分析部130は、ウェブユーザ10から受信するHTTP要請パケットがウェブ攻撃パケットであると判断した場合、要請リソースを遮断するかまたはリダイレクション(Redirection)動作を行うことができる。
If the
分析部130は、HTTP要請パケットに対する分析結果をフィルタ部110に伝達する。
The
分析部130は、一実施形態として、ウェブファイアウォールデーモンモジュールであることができる。分析部130は、複数のユーザのウェブサーバに設置されているフィルタモジュールに対する支援、すなわち、多重ウェブサーバまたは仮想ウェブサーバ支援を行うことができる。
The
データベース部140は、フィルタ部110が受信したデータおよび分析部130により分析または処理されたデータを格納する。
データベース部140は、Json形式のDocumentをすぐ格納および制御することができ、オート-シャーディング(Auto―Sharding)により、分散格納および処理を行うことができる。データベース部140は、一実施形態として、MongoDBであることができる。
The
図3を参照すると、視覚化部150は、学習部120によりクラスタリングされた情報に基づいて、ウェブブラウザの画面上に各クラスタを互いに異なる色で出力することができる。視覚化部150は、予め格納された多次元視覚化ツール(例:Tensorboard)を用いて、ウェブブラウザの画面上に各クラスタを互いに異なる色で出力することができる。
Referring to FIG. 3 , the
視覚化部150は、ウェブ管理者サーバ30から各クラスタに対応するラベリング情報の提供を受けて学習部120に伝達することができる。
The
図4および図5は一実施形態による人工知能ベースのウェブ攻撃検知方法のフローチャートである。 4 and 5 are flowcharts of an artificial intelligence-based web attack detection method according to one embodiment.
図4および図5を参照すると、人工知能ベースのウェブ攻撃検知方法は、ウェブユーザから受信する複数のHTTP要請パケットを用いて機械学習を行うステップ(S100)と、ウェブユーザから受信するHTTP要請パケットを入力変数とする機械学習を用いて、ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断するステップ(S200)とを含み、機械学習を行うステップ(S100)は、ウェブユーザから複数のHTTP要請パケットを受信するステップ(S110)と、複数のHTTP要請パケットから複数のフィーチャを抽出するステップ(S120)と、複数のフィーチャに基づいて複数のHTTP要請パケットを複数のグループにクラスタリングするステップ(S130)と、クラスタリングされた情報をウェブ管理者サーバに伝送するステップ(S140)と、ウェブ管理者サーバから複数のグループが異常クラスタであるか否かに関するラベリング情報を受信するステップ(S150)と、ラベリング情報に基づいて機械学習を行うステップ(S160)とを含む。 4 and 5, the artificial intelligence-based web attack detection method comprises a step of performing machine learning using a plurality of HTTP request packets received from web users (S100); and a step (S200) of determining whether an HTTP request packet received from a web user is a web attack packet using machine learning using as an input variable, the step of performing machine learning (S100) includes: receiving a plurality of HTTP request packets from a user (S110); extracting a plurality of features from the plurality of HTTP request packets (S120); dividing the plurality of HTTP request packets into a plurality of groups based on the plurality of features; clustering (S130); transmitting the clustered information to the web administrator server (S140); and receiving labeling information on whether a plurality of groups are abnormal clusters from the web administrator server ( S150) and a step of performing machine learning based on the labeling information (S160).
ウェブユーザから受信する複数のHTTP要請パケットを用いて機械学習を行うステップ(S100)と、ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断するステップ(S200)と、ウェブユーザから複数のHTTP要請パケットを受信するステップ(S110)と、複数のHTTP要請パケットから複数のフィーチャを抽出するステップ(S120)と、複数のフィーチャに基づいて複数のHTTP要請パケットを複数のグループにクラスタリングするステップ(S130)と、クラスタリングされた情報をウェブ管理者サーバに伝送するステップ(S140)と、ウェブ管理者サーバから複数のグループが異常クラスタであるか否かに関するラベリング情報を受信するステップ(S150)と、ラベリング情報に基づいて機械学習を行うステップ(S160)は、上述のウェブ攻撃検知システム100の動作内容と同一であるため、詳細な説明は省略する。
performing machine learning using a plurality of HTTP request packets received from web users (S100); determining whether the HTTP request packets received from web users are web attack packets (S200); receiving a plurality of HTTP request packets from a user (S110); extracting a plurality of features from the plurality of HTTP request packets (S120); dividing the plurality of HTTP request packets into a plurality of groups based on the plurality of features; clustering (S130); transmitting the clustered information to the web administrator server (S140); and receiving labeling information on whether a plurality of groups are abnormal clusters from the web administrator server ( S150) and the step of performing machine learning based on the labeling information (S160) are the same as the operation contents of the web
以上、本発明の実施形態について詳細に説明しているが、本発明の権利範囲は、これに限定されず、以下の請求の範囲で定義している本発明の基本概念を用いた当業者の様々な変形および改良形態も本発明の権利範囲に属する。 Although the embodiments of the present invention have been described in detail above, the scope of rights of the present invention is not limited thereto, and a person skilled in the art can use the basic concept of the present invention defined in the following claims. Various modifications and improvements are also within the scope of the invention.
Claims (6)
ウェブユーザから複数のHTTP要請パケットを受信するフィルタ部と、
前記複数のHTTP要請パケットから複数のフィーチャを抽出し、前記複数のフィーチャに基づいて前記複数のHTTP要請パケットを複数のグループにクラスタリングし、クラスタリングされた情報をウェブ管理者サーバに伝送し、前記ウェブ管理者サーバから前記複数のグループが異常クラスタであるか否かに関するラベリング情報を受信し、前記ラベリング情報に基づいて機械学習を行う学習部と、
ウェブユーザから受信するHTTP要請パケットを入力変数とする前記機械学習を用いて、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断する分析部とを含む、ウェブ攻撃検知システム。 An artificial intelligence-based web attack detection system comprising:
a filter unit that receives a plurality of HTTP request packets from a web user;
extracting a plurality of features from the plurality of HTTP request packets; clustering the plurality of HTTP request packets into a plurality of groups based on the plurality of features; transmitting the clustered information to a web administrator server; a learning unit that receives labeling information about whether the plurality of groups are abnormal clusters from an administrator server and performs machine learning based on the labeling information;
an analysis unit that determines whether an HTTP request packet received from a web user is a web attack packet using the machine learning using the HTTP request packet received from the web user as an input variable. system.
ウェブユーザの遠隔公認IP、ウェブユーザのメイン要請パケット、メイン要請パケットによって連結される下位要請パケットの数、下位要請パケットのリソース種類、下位要請のリソース種類別の個数、要請パケットのヘッダ、要請ユーザのセッションID、セッションIDの生成間隔、セッションIDの更新繰り返し数、要請パケットのグループ内でのヘッダクッキーの変化、および要請パケットのグループ内でのヘッダユーザエージェントの変化のうち少なくとも一つを含む、請求項1に記載のウェブ攻撃検知システム。 The plurality of features are
Web user's remote authorized IP, web user's main request packet, number of sub-request packets linked by main request packet, resource type of sub-request packet, number of each resource type of sub-request packet, header of request packet, requesting user session ID, session ID generation interval, session ID update repetition count, header cookie change within a group of request packets, and header user agent change within a group of request packets; The web attack detection system according to claim 1.
前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであると判断した場合、要請リソースを遮断するかまたはリダイレクション動作を行う、請求項1に記載のウェブ攻撃検知システム。 The analysis unit
2. The web attack detection system of claim 1, wherein, when the HTTP request packet received from the web user is determined to be a web attack packet, the request resource is blocked or redirected.
ウェブユーザから受信する複数のHTTP要請パケットを用いて機械学習を行うステップと、
ウェブユーザから受信するHTTP要請パケットを入力変数とする前記機械学習を用いて、前記ウェブユーザから受信するHTTP要請パケットがウェブ攻撃パケットであるか否かを判断するステップとを含み、
前記機械学習を行うステップは、
ウェブユーザから複数のHTTP要請パケットを受信するステップと、
前記複数のHTTP要請パケットから複数のフィーチャを抽出するステップと、
前記複数のフィーチャに基づいて前記複数のHTTP要請パケットを複数のグループにクラスタリングするステップと、
クラスタリングされた情報をウェブ管理者サーバに伝送するステップと、
前記ウェブ管理者サーバから前記複数のグループが異常クラスタであるか否かに関するラベリング情報を受信するステップと、
前記ラベリング情報に基づいて機械学習を行うステップとを含む、ウェブ攻撃検知方法。 An artificial intelligence based web attack detection method comprising:
performing machine learning using a plurality of HTTP request packets received from web users;
determining whether the HTTP request packet received from the web user is a web attack packet using the machine learning with the HTTP request packet received from the web user as an input variable;
The step of performing machine learning includes:
receiving a plurality of HTTP request packets from web users;
extracting a plurality of features from the plurality of HTTP request packets;
clustering the plurality of HTTP request packets into a plurality of groups based on the plurality of features;
transmitting the clustered information to a webmaster server;
receiving labeling information regarding whether the plurality of groups are abnormal clusters from the web administrator server;
and performing machine learning based on the labeling information.
ウェブユーザの遠隔公認IP、ウェブユーザのメイン要請パケット、メイン要請パケットによって連結される下位要請パケットの数、下位要請パケットのリソース種類、下位要請のリソース種類別の個数、要請パケットのヘッダ、要請ユーザのセッションID、セッションIDの生成間隔、セッションIDの更新繰り返し数、要請パケットのグループ内でのヘッダクッキーの変化、および要請パケットのグループ内でのヘッダユーザエージェントの変化のうち少なくとも一つを含む、請求項5に記載のウェブ攻撃検知方法。 The plurality of features are
Web user's remote authorized IP, web user's main request packet, number of sub-request packets linked by main request packet, resource type of sub-request packet, number of each resource type of sub-request packet, header of request packet, requesting user session ID, session ID generation interval, session ID update repetition count, header cookie change within a group of request packets, and header user agent change within a group of request packets; The web attack detection method according to claim 5.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2020-0023050 | 2020-02-25 | ||
KR1020200023050A KR102156891B1 (en) | 2020-02-25 | 2020-02-25 | System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning |
PCT/KR2020/017799 WO2021172711A1 (en) | 2020-02-25 | 2020-12-08 | System and method for detecting and blocking web attack through web protocol analysis on basis of artificial intelligence machine learning behavior |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023516621A true JP2023516621A (en) | 2023-04-20 |
JP7391313B2 JP7391313B2 (en) | 2023-12-05 |
Family
ID=72669431
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022551682A Active JP7391313B2 (en) | 2020-02-25 | 2020-12-08 | Web attack detection and blocking system and method using artificial intelligence machine learning behavior-based web protocol analysis |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7391313B2 (en) |
KR (1) | KR102156891B1 (en) |
WO (1) | WO2021172711A1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102156891B1 (en) * | 2020-02-25 | 2020-09-16 | 주식회사 에프원시큐리티 | System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning |
KR102443811B1 (en) * | 2021-11-12 | 2022-09-19 | 주식회사 에프원시큐리티 | System and method for providing web firewall service based on artificial intelligence self-learning |
CN114095238A (en) * | 2021-11-17 | 2022-02-25 | 中国银行股份有限公司 | Attack early warning system and method for mobile terminal application program |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100961870B1 (en) * | 2008-05-13 | 2010-06-09 | (주)이지서티 | Web security system and method by examination in each network layer |
JP5832951B2 (en) | 2012-04-27 | 2015-12-16 | 日本電信電話株式会社 | Attack determination device, attack determination method, and attack determination program |
KR101383069B1 (en) * | 2013-05-27 | 2014-04-08 | 한국전자통신연구원 | Apparatus and method for detecting anomalous state of network |
KR102030837B1 (en) * | 2013-09-30 | 2019-10-10 | 한국전력공사 | Apparatus and method for intrusion detection |
KR101666177B1 (en) * | 2015-03-30 | 2016-10-14 | 한국전자통신연구원 | Malicious domain cluster detection apparatus and method |
EP3513543B1 (en) | 2016-09-16 | 2021-05-12 | Oracle International Corporation | Dynamic policy injection and access visualization for threat detection |
KR102001814B1 (en) * | 2016-12-27 | 2019-07-19 | 한국인터넷진흥원 | A method and apparatus for detecting malicious scripts based on mobile device |
JP2019185183A (en) | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | Communication device protection management server and communication device protection system |
KR102156891B1 (en) * | 2020-02-25 | 2020-09-16 | 주식회사 에프원시큐리티 | System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning |
-
2020
- 2020-02-25 KR KR1020200023050A patent/KR102156891B1/en active IP Right Grant
- 2020-12-08 JP JP2022551682A patent/JP7391313B2/en active Active
- 2020-12-08 WO PCT/KR2020/017799 patent/WO2021172711A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP7391313B2 (en) | 2023-12-05 |
WO2021172711A1 (en) | 2021-09-02 |
KR102156891B1 (en) | 2020-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11176459B2 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
JP7391313B2 (en) | Web attack detection and blocking system and method using artificial intelligence machine learning behavior-based web protocol analysis | |
US20210240825A1 (en) | Multi-representational learning models for static analysis of source code | |
Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
JP5011234B2 (en) | Attack node group determination device and method, information processing device, attack countermeasure method, and program | |
US11816214B2 (en) | Building multi-representational learning models for static analysis of source code | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
CN112468518B (en) | Access data processing method and device, storage medium and computer equipment | |
JP2020140723A (en) | Network attack defense system and method | |
CN111869189A (en) | Network probe and method for processing message | |
US10263975B2 (en) | Information processing device, method, and medium | |
Bachupally et al. | Network security analysis using Big Data technology | |
KR101250899B1 (en) | Apparatus for detecting and preventing application layer distribute denial of service attack and method | |
CN112235266A (en) | Data processing method, device, equipment and storage medium | |
WO2018057691A1 (en) | Unsupervised classification of web traffic users | |
KR101210622B1 (en) | Method for detecting ip shared router and system thereof | |
CN114978637A (en) | Message processing method and device | |
US10931713B1 (en) | Passive detection of genuine web browsers based on security parameters | |
CN117397223A (en) | Internet of things device application workload capture | |
JP2018098727A (en) | Service system, communication program, and communication method | |
KR101045332B1 (en) | System for sharing information and method of irc and http botnet | |
KR102599524B1 (en) | An apparatus for network monitoring and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20220905 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220831 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220825 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231113 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7391313 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |