KR100577829B1 - 웹 접속자 위치 추적 시스템 및 그 추적 방법 - Google Patents
웹 접속자 위치 추적 시스템 및 그 추적 방법 Download PDFInfo
- Publication number
- KR100577829B1 KR100577829B1 KR1020050020368A KR20050020368A KR100577829B1 KR 100577829 B1 KR100577829 B1 KR 100577829B1 KR 1020050020368 A KR1020050020368 A KR 1020050020368A KR 20050020368 A KR20050020368 A KR 20050020368A KR 100577829 B1 KR100577829 B1 KR 100577829B1
- Authority
- KR
- South Korea
- Prior art keywords
- proxy
- visitor
- web
- client
- server
- Prior art date
Links
Images
Classifications
-
- E—FIXED CONSTRUCTIONS
- E04—BUILDING
- E04B—GENERAL BUILDING CONSTRUCTIONS; WALLS, e.g. PARTITIONS; ROOFS; FLOORS; CEILINGS; INSULATION OR OTHER PROTECTION OF BUILDINGS
- E04B1/00—Constructions in general; Structures which are not restricted either to walls, e.g. partitions, or floors or ceilings or roofs
- E04B1/32—Arched structures; Vaulted structures; Folded structures
- E04B1/3211—Structures with a vertical rotation axis or the like, e.g. semi-spherical structures
-
- E—FIXED CONSTRUCTIONS
- E04—BUILDING
- E04B—GENERAL BUILDING CONSTRUCTIONS; WALLS, e.g. PARTITIONS; ROOFS; FLOORS; CEILINGS; INSULATION OR OTHER PROTECTION OF BUILDINGS
- E04B1/00—Constructions in general; Structures which are not restricted either to walls, e.g. partitions, or floors or ceilings or roofs
- E04B1/18—Structures comprising elongated load-supporting parts, e.g. columns, girders, skeletons
- E04B1/19—Three-dimensional framework structures
- E04B1/1903—Connecting nodes specially adapted therefor
-
- E—FIXED CONSTRUCTIONS
- E04—BUILDING
- E04B—GENERAL BUILDING CONSTRUCTIONS; WALLS, e.g. PARTITIONS; ROOFS; FLOORS; CEILINGS; INSULATION OR OTHER PROTECTION OF BUILDINGS
- E04B1/00—Constructions in general; Structures which are not restricted either to walls, e.g. partitions, or floors or ceilings or roofs
- E04B1/32—Arched structures; Vaulted structures; Folded structures
- E04B2001/3235—Arched structures; Vaulted structures; Folded structures having a grid frame
- E04B2001/3241—Frame connection details
- E04B2001/3247—Nodes
Landscapes
- Engineering & Computer Science (AREA)
- Architecture (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Civil Engineering (AREA)
- Structural Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 웹 접속자 위치 추적 시스템 및 그 추적 방법에 관한 것으로서, 보다 상세하게는 인터넷을 이용한 WEB HTTP(Hyper Text Transfer Protocol) 상에서 서버에 접속을 시도해 서비스를 요청해오는 접속자를 역추적하여 자신의 정보를 은닉하는 접속자를 정확하게 역추적하는 시스템 및 그 추적 방법에 관한 것이다.
본 발명에 따르면 웹 접속자 위치 추적 시스템을 통해 가상 IP에 속한 기관의 사설 IP, 프록시 사용 접속자의 Real IP를 모두 분석하여 각 로그 정책 별로 분류하고 웹서버의 로그 없이도 실시간으로 역추적 분석이 가능하다. 특히, 트랜스페어런트 프록시(transparent proxy) 방식을 포함하여 종래 기술의 한계인 어노니머스 프록시(anonymous proxy) 방식 및 하이 어노니머스 프록시(high anonymous proxy)방식을 이용한 해외의 프록시 서버를 모두 역추적하여 진정한 Real IP를 추적하는 효과가 있다.
인터넷, 웹, 서버, IP, Proxy, Real IP, 가상 IP
Description
도 1은 프록시(proxy) 사용을 통한 자신의 위치 주소를 숨기는 예를 설명하기 위해 도시한 도면이고,
도 2는 트랜스페어런트 프록시(Transparent proxy)를 사용했을때 HTTP 패킷 헤더 분석 내용을 도시한 도면이고,
도 3은 어노니머스 프록시(Anonymous proxy)를 사용했을때 HTTP 패킷 헤더 분석 내용을 도시한 도면이고,
도 4는 하이 어노니머스 프록시(High anonymous proxy)를 사용했을때 HTTP 패킷 헤더 분석 내용을 도시한 도면이고,
도 5는 본 발명에 따른 시스템의 개략적인 구성도이고,
도 6은 식별 코드 부여를 통한 인증 방식을 설명하기 위해 도시한 도면이고,
도 7은 일반적인 시스템에 등록된 URL(Uniform Resource Locator) 프로토콜의 종류를 도시한 도면이고,
도 8은 어노니머스 프록시(Anonymous proxy)를 역추적하는 방식을 설명하기 위해 도시한 도면이고,
도 9는 하이 어노니머스 프록시(High anonymous proxy)를 역추적하는 방식을 설명하기 위해 도시한 도면이고,
도 10은 각각의 방식에 의해 분석된 결과를 도시한 도면이고,
도 11은 MMS(Multimedia Message Service) 프로토콜 패킷의 핸드쉐이크(handshake) 통신 과정을 설명하기 위해 도시한 도면이고,
도 12는 MMS 프로토콜 통신 패킷의 일예를 도시한 도면이다.
*** 도면의 주요부분에 대한 부호의 설명 ***
10 : 역추적 시스템 12: 역추적 장비 연동 모듈
14: 접속자 세션 분석 모듈 16: 역추적 처리 모듈
18: 웹 서버 페이지 모듈 20: 프록시 서버
30: 클라이언트 40: 서버
본 발명은 웹 접속자 위치 추적 시스템 및 그 추적 방법에 관한 것으로서, 보다 상세하게는 인터넷을 이용한 WEB HTTP(Hyper Text Transfer Protocol) 상에서 서버에 접속을 시도해 서비스를 요청해오는 접속자를 역추적하여 자신의 정보를 은닉하는 접속자를 정확하게 역추적하는 시스템 및 그 추적 방법에 관한 것이다.
현재 인터넷(internet) 기술의 비약적인 발전으로 인해 산업구조가 재편되고, 업무효율의 향상을 이끌어 내는 긍정적인 측면이 존재하고 있으나, 그 이면에는 인터넷의 익명성을 악용하여 다양한 범죄 및 인신공격과 같은 사이버 테러가 일어나고 있는 등의 부정적인 측면도 함께 존재하고 있는 실정이다.
물론 이와같은 문제점을 해결하기 위해 다양한 역추적 기술이 논의되고 있는 실정이며 극히 제한적인 환경하에서는 인터넷의 웹(web)을 이용해 접속해오는 범죄자나 크래커(cracker)의 위치를 실시간으로 추적하는 것이 가능하며 해당 구축 시스템에서는 웹 해킹 공격 용의자를 역추적 하려는 시도가 있어 왔다.
이와 같은 상황에서 최근에 특정 시스템에 침입하는 것을 감지하는 IDS (Intrusion Detection System)를 통해 침입 접속자를 감지하는 것이 가능하지만, 웹 접속 시도는 프록시(Proxy)라고 불리우는 프로토콜(protocol)을 이용하여 중간 서버 경유가 가능하다. 이처럼 프록시를 사용하여 가상 IP로 웹 해킹 침입을 시도하게 되면 기존의 IDS도 역추적을 할 수 있는 방법은 존재하지 않는다.
도 1은 프록시(proxy) 사용을 통한 자신의 위치 주소를 숨기는 예를 설명하기 위해 도시한 도면으로 이에 따르면, 일반적인 경우에는 접속자의 클라이언트(client)의 IP가 서버(server)에 그대로 기록이 되어 실제 위치를 추적하는 것이 용이함을 알 수 있으나, 해외의 프록시 서버(proxy server)를 경유하는 경우에는 접속자가 인터넷상에서 익명성을 보장받게 되어 웹 사이트(web site)의 게시판에 악의적인 게시물과 코드를 작성하여 올리게 되며, 실제 해킹 공격 시도나 사이버 테러에 프록시 서버를 경유하는 일이 빈번히 발생되고 있다.
즉, 기존의 방식을 이용하는 경우에는 웹서버의 접근 기록을 토대로 접속자를 추적해왔던 방식은 Real IP가 아닌 프록시 서버를 사용 중인 가상 IP 접속지까지만 추적이 가능하므로 접속자의 실제 위치를 추적하는 것은 불가능하며 프록시 서버에서 실제 Real IP 위치를 역추적 하는 것은 거의 불가능했다.
이와 같이 프록시 사용자가 증가함에 따라 역추적 기술의 필요성을 느끼게 되었고, 그리하여 기존의 역추적 기술이 지속적으로 발달하게 되었다.
특히 이와 같은 기술의 대표적인 예가 공개특허 제 2001-0078887호 "웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증 시스템과 그 방법"에 게시된 바 있으나 본 발명은 종래의 웹 서버의 접근 기록을 추적하는 방식보다는 한차원 진보된 방식으로써, 실시간으로 접속자가 요청하는 HTTP 헤더(header)의 정보를 검사하여 프록시 서버를 사용 중인지의 여부를 점검하는 방식의 기술이라 할 수 있다.
그런데, 상기 프록시 서버는 전 세계에 트랜스페어런트 프록시(Transparent proxy)와, 어노니머스 프록시(Anonymous proxy)와, 하이 어노니머스 프록시(High anonymous proxy)의 3가지 방식으로 구분되어 있는데, 이 프록시 방식은 익명성이 보장되는지의 여부에 따라 판단되고 있다.
먼저, 이들 중에 종래 기술을 이용하여 추적할 수 있는 프록시의 대표적인 방식인 트랜스페어런트 프록시(Transparent proxy) 방식은 웹서비스 요청 시도 시, 서비스 요청 헤더 부분에 클라이언트의 IP를 함께 포함하게 된다. 이 때문에 서버에서는 서비스 요청을 시도하는 클라이언트가 보내는 패킷(packet)의 HTTP 헤더를 검사하면 충분히 접속자의 Real IP를 추적할 수 있다. 이는 도 2의 트랜스페어런트 프록시를 사용했을 때의 HTTP 패킷의 헤더를 분석한 내용을 도시한 도면에 의하면, 분석된 헤더의 내용중에 "Via" 헤더 부분(1)이 바로 프록시 서버의 종류를 뜻하는 것이고, 그 다음 라인의 "X-Forwarded-For:" 부분(2) 다음 부터가 접속자의 Real IP를 뜻한다. 이와 같이 트랜스페어런트 프록시(Transparent proxy) 방식은 역추적을 하기 쉽다는 장점이 있다. 그래서 기존의 솔루션(solution)들 대부분이 바로 이 트랜스페어런트(Transparent)를 대상으로 한 역추적의 소프트웨어 이다.
다음으로, 어노니머스(Anonymous) 종류의 프록시 서버는 접속자의 IP를 완벽하게 숨기지만 프록시를 사용 중이라는 표시를 헤더에 명시한다. 좀 더 구체적으로는 프록시 서버의 종류만 포함하고 실제 접속자의 IP는 헤더에 나타내지 않는다고 할 수 있다. 바로 이 어노니머스 프록시(anonymous proxy) 방식부터는 역추적에 많은 어려움을 겪고 있다고 할 수 있다. 이는 도 3에 도시한 바와 같이 요청 헤더에는 Via 관련 코드만 포함되어 있다. 따라서, IDS와 같은 서버 솔루션에서 패킷을 캡쳐하여 분석한다 하더라도 상기 공개특허를 포함하는 종래의 방식으로는 역추적이 불가능한 형태의 프록시 방식이다.
그리고 마지막으로 하이 어노니머스(High anonymous) 종류의 프록시는 접속자의 IP 뿐만 아니라, 프록시 서버를 사용 중이라는 표시조차 명시되지 않는다. 이때, 헤더는 일반 접속자의 헤더 구조와 동일하게 작성되며, 서버에서 요청 패킷을 캡쳐한다 하더라도 일반 접속자와 패킷이 전혀 구별되지 않으므로, 현재의 기술력으로는 하이 어노니머스 프록시(high anonymous proxy) 방식의 사용자와 일반 접속자를 전혀 구분할 수 없다.
즉, 도 4에 도시한 바와 같이 요청 헤더에는 일반 접속자와 구별할만한 내용이 전혀 존재하지 않는 것을 알 수 있다. 이 때문에 종래의 기술에 의해서는 접속자의 위치를 역추적 하는 것이 더욱더 불가능한 문제점을 가지고 있다.
따라서, 대부분 인터넷 웹을 통해 접속하는 수많은 접속자 중에 자신의 정보를 숨겨 접속해오는 프록시 사용자가 악의적인 행위를 저지르는 사례(예를 들면, 신문사나 방송국 홈페이지 사이트에 익명으로 특정인을 비방하는 글을 게제하거나, 교육기관 홈페이지나 국가 기관에서 운영하는 홈페이지에 익명으로 글을 기고하는 것)가 많이 있는데, 상기 프록시 서버 중에 종래 기술에 의해 추적이 불가능한 어노니머스(anonymous) 또는 하이 어노니머스(high anonymous) 방식의 프록시를 사용하여 접속하는 경우에는 접속자의 실제 위치(real IP)를 알 수 없으므로 현재에는 이러한 행위를 역추적 하는 것이 불가능하고, 단지 프록시 사용자가 사용했던 프록시 가상 IP의 위치만 추적이 가능한 문제점을 그대로 가지고 있다.
한편, 또 다른 일예로 등록특허 제 10-0440270호 "메일 수신자 위치 추적 시스템 및 그의 방법"이 개시된 바도 있으나, 이는 메일분야에서 메일 확인프로 그램 을 이용하여 수신자의 위치를 확인하는 방법으로서, 이와 같은 자바 애플릿(JAVA APPLET)을 이용한 역추적 기능은 인터넷 익스플로러 브라우저 단계에서 접속자가 쉽게 제어가 가능하다. 예를 들면, 인터넷 옵션에서 보안 설정을 하거나 자바 허용에 대한 사용자 정의만 설정해놓아도 애플릿이 자동 다운로드 실행되는 것을 막을 수 있기 때문에 자신의 브라우저에서 자바 실행을 원하지 않는 접속자는 추적이 불가능하다.
자바 스크립트와 자바는 다르기 때문에, 스크립트는 사용하면서 자바 애플릿은 실행되지 않도록 설정하는 것이 충분히 가능하기 때문에 실제 위치를 추적하기 어려운 문제점을 여전히 가지고 있다.
따라서, 이러한 문제점들을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 현재 역추적 기술의 한계점을 극복하고자 3가지 방식의 프록시를 역추적할 수 있는 방안을 제시하여 클라이언트에 특별한 프로그램 설치 없이도 접속해오는 인터넷 브라우저만을 통해 접속자의 실제 위치를 역 추적하는 시스템을 제공하는데 있다.
이를 위해 상대방의 인터넷 접속 프로그램인 웹 브라우저에서 접속자 시스템의 또 다른 인터넷 프로토콜 연결 프로그램을 실행하도록 유도하므로써 기존에 HTTP 헤더를 검사한다거나, 특정 프로그램을 클라이언트에 설치하는 방법을 필요로 하지 않도록 구성하고, 웹 브라우저의 변수를 통해 접속자가 이전의 접속자와 같은 사람인지 식별 코드를 부여하여 자신의 정보를 숨겨 접속을 시도해오는 접속자의 Real IP를 역추적하여 추출해 냄으로서, 네트워크 침입자 역추적이나 실시간으로 범인의 위치를 추적하게 된다.
본 발명의 또 다른 목적은 자신의 정보를 숨겨 접속을 시도해오는 접속자의 Real IP를 장비에서 역추적하여 얻어낼 수 있으므로, 네트워크 침입자 역추적이나 실시간으로 범인의 위치를 추적하는 방법을 제공하는데 있다.
이하, 본 발명에 따른 웹 접속자 위치 추적 시스템 및 그 추적 방법을 첨부한 도면을 참고로 하여 이하에 상세히 기술되는 실시예에 의하여 그 특징들을 이해할 수 있을 것이다.
상기한 바와 같이 접속자와 특별한 통신프로그램 설치 작업없이 기존에 구현이 되어있는 프로토콜을 이용하여 접속자의 근원지를 추적하는 역추적 시스템(10)은 도 5에 도시한 바와 같이 접속자가 가상 IP를 사용하는지 Real IP를 사용하는지의 여부를 검사하고 접속 시 웹 브라우저 변수에 식별 코드를 설정하는 역추적 장비 연동 모듈(12)과; 접속자의 IP 위치를 검사하여 프록시 서버(20)를 사용 중인지 여부를 분석하는 접속자 세션 분석 모듈(14)과, 웹 브라우저를 통해 역으로 요청을 시도해오는 다른 특정 프로토콜 프로그램(32)의 요청패킷을 분석하여 어노니머스 프록시(anonymous proxy) 타입과 하이 어노니머스 프록시(high anonymous proxy) 타입을 역추적할 수 있는 역추적 처리 모듈(16)과, 접속자가 프록시 서버(20)를 사용 중인 것이 상기 접속자 세션 분석 모듈(14)에서 분석되었을 경우 특정 프로토콜의 프로그램(32)이 실행되는 것을 감추기 위한 웹 서버 페이지 모듈(18)을 포함하여 구성된다.
이와같은 구성에 의해 접속자가 자신의 클라이언트(30)를 통해 서버(40)에 접속하는 경로는 직접 접속하는 방식과 프록시 서버(20)를 경유하여 서버(40)에 접속하게 되며, 이를 상기 역추적 시스템(10)에서 감시하게 된다. 이때, 상기 역추적 시스템(10)의 각각의 모듈은 독립적인 서버 형태로 구축함도 가능하나, 접속자가 접속을 시도하는 일반적인 서버(40)에 직접 구축함도 동일한 기술적 원리를 채용하는 것이다.
이하, 상기한 구성에 따른 접속자의 Real IP를 역추적하는 과정을 상세히 설명한다.
본 발명을 통해 네트워크 침입자의 Real IP 위치를 역추적하는 과정은 접속자의 웹 브라우저 변수에 식별 코드를 설정하여 접속자가 IP를 변경하거나 프록시 서버(20)를 사용하여 가상 IP를 통해 접속하더라도 이전 접속을 시도했던 식별 코드 값을 읽어와 비교하여 동일한 접속자인지 여부를 검사하는 역추적 장비 연동 단계(A)와, 상기 식별 코드를 통해 접속자의 프록시 서버(20) 사용 여부를 검사하는 접속자 세션 분석 단계(B)와, 상기 세션 분석 단계(B)를 통해 해당 접속자가 프록시 서버(20)를 사용 중인 경우 현재 접속자의 Windows 환경하에서 HTTP 프로토콜을 제외한 웹 브라우저와 연동되어 있는 다른 프로토콜이 실행되면 접속을 시도해온 접속자의 세션을 조사하여 상기 프록시 서버()를 사용 중이었던 접속자의 Real IP와 일치하는지를 비교하는 단계(C)와, 실시간 동영상 미디어 프로토콜을 이용할 경우, 웹 서버 페이지 모듈(18) 상에서 접속자가 역추적 사실을 알아차리지 못하도록 프로그램 실행 결과를 감추는 단계(D)로 이루어진다.
이하, 상기 각각의 처리 단계를 상세히 설명한다.
먼저, 본 발명을 통해 네트워크 침입자의 Real IP 위치를 역추적하는 방법의 첫번째 과정인 역추적 장비 연동 단계(A)를 살펴보면, 접속자가 웹 페이지를 접속하였을 때 해당 페이지와 연동되어 있는 역추적 장비 연동 모듈(16)은 3가지 프록시 타입중 한가지의 프록시 방식을 분석하기 위한 접속자 세션 분석 모듈 단계(B)를 거치기 위해, 웹 브라우저를 통해 유도하는 역할을 하게 된다. 이때 동일한 프록시 서버(20)를 사용하여 접속하는 클라이언트(30)를 구분하기 위해, 도 6의 내용과 같이 웹 브라우저 변수에 식별 코드를 설정하게 된다. 웹 브라우저 상에서는 쿠키(cookie)라고 불리우는(일반적으로 웹사이트 인증제를 사용할 때 세션이나 쿠키를 이 변수에 저장) 변수에 값을 설정하며, 접속자의 컴퓨터에서 쿠키를 삭제하더라도 웹 브라우저의 고유 변수에 저장된 식별 코드 값을 역추적 장비 연동 모듈(12) 접속 시, 다시 쿠키 변수에 설정하므로 최초 접속 후 부여된 식별 코드는 영구적으로 사용할 수 있게 된다. 이를 통해 접속자가 IP를 변경하거나 프록시 서버(20)를 통해 가상 IP로 접속하더라도 예전 접속을 시도했던 식별 코드 값을 읽어와 비교하여 동일 접속자인지 여부를 검사할 수 있는 것이다. 이러한 방식은 주요 사이트에 접속하는 용의자를 추적하는데 많은 도움이 되며, 동일한 접속자인지 검사를 통해 검거에 많은 도움이 될 것이다.
다음으로 접속자 세션 분석 단계(B)는 접속자 세션 분석 모듈(14)에서 프록시의 사용 여부를 검사하는 단계이다. 바로 이 두번째 단계에서 결정되는 프록시 서버(20)의 사용 여부 또는 프록시 방식에 의해 다음 단계의 역추적 시스템 수행 방법이 다르게 결정된다. 트랜스페어런트 프록시(Transparent proxy)의 경우 헤더 검사를 통해 구별이 충분히 가능하기 때문에 웹사이트의 트래픽을 고려하여 특별히 어노니머스(anonymous), 하이 어노니머스(high anonymous)와 같은 추적 방식을 제공하지 않아도 된다. 반면, 접속자가 어노니머스(anonymous) 또는 하이 어노니머스(high anonymous) 방식을 사용하고 있는 경우에는 실제 Real IP를 역추적하기 위해 다음 세번째로 수행되는 역추적 처리 단계(C)를 거치게 된다. 두번째 단계(B)에서 각 프록시 타입을 판단하는 방식은 어노니머스(anonymous)의 경우 헤더의 "Via"를 분석하여 어노니머스(anonymous) 프록시 방식 사용 여부를 결정짓는데 큰 역할을 한다. 마지막 하이 어노니머스(high anonymous)의 경우 도 8을 참고하면 일반적인 접속을 시도하는 접속자와 같은 어플리케이션 패킷 헤더 구조를 가지고 있기 때문에 클라이언트(30)의 열린 포트(port)를 검사하여 프록시 서버(20)의 사용 여부를 검사하는 조사 단계(B')를 거치게 된다.
이러한 정책은 현재 전 세계에 분포되어 특정 프록시 제공 사이트 ISP에 공개되어 있는 각 3가지 방식의 프록시를 찾는 방법과 동일하다.
상기 두번째 단계인 접속자 세션 분석 단계(B)의 조사 단계(B')를 통해 해당 접속자가 프록시 서버(20)를 사용 중인 것이 결정되면 세번째 단계인 역추적 처리 단계(C)를 거치게 된다. 이때, 상기 역추적 처리 단계(C)는 역추적 처리 모듈(16)을 이용하게 되는데 이는 현재 데스크탑 사용자의 Windows 컴퓨터에서 HTTP 프로토콜을 제외한 웹 브라우저와 연동되어 있는 다른 프로토콜을 이용하게 되며, 이는 도 7에 도시한 바와 같은 레지스트리에 기본적으로 등록되어 있는 URL 프로토콜 서비스(50)를 이용하게 된다. 즉, 상기 프로토콜 중 서버(40)와의 통신 과정이 필요한 특정 프로토콜을 대상으로 하여 웹 브라우저에서 실행되도록 유도한 뒤 유도에 따라 접속을 시도해온 클라이언트(30)의 세션(session)을 상기 역추적 처리 모듈(16)에서 조사하여 프록시 서버(20)를 사용 중이었던 클라이언트(30)의 Real IP가 맞는지 비교를 하게 된다. 따라서 도 8 및 도 9를 참고하면 각 프로토콜은 HTTP 프로토콜과 다르게 어플리케이션 통신 방식이 다르게 구성되어 있다. 그렇기 때문에 프록시를 사용할 수 있는 HTTP 프로토콜과 달리 접속자 시스템에서 다른 프로토콜 프로그램으로 구동되어 접속해오는 클라이언트(30)의 세션은 프록시 서버(20)를 사용하지 않는 Real IP가 되는 것이다. 바로 이 단계(C)에서 기존 클라이언트(30)에 프로그램을 설치하는 방식의 한계점을 뛰어넘고 빠른 속도 및 성능면에서 뛰어난 차이를 보이며 보다 정확한 역추적 결과를 가져오게 된다.
이를 위해 상기 역추적 처리 모듈(16)은 웹 브라우저와 연동되어 있는 프로그램 프로토콜 통신규약에 따라 클라이언트(30)의 정확한 Real IP를 추적하도록 구성되어야 하며, 이는 역추적 시스템(10)에 실시간 분석이 가능하도록 서버(40)에 등록되는 데몬(daemon) 서비스로 구축되어야 한다. 상기 역추적 처리 모듈(16)에서 성공적인 역추적을 위해 수행되는 프로토콜은 각 프로토콜 분석, 프로그램 수행 결과로 결정할 수 있었으며 역추적 방식에 효과적인 프로토콜로 꼽히는 MMS/MMST/MMSU 등의 실시간 동영상 미디어 프로토콜을 이용하여 역추적을 시도한다. 이때, 상기 동영상 미디어 프로토콜은 <EMBED> HTML 태그를 통해 웹 브라우저 상에서 실행될 수 있는 프로그램 중 하나이다. 바로 이 미디어 프로토콜을 통해 웹 브라우저 상에서 MMS 통신 프로그램을 자동 실행하게 된다.
마지막 네번째 단계는 웹 서버 페이지 모듈(18)에서 프로그램 실행 결과를 감추는 단계(D)로서, 이는 상기 역추적 처리 단계(C)에서 어떠한 프로토콜을 통해 역추적을 시도하는지 여부에 따라 다르게 구성되는데, MMS/MMST/MMSU 등의 실시간 동영상 미디어 프로토콜을 이용하는 경우에는 상기 웹 서버 페이지 모듈(18) 상에서 접속자가 역추적 사실을 알아차리지 못하도록 프로그램 실행 결과를 감출 수 있다. 바로 이러한 역추적 시스템 구축을 통해 보다 완벽한 실시간 Real IP 추적이 가능하다.
상술한 단계(A) 내지 단계(D)의 과정을 통해 접속자의 추적이 성공적으로 이루어진 경우에는 도 10에 도시한 바와 같은 역추적 결과을 얻게 된다.
이때, 각 로그 관리 방식은 역추적 시스템에서 날짜와 시간별로 구분되어 기록되며, 웹 인증 시스템을 통해 실시간으로 로깅(logging)되는 내용을 확인할 수 있다. 그리고, 기본적으로 저장된 로그는 각 6가지 정책에 의거하여 분류되며, 웹으로 접속을 시도해왔던 접속자들을 보다 편리하게 역추적이 가능하다. 즉, 도 10을 참고하면, 상기 6가지 분류방법은 프록시 서버(20)를 사용한 접속자의 경우에 가상 IP에 해당하는 항목으로써 일반 접속자의 IP로 로그를 분석하는 일반 접속 IP(가상 IP) 분류 항목(100)을 이용하거나, 접속자의 IP가 변경(ADSL)되거나 프록시 서버(40)를 사용했더라도 동일한 식별 코드를 통해 접속자가 동일인인지를 분석 하는 식별 코드로 분류 항목(110)을 이용하거나, 상기 역추적 장비 연동 모듈(12)이 어떤 웹 페이지와 연동되어 역추적을 시도했는지 분석하는 참조 URL 분류 항목(120)을 이용하거나, 프록시 서버(20)를 사용한 접속자만을 분류해서 분석하거나 동일한 프록시 서버(20)를 사용하는 접속자를 분석하는 프록시 종류 분류 항목(130)을 이용하거나, 일반 접속자 IP는 해당사항이 없는 프록시 서버(20)를 사용한 접속자만을 분석하는 실제 Real IP 분류 항목(140)을 이용하거나, 사용중인 다양한 웹 브라우저의 버전 및 종류를 분석하는 웹 브라우저 버전 분류 항목(150)을 이용하여 분류하는 것도 가능하다.
여기서, 상기 역추적 처리 단계(C)는 어노니머스(anonymous)/하이 어노니머스(high anonymous) 프록시 방식의 추적하는 일예를 이용하여 좀 더 상세히 설명한다. 역추적 처리 모듈(16) 상에서 사용하는 프로토콜을 MMST로 지정하여 역추적을 수행하는 경우에는 MMS 프로토콜 어플리케이션 핸드쉐이크를 거치게 되는데, 바로 이 부분에서 실제 Real IP를 추출할 수 있게 된다. 한편, 기존의 MMS나 MMSU와 같은 프로토콜의 경우에는 기본 미디어 프로토콜 포트와 다른 UDP 포트를 사용하기 때문에 TCP 프로토콜을 전용으로 통신하는 MMST를 통해 보다 간단하게 구현하게 된다. 그리고, 상기 MMS 프로토콜 방식은 서버 프로그램을 작성하는 것과 리버스 엔지니어링을 통해 핸드쉐이크 패킷 통신과정 결과를 얻는 것이 가능한데, 역추적에 필요한 Real IP를 얻는 방법은 후자를 사용함이 바람직하다. 이는 도 11과 같은 핸드쉐이크 과정을 통해 도 12와 같은 패킷 통신을 하여 클라이언트(30) 접속자의 실 제 Real IP를 얻어낼 수 있다. 이를 도 11 및 도 12를 참고로 상세히 설명하면 다음과 같다.
먼저, 클라이언트(30)가 MMS NS Player 버전과 그 밖의 프로그램 버전 정보를 서버로 전송해오게 되면(200), 서버(40)는 MMS 서버의 버전을 응답해주게 되고(210), 클라이언트(30)는 다시 서버(40)에 접속하게 되고(220), 서버(40)는 클라이언트(30)에 3번에 걸쳐 패킷을 전달하게 되고(230), 클라이언트(30)가 서버(40)에 자신의 IP와 통신 TCP port 번호를 (MMST 프로토콜이므로) 전송해오고(240), 서버(40)는 클라이언트(30)의 요청에 응답을 하게 되고(250), 클라이언트(30)는 동영상 미디어 파일 이름을 서버(40)에 요청해오고(260), 서버(40)는 그런 파일이 존재하지 않는다고 응답한다(270).
이때, 프록시 서버(20)를 사용하고 있는 접속자는 자신이 사용 중인 프록시 IP와 부가 정보를 동영상 미디어 파일의 이름으로 하여 역추적 시스템에 요청을 하게 된다. 그에 따라 역추적 시스템(10)은 클라이언트(30)가 동영상 미디어 파일 이름을 서버(40)에 요청해오는 단계(260)를 거치는 과정에서 클라이언트(30)가 요청하는 동영상 미디어 파일 이름을 받아와 분석하게 된다. 여기서 접속자의 가상 IP와 일치하는 클라이언트(30)의 패킷을 비교하여, 해당 패킷의 source IP를 얻어 접속자의 Real IP로 분석하게 된다.
이상과 같이 본 발명의 실시예에 대하여 상세히 설명하였으나, 본 발명의 권리범위는 이에 한정되지 않으며, 본 발명의 실시예와 실질적으로 균등의 범위에 있 는 것까지 본 발명의 권리범위가 미친다.
상술한 바와 같이 본 발명에 따르면, 웹 접속자 위치 추적 시스템을 통해 가상 IP에 속한 기관의 사설 IP, 해외 및 국내 프록시 사용등 접속자의 Real IP를 모두 분석하여 각 로그 정책 별로 분류하고 웹 서버의 로그 없이도 실시간으로 역추적 분석이 가능하다.
또한, 역추적하여 분석된 결과를 통해 WHOIS 서비스를 이용하면, 실시간으로 침입자의 위치나 범죄자의 위치를 파악할 수 있으므로 기존 수사 시스템 및 기존의 보안 솔루션 등 다양한 분야에 매우 효과적으로 적용을 할 수 있다. 특히, 트랜스페어런트 프록시(transparent proxy) 방식을 포함하여 종래 기술의 한계인 어노니모스 프록시(anonymous proxy) 방식 및 하이 어노니머스 프록시(high anonymous proxy)방식을 통하여 악용한 프록시 서버를 모두 역추적하여 진정한 Real IP를 추적하는 효과가 있다.
아울러, 본 발명에 의하면 예를 들어 인터넷 익스플로러(internet explore)의 설정에서 보안 수준을 높이거나, 미디어 컨텐츠(media contents)의 사용을 막는다하더라도 전혀 관계없이 접속자에 관한 역추적이 가능한 효과가 있다.
Claims (4)
- 접속자가 서버(40)에 접속하면 접속자의 웹 브라우저 변수에 식별 코드를 설정하여, 이후 접속된 클라이언트(30)의 식별코드와 일치하는지를 비교하는 역추적 장비 연동 모듈(12)과;상기 역추적 장비 연동 모듈(12)의 비교결과 식별 코드가 일치하는 경우 상기 클라이언트(30)로 부터 전송받은 패킷의 헤더를 검사하여 트랜스페어런트 프록시(transparent proxy)/어노니모스 프록시(anonymous proxy)/ 하이 어노니머스 프록시(high anonymous proxy) 방식을 사용 중인지 여부를 분석하는 접속자 세션 분석 모듈(14)과;상기 접속자 세션 분석 모듈(14)의 검사결과 어노니머스 프록시(anonymous proxy) 또는 하이 어노니머스 프록시(high anonymous proxy) 방식의 프록시 서버(20)를 사용하는 경우, 상기 클라이언트(30)에 기등록되어 상기 웹브라우저와 연동되는 특정 프로토콜 프로그램(32)이 실행되면 상기 클라이언트(30)의 세션을 조사하여 상기 프록시 서버(20)를 사용 중이었던 접속자의 IP가 일치하는지를 비교하여 일치하지 않는 경우에는 상기 클라이언트(30) 세션의 IP를 접속자의 Real IP로 판단하는 역추적 처리 모듈(16);로 구성되는 것을 특징으로 하는 웹 접속자 위치 추적 시스템.
- 제 1항에 있어서,상기 클라이언트(30)가 프록시 서버(20)를 사용 중인 것이 상기 접속자 세션 분석 모듈(14)에서 분석되었을 경우 상기 특정 프로토콜의 프로그램(32)이 실행되는 것을 감추기 위한 웹 서버 페이지 모듈(18);을 더 포함하여 구성되는 것을 특징으로 하는 웹 접속자 위치 추적 시스템.
- 접속자가 서버(40)에 접속하면 접속자의 웹 브라우저 변수에 식별 코드를 설정하여, 이후 접속된 클라이언트(30)의 식별코드와 일치하는지를 비교하는 단계(A);와상기 단계(A)의 비교 결과 식별 코드가 일치하는 경우 상기 클라이언트(30)로 부터 전송받은 패킷의 헤더를 검사하여 트랜스페어런트 프록시(transparent proxy)/어노니머스 프록시(anonymous proxy)/ 하이 어노니머스 프록시(high anonymous proxy) 방식을 사용 중인지 여부를 분석하는 단계(B);상기 단계(B)를 통해 해당 접속자가 프록시 서버(20)를 사용 중인 경우 현재 클라이언트(30)의 기등록되어 상기 웹브라우저와 연동되는 특정 프로토콜 프로그램(32)이 실행되면 접속을 시도해온 클라이언트(30)의 세션을 조사하여 상기 프록시 서버(20)를 사용 중이었던 접속자의 Real IP와 일치하는지를 비교하여 일치하지 않는 경우에는 상기 클라이언트(30)의 세션의 IP를 상기 이전 접속자의 Real IP로 판단하는 단계(C);로 이루어진 것을 특징으로 하는 웹 접속자 위치 추적 방법.
- 제 3항에 있어서,상기 단계(C)로 부터 특정 프로토콜 프로그램(32)을 이용시에 웹 서버 페이지 모듈(18) 상에서 접속자가 역추적 사실을 알아차리지 못하도록 상기 특정 프로토콜 프로그램(32)의 실행 결과를 감추는 단계(D);를 더 포함하여 구성되는 것을 특징으로 하는 웹 접속자 위치 추적 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050020368A KR100577829B1 (ko) | 2005-03-11 | 2005-03-11 | 웹 접속자 위치 추적 시스템 및 그 추적 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050020368A KR100577829B1 (ko) | 2005-03-11 | 2005-03-11 | 웹 접속자 위치 추적 시스템 및 그 추적 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100577829B1 true KR100577829B1 (ko) | 2006-05-12 |
Family
ID=37181326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050020368A KR100577829B1 (ko) | 2005-03-11 | 2005-03-11 | 웹 접속자 위치 추적 시스템 및 그 추적 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100577829B1 (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100960111B1 (ko) | 2008-07-30 | 2010-05-27 | 한국전자통신연구원 | 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템 |
| KR101082524B1 (ko) * | 2010-06-30 | 2011-11-10 | 한전케이디엔주식회사 | 공격자 실제 주소를 찾기 위한 역추적 방법 |
| WO2013081323A1 (ko) * | 2011-11-29 | 2013-06-06 | 주식회사 이스턴웨어 | 아이피 추적 시스템 및 방법 |
| US9374382B2 (en) | 2013-11-26 | 2016-06-21 | Electronics And Telecommunications Research Institute | Apparatus and method for attack source traceback |
| US9374381B2 (en) | 2013-12-26 | 2016-06-21 | Electronics And Telecommunications Research Institute | System and method for real-time malware detection based on web browser plugin |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020069760A (ko) * | 2001-02-27 | 2002-09-05 | 웰넷정보통신주식회사 | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 |
| KR20030069241A (ko) * | 2002-02-19 | 2003-08-27 | 한국전자통신연구원 | 침입자의 근원지 추적 장치 및 방법 |
| KR20040083682A (ko) * | 2003-03-24 | 2004-10-06 | 학교법인 포항공과대학교 | 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법 |
| KR20060021553A (ko) * | 2004-09-03 | 2006-03-08 | (주)아이자이어 로보텍스 | Http(s) 보안을 위한 자동 위치 추적 시스템 및 그의 방법 |
-
2005
- 2005-03-11 KR KR1020050020368A patent/KR100577829B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020069760A (ko) * | 2001-02-27 | 2002-09-05 | 웰넷정보통신주식회사 | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 |
| KR20030069241A (ko) * | 2002-02-19 | 2003-08-27 | 한국전자통신연구원 | 침입자의 근원지 추적 장치 및 방법 |
| KR20040083682A (ko) * | 2003-03-24 | 2004-10-06 | 학교법인 포항공과대학교 | 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법 |
| KR20060021553A (ko) * | 2004-09-03 | 2006-03-08 | (주)아이자이어 로보텍스 | Http(s) 보안을 위한 자동 위치 추적 시스템 및 그의 방법 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100960111B1 (ko) | 2008-07-30 | 2010-05-27 | 한국전자통신연구원 | 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템 |
| US8341721B2 (en) | 2008-07-30 | 2012-12-25 | Electronics And Telecommunications Research Institute | Web-based traceback system and method using reverse caching proxy |
| KR101082524B1 (ko) * | 2010-06-30 | 2011-11-10 | 한전케이디엔주식회사 | 공격자 실제 주소를 찾기 위한 역추적 방법 |
| WO2013081323A1 (ko) * | 2011-11-29 | 2013-06-06 | 주식회사 이스턴웨어 | 아이피 추적 시스템 및 방법 |
| US9374382B2 (en) | 2013-11-26 | 2016-06-21 | Electronics And Telecommunications Research Institute | Apparatus and method for attack source traceback |
| US9374381B2 (en) | 2013-12-26 | 2016-06-21 | Electronics And Telecommunications Research Institute | System and method for real-time malware detection based on web browser plugin |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar et al. | A comprehensive study of XSS attack and the digital forensic models to gather the evidence | |
| US7827311B2 (en) | Client side protection against drive-by pharming via referrer checking | |
| EP2447878B1 (en) | Web based remote malware detection | |
| US8601586B1 (en) | Method and system for detecting web application vulnerabilities | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
| US20190222607A1 (en) | System and method to detect and block bot traffic | |
| KR100615470B1 (ko) | 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법 | |
| KR100577829B1 (ko) | 웹 접속자 위치 추적 시스템 및 그 추적 방법 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| Dabbour et al. | Efficient assessment and evaluation for websites vulnerabilities using SNORT | |
| US20060200566A1 (en) | Software proxy for securing web application business logic | |
| Čermák et al. | Detection of DNS traffic anomalies in large networks | |
| Luo | SSRF vulnerability Attack and Prevention based on PHP | |
| Selvamani et al. | Protection of web applications from cross-site scripting attacks in browser side | |
| Kao et al. | The IP address and time in cyber‐crime investigation | |
| Veličković et al. | Web Applications Protection from Automated Attacks by the reCAPTCHA API | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 | |
| Bux et al. | Detection of malicious servers for preventing client-side attacks | |
| Izagirre | Deception strategies for web application security: application-layer approaches and a testing platform | |
| US11985165B2 (en) | Detecting web resources spoofing through stylistic fingerprints | |
| CN110138719B (zh) | 一种网络安全的检测方法、装置及电子设备 | |
| CN116436705B (zh) | 网络安全检测方法、装置、电子设备及存储介质 | |
| Mihai | Overview on phishing attacks | |
| KR20050003555A (ko) | 전자적 침해에 대한 웹 서버 보안 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130411 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20140528 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20150427 Year of fee payment: 10 |
|
| LAPS | Lapse due to unpaid annual fee |