KR100912794B1 - 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 - Google Patents
실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR100912794B1 KR100912794B1 KR1020080114800A KR20080114800A KR100912794B1 KR 100912794 B1 KR100912794 B1 KR 100912794B1 KR 1020080114800 A KR1020080114800 A KR 1020080114800A KR 20080114800 A KR20080114800 A KR 20080114800A KR 100912794 B1 KR100912794 B1 KR 100912794B1
- Authority
- KR
- South Korea
- Prior art keywords
- forgery
- web
- time
- hacking
- homepage
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 웹 서버 프로그램 및 소스 코드 상의 문제점을 진단하여 외부의 침해사고를 고도의 경험 없이 자동적으로 분석 및 실시간 분석할 수 있고 다양한 조건문을 두어 동적인 요소 등을 포함한 웹페이지의 위변조를 감시할 수 있는 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법을 제공한다.
본 발명은 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 포함하는 컨텐츠요청접속DB를 포함하는 웹서버와, 실시간으로 상기 컨텐츠요청접속DB의 정보를 전달받아 일정 패턴으로 정규화시키는 웹위협관리서버와, 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제가 가능하도록 디스플레이부에 전달하는 실시간분석부를 포함하여 구성되는 것을 특징으로 한다.
실시간, 웹 서버 해킹 분석, 홈페이지 위변조 감시, 웹 위협관리 시스템,
Description
본 발명은 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 웹 서버 프로그램 및 소스 코드 상의 문제점을 진단하여 외부의 침해사고를 고도의 경험 없이 자동적으로 분석 및 실시간 분석할 수 있고, 다양한 조건문을 두어 동적인 요소 등을 포함한 웹페이지의 위변조를 감시할 수 있는 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법을 제공한다.
최근 국내 웹사이트의 보안 취약성과 관련하여 악성코드 유포사이트나 사기쇼핑몰 등 네티즌들을 위험에 빠뜨릴 수 있는 웹사이트 수가 무려 1만2000여 개를 넘어섰다. 웹사이트 곳곳이 '함정'인 셈이다.
또한 최신의 해킹 기법은 웹사이트를 통한 악성코드를 유포하는 방식도 보다 교묘해지고 있는 실정이다.
일반적으로 이 같은 방식은 웹사이트를 해킹한 뒤 이용자 PC가 접속할 경우, 악성코드 숙주서버와 링크되는 코드를 홈페이지 안에 숨겨놓는 경우가 대부분인데, 해당 코드를 암호화하는 방법 등을 통해 탐지시스템을 우회하는 것이 그 핵심에 있다고 하겠다.
여기에 구글의 검색엔진을 활용해 취약점에 노출된 다량의 웹사이트를 한꺼번에 공격하는 해킹방식도 여전히 기승을 부리고 있는 실정이다.
과거에는 주로 MS 윈도 보안업데이트만 제대로 받으면 웹 바이러스 피해를 최소화할 수 있었지만, 최근에는 웹 서버 자체에 대한 응용프로그램 및 데이터 베이스에 대한 종합적인 보안업데이트가 시급해지고 있다는 얘기다.
이러한 시대적 상황을 배경으로 다양한 보안장비 및 소프트웨어들이 개발되었음에도 왜 네트워크를 통하여 공격 및 전파되는 위협으로부터 자유롭지 못한 것은 웹이 주는 다양한 편의성 때문이다.
이러한 편의성은 종종 공격자로 하여금 유용한 Evasion(탐지 회피)기술이 된다.
상기 회피 기술을 이용한 해킹 공격에 공격당하는 경우, 보통 관리자들에게 발견되지 않으며, 아주 오랜 기간 동안 웹 서버의 서비스 내에 활동하는 각종 정보들을 유출 및 열람하고, 추가적으로 발생되는 부가 정보를 얻기 위하여 시스템 내에 인위적으로 기생한다.
더불어 공격자는 자신에게 주어진 제어권을 이용하여 웹서버 내지는 서비스에 접속하는 정상 사용자들에게 악의적인 프로그램을 내려보내기 위하여 초기 웹페이지내(디폴트 웹페이지)를 수정하는 방법들을 널리 이용하고 있다.
또한 기존에 사용되던 웹페이지의 위변조를 체크하던 방법론의 경우, 단순히 HASH 알고리즘을 이용하여 Checksum만을 비교하여 홈페이지의 위변조를 경보하고 복구하는 수준에 그쳐 다이나믹한(동적인) 웹페이지가 보편화된 현재의 웹구조에서는 오탐 확률이 매우 높아져 단순히 Checksum만을 비교하는 방법은 이미 구세대의 유물이 되고 말았다.
삭제
삭제
삭제
본 발명은 상기와 같은 문제점을 해결하기 위하여, 네트워크를 통하여 이미 서버까지 침투된 해킹 공격을 감지하고 관리자에게 경고하여 원천적인 공격의 흐름인 보안취약점(Security Hole)을 감지하고, 내부 웹 서버 프로그램 및 소스 코드 상의 문제점을 진단하여 외부의 침해사고를 고도의 경험 없이 자동적으로 분석 및 실시간 분석할 수 있는 통합 웹위협관리시스템을 제공하는 것을 목적으로 한다.
본 발명은 상기와 같은 문제점을 해결하기 위하여, 다양한 외부로부터의 악의적인 웹서버 위변조 공격시 자동 및 수동으로 복구하여 웹서비스의 무결성을 보장하고, 서비스내의 개인정보를 철저하게 보호하는 것을 목적으로 한다.
본 발명은 상기와 같은 문제점을 해결하기 위하여, 기존의 웹 취약점 스캐너 또는 그와 유사한 시스템처럼 일회성 보안점검 및 검증을 통하여 멈추어 있거나 갱신되지 않은 데이터를 기준으로 웹 관련 시스템의 보안성을 판단, 확정하고자 하는 것이 아니라 시스템의 다양한 컨텐츠 및 취약성 점검의 결과를 기준으로 새로운 웹 프로그램의 도입이나 게시판 등의 자료 등록, 삭제, 변경, 홈페이지의 위조 및 변조, 악성코드의 유포 및 배포지로 활용하기 위한 내 외부 공격, 불법 게시물이나 광고, 욕설을 포함한 게시물, 주민번호, 신용카드번호, 사업자등록번호가 첨부된 웹 게시물로 인한 변화성 컨텐츠 취약점(Dynamic Contents Vulnerability)이 주는 위험도를 주기적으로 점검하여 그 위험도와 취약성 항목들을 위험관리에 정해진 기간 안에 처리 및 종료될 수 있도록 관리의 지표를 마련하고 마련된 지표를 가지고 체계적으로 관리 대행하여 웹 프로그램 및 운영자 관리자에게 웹관련 시스템의 모든 정보를 전달하는 것을 목적으로 한다.
본 발명은 상기와 같은 문제점을 해결하기 위하여, 다양한 조건문을 두어 사용자의 웹페이지에 보다 동적인 요소를 가미함으로써 웹페이지의 위변조의 정탐을 늘이고 오탐을 줄여 보다 정밀하고 유연하게 웹페이지 위변조 요소를 제어하여 고객의 웹시스템에 대한 신뢰도와 가용성을 확보하는 것을 목적으로 한다.
본 발명은 상기와 같은 문제점을 해결하기 위하여, 홈페이지 위변조와 관련하여 백업되어 있는 웹페이지와 현재의 웹페이지를 비교하는 단순 위변조 체크 방법이 아닌 다양한 조건과 경우의 수를 조합하여 웹페이지의 위변조를 보다 효율적으로 개선하고 복구하고자 하는 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 제공하는 것을 목적으로 한다.
본 발명은 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 포함하는 컨텐츠요청접속DB를 포함하는 웹서버와, 실시간으로 상기 컨텐츠요청접속DB의 정보를 전달받아 일정 패턴으로 정규화시키는 웹위협관리서버와, 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제가 가능하도록 살펴볼 수 있도록 하기 위한 디스플레이부에 전달하는 실시간분석부를 포함하여 구성되는 것이 바람직하다.
본 발명은 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 컨텐츠요청접속DB에 저장하는 단계와, 실시간으로 상기 컨텐츠요청접속DB의 정보를 전달받아 상기 컨텐츠요청접속DB를 시간, 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드로 정규화시키는 단계와, 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제가 가능하도록 살펴볼 수 있도록 하기 위한 디스플레이부에 전달하는 단계로 이루어지는 것이 바람직하다.
본 발명은 일정 시점에 HASH 함수를 이용하여 Checksum을 계산하고 이후 시점의 Checksum을 계산하여 값을 비교하는 HASH함수비교부와, 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 상기 해킹 코드 패턴과 비교하여 위변조를 검출해 내는 해킹패턴매칭비교부와, 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내는 키워드비교부와, 일정 시점에 웹소스 코드를 텍스트로 변환하고, 상기 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내는 TEXT분석부와, 일정 시점에 웹소스 코드를 HTML로 변환하고, 상기 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 HTML 분석부를 포함하는 홈페이지비교분석부와, 상기 홈페이지비교분석부가 모두 참인 경우(모두 위변조인 경우) 위변조를 감지해 내는 And조건부와 최하 1개 이상 만족하는 경우(적어도 하나 이상이 위변조 인 경우) 감지해 내는 Or조건부를 이용하는 폴트톨러런스부(Fault Tolerance)를 포함하여 구성되는 것이 바람직하다.
본 발명은 HASH 함수를 이용하여 Checksum을 계산하고 주기적으로 값을 비교하고, 해킹위변조 기법을 탐지 패턴화하여 위변조를 검출해 내고, 문자열을 비교하여 웹페이지의 위변조를 감지해 내고, 웹페이지를 구성하는 전체 텍스트를 정형화하여 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 Mismatch Rate(%)로하여 위변조를 감지해 내고, 웹페이지를 구성하는 전체 HTML를 정형화하여 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 Mismatch Rate(%)로하여 위변조를 감지해 내는 제1차 위변조감지단계와, 상기 홈페이지비교분석부가 모두 참인 경우 또는 최하 1개 이상 만족하는 경우 감지해 내는 제2차 위변조감지단계로 이루어지는 것이 바람직하다.
그리하여 본 발명은, 실시간으로 내부의 컨텐츠 사용을 탐지하여 컨텐츠요청접속DB에 저장되도록 하는 웹서버; 실시간으로 상기 컨텐츠요청접속DB로부터 전달받은 상기 컨텐츠요청접속 정보로부터 필요한 정보만을 비교 분석하기 위해 하나의 패턴으로 정규화시키는 웹위협관리서버; 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교하고 비교된 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 실시간분석부; 일정 시점에 HASH 함수를 이용하여 Checksum을 계산하고 이후 시점의 Checksum을 계산하여 값을 비교하는 HASH함수비교부; 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 상기 해킹 코드 패턴과 비교하여 위변조를 검출해 내는 해킹패턴매칭비교부; 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내는 키워드비교부가 포함되어 구비되는 홈페이지비교분석부가 포함되어 구비되는 웹 위협관리 시스템에 있어서, 상기 홈페이지비교분석부가 모두 참인 경우(모두 위변조인 경우) 위변조를 감지해 내는 And조건부; 최하 1개 이상 만족하는 경우(적어도 하나 이상이 위변조 인 경우) 감지해 내는 Or조건부가 포함되어 구비되어 상기 And조건부 및 상기 Or조건부를 이용하여 위변조를 감지하는 폴트톨러런스부(Fault Tolerance)가 더 포함되어 구비되고, 상기 홈페이지비교분석부는 일정 시점에 웹소스 코드를 텍스트로 변환하고, 상기 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내는 TEXT분석부; 일정 시점에 웹소스 코드를 HTML로 변환하고, 상기 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 HTML 분석부가 더 포함되어 구비되고, 상기 웹서버는 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 탐지하는 탐지부가 구비되어 상기 탐지부에서 탐지된 데이터가 컨텐츠요청접속DB 측으로 전송되도록 하며, 상기 웹위협관리서버는 상기 컨텐츠요청접속DB로부터 전송되는 컨텐츠요청접속정보를 전송받는 로그리시버; 상기 로그리시버를 통하여 전송된 상기 컨텐츠요청접속DB의 컨텐츠요청접속정보를 정규화되도록 하는 정규화부(210)가 포함되어 구비되고, 상기 홈페이지비교분석부는 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 체크하는 Mismatch Rate(%)가 일정치 이상일 경우 위변조를 감지하도록 구비되는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 제공할 수 있다.
그리고 본 발명은, 제 1항의 웹 위협관리 시스템을 이용한 웹 위협관리 방법에 있어서, 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 컨텐츠요청접속DB에 저장하는 단계; 실시간으로 컨텐츠요청접속DB의 정보를 전달받아 컨텐츠요청접속DB를 시간, 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드로 정규화시키는 단계; 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 단계; HASH 함수를 이용하여 Checksum을 계산하여 주기적으로 값을 비교하고, 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 해킹 코드 패턴과 비교하여 위변조를 검출해 내고, 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 텍스트로 변환하고 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 HTML로 변환하고 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 제1차 위변조감지단계; 홈페이지비교분석부의 각 구성부가 모두 위변조로 감지된 경우 또는 최하 1개 이상 위변조로 감지된 경우 이를 홈페이지 위변조로 확정하는 제2차 위변조감지단계가 포함되어 이루어지는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 이용한 웹 위협관리 방법을 제공할 수 있다.
그리하여 본 발명은, 실시간으로 내부의 컨텐츠 사용을 탐지하여 컨텐츠요청접속DB에 저장되도록 하는 웹서버; 실시간으로 상기 컨텐츠요청접속DB로부터 전달받은 상기 컨텐츠요청접속 정보로부터 필요한 정보만을 비교 분석하기 위해 하나의 패턴으로 정규화시키는 웹위협관리서버; 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교하고 비교된 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 실시간분석부; 일정 시점에 HASH 함수를 이용하여 Checksum을 계산하고 이후 시점의 Checksum을 계산하여 값을 비교하는 HASH함수비교부; 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 상기 해킹 코드 패턴과 비교하여 위변조를 검출해 내는 해킹패턴매칭비교부; 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내는 키워드비교부가 포함되어 구비되는 홈페이지비교분석부가 포함되어 구비되는 웹 위협관리 시스템에 있어서, 상기 홈페이지비교분석부가 모두 참인 경우(모두 위변조인 경우) 위변조를 감지해 내는 And조건부; 최하 1개 이상 만족하는 경우(적어도 하나 이상이 위변조 인 경우) 감지해 내는 Or조건부가 포함되어 구비되어 상기 And조건부 및 상기 Or조건부를 이용하여 위변조를 감지하는 폴트톨러런스부(Fault Tolerance)가 더 포함되어 구비되고, 상기 홈페이지비교분석부는 일정 시점에 웹소스 코드를 텍스트로 변환하고, 상기 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내는 TEXT분석부; 일정 시점에 웹소스 코드를 HTML로 변환하고, 상기 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 HTML 분석부가 더 포함되어 구비되고, 상기 웹서버는 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 탐지하는 탐지부가 구비되어 상기 탐지부에서 탐지된 데이터가 컨텐츠요청접속DB 측으로 전송되도록 하며, 상기 웹위협관리서버는 상기 컨텐츠요청접속DB로부터 전송되는 컨텐츠요청접속정보를 전송받는 로그리시버; 상기 로그리시버를 통하여 전송된 상기 컨텐츠요청접속DB의 컨텐츠요청접속정보를 정규화되도록 하는 정규화부(210)가 포함되어 구비되고, 상기 홈페이지비교분석부는 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 체크하는 Mismatch Rate(%)가 일정치 이상일 경우 위변조를 감지하도록 구비되는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 제공할 수 있다.
그리고 본 발명은, 제 1항의 웹 위협관리 시스템을 이용한 웹 위협관리 방법에 있어서, 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 컨텐츠요청접속DB에 저장하는 단계; 실시간으로 컨텐츠요청접속DB의 정보를 전달받아 컨텐츠요청접속DB를 시간, 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드로 정규화시키는 단계; 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 단계; HASH 함수를 이용하여 Checksum을 계산하여 주기적으로 값을 비교하고, 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 해킹 코드 패턴과 비교하여 위변조를 검출해 내고, 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 텍스트로 변환하고 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 HTML로 변환하고 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 제1차 위변조감지단계; 홈페이지비교분석부의 각 구성부가 모두 위변조로 감지된 경우 또는 최하 1개 이상 위변조로 감지된 경우 이를 홈페이지 위변조로 확정하는 제2차 위변조감지단계가 포함되어 이루어지는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 이용한 웹 위협관리 방법을 제공할 수 있다.
본 발명은 네트워크를 통하여 이미 서버까지 침투된 해킹 공격을 감지하고 관리자에게 경고하여 원천적인 공격의 흐름인 보안취약점(Security Hole)을 감지하고, 내부 웹 서버 프로그램 및 소스 코드 상의 문제점을 진단하여 외부의 침해사고 를 고도의 경험 없이 자동적으로 분석 및 실시간 분석할 수 있는 효과가 있다.
본 발명은 다양한 외부로부터의 악의적인 웹서버 위변조 공격시 다양한 컨텐츠 및 취약성 점검의 결과를 기준으로 새로운 웹 프로그램의 도입이나 게시판 등의 자료 등록, 삭제, 변경, 홈페이지의 위조 및 변조, 악성코드의 유포 및 배포지로 활용하기 위한 내 외부 공격, 불법 게시물이나 광고, 욕설을 포함한 게시물, 주민번호, 신용카드번호, 사업자등록번호가 첨부된 웹 게시물로 인한 변화성 컨텐츠 취약점(Dynamic Contents Vulnerability)이 주는 위험도를 주기적으로 점검하여 그 위험도와 취약성 항목들을 위험관리에 정해진 기간 안에 처리 및 종료될 수 있도록 관리의 지표를 마련하고 마련된 지표를 가지고 체계적으로 관리 대행하여 웹 프로그램 및 운영자 관리자에게 웹관련 시스템의 모든 정보를 전달하는 효과가 있다.
본 발명은 홈페이지비교분석부인 HASH함수비교부와 해킹패턴매칭비교부와 키워드비교부와 TEXT분석부와 HTML 분석부와 다양한 조건문을 포함하는 폴트톨러런스부(Fault Tolerance)로 이루어져 사용자의 웹페이지에 보다 동적인 요소를 가미함으로써 웹페이지의 위변조의 정탐을 늘이고 오탐을 줄여 보다 정밀하고 유연하게 웹페이지 위변조 요소를 제어하여 고객의 웹시스템에 대한 신뢰도와 가용성을 확보할 수 있는 효과가 있다.
이하 도면을 참조하여 본 발명의 실시를 위한 구체적인 내용을 자세히 설명한다.
도1은 본 발명에 따른 웹 위협관리 시스템의 개략적인 구성을 도시한 도면이고, 도2는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 구체적인 구성을 도시한 도면이며, 도3은 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 컨텐츠요청접속DB에 저장된 정보를 보여주는 도면이고, 도4는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 웹위협관리서버에 전송되는 정보 형태를 자세히 보여주는 도면이며, 도5는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 디스플레이부에 표시되는 화면을 도시한 도면이다.
본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템은 웹서버와 웹위협관리서버와 실시간분석부로 구성된다.
상기 웹서버는 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부(100)를 통해 상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 포함하는 컨텐츠요청접속DB(110)를 포함하는 장치이다.
상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드 등은 예를 들어 도4의 도면 부호 10 내지 50에 대응되는 것이 바람직하다.
상기 웹위협관리서버는 실시간으로 로그리시버(200)를 통해 상기 컨텐츠요청접속DB(110)의 정보를 전달받아 일정 패턴으로 정규화시키는 정규화부(210)를 포함한다.
여기서 정규화란 컨텐츠요청접속DB(110)의 테이블 하나하나의 데이터가 중복되지 않아 같은 정보가 2번 이상 기록되지 않도록 하는 것을 말한다.
따라서 상기 정규화부(210)는 상기 컨텐츠요청접속DB로부터 전달받은 상기 컨텐츠요청접속 정보로부터 필요한 정보만을 비교 분석하기 위해 하나의 패턴으로 정규화시키는 장치이다.
상기 실시간분석부(300)는 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB(310)와 비교한 정보를 하나의 화면으로 통제가 가능하도록 살펴볼 수 있도록 하기 위한 디스플레이부(400)에 전달하는 장치이다.
따라서 상기 컨텐츠요청접속DB(110)에 저장된 도3의 내용에서 T 부분(..\..\..\..)이 상기 시그너쳐DB(310)와 비교되어 도5의 제일 상단에 위치한 Directory Traversal로 공격명이 디스플레이된다.
이 때 상기 시그너쳐DB(310)에는 상기 T 부분을 Directory Traversal이라는 공격명으로 인식하도록 미리 시그너쳐가 사용자에 의해 저장된다.
또한 이러한 공격명은 다른 다양한 공격명을 인식할 수 있도록 상기 시그너쳐DB(310)에 저장되어 사용자는 침해사고를 고도의 경험 없이 자동적으로 분석 및 실시간 분석할 수 있다.
한편 본 발명에 따른 실시예로서 도4를 참조하여 설명한다.
먼저 웹로그를 실시간으로 관리 및 감시할수 있는 프로세스를 이용하여 웹서버의 특정 경로에 저장되거나 지정된 경로에 저장되는 컨텐츠요청접속DB(110)의 로그를 열어 로그 적재 상태(Logging)를 실시간 감시한다.
이때 적재된 로그는 웹 해킹 침해사고 조사에 용이한 구조로 바꾸고 시그너쳐DB(310)의 탐지 구문을 이용하여 해킹 시도 유무를 실시간으로 판단한다.
실시간으로 판단 및 분석된 침해사고 데이터는 다량으로 존재가능한 에이전트(agent)의 이벤트 발생을 하나의 화면 및 통제가 가능하도록 지원하는 웹 위협관리서버에 이벤트를 전달하게 된다.
여기서 다량의 에이전트에서 실시간으로 분석된 데이터는 웹 위협관리서버에 존재하는 로그리시버(200)를 이용하여 수집된다.
앞서 설명하였듯이, 다양한 웹서버의 형태에 따라 웹로그 적재 순서 및 적재내용이 달라짐으로, 웹로그 침해사고 분석 시스템은 이러한 다양한 웹로그의 형태를 통합하여 하나의 Viewer로 보여주기 위하여 정규화부(210)를 통해 정규화(Normalization)라는 과정을 거칠 수 있다.
도6은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 홈페이지비교분석부와 폴트톨러런스부의 구성을 보여주는 도면이고, 도7 내지 도11은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 방법을 보여주는 도면이다.
본 발명에 따른 실시간 홈페이지 위변조 감시를 위한 웹 위협관리 시스템은 홈페이지비교분석부와 폴트톨러런스부(Fault Tolerance)로 크게 나누어진다.
그리고 상기 홈페이지비교분석부는 HASH함수비교부(510)와 해킹패턴매칭비교 부(520)와 키워드비교부(530)와 TEXT분석부(540)와 HTML 분석부(550)로 다시 나뉘어 진다.
여기에서 각 비교부와 분석부는 본 발명에 따른 목적이 변경됨으로 인하여 제거되거나 새로 보강되어 추가될 수 있다.
상기 HASH함수비교부(510)는 일정 시점에 HASH 함수를 이용하여 Checksum을 계산하고 이후 시점의 Checksum을 계산하여 값을 비교하는 장치이다.
상기 해킹패턴매칭비교부(520)는 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 상기 해킹 코드 패턴과 비교하여 위변조를 검출해 내는 장치이다. 여기서 상기 해킹 코드 패턴은 도3의 T 부분과 같은 코드 일부를 말한다.
상기 키워드비교부(530)는 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내는 장치이다.
상기 TEXT분석부(540)는 일정 시점에 웹소스 코드를 텍스트로 변환하고, 상기 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내는 장치이다.
즉 상기 TEXT분석부(540)는 전체 텍스트를 정형화하여 동적으로 변하는 부분을 제외한 정적인 구문을 전체 100%를 기준으로 백분율화하여 오류허용을 이용한 위변조 감지 장치이다.
상기 TEXT분석부(540)는 전체 웹페이지에 포함된 텍스트의 40%가 동적으로 변하고(플래쉬 등의 동적인 프로그램기반 웹페이지), 60%만이 정적인 경우 Mismatch Rate(%)를 40%이상으로 정의하고 위변조를 체크하게 되는 경우 고정으로 40%는 동적이라 간주한 상황에서 텍스트가 변이되었음을 입증하기 위한 장치이다.
왜냐하면 동적으로 변하는 텍스트를 위변조로 체크하지 않음으로 인하여, 위변조의 정탐을 늘이고 오탐을 줄여 보다 정밀하고 유연하게 웹페이지 위변조 요소를 제어하기 위함이다.
이하 장치에서도 상술한 Mismatch Rate(%)의 개념은 동일하게 적용될 수 있다.
상기 HTML 분석부(550)는 일정 시점에 웹소스 코드를 HTML로 변환하고, 상기 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 장치이다.
덧붙여 상기 홈페이지비교분석부의 각 장치들은 동적으로 변하는 부분을 제외한 정적인 구문만 변화를 체크하는 Mismatch Rate(%)가 일정치 이상일 경우(예를 들어 상기 40% 이상일 경우) 위변조를 감지해 낼 수 있다.
또한 이러한 홈페이지비교분석부는 게시판 등의 자료 등록, 삭제, 변경, 홈페이지의 위조 및 변조, 악성코드의 유포 및 배포지로 활용하기 위한 내 외부 공격, 불법 게시물이나 광고, 욕설을 포함한 게시물, 주민번호, 신용카드번호, 사업자등록번호가 첨부된 웹 게시물로 인한 변화성 컨텐츠 취약점(Dynamic Contents Vulnerability)이 주는 위험도를 주기적으로 점검하기 위하여 다양한 비교부와 분석부가 추가적으로 포함될 수도 있다.
한편 상기 폴트톨러런스부(600)는 상기 홈페이지비교분석부가 모두 참인 경우 위변조를 감지해 내는 And조건부(610)와 최하 1개 이상 만족하는 경우 감지해 내는 Or조건부(620)를 이용하는 장치이다.
즉 본 발명에 따른 실시간 홈페이지 위변조 감시를 위한 웹 위협관리 시스템은 상기 비교부와 분석부의 결함을 보정하기 위해 상기 홈페이지비교분석부가 모두 위변조인 경우와 적어도 하나 이상이 위변조인 경우를 감지할 수 있게 된다.
덧붙여, 상술한 실시간 홈페이지 위변조 감시를 위한 웹 위협관리 시스템은 하나의 화면으로 통제가 가능하도록 살펴볼 수 있도록 하기 위한 디스플레이부를 통해 표시될 수 있다.
이하 본 발명의 실시를 위한 실시간 웹 서버 해킹 분석을 위한 웹 위협관리방법과 실시간 홈페이지 위변조 감시를 위한 웹 위협관리 방법의 구체적인 내용을 자세히 설명한다.
본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리방법은 상술한 웹 위협관리 시스템을 이용하여 실시간으로 컨텐츠요청접속DB의 정보를 전달받아 정규화시키고 이를 시그너쳐DB와 비교하여 최종 결과를 디스플레이하게 된다.
구체적으로 살펴보면, 먼저 실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 상기 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 컨텐츠요청접속DB에 저장한다.
그리고 실시간으로 상기 컨텐츠요청접속DB의 정보를 전달받아 상기 컨텐츠요청접속DB를 시간, 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드로 정규화시킨다.
계속하여 상기 정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제가 가능하도록 살펴볼 수 있도록 하기 위한 디스플레이부에 전달한다.
본 발명에 따른 실시간 홈페이지 위변조 감시를 위한 웹 위협관리 방법은 제1차 위변조감지단계와 제2차 위변조감지단계로 크게 나뉜다.
구체적으로 살펴보면, 먼저 제1차 위변조감지단계로서 HASH 함수를 이용하여 Checksum을 계산하고 주기적으로 값을 비교하고, 해킹위변조 기법을 탐지 패턴화하여 위변조를 검출해 내고, 문자열을 비교하여 웹페이지의 위변조를 감지해 내고, 웹페이지를 구성하는 전체 텍스트를 정형화하여 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 Mismatch Rate(%)로하여 위변조를 감지해 내고, 웹페이지를 구성하는 전체 HTML를 정형화하여 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 Mismatch Rate(%)로하여 위변조를 감지해 낸다.
그리고 제2차 위변조감지단계로서 상기 홈페이지비교분석부의 각 비교부와 분석부가 모두 참인 경우 또는 최하 1개 이상 만족하는 경우 감지해 낸다.
즉 상기 제2차 위변조감지단계는 상기 홈페이지비교분석부의 각 구성부가 모두 위변조로 감지된 경우 또는 최하 1개 이상 위변조로 감지된 경우 이를 홈페이지 위변조로 확정하는 최종 단계이다.
여기서 참인 경우는 위변조가 발생한 경우이고 거짓인 경우는 위변조가 발생하지 않은 경우로 정의한다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변경 및 변형이 가능하다는 것은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백하다 할 것이다.
도1은 본 발명에 따른 웹 위협관리 시스템의 개략적인 구성을 도시한 도면.
도2는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 구체적인 구성을 도시한 도면.
도3은 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 컨텐츠요청접속DB에 저장된 정보를 보여주는 도면.
도4는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 웹위협관리서버에 전송되는 정보 형태를 자세히 보여주는 도면.
도5는 본 발명에 따른 실시간 웹 서버 해킹 분석을 위한 웹 위협관리 시스템의 디스플레이부에 표시되는 화면을 도시한 도면.
도6은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 홈페이지비교분석부와 폴트톨러런스부의 구성을 보여주는 도면.
도7은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 해쉬값 이용 방법을 보여주는 도면.
도8은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 해킹 패턴 매칭 방법을 보여주는 도면.
도9는 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 키워드 비교 방법을 보여주는 도면.
도10은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 텍스트 비교 방법을 보여주는 도면.
도11은 본 발명에 따른 웹 위협관리 시스템의 홈페이지 위변조 감시를 위한 HTML 비교 방법을 보여주는 도면.
Claims (5)
- 실시간으로 내부의 컨텐츠 사용을 탐지하여 컨텐츠요청접속DB에 저장되도록 하는 웹서버;실시간으로 상기 컨텐츠요청접속DB로부터 전달받은 컨텐츠요청접속 정보로부터 필요한 정보만을 비교 분석하기 위해 하나의 패턴으로 정규화시키는 웹위협관리서버;정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교하고 비교된 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 실시간분석부;일정 시점에 HASH 함수를 이용하여 Checksum을 계산하고 이후 시점의 Checksum을 계산하여 값을 비교하는 HASH함수비교부;해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 해킹 코드 패턴과 비교하여 위변조를 검출해 내는 해킹패턴매칭비교부;일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내는 키워드비교부가 포함되어 구비되는 홈페이지비교분석부가 포함되어 구비되는 웹 위협관리 시스템에 있어서,상기 홈페이지비교분석부가 모두 참인 경우(모두 위변조인 경우) 위변조를 감지해 내는 And조건부와; 최하 1개 이상 만족하는 경우(하나 이상이 위변조인 경우) 감지해 내는 Or조건부가 포함되어 구비되어, 상기 And조건부 및 상기 Or조건부를 이용하여 위변조를 감지하는 폴트톨러런스부(Fault Tolerance)가 더 포함되어 구비되고,상기 홈페이지비교분석부는 일정 시점에 웹소스 코드를 텍스트로 변환하고, 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내는 TEXT분석부;일정 시점에 웹소스 코드를 HTML로 변환하고, HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 HTML 분석부가 더 포함되어 구비되고,상기 웹서버는 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 탐지하는 탐지부가 구비되어 상기 탐지부에서 탐지된 데이터가 컨텐츠요청접속DB 측으로 전송되도록 하며,상기 웹위협관리서버는 상기 컨텐츠요청접속DB로부터 전송되는 컨텐츠요청접속정보를 전송받는 로그리시버;상기 로그리시버를 통하여 전송된 상기 컨텐츠요청접속DB의 컨텐츠요청접속정보를 정규화되도록 하는 정규화부(210)가 포함되어 구비되고,상기 홈페이지비교분석부는 동적으로 변하는 부분을 제외한 정적인 구문의 변화를 체크하는 Mismatch Rate(%)가 일정치 이상일 경우 위변조를 감지하도록 구비되는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템.
- 제 1항의 웹 위협관리 시스템을 이용한 웹 위협관리 방법에 있어서,실시간으로 내부의 컨텐츠의 사용을 탐지하는 탐지부를 통해 컨텐츠의 요청한 시간, 요청 인터넷 주소, 대상 인터넷 서버 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드를 컨텐츠요청접속DB에 저장하는 단계;실시간으로 컨텐츠요청접속DB의 정보를 전달받아 컨텐츠요청접속DB를 시간, 주소, 요청방식, 요청경로 및 주체, 웹서버의 응답코드로 정규화시키는 단계;정규화된 컨텐츠요청접속DB의 정보를 미리 해킹패턴이 저장된 시그너쳐DB와 비교한 정보를 하나의 화면으로 통제용 디스플레이부에 전달하는 단계;HASH 함수를 이용하여 Checksum을 계산하여 주기적으로 값을 비교하고, 해킹 코드 패턴을 저장한 DB와 홈페이지의 코드 패턴을 해킹 코드 패턴과 비교하여 위변조를 검출해 내고, 일정 시점의 문자열과 이후 시점의 문자열을 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 텍스트로 변환하고 텍스트와 이후 시점의 변환된 텍스트를 비교하여 웹페이지의 위변조를 감지해 내고, 일정 시점에 웹소스 코드를 HTML로 변환하고 HTML과 이후 시점의 변환된 HTML을 비교하여 웹페이지의 위변조를 감지해 내는 제1차 위변조감지단계;홈페이지비교분석부의 각 구성부가 모두 위변조로 감지된 경우 또는 최하 1개 이상 위변조로 감지된 경우 이를 홈페이지 위변조로 확정하는 제2차 위변조감지단계가 포함되어 이루어지는 것을 특징으로 하는 실시간 웹서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템을 이용한 웹 위협관리 방법.
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080114800A KR100912794B1 (ko) | 2008-11-18 | 2008-11-18 | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080114800A KR100912794B1 (ko) | 2008-11-18 | 2008-11-18 | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100912794B1 true KR100912794B1 (ko) | 2009-08-18 |
Family
ID=41209956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080114800A KR100912794B1 (ko) | 2008-11-18 | 2008-11-18 | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100912794B1 (ko) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101279792B1 (ko) * | 2012-07-31 | 2013-06-28 | (주)유엠브이기술 | 파일의 위변조 탐지 시스템 및 그 방법 |
| KR101378549B1 (ko) | 2013-03-11 | 2014-03-27 | 주식회사 예티소프트 | 패턴을 이용한 동적 웹 컨텐츠 보안 서버 및 방법 |
| KR101663935B1 (ko) * | 2016-06-13 | 2016-10-07 | 신남규 | 피싱 및 파밍 방지 시스템 및 방법 |
| KR101692982B1 (ko) | 2015-10-06 | 2017-01-04 | (주)아이와즈 | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 |
| KR101847277B1 (ko) * | 2016-07-29 | 2018-04-10 | 국방과학연구소 | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 |
| KR101899049B1 (ko) | 2017-08-23 | 2018-09-14 | (주)에프원시큐리티 | 웹사이트 위변조 탐지 방법 및 웹사이트 위변조 관리 시스템 |
| KR20190048606A (ko) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | 실시간 웹공격 탐지방법 |
| KR20190099816A (ko) | 2018-02-20 | 2019-08-28 | 주식회사 디로그 | 웹 페이지 위변조 탐지 방법 및 시스템 |
| KR20190120549A (ko) | 2018-04-16 | 2019-10-24 | 주식회사 디로그 | 블록 체인 기반의 의사 표시 검증 시스템 및 방법 |
| US10958682B2 (en) | 2011-09-21 | 2021-03-23 | SunStone Information Defense Inc. | Methods and apparatus for varying soft information related to the display of hard information |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US736540A (en) * | 1902-07-18 | 1903-08-18 | Dwight P Montague | Printing. |
| KR100736540B1 (ko) * | 2006-02-20 | 2007-07-06 | 에스케이 텔레콤주식회사 | 웹 서버 위/변조 감시장치 및 그 방법 |
| KR20080047826A (ko) * | 2006-11-27 | 2008-05-30 | (주)타임네트웍스 | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 |
| KR100867306B1 (ko) * | 2007-05-31 | 2008-11-06 | (주)위너다임 | 이미지 분석기법을 이용한 홈페이지 변조점검 시스템 및 방법 |
-
2008
- 2008-11-18 KR KR1020080114800A patent/KR100912794B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US736540A (en) * | 1902-07-18 | 1903-08-18 | Dwight P Montague | Printing. |
| KR100736540B1 (ko) * | 2006-02-20 | 2007-07-06 | 에스케이 텔레콤주식회사 | 웹 서버 위/변조 감시장치 및 그 방법 |
| KR20080047826A (ko) * | 2006-11-27 | 2008-05-30 | (주)타임네트웍스 | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 |
| KR100867306B1 (ko) * | 2007-05-31 | 2008-11-06 | (주)위너다임 | 이미지 분석기법을 이용한 홈페이지 변조점검 시스템 및 방법 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10958682B2 (en) | 2011-09-21 | 2021-03-23 | SunStone Information Defense Inc. | Methods and apparatus for varying soft information related to the display of hard information |
| US11943255B2 (en) | 2011-09-21 | 2024-03-26 | SunStone Information Defense, Inc. | Methods and apparatus for detecting a presence of a malicious application |
| US11283833B2 (en) | 2011-09-21 | 2022-03-22 | SunStone Information Defense Inc. | Methods and apparatus for detecting a presence of a malicious application |
| KR101279792B1 (ko) * | 2012-07-31 | 2013-06-28 | (주)유엠브이기술 | 파일의 위변조 탐지 시스템 및 그 방법 |
| KR101378549B1 (ko) | 2013-03-11 | 2014-03-27 | 주식회사 예티소프트 | 패턴을 이용한 동적 웹 컨텐츠 보안 서버 및 방법 |
| KR101692982B1 (ko) | 2015-10-06 | 2017-01-04 | (주)아이와즈 | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 |
| KR101663935B1 (ko) * | 2016-06-13 | 2016-10-07 | 신남규 | 피싱 및 파밍 방지 시스템 및 방법 |
| KR101847277B1 (ko) * | 2016-07-29 | 2018-04-10 | 국방과학연구소 | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 |
| KR101899049B1 (ko) | 2017-08-23 | 2018-09-14 | (주)에프원시큐리티 | 웹사이트 위변조 탐지 방법 및 웹사이트 위변조 관리 시스템 |
| KR20190048606A (ko) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | 실시간 웹공격 탐지방법 |
| KR102092411B1 (ko) * | 2017-10-31 | 2020-03-23 | 대한민국 | 실시간 웹공격 탐지방법 |
| KR20190099816A (ko) | 2018-02-20 | 2019-08-28 | 주식회사 디로그 | 웹 페이지 위변조 탐지 방법 및 시스템 |
| KR20190120549A (ko) | 2018-04-16 | 2019-10-24 | 주식회사 디로그 | 블록 체인 기반의 의사 표시 검증 시스템 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100912794B1 (ko) | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 | |
| CN108780485B (zh) | 基于模式匹配的数据集提取 | |
| CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
| US9979726B2 (en) | System and method for web application security | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| US11165820B2 (en) | Web injection protection method and system | |
| US9251282B2 (en) | Systems and methods for determining compliance of references in a website | |
| Manadhata et al. | Measuring a system's attack surface | |
| CN102045319B (zh) | Sql注入攻击检测方法及其装置 | |
| US8285778B2 (en) | Protecting web application data | |
| KR20070049514A (ko) | 악성 코드 감시 시스템 및 이를 이용한 감시 방법 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US9830453B1 (en) | Detection of code modification | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| US20100107247A1 (en) | System and method for identification, prevention and management of web-sites defacement attacks | |
| CN101388768A (zh) | 检测恶意http请求的方法及装置 | |
| KR20080044145A (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
| KR20090047890A (ko) | 검색 엔진을 이용한 악성 코드 유포 사이트 관리 방법,장치 및 시스템 | |
| CN111625821A (zh) | 一种基于云平台的应用攻击检测系统 | |
| CN110008392A (zh) | 一种基于网络爬虫技术的网页篡改检测方法 | |
| KR100961149B1 (ko) | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 | |
| KR102159399B1 (ko) | 웹서버 모니터링 및 악성코드 분석 장치 | |
| KR100916324B1 (ko) | 방화벽을 이용한 악성 코드 유포 사이트 관리 방법, 장치및 시스템 | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120813 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20130808 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20140807 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160114 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20160812 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20170727 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20180813 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20190812 Year of fee payment: 11 |