KR100667304B1 - Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버 - Google Patents

Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버 Download PDF

Info

Publication number
KR100667304B1
KR100667304B1 KR1020040070329A KR20040070329A KR100667304B1 KR 100667304 B1 KR100667304 B1 KR 100667304B1 KR 1020040070329 A KR1020040070329 A KR 1020040070329A KR 20040070329 A KR20040070329 A KR 20040070329A KR 100667304 B1 KR100667304 B1 KR 100667304B1
Authority
KR
South Korea
Prior art keywords
address
computer
user
server
web browser
Prior art date
Application number
KR1020040070329A
Other languages
English (en)
Other versions
KR20060021553A (ko
Inventor
김태봉
Original Assignee
인터리젠 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=37128358&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR100667304(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 인터리젠 주식회사 filed Critical 인터리젠 주식회사
Priority to KR1020040070329A priority Critical patent/KR100667304B1/ko
Publication of KR20060021553A publication Critical patent/KR20060021553A/ko
Application granted granted Critical
Publication of KR100667304B1 publication Critical patent/KR100667304B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 인터넷 상의 대표적인 통신규약인 HTTP / HTTPS를 사용하고 있는 각종 서버 또는 네트워크 시스템에 대한 침해 행위에 대응하기 위해 자동 위치 추적을 이용해 보안을 강화하고자 하는 것이다.
더욱 상세하게는 HTTP(S) 통신규약이 사용되는 인터넷 서버나 네트워크에 접속하는 사용자들의 위치 추적을 자동화하기 위해 모니터링서버에서 사전 설정된 제어조건을 바탕으로 추적 대상 컴퓨터에 해당 플러그인 소스를 자동 전송하며 대상 컴퓨터의 웹브라우저를 지원하는 각종 플러그인중 유효한 플러그인을 강제 구동케 하여, 컴퓨터의 IP 주소 및 내장된 각종 설정 값을 모니터링서버로 송신케 한다. 모니터링서버에 수신된 정보 값은 자동으로 기록되고 분류되며 IP 주소 값 대조를 통해 송신 위치를 파악할 수 있게 해준다.
인터넷, 웹서버, 네트워크시스템, 데이터베이스, IP 주소, 프락시 서버, 사설 IP, 공인 IP, 프락시 IP, 이메일, 보안, HTTP(S), 웹브라우저, 플러그인

Description

HTTP/HTTPS 보안을 위한 자동 위치 추적 방법 및 모니터링 서버 {‘Automatic tracing method for security of http / https’ and ‘monitering server for this’}
도 1은 본 발명을 적용하기 위한 시스템의 구성을 간략하게 보인 예시도
도 2는 도 1에서 각 구성 시스템의 구성 요소를 간략하게 보인 블록도
도 3은 도 2에서 자동 위치 추적 시스템의 동작 과정 흐름도
도 4는 본 발명에 적용된 자동 위치 추적 예시도
도 5는 본 발명에 의한 데이터베이스에 기록되는 수신 정보 예시도
도 6은 본 발명에 의한 모니터링서버에서 웹브라우저 플러그인 구동 명령 예시도
도 7은 본 발명에 의한 위치 추적 정보 기반 WHOIS 서비스와 연계한 정보 표시 예시도
도 8은 도 7의 위치 정보를 모니터링서버에 내장된 세계지도와 연계하여 표시한 예시도
도 9는 웹브라우저 플러그인의 전제 사항과 지원 종류에 대한 예시도
<도면의 주요 부분에 대한 설명>
1: 로컬 컴퓨터에서 HTTP(S) 프로토콜을 이용한 접근 시도
2: 제어조건 여부를 판단하기 위해 모니터링서버에 이벤트 발생을 보고한 것이며
3: 위치 추적을 위해 컴퓨터 웹브라우저 플러그인 구동 명령을 전송하는 것이며
4: 로컬 컴퓨터에서 웹브라우저 플러그인이 강제 구동되어 소켓통신이 생성된 것이며,
5: 로컬 컴퓨터에서 모니터링서버간 소켓통신에 의해 IP 주소 값 및 내장된 각종 설정 값 정보가 전송된 것이다.
본 발명은 인터넷상의 대표적인 통신규약인 HTTP/HTTPS를 이용하는 모든 서버 및 네트워크 시스템 그리고 해당 서비스를 보안하기 위한 자동 위치 추적 방법 및 모니터링 서버에 관한 것이다.
최근 인터넷 사용자가 급증하고 있는 인터넷상의 각종 범죄행위 또한 증가되고 있는 것이 현실이다. 대부분의 인터넷 트래픽은 웹 기반 국제적인 통신 규약인 HTTP(S)를 기반으로 하는 각종 웹 서비스에 집중되어 있다.
인터넷 침해 사고의 가해자들은 언제 어디서나 목적 대상인 웹서버에 손쉽게 접근할 수 있다. 인터넷 침해 행위자들은 개방형 구조인 웹서비스의 HTTP(S) 프로토콜을 통해 쉽게 웹서버를 공격하거나 각종 범죄행위를 저지르고 자신의 접속 지점을 간단히 은폐한다. 이는 접속 세탁을 위해 해외 프락시서버등을 경유하여 IP 주소가 변조된다는 것에 착안한 것이다. 또한 많은 기업과 공공기관에서 가상사설망을 보편적으로 사용함에 따라 로컬 컴퓨터의 IP가 자동 은폐되므로 침해 행위자를 추적해 내기란 더욱 어려워지고 있다.
따라서 다단계로 접속 세탁이 된 침해 행위자라 하더라도 HTTP(S)를 통해 접속 연결을 시도하는 즉시 로컬 컴퓨터의 IP 주소와 내장된 각종 설정 값 그리고 각 경유지의 IP 주소까지 포함하여 자동으로 추적하여 실제 접속 지점에 대한 IP 차단 및 이력 관리를 실시 할 수 있다면, 필요시 법률적 증거 제시 및 검거까지 가능하게 된다.
종래의 IP 주소 추적 시스템은 로그기록 파일에서 접속 기록을 읽어드려 IP 주소를 확인하였으나 TCP/IP 구조적 한계로 인해 직전 단계의 IP 주소 정보만 확인할 수 있다는 분명한 제한점을 가지고 있었다. 이러한 문제를 해결하고자 자바 애플릿 기반 이나 Active-X 기반의 IP 주소 추적 시스템이 등장하였으나 다단계 추적이 가능하고 로컬컴퓨터의 IP 주소까지 확보한다는 개선점은 가졌으나 구조적 한계 로 인해 팝업창 차단 및 PC 보안 프로그램등에 의해 대부분 차단되어 활용성이 극히 낮다는 문제점을 내포하고 있다. 예시로 최근에 출시된 MS윈도우 XP 서비스팩2는 팝업창 차단 및 유해 차단 필터링등의 PC 보안 기능이 기본 설정되어 있어 자바 애플릿 기반 이나 Active-X 기반의 IP 주소 추적시스템은 동작할 수 가 없게 되었다. 또한 자바 애플릿 기반 또는 Active-X 기반의 경우 웹서버의 HTML 페이지내에 스크립트 코드 형태의 에이젼트를 포함할 수 밖에 없는 구조로, 이 때문에 HTML 에러페이지 혹은 대상 페이지 모두의 소스를 각각 수정하여 삽입하여야 하는 불편함과 위험성을 내포하고 있다.
따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 창안한 것으로, 모니터링서버는 보호 대상인 웹 서버 및 네트워크 시스템과 통신 연결되어 제어 조건이 설정된 후 동작하며, HTTP(S)를 통해 접속 연결을 시도하는 로컬 컴퓨터의 웹브라우저 플러그인을 강제 구동케하여 접속 위치 변조 시라도 실제 IP 주소와 내장된 각종 설정값을 모니터링서버가 추적하고 관리할 수 있게 한다. 로컬 컴퓨터의 자체 보안 기능에 위치 추적이 차단되는 것을 방지하기 위해 PC의 보안 기능으로는 차단이 불가능한 웹브라우저의 플러그인을 구동시켜야 하며 이때 소켓통신을 통해 모니터링서버로 위치 정보 등을 전송한다.
또한 위치 추적을 위해 웹서버의 특정 HTML 페이지에 추적을 위한 코드를 내장하지 않고 원격지의 모니터링서버에서 직접 송수신 및 제어를 하는 위치 추적 시 스템 및 방법을 제공하는데 그 목적이 있다.
이와 같은 목적을 달성하기 위한 본 발명은 바람직한 실시 예 뿐만 아니라, 추가의 목적 및 효과들을 첨부한 도면을 참조하여 이하의 발명의 상세한 설명 및 실시예의 설명을 통해서 보다 명확히 이해할 수 있을 것이다. 또한, 이하에서는 설명의 편의상 'HTTP 또는 HTTPS'를 'HTTP(s)'라 칭한다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명의 일 측면에 따르면, 통신망을 통해 웹서버 또는 네트워크 시스템에 접근한 사용자 컴퓨터의 추적을 수행하는 모니터링 서버에 있어서, 상기 웹 서버 또는 상기 네트워크 시스템으로부터 상응하는 이벤트를 수신하는 수단과, 상기 사용자 컴퓨터의 위치 추적을 위한 제어 조건 설정과 상기 사용자 컴퓨터로부터 상기 웹서버 또는 상기 네트워크 시스템으로 연결시도를 위한 데이터통신 패턴, 특정 문자열, 조건 비교 또는 이들의 조합 중 어느 하나에 의하여 이벤트 발생을 감지하는 수단과, 상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나, 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 수단과, 상기 사용자 컴퓨터로부터 사설 IP 주소, 공인 IP 주소, 프락시 IP 주소 중 하나 이상의 IP 주소를 획득하는 수단과, 상기 획득된 IP 주소를 WHOIS 서버로 전송하여 상응하는 위치 정보를 수신하는 수단을 포함하되, 상기 하나 이상의 IP 주소는 가동되거나 강제 구동된 상기 사용자 컴퓨터의 웹브라우저 플러그인과의 통신을 통해 획득 시도되는 것을 특징으로 하는 모니터링 서버가 제공된다.
상기 위치 정보를 미리 저장된 세계지도에 연계하여 디스플레이하는 수단을 더 포함할 수 있다.
상기 이벤트 발생을 감지하는 수단은 미리 설정된 제어 조건을 참조하여 상기 웹서버 또는 상기 네트워크시스템에 네트워크 패킷필터링 검출 기법 또는 서버 호스트 에이전트에 의한 검출 기법을 적용하는 검출 수단을 더 포함할 수 있다.
상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나 강제 구동케하는 수단은 상기 사용자 컴퓨터의 웹브라우저 플러그인 가동을 명령하기 위한 명령어 집합 코드를 내장한 모듈을 생성하고, 상기 모듈을 전송하기 위한 패킷을 생성하거나, 상기 사용자 컴퓨터에 전송되는 패킷에 상기 모듈을 삽입하는 수단을 포함할 수 있다.
상기 IP 주소를 획득하는 수단은 상기 웹브라우저 플러그인 구동 결과 생성된 소켓통신을 이용하여 상기 사용자 컴퓨터의 상기 IP 주소 및 상기 IP 주소에 상응한 정보값을 추출하여 상기 모니터링 서버에 전송하는 수단을 포함할 수 있다.
상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나 강제 구동케하는 수단은 상기 소켓통신이 생성되지 않는 경우에 미리 설정된 다음 순번의 플러그인이 순차적으로 구동되도록 제어한 후 생성되는 결과값을 이용하여 상기 사용자 컴퓨터의 웹브라우저 플러그인의 종류를 식별하는 수단을 더 포함할 수 있다.
본 발명의 다른 측면에 따르면, 통신망을 통해 웹서버 또는 네트워크 시스템에 접근한 사용자 컴퓨터의 위치를 추적하는 방법에 있어서, (a) 상기 웹 서버 또는 상기 네트워크 시스템으로부터 상응하는 이벤트를 수신하는 단계; (b) 상기 사용자 컴퓨터의 위치 추적을 위한 제어 조건 설정과, 상기 사용자 컴퓨터로부터 상기 웹서버 또는 상기 네트워크 시스템으로 연결시도를 위한 데이터통신 패턴, 특정 문자열, 조건 비교 또는 이들의 조합 중 어느 하나에 의하여 이벤트 발생을 감지하는 단계; (c) 상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나, 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 단계; (d) 상기 사용자 컴퓨터로부터 사설 IP 주소, 공인 IP 주소 또는 프락시 IP 주소 중 하나 이상의 IP 주소를 획득하는 단계; (e) 상기 획득된 IP 주소를 WHOIS 서버로 전송하여 상응하는 위치 정보를 수신하는 단계; 및 (f) 상기 위치 정보를 미리 저장된 세계지도에 연계하여 디스플레이하는 단계를 포함하되,
상기 하나 이상의 IP 주소는 가동되거나 강제 구동된 상기 사용자 컴퓨터의 웹브라우저 플러그인과의 통신을 통해 획득 시도되는 것을 특징으로 하는 위치 추적 방법이 제공된다.
상기 단계(b)는 미리 설정된 제어 조건을 참조하여 네트워크 패킷필터링 검출 기법 또는 서버 호스트 에이전트에 의한 검출 기법을 상기 웹서버 또는 상기 네트워크 시스템에 적용하는 단계를 더 포함할 수 있다.
상기 단계 (c)는 상기 사용자 컴퓨터의 웹브라우저 플러그인 가동을 명령하기 위한 명령어 집합 코드를 내장한 모듈 및 상기 모듈을 전송하기 위한 패킷을 생성하거나 삽입하는 단계를 포함할 수 있다.
상기 단계(c)의 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 단계는 미리 설정된 다음 순번의 플러그인을 순차적으로 구동시켜 생성되는 결과값을 이용하여 상기 사용자의 컴퓨터의 플러그인의 종류를 식별하고, 상기 사용자의 컴퓨터의 플러그인을 구동시키는 단계를 포함할 수 있다.
상기 단계 (d)는 상기 웹브라우저 플러그인 구동 결과 생성된 소켓통신을 이용하여 상기 사용자 컴퓨터의 상기 IP 주소 및 상기 IP 주소에 상응한 정보값을 추출하여 상기 모니터링 서버에 전송하는 단계를 포함할 수 있다.
상기 단계 (a)의 상기 미리 정의된 추적 대상 이벤트는 상기 사용자가 상기 웹서버 또는 상기 네트워크 시스템을 통하여 전자상거래 또는 인터넷뱅킹을 수행하는 경우를 더 포함하고, (g) 상기 획득된 IP 주소에 상응하여 계좌를 추적하는 단계가 상기 단계 (d) 이후에 더 포함될 수 있다.
상기 단계 (a)의 상기 미리 정의된 추적 대상 이벤트는 상기 사용자가 상기 웹서버 또는 상기 네트워크 시스템을 통하여 웹컨텐츠 또는 이메일을 송수신하는 경우를 더 포함하고, (h) 상기 획득된 IP 주소에 상응하여 상기 웹컨텐츠 또는 상기 이메일의 유통 경로를 추적하는 단계가 상기 단계 (d) 이후에 더 포함될 수 있다.
본 발명은 모니터링서버에서 웹서버에 접근하는 자(즉, 통신망을 통하여 웹서버 또는 네트워크 시스템에 접근하는 사용자의 컴퓨터)의 위치 추적을 위한 이벤트 발생 감지 수단과, 사용자 컴퓨터의 웹브라우저 플러그이 가동되도록 하거나, 강제로 구동케 하는 수단과, 사용자 컴퓨터로부터 사설 IP, 공인 IP, 프락시 IP 주소 중 하나 이상의 IP 주소를 획득하는 수단과, 획득된 IP 주소를 WHOIS 서비스로 연결하여 사용자에게 보여 주는 수단과, WHOIS서비스로부터 얻은 결과를 디스플레이상의 세계지도와 연계하는 수단으로 이루어진 위치 추적 방법에 관한 것이다.
모니터링서버에서는 추적 대상을 판단하기 위한 제어 조건을 설정하는데 있어 각각의 인터넷 세션 및 호스트 이상징후에 대한 감시를 통해 추적 이벤트 발생 감지를 한다. 이를 위해 모니터링서버는 네트워크 및 호스트에 대한 실시간 이벤트 모니터링을 실시한다. 구체적으로 HTTP(S) 프로토콜이 사용되어지는 포트의 특정 연결 세션이나 사전 정의된 규칙에 의거한 패턴을 비교하는 방식, 웹서버로부터의 특정 문자열 반응에 대한 검출 방식, 로컬컴퓨터로부터의 특정 문자열 요청 검출 방식 등을 적용할 수 있다.
모니터링서버에서 컴퓨터의 웹브라우저 플러그인 가동을 명령하는 방법은 구동 대상인 웹브라우저 플러그인의 소켓통신을 요구하는 명령어를 모니터링서버의 추적모듈로 내장하고, 상기 제어 조건이 적용된 통신 연결된 상태의 추적 대상의 컴퓨터로 플러그인 명령어 코드를 HTTP(S) 프로토콜상의 패킷 형태로 전송한다. 전송된 패킷은 컴퓨터에 도착 즉시 재조립되어 브라우저로부터 자동으로 읽혀지며 해당 플러그인을 구동시켜 생성된 소켓통신을 통해 컴퓨터에 내재된 IP 주소와 각종 내장 정보 값을 포함하여 모니터링서버로 전송한다.
컴퓨터의 웹브라우저 플러그인이 지원되지 않는 경우도 있을 수 있다. 따라서 플러그인을 통한 소켓통신이 생성되지 않거나 모니터링서버에 데이터가 정해진 시간 내에 수신되지 않을 경우 해당 플러그인이 지원되지 않다는 추론으로 다음 순번의 플러그인 구동을 명령한다. 이러한 과정을 순차적으로 반복하여 지원되는 플러그인을 식별하는 것이다. 플러그인의 구동 명령 순번은 통계상 각 플러그인 지원 수를 자동 추론 처리하는 방법을 채택한다.
컴퓨터상의 웹브라우저 플러그인이 모니터링서버와 소켓통신을 연결하고 HTTP(S)프로토콜이 사용하는 개방된 포트를 통해 모니터링서버에 위치 정보 값을 송신한다. 수신을 위해 모니터링서버는 HTTP(S) 프로토콜을 통해 위치 정보를 기록한다.
모니터링서버에 수신된 위치 정보는 WHOIS 서비스로 자동 연결하여 IP 주소를 비교하여 사용자에게 보여 주며, 이때 추출된 정보는 모니터링서버의 디스플레이상의 세계지도와 연계하여 결과를 표시하여준다. 주요 통신사의 비대칭형인터넷망을 사용하여 유동 IP로 접근한 컴퓨터의 경우는 WHOIS가 아닌 자체 보유 유동 IP 데이터베이스를 통해 근사값 비교 이론을 적용하여 행정구역별로 위치 정보를 표시한다.
본 발명의 전체적 시스템 구성은 도 1에 도시한 바와 같이 구성되는데, 참조번호 1은 로컬 컴퓨터에서 HTTP(S) 프로토콜을 이용한 접근 시도이고, 참조번호 2는 제어조건 여부를 판단하기 위해 모니터링서버에 이벤트 발생을 보고한 것이며, 참조번호 3은 위치 추적을 위해 컴퓨터 웹브라우저 플러그인 구동 명령을 전송하는 것이며, 참조번호 4는 컴퓨터에서 웹브라우저 플러그인이 강제 구동되어 소켓통신이 생성된 것이며, 참조번호 5는 컴퓨터에서 모니터링서버간 소켓통신에 의해 IP 주소 값 및 내장된 각종 설정 값 정보가 전송된 것이다.
도 2는 도 1에서 각 구성 시스템의 구성 요소를 간략하게 보인 블록도로서 로컬컴퓨터가
HTTP(S)로 웹서버 및 네트워크시스템에 접근 시도시 모니터링서버의 제어조건에서 정의한 추적 대상 이벤트 여부인지를 감지하여 해당 정보를 모니터링서버로 전송한다.
모니터링서버는 연결된 세션을 기반으로 해당 로컬컴퓨터의 웹브라우저를 향해 플러그인 강제 구동 명령을 전송하고, 로컬컴퓨터의 웹브라우저가 이 명령을 수신함과 동시에 내재된 플러그인이 이에 자동 반응하여 소켓통신을 생성한다. 이때 소켓통신은 모니터링서버와의 연결을 생성하며 플러그인을 통해 로컬컴퓨터의 IP 주소와 내장된 각종 설정 값들이 포함되어 모니터링서버로 전송되는데, 이때 로컬컴퓨터가 위치한 네트워크의 공인 IP가 부수적으로 추출되어 실제 위치가 보다 명확하게 표시되는 것이다. 이때, 획득되는 IP 주소는 로컬컴퓨터의 사설 IP 주소, 공인 IP 주소, 프락시 IP 주소등이 될 수 있음은 당업자에게 자명하다.
모니터링서버에 수신된 로컬컴퓨터의 정보 값들은 데이터베이스를 근간으로 하여 자동으로 기록되어 처리되고 분석되며 위치 정보가 대조되며 최종적으로 디스플레이 된다. 도 3은 도2의 구성 요소에 대한 동작을 설명하기 위한 동작 흐름도로서, 이에 도시한 바와 같이 HTTP(S) 연결이 시도되는 모든 대상 행위에 대해 제어 조건 여부를 판단하여 추적 대상 이벤트를 발생시키고, 모니터링 서버에서 로컬컴퓨터의 위치 추적을 위해 플러그인 강제 구동 명령을 전송하여 모니터링 서버와 로컬컴퓨터간의 소켓통신을 활성화 시킨다. 만약 소켓통신이 생성되지 않을 경우 로컬컴퓨터에서 해당 플러그인이 지원되지 않는 것으로 판단하여 모니터링서버는 플러그인 구동 명령을 다음 순번의 다른 플러그인으로 자동 변경하여 순차 대입한다.
삭제
플러그인 강제 구동 결과로 수신된 IP 주소 및 각종 정보 값을 모니터링서버에서 획득하여 WHOIS에 연결하여 비교 값을 추출하여 상세한 위치 정보로 디스플레이에 표현하게 되는 것이다. 또한, 도 3에는 도시하지 아니하였으나, 본 발명의 실시예에 따라 사용자가 웹서버 또는 네트워크 시스템을 통하여 전자상거래 또는 인터넷뱅킹을 행한 경우, 전자상거래 또는 인터넷뱅킹의 기밀성, 안정성, 보안성을 고려할 경우에 사용자의 IP 정보 외에 사용자의 계좌 정보등이 부가적으로 추출 될 수 있으며, 이러한 정보들로서 차후 부인방지, 사용자 인증증에 사용될 수 있음은 당업자에게 자명할 것이다. 또한, 도 3에는 도시하지 아니하였으나, 본 발명의 실시예에 따라 웹서버 또는 네트워크 시스템을 통하여 송수신 되는 컨텐츠 또는 이메일에 소켓통신을 위한 플러그인이 삽입되어 차후 모니터링 서버에서 웹컨텐츠 또는 이메일의 유통 경로를 추적할 수 있음은 당업자에게 자명할 것이다.
도 4는 본 발명에 적용된 자동 위치 추적 예시도로, 가상사설망내에 위치한 로컬컴퓨터가 모니터링서버의 보호대상인 웹서버 및 네트워크시스템에 HTTP(S)로 연결을 시도하면서 해외 우회 경로인 프락시서버를 거쳐 총 3단계로 IP 주소가 변조된 예시이며 추적하는 과정을 표현한 예시이다. 이때 도 3의 예시도에 따른 흐름도 형태로 위치 추적이 전개되어 사설 IP 주소와 공인 IP 주소 그리고 프락시 IP 주소가 모두 획득되어 위치 정보로 표현이 가능해지는 것이다. 만약 일체의 플러그인이 가동하지 않아 추적이 불가능해질 경우 사설 IP 주소 획득은 포기하고 자동적으로 공인 IP 주소를 획득하기 위한 순서로 전환된다.
도 5는 본 발명에 의한 데이터베이스에 기록되는 수신 정보 예시도로, 로컬컴퓨터가 HTTP(S) 연결 시도 날짜 및 시간, IP 주소, 각종 내장 정보 값들을 디스플레이에 표시하며 기록하고 관리하게 된다.
도 6은 본 발명에 의한 모니터링서버에서 웹브라우저 플러그인 구동 명령 예 시도로 송신부와 수신부의 핵심 구동 기법과 정보 값 송신 예시를 나타내고 있다.
이를 위해 웹브라우저 플러그인중 가장 높은 빈도를 보이고 있고 본 발명에 의한 위치 추적 시스템에서도 우선 적용 순번인 매크로미디어의 쇽웨이브를 예시로 표현하였다. 다른 지원 플러그인도 기본적인 통신개념과 구조는 비슷하며 같은 맥락을 나타내고 있어 추가적인 예시는 생략한다.
도 7은 본 발명에 의한 위치 추적 정보 기반 WHOIS 서비스와 연계한 정보 표시 예시도로서 모니터링서버가 WHOIS 서비스에 자동 연결하여 IP 주소를 자동 입력하여 결과값을 수신하게 된다.
도 8은 도 7의 위치 정보를 모니터링서버에 내장된 세계지도와 연계하여 표시한 예시도로서 확보된 위치 정보를 모니터링 서버에 미리 저장된 디스플레이상의 지도에 표시하여 시각적인 효과와 직관성을 높여주게 된다.
도 9는 웹브라우저 플러그인의 전제 사항과 지원 종류에 대한 예시로서 W3C 표준 권고안을 준수하면서, 웹브라우저에 내재되는 플러그인 형태로 존재 하며, 멀티미디어 지원 플러그인으로 쌍방향 통신이 가능해야 하며, 통신방식은 소켓통신을 지원하며, 내장된 인터프리터 계열 언어나 외부 언어가 지원되는 통제성을 가져야 한다는 것을 보여주고 있다. 이를 준수하는 플러그인만이 상기 발명에서 제시하는 위치 추적 시스템으로서 구현이 가능하기 때문이다.
본 발명은 예시 및 설명의 목적을 위해 개시하고 있지만, 전술한 실시예의 형태로 제한하고자 하는 것은 아니다. 많은 변형이 본 발명의 사상 내에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
본 발명에 따라 모니터링서버를 설치함으로써, 각종 인터넷 침해 행위자에 대한 위치 추적이 가능해 지며, 위치 추적을 통해 해외 우회 경로를 통한 접속 세탁 시라도 실시간으로 실제 접속 위치와 경로를 확인할 수 있다. 그리고 실제 접속 위치를 기준으로 한 IP 차단 등 대응이 가능해지며 부인방지 효과 및 사용자 인증 등 부가적인 이점을 제공한다.
또한, 법률적 증거자료 확보를 통해 사후 대처 및 사전 예방 차원으로서의 보안 효과를 거둘 수 있다.
또한, 웹서버에 적용할 경우 외부자의 침해 행위를 추적하여 대응 할 수 있다.
또한, 그룹웨어서버와 같은 인트라넷망에 적용할 경우 내부자의 침해 행위를 추적하여 대응 할 수 있다.
또한, 웹어플리케이션서버에 적용할 경우 각종 어플리케이션 서버 플랫폼의 보안을 향상 시킬 수 있다.
또한, 전자결재시스템에 적용할 경우 모든 전자상거래 및 인터넷뱅킹의 결재 및 이체 완료시 실시간 위치 추적을 통해 부인 방지 및 사용자 인증에 적용하여 안 전한 결재 체계를 구현할 수 있고, 금융권의 신용 및 위험도 관리 국제 협약인 바젤II에 대응 할 수 있다.
또한, 웹계정시스템에 적용할 경우 계정 도용을 통한 침해 행위 대응 및 서명 위조 등 인증체계 강화에 적용 할 수 있다.
또한, 웹컨텐츠시스템에 적용할 경우 컨텐츠 송수신 등 유통에 대한 추적이 가능해져 보안성이 월등히 향상 될 수 있다.
또한, 이메일서버시스템에 적용할 경우 송수신 메일에 대한 웹브라우저 플러그인 적용으로 송수신자의 위치 추적 및 이메일 유통 경로가 파악될 수 있다.
또한, 네트워크 필터링 시스템에 적용할 경우 HTTP(S) 기본 포트 외에 비정상적으로 사용되어지고 있는 타 포트에 대한 실시간 감시 및 추적이 가능해져 불의의 침해행위까지 미연에 색출하여 대응할 수 있다.
또한, 관리적 측면에서 제어 조건에 따른 경보 및 경보를 지정된 관리자에게 자동으로 발령할 수 있어 조기 대응을 가능하게 할 수 있다.

Claims (14)

  1. 통신망을 통해 웹서버 또는 네트워크 시스템에 접근한 사용자 컴퓨터의 추적을 수행하는 모니터링 서버에 있어서,
    상기 웹 서버 또는 상기 네트워크 시스템으로부터 상응하는 이벤트를 수신하는 수단과,
    상기 사용자 컴퓨터의 위치 추적을 위한 제어 조건 설정과 상기 사용자 컴퓨터로부터 상기 웹서버 또는 상기 네트워크 시스템으로 연결시도를 위한 데이터통신 패턴, 특정 문자열, 조건 비교 또는 이들의 조합 중 어느 하나에 의하여 이벤트 발생을 감지하는 수단과,
    상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나, 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 수단과,
    상기 사용자 컴퓨터로부터 사설 IP 주소, 공인 IP 주소, 프락시 IP 주소 중 하나 이상의 IP 주소를 획득하는 수단과,
    상기 획득된 IP 주소를 WHOIS 서버로 전송하여 상응하는 위치 정보를 수신하는 수단을 포함하되,
    상기 하나 이상의 IP 주소는 가동되거나 강제 구동된 상기 사용자 컴퓨터의 웹브라우저 플러그인과의 통신을 통해 획득 시도되는 것을 특징으로 하는 모니터링 서버.
  2. 제 1항에 있어서,
    상기 위치 정보를 미리 저장된 세계지도에 연계하여 디스플레이하는 수단을 더 포함하는 것을 특징으로 하는 모니터링 서버.
  3. 제 1항에 있어서,
    상기 이벤트 발생을 감지하는 수단은
    미리 설정된 제어 조건을 참조하여 상기 웹서버 또는 상기 네트워크시스템에 네트워크 패킷필터링 검출 기법 또는 서버 호스트 에이전트에 의한 검출 기법을 적용하는 검출 수단을 더 포함하는 것을 특징으로 모니터링 서버.
  4. 제 1항에 있어서,
    상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나 강제 구동케하는 수단은
    상기 사용자 컴퓨터의 웹브라우저 플러그인 가동을 명령하기 위한 명령어 집합 코드를 내장한 모듈을 생성하고, 상기 모듈을 전송하기 위한 패킷을 생성하거나, 상기 사용자 컴퓨터에 전송되는 패킷에 상기 모듈을 삽입하는 수단을 포함하는 것을 특징으로 하는 모니터링 서버.
  5. 제 1항에 있어서,
    상기 IP 주소를 획득하는 수단은
    상기 웹브라우저 플러그인 구동 결과 생성된 소켓통신을 이용하여 상기 사용자 컴퓨터의 상기 IP 주소 및 상기 IP 주소에 상응한 정보값을 추출하여 상기 모니터링 서버에 전송하는 수단을 포함하는 것을 특징으로 하는 모니터링 서버.
  6. 제 5항에 있어서,
    상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나 강제 구동케하는 수단은
    상기 소켓통신이 생성되지 않는 경우에 미리 설정된 다음 순번의 플러그인이 순차적으로 구동되도록 제어한 후 생성되는 결과값을 이용하여 상기 사용자 컴퓨터의 웹브라우저 플러그인의 종류를 식별하는 수단을 더 포함하는 것을 특징으로 하는 모니터링 서버.
  7. 통신망을 통해 웹서버 또는 네트워크 시스템에 접근한 사용자 컴퓨터의 위치를 추적하는 방법에 있어서,
    (a) 상기 웹 서버 또는 상기 네트워크 시스템으로부터 상응하는 이벤트를 수신하는 단계;
    (b) 상기 사용자 컴퓨터의 위치 추적을 위한 제어 조건 설정과, 상기 사용자 컴퓨터로부터 상기 웹서버 또는 상기 네트워크 시스템으로 연결시도를 위한 데이터통신 패턴, 특정 문자열, 조건 비교 또는 이들의 조합 중 어느 하나에 의하여 이벤트 발생을 감지하는 단계;
    (c) 상기 사용자 컴퓨터의 웹브라우저 플러그인이 가동되도록 하거나, 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 단계;
    (d) 상기 사용자 컴퓨터로부터 사설 IP 주소, 공인 IP 주소 또는 프락시 IP 주소 중 하나 이상의 IP 주소를 획득하는 단계; 및
    (e) 상기 획득된 IP 주소를 WHOIS 서버로 전송하여 상응하는 위치 정보를 수신하는 단계를 포함하되,
    상기 하나 이상의 IP 주소는 가동되거나 강제 구동된 상기 사용자 컴퓨터의 웹브라우저 플러그인과의 통신을 통해 획득 시도되는 것을 특징으로 하는 위치 추적 방법.
  8. 제 7항에 있어서,
    상기 위치 정보를 미리 저장된 세계지도에 연계하여 디스플레이하는 단계가 상기 (e) 단계 이후에 더 포함되는 것을 특징으로 하는 위치 추적 방법.
  9. 제 7항에 있어서,
    상기 단계(b)는
    미리 설정된 제어 조건을 참조하여 네트워크 패킷필터링 검출 기법 또는 서버 호스트 에이전트에 의한 검출 기법을 상기 웹서버 또는 상기 네트워크 시스템에 적용하는 단계를 더 포함하는 것을 특징으로 하는 위치 추적 방법.
  10. 제 7항에 있어서,
    상기 단계 (c)는
    상기 사용자 컴퓨터의 웹브라우저 플러그인 가동을 명령하기 위한 명령어 집합 코드를 내장한 모듈을 생성하고, 상기 모듈을 전송하기 위한 패킷을 생성하거나, 상기 사용자 컴퓨터에 전송되는 패킷에 상기 모듈을 삽입하는 단계를 포함하는 것을 특징으로 하는 위치 추적 방법.
  11. 제 7항에 있어서,
    상기 단계(c)의 상기 사용자 컴퓨터의 웹브라우저 플러그인을 강제 구동케하는 단계는
    미리 설정된 순번의 플러그인이 순차적으로 구동되도록 제어한 후 생성되는 결과값을 이용하여 상기 사용자의 컴퓨터의 플러그인의 종류를 식별하고, 상기 사용자의 컴퓨터의 플러그인을 구동시키는 단계를 포함하는 것을 특징으로 하는 위치 추적 방법.
  12. 제 7항에 있어서,
    상기 단계 (d)는
    상기 웹브라우저 플러그인 구동 결과 생성된 소켓통신을 이용하여 상기 사용자 컴퓨터의 상기 IP 주소 및 상기 IP 주소에 상응한 정보값을 추출하여 상기 모니터링 서버에 전송하는 단계를 포함하는 것을 특징으로 하는 위치 추적 방법.
  13. 제 7항에 있어서,
    상기 단계 (a)의 상기 미리 정의된 추적 대상 이벤트는 상기 사용자가 상기 웹서버 또는 상기 네트워크 시스템을 통하여 전자상거래 또는 인터넷뱅킹을 수행하는 경우를 더 포함하고,
    (g) 상기 획득된 IP 주소에 상응하여 계좌를 추적하는 단계가 상기 단계 (d) 이후에 더 포함되는 것을 특징으로 하는 위치 추적 방법.
  14. 제 7항에 있어서,
    상기 단계 (a)의 상기 미리 정의된 추적 대상 이벤트는 상기 사용자가 상기 웹서버 또는 상기 네트워크 시스템을 통하여 웹컨텐츠 또는 이메일을 송수신하는 경우를 더 포함하고,
    (h) 상기 획득된 IP 주소에 상응하여 상기 웹컨텐츠 또는 상기 이메일의 유통 경로를 추적하는 단계가 상기 단계 (d) 이후에 더 포함되는 것을 특징으로 하는 위치 추적 방법.
KR1020040070329A 2004-09-03 2004-09-03 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버 KR100667304B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040070329A KR100667304B1 (ko) 2004-09-03 2004-09-03 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040070329A KR100667304B1 (ko) 2004-09-03 2004-09-03 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버

Publications (2)

Publication Number Publication Date
KR20060021553A KR20060021553A (ko) 2006-03-08
KR100667304B1 true KR100667304B1 (ko) 2007-01-10

Family

ID=37128358

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040070329A KR100667304B1 (ko) 2004-09-03 2004-09-03 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버

Country Status (1)

Country Link
KR (1) KR100667304B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100577829B1 (ko) * 2005-03-11 2006-05-12 (주)아이넷캅 웹 접속자 위치 추적 시스템 및 그 추적 방법
KR101005093B1 (ko) * 2008-07-15 2011-01-04 인터리젠 주식회사 클라이언트 식별 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000002671A (ko) * 1998-06-22 2000-01-15 이동우 시큐리티시스템을이용한소프트웨어의불법사용감시방법및그시스템
WO2000054458A1 (en) 1999-03-12 2000-09-14 Psionic Software, Inc. Intrusion detection system
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20030047964A (ko) * 2003-05-29 2003-06-18 (주)한매기술 컴퓨터 및 장치의 인터넷주소 기반 지리적 위치 추론 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000002671A (ko) * 1998-06-22 2000-01-15 이동우 시큐리티시스템을이용한소프트웨어의불법사용감시방법및그시스템
WO2000054458A1 (en) 1999-03-12 2000-09-14 Psionic Software, Inc. Intrusion detection system
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20030047964A (ko) * 2003-05-29 2003-06-18 (주)한매기술 컴퓨터 및 장치의 인터넷주소 기반 지리적 위치 추론 시스템

Also Published As

Publication number Publication date
KR20060021553A (ko) 2006-03-08

Similar Documents

Publication Publication Date Title
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US7690035B2 (en) System and method for preventing fraud of certification information, and recording medium storing program for preventing fraud of certification information
US7496634B1 (en) Determining whether e-mail messages originate from recognized domains
CA2736582C (en) Authorization of server operations
EP2447878B1 (en) Web based remote malware detection
US8495358B2 (en) Software based multi-channel polymorphic data obfuscation
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
KR101672791B1 (ko) 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템
CN105391687A (zh) 一种向中小企业提供信息安全运维服务的系统与方法
JP2008507005A (ja) オンライン詐欺解決法
CN102316087A (zh) 网络应用攻击的检测方法
CN106161453A (zh) 一种基于历史信息的SSLstrip防御方法
KR102017038B1 (ko) 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템
KR20150026587A (ko) 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
JP2002007234A (ja) 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体
KR20010078887A (ko) 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
CN110602134B (zh) 基于会话标签识别非法终端访问方法、装置及系统
US8650214B1 (en) Dynamic frame buster injection
CN109495458A (zh) 一种数据传输的方法、系统及相关组件
KR100667304B1 (ko) Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버
US20040122955A1 (en) Remote control system using web and icon
KR20110060847A (ko) 전자상거래 불법 침입 감시 및 차단 방법과 시스템
KR20070019896A (ko) 유알엘과 중요정보 필터링을 통한 피싱방지 기법 및프로그램
KR101005093B1 (ko) 클라이언트 식별 방법 및 장치
KR100931326B1 (ko) 아이디/패스워드 찾기 이력 및 로그인 이력 관리 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
J204 Invalidation trial for patent
J301 Trial decision

Free format text: TRIAL DECISION FOR INVALIDATION REQUESTED 20090403

Effective date: 20101029

Free format text: TRIAL NUMBER: 2009100000770; TRIAL DECISION FOR INVALIDATION REQUESTED 20090403

Effective date: 20101029

J2X1 Appeal (before the patent court)

Free format text: INVALIDATION

Free format text: TRIAL NUMBER: 2010200008887; INVALIDATION

Free format text: TRIAL NUMBER: 2010200008870; INVALIDATION

J2X2 Appeal (before the supreme court)

Free format text: APPEAL BEFORE THE SUPREME COURT FOR INVALIDATION

Free format text: TRIAL NUMBER: 2011300002541; APPEAL BEFORE THE SUPREME COURT FOR INVALIDATION

J302 Written judgement (patent court)

Free format text: JUDGMENT (PATENT COURT) FOR INVALIDATION REQUESTED 20101203

Effective date: 20110825

Free format text: TRIAL NUMBER: 2010200008870; JUDGMENT (PATENT COURT) FOR INVALIDATION REQUESTED 20101203

Effective date: 20110825

J302 Written judgement (patent court)

Free format text: JUDGMENT (PATENT COURT) FOR INVALIDATION REQUESTED 20101203

Effective date: 20110825

Free format text: TRIAL NUMBER: 2010200008887; JUDGMENT (PATENT COURT) FOR INVALIDATION REQUESTED 20101203

Effective date: 20110825

J301 Trial decision

Free format text: TRIAL DECISION FOR INVALIDATION REQUESTED 20110920

Effective date: 20111107

Free format text: TRIAL NUMBER: 2011130000118; TRIAL DECISION FOR INVALIDATION REQUESTED 20110920

Effective date: 20111107

EXTG Extinguishment
J303 Written judgement (supreme court)

Free format text: JUDGMENT (SUPREME COURT) FOR INVALIDATION REQUESTED 20110916

Effective date: 20111222

Free format text: TRIAL NUMBER: 2011300002541; JUDGMENT (SUPREME COURT) FOR INVALIDATION REQUESTED 20110916

Effective date: 20111222