KR100894331B1 - 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 - Google Patents
웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 Download PDFInfo
- Publication number
- KR100894331B1 KR100894331B1 KR1020070059535A KR20070059535A KR100894331B1 KR 100894331 B1 KR100894331 B1 KR 100894331B1 KR 1020070059535 A KR1020070059535 A KR 1020070059535A KR 20070059535 A KR20070059535 A KR 20070059535A KR 100894331 B1 KR100894331 B1 KR 100894331B1
- Authority
- KR
- South Korea
- Prior art keywords
- web
- correlation analysis
- request
- web log
- log
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위를 탐지하는 시스템 및 방법을 제공하는 것으로, 본 발명에 따른 침입 탐지 시스템은 웹 요청과 웹 서버의 응답에 대한 정보와 저장된 웹 로그의 문자열을 Ratcliff와 Metzener의 패턴 매칭 알고리즘을 사용하여 웹 로그 문자열의 유사도를 분석함으로써 특정 웹 페이지로의 접근에 대한 정상 유무를 판단함에 따라 알려지지 않은 공격을 탐지할 수 있고, 오탐지(false positive)율도 낮출 수 있다.
웹 애플리케이션, 웹 로그, 침입 탐지, 상호연관분석, 웹 로그 문자열의 유사도
Description
도 1은 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템을 나타내는 구성도,
도 2는 웹 로그 상호연관기 내 유사도 측정기에서 수행하는 유사도 비교 메커니즘의 예시를 보여주는 도,
도 3은 사용자의 웹 페이지 접근 방법에 대한 설명도로서, (a)는 특정 페이지로의 순차 접근을, (b)는 특정 페이지로의 직접 접근을 보여주는 도,
도 4는 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템의 동작 과정을 나타낸 순서도이다.
<도면의 주요 구성요소에 대한 부호 설명>
100. 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
110. 웹 로그 전처리기 120. 정형화된 웹 로그 DB(데이터베이스)
130. 웹 로그 상호연관기 131. 연결상태 분석기
132. 유사도 측정기 133. 상호연관분석 정보 DB
본 발명은 웹 로그의 상호연관분석을 이용한 웹 기반 애플리케이션 공격의 비정상 행위 탐지 시스템 및 방법에 관한 것으로, 더욱 상세하게는 특정 웹 페이지로의 접근에 대한 정상 유무를 판단하기 위해 사이트 토폴로지 정보를 구축하여 사이트 토폴로지에 속하지 않는 파일 접근을 탐지하고, 또한 웹 로그의 문자열의 유사도를 이용하여 사용자의 비정상 요청을 탐지할 수 있는 시스템 및 방법에 관한 것이다.
오늘날 웹은 기업과 학교, 여러 기관의 주요 활동과 경쟁력에 큰 영향을 미치는 중요한 기반 시설로 인정받고 있다. 웹 활용의 증가와 함께 웹 애플리케이션에 대한 침해 사고 또한 급증하고 있는 추세이며 웹 애플리케이션의 공격기법은 점점 더 복잡해지고 새로워지고 있다.
이러한 침해사고를 예방하기 위해 각종 웹 애플리케이션 보안 대책이 적용되고 있다. 웹 애플리케이션 침입 탐지 시스템은 이러한 보안대책 중 하나로서, 웹 보안 위협이 발생하였을 경우 이를 사전에 탐지함으로써 사고를 예방한다.
웹 애플리케이션 침입 탐지 시스템의 접근 방법은 기존의 전통적인 네트워크 기반의 침입 탐지 기법과 동일하게 특정한 시그너쳐의 패턴을 탐지하는 오용 탐지 기법들이 주로 활용되었다.
오용 탐지 기술은 다음의 두 가지 이유로 웹 애플리케이션 공격의 위협에 적용하기에 적합하지 않다. 첫째, 오용 탐지는 기술적인 한계가 있다. 오직 알려진 공격과 고정된 패턴만 탐지할 수 있으며 오용 탐지를 우회하는 기술이 존재한다. 그리고 암호화된 공격들을 탐지할 수 없다. 둘째, 관리 운용상의 한계가 있다. 일반 도메인에 가용한 공격 시그너쳐 대부분이 보호하고자 하는 웹 서버 및 웹 애플리케이션에는 부적절하다. 웹 서버 및 웹 애플리케이션의 환경을 고려하지 않은 침입 탐지 시스템은 많은 침입 판단 오류를 발생한다.
이러한 오용 탐지 기술의 한계를 극복하기 위하여 오용 탐지 기술은 비정상행위 탐지 기술과의 융합이 필요하다.
본 발명은 상기한 바와 같이 오용탐지 기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 알려지지 않은 새로운 공격이 발생하더라도 공격자의 시행착오 정보가 남아있는 웹 로그에 대한 웹 로그 상호연관분석을 적용하여 웹 기반 애플리케이션 공격의 비정상 행위를 탐지할 수 있는 시스템 및 방법을 제공하는 것이다.
따라서 상기한 본 발명의 목적을 이루기 위해 본 발명의 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템은 특정 웹 페이지로 의 접근에 대한 정상 유무를 판단하기 위해 Ratcliff의 패턴 매칭 알고리즘을 이용하여 웹 로그에 저장된 질문 문자열(query string)과 요청 질문 문자열 간의 유사도를 비교해 비정상 요청 행위를 탐지하는 것을 특징으로 한다.
한편, 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법은 (a) 특정 웹 페이지에 대한 접근 요청에 대해 정형화된 웹 로그와 요청 질문 문자열을 웹 로그 상호연관분석을 수행하여 유사도를 비교하는 단계와, (b) 상기 비교 결과, 유사 질문 문자열의 유무에 따라 정상 접근 및 비정상 접근을 판단하는 단계를 포함하는 것을 특징으로 한다.
본 발명에서 제시하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템 및 방법에서는 공격자가 목적 시스템의 환경을 모르기 때문에 발생하는 시행착오의 흔적이 비정상 행위 탐지를 위한 단서로 이용된다.
또한, 본 발명은 비정상 요청 행위를 탐지하기 위해 Apache나 ⅡS와 같은 일반적인 웹 서버의 로그를 분석하고, 또한, 웹 서버 자체의 취약점을 이용한 공격이 아닌 웹 애플리케이션의 취약점을 이용한 공격에 초점을 맞추고 있다.
이하 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템에 대하여 첨부된 도면을 이용하여 상세하게 설명한다.
도 1은 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템의 전체 구성을 나타낸 것이다.
본 발명의 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)은 웹 공격 자들이 공격 대상 컴퓨터의 환경적 요인을 모르기 때문에, 공격을 성공시키기 위해서는 여러 번 공격 시도를 해야 한다는 점을 이용하여, 웹 로그에 남아 있는 상태코드 상에 여러 번 비정상 처리된 웹 페이지 요청과 유사도가 높은 웹 페이지 요청이 있으면 이를 공격으로 판단한다.
즉, 본 발명의 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)은 웹 페이지 요청간의 유사도 비교에 의해 이루어지는 웹 로그 상호연관분석을 이용한다.
도 1을 참조하면, 사용자(10)가 임의의 사이트에 접속할 경우, 해당 사이트의 웹 애플리케이션(30)은 웹 서버(40)상에서 사용자(10)의 요청을 처리한 후 발생하는 로그를 웹 로그(50)에 저장한다.
그런 다음, 본 발명에 따른 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)이 웹 로그(50)에 저장된 로그 정보를 이용해 사용자의 비정상 요청 행위를 탐지한다.
구체적으로, 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)은 웹 로그 전처리기(110), 정형화된 웹 로그 DB(데이터베이스)(120), 웹 로그 상호연관기(130), 상호연관분석 정보 DB(133)를 포함하여 구성되며, 웹 로그 상호연관기(130)는 연결상태 분석기(131)와 유사도 측정기(132)를 포함하여 구성된다.
웹 로그 전처리기(110)는 웹 로그(50)에 저장된 로그 정보를 정형화한 웹 로그로 변환하는 작업을 수행한다. 그런 다음, 정형화된 웹 로그를 아래 [표]와 같이 정형화된 로그 테이블로 구성하여 정형화된 웹 로그 DB(120)에 저장한다. 이후에 정형화된 웹 로그 DB(120)에 저장된 정형화된 웹 로그는 웹 로그 상호연관기(130)로 전달되어 분석된다.
[표] 정형화된 로그 테이블
웹 로그 상호연관기(130)는 연결상태 분석기(131)와 유사도 측정기(132)로 구성되며, 정형화된 웹 로그를 호출하여 분석한 후, 분석한 결과를 가지고 클라이언트 요청에 대한 침입을 탐지한다.
연결상태 분석기(131)는 사이트 토폴로지 정보를 관리한다. 즉, 웹 페이지 간 연결관계에 대한 정보를 유지함으로써 사이트의 비정상 접근을 탐지한다. 또한, [표]의 정형화된 로그 테이블에서 정형화된 웹 로그의 상태 코드(status code)를 이용해 비정상 접근 유무를 판단한다.
즉, 연결상태 분석기(131)는 사용자가 웹 사이트 내 페이지로 질문 문자열을 전송했을 때, 상태 코드가 2xx이면 정상 접근으로 판단하고, 상태 코드가 2xx가 아닌 4xx, 5xx이면 비정상 접근으로 판단한다.
그런 다음, 웹 사이트로 비정상 접근으로 판단된 경우의 해당 사용자의 요청 정보(질문 문자열)를 상호연관분석 정보 데이터베이스(133)에 저장한다.
유사도 측정기(132)는 공격자가 전체 공격 흐름 내에서 조금씩 질문 문자열을 변경해 가면서 목표 사이트를 공격하기 때문에, 공격자의 질문 문자열에 대해 Ratcliff의 패턴 매칭 알고리즘(J.,W.Ratcliff and D.Metzener의 "Pattern Matching: The Gestalt Approach", Dr. Dobb's Journal, July 1988. 참조)을 사용해 질문 문자열의 유사도를 계산함으로써 상호연관분석 정보 데이터베이스(133)에 공격자의 질문 문자열과 유사한 문자열이 존재하는지 검사한다.
즉, 공격자가 요청한 질문 문자열과 상호연관분석 정보 데이터베이스(133)에 저장된 질문 문자열 간의 유사도 검사를 수행하여 비정상적인 사이트 접근을 탐지한다.
검사결과, 유사한 문자열이 존재하면, 공격자의 웹 사이트로의 접근을 비정상 요청 행위로 간주하고, 공격자의 해당 요청에 대한 요청 정보(질문 문자열)와 해당 로그 정보 및 해당 IP의 모든 로그를 상호연관분석 정보 데이터베이스(133)에 저장한다.
또는 상호연관분석 정보 데이터베이스(133)에서 유사한 문자열이 존재하지 않더라도 요청하는 웹 로그의 상태코드가 2xx가 아니면 비정상 요청으로 간주하고 해당 요청에 대한 로그 정보 및 해당 IP의 모든 로그를 상호연관분석 정보 데이터베이스(133)에 저장한다.
이 저장된 웹 로그 상호연관분석 정보는 이후 사용자 요청이 정상인지 비정 상인지 판단하는 요소로 이용된다.
도 2는 웹 로그 상호연관기(130) 내 유사도 측정기(132)에서 수행하는 유사도 비교 메커니즘의 일실시예로써 순차 접근으로 공격자가 웹 사이트에 접근하는 과정을 보여준다. 그리고 순차 접근에 대해서는 도 3에서 설명한다.
먼저, 공격자가 웹 사이트를 공격하기 위해 공격을 진행하는 동안에 웹 로그에는 공격자에 의한 웹 사이트에 대한 정보 수집 행위의 흔적, 다양한 웹 사이트의 환경 요인에 의한 시행착오의 흔적, 취약점을 공격하여 성공한 흔적들이 남게 된다.
여기서 중요한 점은 공격자가 웹 서버 및 웹 애플리케이션의 환경을 모르기 때문에 공격이 성공하여 웹 사이트에 침입하기 위해서는 여러 번의 공격 시도가 반복된다는 것이다.
즉, 공격자가 최근 자동화된 도구를 사용하여 웹 사이트를 공격할 경우, 특정 환경에 맞추어 제작된 자동화 공격 도구를 이용한 공격이 성공하기 위해서는 여러 번의 시행착오를 거쳐야 한다. 그리고 자동화 공격 도구를 사용하지 않더라도 이러한 시행착오는 발생한다.
공격자가 공격에 성공하기 전의 이러한 시행착오는 이후 공격자가 알려지지 않은 새로운 공격이 성공하더라도 공격자의 시행착오의 흔적들이 웹 로그에 남게 되고, 이 웹 로그에 남아 있는 정보는 공격자의 침입을 탐지할 수 있는 중요한 정보가 된다.
도 2를 참조하면, 공격자는 1, 2, 3번 요청과 같이 취약한 웹 페이지에 접근하기 전까지 정상적인 웹 페이지 요청을 수행한다. 공격자가 취약한 웹 페이지에 접근했을 때 4번 요청과 같이 비정상 문자열을 목표 웹 페이지로 전송한다.
공격자는 목표 웹 서버 및 웹 애플리케이션의 환경을 모르기 때문에 4번 요청과 같이 취약한 웹 페이지에 대한 공격이 실패하게 된다. 이때 공격자는 질문 문자열을 수정하여 재공격하게 되고, 4-2번 요청과 같이 공격이 성공할 때까지 공격 시도는 반복된다.
4-2번과 4-3번 요청은 공격이 성공한 요청이므로 연결상태 분석기(131)에서는 정상 접근으로 판단한다. 그러나 이전의 4번 요청과 4-1번 요청에서 공격자가 요청한 질문 문자열과 4-2번과 4-3번 요청에서 공격자가 요청한 질문 문자열 사이에는 높은 유사도를 가지게 되므로 유사도 측정기(132)에서 문자열의 유사도를 검사하여 비정상 접근 탐지가 가능하다.
왜냐하면 공격자는 전체 공격 흐름 내에서 조금씩 질문 문자열을 변경해 가며 목표 사이트를 공격하기 때문에 HTTP 상태 코드가 정상 접근으로 나타나더라도 질문 문자열의 유사도를 검사하여 비정상 문자열로 판단될 수 있다.
본 발명에서 유사도 측정에는 Ratcliff의 패턴 매칭 알고리즘을 사용하였고, 생명정보학(Bioinformatics) 분야의 유사도 검사 알고리즘 등을 활용할 수도 있다.
참고로 사용자의 웹 페이지 접근 과정에 대해 알아보면, 도 3은 사용자의 웹 페이지 접근 방법에 대한 설명도로서, 웹 페이지 접근 방법은 특정 페이지로의 순 차 접근과 특정 페이지로의 직접 접근으로 나뉜다.
도 3의 (a)는 K 페이지(특정 페이지)로 접근하기 위해 주 화면부터 링크를 따라 순차적으로 K 페이지에 접근하는 순차 접근과정을 나타낸다. 즉, 특정 페이지로의 순차 접근은 사용자가 특정 페이지를 요청했을 경우 사이트의 주 화면부터 특정 페이지 사이의 페이지들을 거쳐 순차적으로 접근하는 것이다.
도 3의 (b)는 K 페이지(특정 페이지)로 바로 접근하는 것을 나타낸다. 즉, 특정 페이지로의 직접 접근은 사용자가 특정 페이지를 요청했을 경우 사이트의 주 화면부터 특정 페이지 사이의 페이지들을 거쳐 순차적으로 접근하는 것이 아니라 바로 특정 페이지로 접근하는 것이다.
그러면 이상과 같이 설명한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)의 동작에 의해 비정상 요청 행위를 탐지하는 침입 탐지 방법에 대해 첨부된 도면을 이용하여 설명한다.
도 4는 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템(100)의 동작 과정을 나타낸 순서도이다.
웹 로그 전처리기(110)에서 웹 로그(50)에 저장된 로그 정보를 정형화된 웹 로그로 변환하여 저장한다(S400).
그런 다음, 공격자의 특정 웹사이트에 대한 요청이 있으면, 웹 로그 상호연관기(130)는 정형화된 웹 로그와 상호연관분석 정보 DB(133)에 저장된 요청 질문 문자열을 비교하고, 상태코드를 확인한다(S401).
구체적으로 유사도 측정기(132)에서 웹 로그 상호연관분석을 통해 유사한 질문 문자열이 존재하는지 검사한다(S402). 검사결과, 유사한 질문 문자열이 존재하면(YES), 비정상 요청 행위로 판단하고, 해당 요청에 대한 로그 정보 및 해당 IP의 모든 로그를 상호연관분석 정보 데이터베이스(133)에 저장한다(S405).
한편, 유사한 질문 문자열이 존재하지 않으면(NO), 연결상태 분석기(131)에서 요청 질문 문자열의 상태 코드가 2xx인지 확인한다(S403). 상태 코드가 2xx이면(YES) 정상 요청 행위로 판단하고(S404), 상태 코드가 2xx이 아니면(NO) 비정상 요청 행위로 판단하여 해당 요청에 대한 로그 정보 및 해당 IP의 모든 로그를 상호연관분석 정보 데이터베이스(133)에 저장한다(S405).
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이, 본 발명에 따른 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템 및 방법은 알려지지 않은 새로운 공격이 발생하더라도 공격자의 시행착오 정보가 남아있는 웹 로그를 이용함으로써 알려지지 않은 새로운 공격을 탐지할 수 있으며, 공격자가 웹 애플리케이션 공격을 시작할 시점부터 실제 유사도 측정을 위한 비교 정보가 생성되기 때문에 기존 침입 탐 지 시스템의 학습에 의한 비교 정보 생성보다 오탐지(false positive)율을 낮출 수 있다.
Claims (11)
- 웹 로그에 저장된 로그 정보를 정형화된 웹 로그로 변환하는 웹 로그 전처리기;상기 정형화된 웹 로그를 저장하는 정형화된 웹 로그 데이터베이스; 및상기 정형화된 웹 로그의 상태 코드(status code)를 이용하여 사용자의 요청에 대한 비정상 행위를 판단하는 연결상태 분석기와, 상기 정형화된 웹 로그의 요청 질문 문자열과 상호연관분석 정보 데이터베이스에 저장된 질문 문자열 간의 유사도 검사를 수행하여 상기 사용자의 요청에 대한 비정상 행위를 판단하는 유사도 측정기를 포함하며, 상기 상태 코드와 질문 문자열의 상호연관분석을 통해 사용자의 요청에 대한 비정상 행위를 판단하는 웹 로그 상호연관기를 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- 제1항에 있어서, 상기 유사도 측정기는 ratcliff의 패턴 매칭 알고리즘을 이용한 웹 로그 상호연관분석을 수행하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- 제2항에 있어서, 상기 시스템은, 상기 웹 로그 상호연관기의 판단 결과 및 비정상 행위로 판단되는 경우의 상기 사용자의 요청 정보를 저장하는 상호연관분석 정보 데이터베이스를 더 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- 제2항에 있어서, 상기 유사도 측정기에서 유사도 검사에 이용하는 질문 문자열(Query string)은 가변 길이 문자열로 특정 패턴을 가지지 않는 것을 이용하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- 제2항에 있어서,상기 연결상태 분석기는 상기 정형화된 웹 로그의 상태 코드가 2xx이면 정상 접근으로, 상태 코드가 2xx가 아닌 4xx, 5xx이면 비정상 접근으로 판단하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- 제5항에 있어서,상기 비정상 접근으로 판단되는 경우, 해당 사용자의 요청 정보는 상호연관분석 정보 데이터베이스에 저장되는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템.
- (a) 특정 웹페이지에 대한 접근 요청에 대해 정형화된 웹 로그의 요청 질문 문자열에 대해 상호연관분석 정보 DB에 저장된 요청 질문 문자열과 유사도를 비교하여 사용자의 요청에 대한 비정상 행위를 판단하는 단계; 및(b) 상기 요청 질문 문자열과 유사한 유사 문자열이 존재하지 않으면, 상기 상호연관분석 정보 DB에 저장된 상태 코드를 확인하여 상기 사용자의 요청에 대한 비정상 행위를 판단하는 단계를 포함하여 구성되는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법.
- 제7항에 있어서, 상기 (b)단계에서, 유사 문자열이 존재하면, 비정상 접근으로 판단하여 해당 사용자의 요청 정보를 상호연관분석 정보 데이터베이스에 저장하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법.
- 제8항에 있어서, 상기 (b)단계에서, 상기 유사 문자열이 존재하지 않으면, 상태 코드가 2xx이면 정상 접근으로 판단하는 것을 특징으로 하는 웹 애플리케이션 공격의 비정상 행위 탐지 방법.
- 제9항에 있어서, 상기 (b)단계에서, 상기 유사 문자열이 존재하지 않으며, 상태 코드가 2xx가 아니면, 비정상 접근으로 판단하여 해당 사용자의 요청 정보를 상호연관분석 정보 데이터베이스에 저장하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법.
- 제7항에 있어서, 상기 방법은, 특정 웹페이지에 대한 접근 요청을 처리한 후 웹 로그에 저장된 정보를 정형화된 웹 로그로 변환하여 저장하는 단계를 상기 (a) 단계 이전에 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060112518 | 2006-11-15 | ||
| KR20060112518 | 2006-11-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080044145A KR20080044145A (ko) | 2008-05-20 |
| KR100894331B1 true KR100894331B1 (ko) | 2009-04-24 |
Family
ID=39662204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020070059535A KR100894331B1 (ko) | 2006-11-15 | 2007-06-18 | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100894331B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101194392B1 (ko) * | 2010-02-01 | 2012-10-24 | 주식회사 위즈디엔에스코리아 | 데이터베이스 로그 정보와 어플리케이션 로그 정보를 이용한 실사용자 추출 시스템 및 방법 |
| KR101542534B1 (ko) * | 2013-11-07 | 2015-08-06 | 유넷시스템주식회사 | 이상 행위 판단 시스템 |
| KR20160092091A (ko) * | 2015-01-26 | 2016-08-04 | (주) 다이퀘스트 | 연계 태스크 유추 방법 및 시스템 |
| KR20160126655A (ko) * | 2015-04-24 | 2016-11-02 | 엔트릭스 주식회사 | 클라우드 스트리밍 서비스 기반의 웹 서버 모니터링 방법 및 이를 위한 장치 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100937020B1 (ko) * | 2007-12-04 | 2010-01-15 | (주)모니터랩 | 웹-데이터베이스 공격 탐지 로그 데이터 상관관계 추적에의한 통합 보안 시스템 및 방법 |
| KR100989320B1 (ko) * | 2008-09-03 | 2010-10-25 | 충남대학교산학협력단 | 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 고속검색방법 및 비-트리기반인덱싱로그 프로세서 |
| KR101005871B1 (ko) * | 2010-06-01 | 2011-01-06 | 충남대학교산학협력단 | 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 복구방법 |
| KR101428740B1 (ko) * | 2012-12-27 | 2014-08-08 | 부산대학교 산학협력단 | 웹 서버 로그를 이용한 행위 모델 자동 생성 시스템 및 방법 |
| KR101696009B1 (ko) * | 2013-02-27 | 2017-01-12 | 한국전자통신연구원 | 게임의 특성을 이용하여 부정 사용자를 검출하기 위한 게임 특성 검출 장치 및 방법 |
| KR101388090B1 (ko) * | 2013-10-15 | 2014-04-22 | 펜타시큐리티시스템 주식회사 | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 |
| KR101885615B1 (ko) * | 2016-07-19 | 2018-08-06 | 주식회사 스패로우 | 공격 문자열 생성 방법 및 장치 |
| CN108512704A (zh) * | 2018-04-09 | 2018-09-07 | 网易(杭州)网络有限公司 | 日志的处理方法及装置 |
| CN114006766A (zh) * | 2021-11-04 | 2022-02-01 | 杭州安恒信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005128947A (ja) * | 2003-10-27 | 2005-05-19 | Kddi Corp | ログ分析装置、ログ分析方法およびログ分析プログラム |
| KR20070061017A (ko) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | 웹어플리케이션 공격 차단 장치 및 방법 |
| KR20070077517A (ko) * | 2006-01-24 | 2007-07-27 | 박재철 | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 |
-
2007
- 2007-06-18 KR KR1020070059535A patent/KR100894331B1/ko not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005128947A (ja) * | 2003-10-27 | 2005-05-19 | Kddi Corp | ログ分析装置、ログ分析方法およびログ分析プログラム |
| KR20070061017A (ko) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | 웹어플리케이션 공격 차단 장치 및 방법 |
| KR20070077517A (ko) * | 2006-01-24 | 2007-07-27 | 박재철 | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 논문1:한국컴퓨터정보학회 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101194392B1 (ko) * | 2010-02-01 | 2012-10-24 | 주식회사 위즈디엔에스코리아 | 데이터베이스 로그 정보와 어플리케이션 로그 정보를 이용한 실사용자 추출 시스템 및 방법 |
| KR101542534B1 (ko) * | 2013-11-07 | 2015-08-06 | 유넷시스템주식회사 | 이상 행위 판단 시스템 |
| KR20160092091A (ko) * | 2015-01-26 | 2016-08-04 | (주) 다이퀘스트 | 연계 태스크 유추 방법 및 시스템 |
| KR101646644B1 (ko) | 2015-01-26 | 2016-08-10 | (주) 다이퀘스트 | 연계 태스크 유추 방법 및 시스템 |
| KR20160126655A (ko) * | 2015-04-24 | 2016-11-02 | 엔트릭스 주식회사 | 클라우드 스트리밍 서비스 기반의 웹 서버 모니터링 방법 및 이를 위한 장치 |
| KR20210084417A (ko) * | 2015-04-24 | 2021-07-07 | 에스케이플래닛 주식회사 | 클라우드 스트리밍 서비스 기반의 웹 서버 모니터링 방법 및 이를 위한 장치 |
| KR102275179B1 (ko) * | 2015-04-24 | 2021-07-08 | 에스케이플래닛 주식회사 | 클라우드 스트리밍 서비스 기반의 웹 서버 모니터링 방법 및 이를 위한 장치 |
| KR102336604B1 (ko) * | 2015-04-24 | 2021-12-06 | 에스케이플래닛 주식회사 | 클라우드 스트리밍 서비스 기반의 웹 서버 모니터링 방법 및 이를 위한 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080044145A (ko) | 2008-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100894331B1 (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
| KR102046789B1 (ko) | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| CN104468477B (zh) | 一种WebShell的检测方法及系统 | |
| US20160065600A1 (en) | Apparatus and method for automatically detecting malicious link | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| WO2007120383A2 (en) | Client side attack resistant phishing detection | |
| CN103748853A (zh) | 用于对数据通信网络中的协议消息进行分类的方法和系统 | |
| CN108337269B (zh) | 一种WebShell检测方法 | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| US11810014B2 (en) | Systems, methods and apparatus for evaluating status of computing device user | |
| Stiawan | Phishing detection system using machine learning classifiers | |
| CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
| CN111625821A (zh) | 一种基于云平台的应用攻击检测系统 | |
| Ali | A four-phase methodology for protecting web applications using an effective real-time technique | |
| CN114024773B (zh) | 一种webshell文件检测方法及系统 | |
| CN111611590A (zh) | 涉及应用程序的数据安全的方法及装置 | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| Payet et al. | Ears in the wild: large-scale analysis of execution after redirect vulnerabilities | |
| US10819730B2 (en) | Automatic user session profiling system for detecting malicious intent |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130410 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20140326 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160411 Year of fee payment: 8 |
|
| LAPS | Lapse due to unpaid annual fee |