KR100918370B1 - 웹관리시스템 및 그 방법 - Google Patents
웹관리시스템 및 그 방법 Download PDFInfo
- Publication number
- KR100918370B1 KR100918370B1 KR1020080047900A KR20080047900A KR100918370B1 KR 100918370 B1 KR100918370 B1 KR 100918370B1 KR 1020080047900 A KR1020080047900 A KR 1020080047900A KR 20080047900 A KR20080047900 A KR 20080047900A KR 100918370 B1 KR100918370 B1 KR 100918370B1
- Authority
- KR
- South Korea
- Prior art keywords
- web
- vulnerability
- web server
- engine
- database
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명에 따른 웹관리시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 일반적으로 사용되는 웹시스템과 웹프로그램으로 접근하는 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지 또는 차단하는 종래의 방식과 다른 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 주기적으로 진단하고 효율적으로 개선, 관리하여 내포 또는 잠재적인 웹시스템의 취약성을 근본적으로 해결한 웹관리시스템 및 그 방법에 관한 것이다.
본 발명에 따른 웹관리시스템은 웹서버와 이에 포함되는 웹프로그램으로 이루어진 보안시스템에 있어서, 웹서버에 접속하고 링크를 추출하여 컨텐츠의 해킹노출 가능여부를 점검 및 관리하며, 상기 웹서버의 로그를 입력받아 해킹 시도 또는 불법 업로드를 분석하는 웹관리장치를 포함하여 구성되는 것을 특징으로 한다.
웹관리시스템, 컨텐츠분석엔진, 웹로그분석엔진
Description
본 발명에 따른 웹관리시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 일반적으로 사용되는 웹시스템과 웹프로그램으로 접근하는 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지 또는 차단하는 종래의 방식과 다른 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 주기적으로 진단하고 효율적으로 개선, 관리하여 내포 또는 잠재적인 웹시스템의 취약성을 근본적으로 해결한 웹관리시스템 및 그 방법에 관한 것이다.
최근 급증하는 보안사고의 트랜드는 주로 웹으로써 웹사이트를 통한 해킹이나 금전적인 이득을 목표로 한 정보유출 시도, 악성코드의 경유지 및 배포지 사용 등으로 전체 보안사고의 70%이상을 차지하고 있다. 이러한 웹에 대한 공격이 급증하면서 웹 애플리케이션 보안의 중요성이 점차 증가되고 있다.
이러한 시대적 상황을 배경으로 다양한 보안장비 및 소프트웨어들이 개발되었으며, 현재에도 그러한 개발은 지속되고 있다. 특히 최근에는 웹 해킹만을 전문적으로 탐지 및 차단하는 `웹 방화벽'이라 부르는 웹 애플리케이션 방화벽은 애플리케이션 계층 분석 기술과 정규화 기술을 바탕으로 보다 특화된 검사 엔진을 탑재 해 침입탐지시스템(IDS)이나 침입방지시스템(IPS)이 탐지할 수 없는 웹 관련 공격들을 방어할 수 있으며, 또한 URL에 따른 접근제어 기능과 암호화된 SSL 트래픽을 자체적으로 복호화, 검사하는 기능은 기존 보안 시스템과 다른 차별성을 보여 준다.
그러나, 이러한 다양한 보안장비들을 갖춘 후에도 왜 보안사고는 계속되는것일까 ?
그것은 웹시스템이나 웹프로그램 자체의 취약점이 그대로 존재하는 가운데 그 웹시스템이나 웹프로그램으로 가는 길목 또는 네트워크 통로에 보안장비를 설치하기 때문이다. 즉 근본적인 보안의 구멍(Security Hole)이 존재함에도 불구하고 내포 또는 잠재된 시스템 문제점의 인식 또는 해결 없이 보안 시스템을 설치하여 보안을 유지하기 때문이다.
또한 이러한 보안의 구멍을 일시적으로 검증하여 조치한 후에 보안장비를 설치한다 할지라도, 웹은 끝없이 진화하고 변화하는 유기적 시스템임을 고려한다면, 매일매일 새로운 보안의 헛점이 발생된다고 봐야 하나, 아무도 이러한 보안의 구멍을 체계적, 효율적, 지속적으로 관리하고자 하는 시도는 없었다고 봐야한다. 그저 사고 발생후 시스템을 다시 설치하거나 사후대응에 모든 웹관련사고의 초점이 맞추어져 있었다.
도 1은 종래의 웹서버 및 웹 프로그램의 근본적인 취약점 수정 및 패치 없이 세대별 삽입되어 운영되는 보안 네트워크를 보여주는 도면이다.
도1은 기존의 웹서버 및 웹 프로그램의 근본적인 취약점 수정 및 패치 없이 세대별 삽입되어 운영되는 현재의 보안 네트워크를 설명하고 있다.
즉, 도1에서 보는 바와 같이 기존에 출시되었던 네트워크 보안 제품들은 다양한 보안 문제에 대한 통제 기능은 제공하지만, 통합적인 보안기능과 완벽한 네트워크 커버리지 까지 동시에 제공하지는 못하는 단점이 있었다.
이러한 단점을 해결하기 위해 포렌직(forensic) 솔루션이 개발되었다. 포렌직 솔루션은 네트워크상에서 일어나는 악의적인 공격으로부터 네트워크를 지킬 수 있는 기틀을 마련해줄 수 있어 최근 관심이 집중되고 있다.
그러나, 이러한 포렌직 솔루션도 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 해결할 수는 없었다.
따라서, 웹시스템, 웹프로그램으로 접근하는 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지, 차단하는 기존의 방식에서 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 주기적으로 진단하고 효율적으로 개선, 관리하여 내포 또는 잠재적인 웹시스템의 취약성을 근본적으로 해결한 웹관리시스템의 등장이 절실히 필요하게 된 것이다.
본 발명이 이루고자 하는 기술적 과제는 웹시스템, 웹프로그램으로 접근하는 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지, 차단하는 기존의 방식에서 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 주기적으로 진단하고 효율적으로 개선, 관리하여 내포 또는 잠재적인 웹시스템의 취약성을 근본적으로 해결할 수 있는 웹관리시스템을 제공하는 데 목적이 있다.
더 나아가, 웹서비스의 취약성은 존재하는 상태에서 보안 장비로 인한 장애를 허락하지 않는 무결점 네트워크에서는 보안성 보다는 가용성을 우선으로 모든 정책들이 정해지는데, 이러한 네트워크(예를 들면 인터넷 뱅킹망)에서는 구간 구간의 보안장비 설치보다는 실제 서비스되는 웹서버의 취약성을 관리하는 본질적인 취약점 관리가 중요시되어, 보안장비가 설치될 수 없는 구간의 취약점을 진단하는 웹관리시스템을 제공하는 데 목적이 있다.
또한, 본 발명은 웹서버가 설치되어 있는 네트워크 장비에 설치하여 웹서버의 취약성을 직접 관리하는 구성으로 다른 보안 장비나 네트워크 장비에 영향을 미치지 않는 웹관리시스템을 제공하는 데 목적이 있다.
본 발명은 웹방화벽과 연동하여 이미 분석된 웹 시스템의 취약성을 등록 후, 외부의 해킹시도에 대하여 방어 지원하는 웹관리시스템을 제공하는 데 목적이 있다.
본 발명에 따른 웹관리시스템은 웹서버와 이에 포함되는 웹프로그램으로 이루어진 보안시스템에 있어서, 웹서버에 접속하고 링크를 추출하여 컨텐츠의 해킹노출 가능여부를 점검 및 관리하며, 상기 웹서버의 로그를 입력받아 해킹 시도 또는 불법 업로드를 분석하는 웹관리장치를 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템의 웹관리장치는, 데이터베이스와 파서(parser)와 엔진과 유아이(UI user interface)와 스케줄러를 포함하여 웹서버에 연결되고, 상기 엔진은 상기 웹서버에 접속하여 링크를 추출하고 상기 링크 정보에 따른 웹페이지의 경로를 재쿼리하여 수신된 응답값을 저장하고 상기 파서를 통하여 구분된 정보에 따라 상기 데이터베이스와 비교하여 컨텐츠의 해킹노출 가능여부를 점검 및 관리하여 상기 유아이에 전달하는 컨텐츠분석엔진과 상기 웹서버의 로그를 입력받아 상기 파서를 통하여 구분된 정보에 따라 해킹 시도 또는 불법 업로드를 분석하여 상기 유아이에 전달하는 웹로그분석엔진을 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템의 웹관리장치는, 상기 웹서버에 대한 관리스케줄러에 의한 주기적인 검사에 의하여 점검된 내용에 관해 취약성 예보 및 경보 내용을 디스플레이하는 디스플레이장치를 더 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템의 웹관리장치는, 상기 컨텐츠분석엔진을 통하여 상기 웹서버의 컨텐츠 취약성 점검을 위한 취약성 점검 화면을 상기 디스플레이 장치를 통하여 표시하고, 오탐제어엔진을 더 포함하여 데이터베이스에 저장된 추적 또는 비추적 URL이 추출되었을 경우 이를 추적하거나 이를 예외 처리하는 것이 바람직하다.
본 발명에 따른 웹관리시스템의 웹관리장치는, 멀티스레딩을 지원하는 분산 처리장치를 더 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템의 웹로그분석엔진은 상기 로그를 분리하는 로그파서(log parser)와 시그너처와 정규식을 저장하는 시그너처데이터베이스(signature database)와 상기 분리된 로그와 상기 시그너처 데이터베이스에 저장된 시그너처와 정규식의 매칭을 검사하는 시그너처 매칭 엔진 및 레귤러 익스프레션 매칭 엔진(signature matching engine/regular expression matching engine)을 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템은 파라미터의 취약성 정보인 필드에 삽입되는 명령어, 기호, 연산자, 및 취약성 점검 패턴을 저장하는 파라미터취약성 데이터베이스와 디렉토리파일취약성 정보와 구조를 저장하는 디렉토리 및 파일 취약성 데이터베이스와 컨텐츠의 취약성, 무결성, 및 해킹용 웹 스크립트컨텐츠의 정보를 저장하는 컨텐츠 취약성 데이터 베이스와 개인정보인 주민등록번호, 신용카드번호,사업자 등록번호, 전자메일 주소를 저장하는 개인정보 취약성 데이터 베이스와 시스템의 취약성 패턴 목록를 저장하는 시스템 취약성 데이터 베이스를 포함하는 제1데이터베이스 등록된 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 시스템 서비스 이상 유무 (Health Check), 시스템 정보(웹서버정보, 웹 애플리케이션 정보)를 점검 및 관리하는 시스템 점검 엔진과, 등록되거나 사용자가 지정한 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 프로그램 소스 및 웹관련 페이지와 관련된 URL, 웹애플리케이션, 데이터베이스의 취약성이나 해킹노출 가능여부를 점검 및 관리하는 취약성 점검 엔진과, 웹서버, 웹관리 화면, 및 웹 게시판의 프로그램 소스 및 웹관련 페이지 자체의 취약성, 첨부 또는 업로드된 컨텐츠의 해킹노출 가능여부를 점검 및 관리하는 컨텐츠 분석 엔진과, 웹서버에서 웹서버 구조를 분석하기 위한 URL추출과 웹 페이지간 연결된 URL을 추적하여 웹서버 전체의 디렉토리 및 파일의 주소 및 구조를 분석하는 URL 추출 및 추적 엔진과, 웹서버와 관련없는 URL주소를 분리, 삭제하는 오탐 제어 엔진과, 웹서버의 로그를 자동 또는 수동으로 입력받아 해킹 시도 또는 불법 업로드를 분석하는 웹로그 분석 엔진과, 웹관리장치가 관리작업을 수행한 적재된 데이터 베이스를 추출하여 보고서를 생성하는 보고서 생성기를 포함하는 엔진과 상기 URL 추출 및 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시켜 웹애플리케이션 파일, 파라메터, 값으로 나누어 웹서버, 웹애플리케이션, 데이터베이스의 주소를 구분하는 URL 파서와, 상기 URL 추출 및 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시켜 디렉토리 명과 파일의 위치 및 구조를 구분하는 디렉토리/파일 파서와, 상기 웹관리장치에서 관리대상 웹서버에 URL요청후 돌아오는 응답패킷의 본문 및 첨부파일의 본문을 구분 컨텐츠 파서와, 웹관리시스템에 입력된 웹서버 로그를 요청메소드, 요청IP주소, URL, 응답 상태 코드, HTTP 프로토콜 버전으로 구분하는 웹로그 파서를 포함하는 파서를 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리시스템은 원격에서 관리대상 웹서버에 접속하여 점검 관리 업무를 수행하도록 하는 TCP/IP 소켓과, 상기 웹관리장치에 따른 관리대상 웹서버의 취약점 및 보안 위배 사항이 발생한 경우 관리자 또는 운영자에게 알람 또는 정해진 동작을 취하는 경보 매니저와, 상기 웹관리장치가 일정 주기에 의하여 자동적으로 수행되도록 지원하는 관리스케줄러와, 원격의 사용자가 모니터링, 경고열람, 웹서버 취약성 통계정보, 웹서버의 시스템 상태, 웹점검 기능을 수행하도록 열어놓은 접속 화면인 Web Interface 를 포함하여 구성되는 것이 바람직하다.
본 발명에 따른 웹관리방법은 컨텐츠분석엔진이 웹서버에 접속하여 링크를 추출하고 상기 링크 정보에 따른 웹페이지의 경로를 재쿼리하여 수신된 응답값을 저장하고 상기 데이터베이스와 비교하여 컨텐츠의 해킹노출 가능여부를 점검 및 관리하여 상기 유아이에 전달하는단계와 웹로그분석엔진이 상기 웹서버의 로그를 입력받아 상기 파서를 통하여 해킹 시도 또는 불법 업로드를 분석하는 단계로 이루어지는 것이 바람직하다.
본 발명에 따른 웹관리방법은 디스플레이장치를 통하여 등록된 웹서버에 대 한 관리스케줄러에 의한 주기적인 검사에 의하여 점검된 내용에 관해 취약성 예보 및 경보 내용을 디스플레이하는 단계를 더 포함하여 이루어지는 것이 바람직하다.
본 발명에 따른 웹관리방법은 상기 컨텐츠분석엔진을 통하여 상기 웹서버의 컨텐츠 취약성 점검을 위한 취약성 점검 화면을 상기 디스플레이장치를 통하여 표시하는 단계와 오탐제어엔진을 더 포함하여 데이터베이스에 저장된 추적 또는 비추적 URL이 추출되었을 경우 이를 추적하거나 이를 예외 처리하는 단계를 더 포함하여 이루어지는 것이 바람직하다.
본 발명은 등록된 웹서버의 웹 서비스 이상유무를 판단하기 위한 사용자 편의 기능인 사이트 바로가기기능과, 에이전트인 웹서버 시스템의 이상징후 시 취약성을 즉시 또는 임의로 점검하기 위한 취약성 점검기능과, 점검된 내용을 데이터 베이스를 통해 조회 및 분석하기 위한 화면으로 이동하기 위한 취약성 점검결과기능과, 웹서버가 Windows계열의 웹 시스템을 사용하는 경우 접속하기 위한 원격 접속 터미널 연결이 가능한 시스템 접속기능과, 원격에서 시스템을 점검하거나 대용량 트래픽이 폭주 하거나 웹서버의 서비스 정상유무를 체크 하기 위한 자동갱신이 가능한 사이트 자동갱신 체크기능과, 에이전트인 웹서버가 맵에서 위치하기 위하여 또는 드래그 앤 드롭을 이용하여 설정된 맵상의 좌표를 바꾸기 위한 위치설정기능을 가지는 장치이다.
본 발명은 웹서버가 설치되어 있는 네트워크 장비에 설치하여 웹서버의 취약 성을 직접 관리하는 구성으로 다른 보안 장비나 네트워크 장비에 영향을 미치지 않는 효과가 있다.
본 발명은 웹방화벽과 연동하여 이미 분석된 웹 시스템의 취약성을 등록 후, 외부의 해킹시도에 대하여 방어 지원하는 효과가 있다.
이하, 본 발명에 따른 일실시예를 도면을 참조하여 자세히 설명한다.
도2는 본 발명에 따른 웹관리시스템의 물리적인 설치 구성을 보여주는 도면이다.
도3은 본 발명의 일실시예에 따른 웹관리시스템의 전체적인 구성을 보여주는 도면이다.
도4a,b는 본 발명의 일실시예에 따른 웹관리시스템의 세부적인 구성을 보여주는 도면이다.
본 발명에 따른 웹관리시스템(WMS)의 중요한 구성 장치인 웹관리장치는 다음과 같다.
제1 및 제2 데이터 베이스(10, 50)
1. 파라메터 취약성 데이터 베이스(11):
웹 브라우저(예: 인터넷 익스플로러)를 통한 외부의 공격 또는 웹 응용프로그램의 파라메터(웹변수)의 값을 주는 필드에 삽입되는 명령어, 기호, 연산자 및 취약성 점검 패턴으로 구성된 데이터 베이스.
2. 디렉토리 및 파일 취약성 데이터베이스(12):
URL추적 및 추출 엔진에서 추출되어 URL/디렉토리/파일 파서를 통하여 분석된 관리대상 웹서버의 디렉토리 및 파일의 정보와 구조로 구성된 데이터 베이스.
3. 컨텐츠 취약성 데이터 베이스(13):
관리대상 웹서버에 존재하는 웹페이지 또는 업로드된 파일의 취약성, 무결성, 해킹용 웹 스크립트 등을 검증하는 패턴으로 구성된 데이터 베이스.
4. 개인정보 취약성 데이터 베이스(14):
관리대상 웹서버에 존재하는 웹페이지 또는 업로드된 파일에서 주민등록번호, 신용카드번호,사업자 등록번호, 전자메일 주소 등을 검증하는 패턴으로 구성된 데이터 베이스.
5. 시스템 취약성 데이터 베이스(15):
관리대상 웹서버에서 사용되는 웹서버 애플리케이션 또는 웹 애플리케이션의 취약성 자체를 점검하는 패턴 목록으로 구성된 데이터 베이스.
6. 웹로그 데이터 베이스:
관리대상 웹서버의 웹로그를 받아 웹로그 파서에 의하여 구분된 요청 메소드(Method), 요청 IP주소, URL, 응답상태코드, HTTP 프로토콜 버전정보 등으로 구성된 데이터 베이스.
7. 디렉토리, 파일구조 데이터 베이스:
관리대상 웹서버의 절대주소와 디렉토리명, 파일구조, 파일위치를 저장하는 데이터 베이스.
8. URL 정보 데이터 베이스:
관리대상 웹서버의 정보, 웹애플리케이션정보, 데이터베이스로 구분하여 저장하는 데이터 베이스.
9. 컨텐츠 정보 데이터 베이스
웹관리시스템에서 관리대상 웹서버에 URL요청후 돌아오는 응답패킷의 본문 및 첨부파일의 본문내용을 저장하는 데이터 베이스.
10. 보고서 결과 데이터 베이스
보고서로 만들어진 취약성 진단 결과를 저장해 놓은 데이터 베이스.
파서(
Parser
)(20)
1. URL 파서(21):
URL 추출 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시켜 웹애플리케이션 파일, 파라메터, 값으로 나누어 웹서버, 웹애플리케이션, 데이터베이스의 주소를 구분하는 프로세스 장치.
2. 디렉토리, 파일 파서(22):
URL 추출 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시켜 디렉토리 명과 파일의 위치 및 구조를 구분하는 프로세스 장치.
3. 컨텐츠 파서(23):
웹관리시스템에서 관리대상 웹서버에 URL요청후 돌아오는 응답패킷의 본문 및 첨부파일의 본문을 구분해 내는 프로세스 장치.
4. 웹로그 파서(24):
웹관리시스템에 입력된 웹서버 로그를 요청메소드, 요청IP주소, URL, 응답 상태 코드, HTTP 프로토콜 버전 등으로 구분해 내는 프로세스 장치.
WMS
엔진(30)
1. 시스템 점검 엔진(31):
등록된 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 시스템 서비스 이상 유무 (Health Check), 시스템 정보(웹서버정보, 웹 애플리케이션 정보) 등을 점검 및 관리하는 엔진.
2. 취약성 점검 엔진(32):
등록되거나 사용자가 지정한 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 프로그램 소스 및 웹관련 페이지와 관련된 URL, 웹애플리케이션, 데이터베이스의 취약성이나 해킹노출 가능여부를 점검 및 관리하는 엔진
3. 컨텐츠 분석 엔진(33):
Agent로 등록되거나 사용자가 지정한 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 프로그램 소스 및 웹관련 페이지 자체의 취약성, 첨부 또는 업로드된 컨텐츠의 해킹노출 가능여부를 점검 및 관리하는 엔진
4. URL 추출 및 추적엔진(34):
웹관리시스템의 핵심엔진으로 Agent로 등록되거나 사용자가 지정한 웹서버에서 웹서버 구조를 분석하기 위한 URL추출과 웹 페이지간 유기적으로 연결된 URL을 추적하여 웹서버 전체의 디렉토리 및 파일의 주소 및 구조를 분석하는 엔진
5. 오탐 제어 엔진(35):
웹관리시스템의 또 하나의 핵심엔진으로 관리대상 웹서버와 관련없는 URL주소를 분리, 삭제, 고정하는 엔진.
6. 웹로그 분석 엔진(36):
웹서버의 로그를 자동 또는 수동으로 입력받아 해킹 시도 또는 불법 업로드를 자동으로 분석하는 엔진.
7. 보고서 생성기(37):
웹관리시스템이 관리작업을 수행한 적재된 데이터 베이스를 추출하여 보고서를 생성하는 엔진.
유아이
(
UI
;
user
interface
) 및 관리스케줄러(40)
1. TCP/IP 소켓:
원격에서 관리대상 웹서버에 접속하여 다양한 점검 관리 업무를 수행하도록 하는 프로세서.
2. 경보 매니저:
관리대상 웹서버에 취약점 및 보안 위배 사항이 발생한 경우 정해놓은 절차에 따라 관리자 또는 운영자에게 알람 또는 정해진 동작을 취하는 프로세서.
3. 관리 스케줄러:
웹관리시스템이 정해진 절차 및 주기에 의하여 자동적으로 수행되도록 지원하는 스케줄러.
4. Web Interface:
원격의 사용자가 모니터링, 경고열람, 웹서버 취약성 통계정보, 웹서버의 시 스템 상태, 웹점검 기능을 수행하도록 열어놓은 접속 화면.
도5는 본 발명의 일실시예에 따른 웹관리시스템의 웹서버를 등록하여 맵을 구성하도록 지원하고 구성된 맵상에서 자유로이 웹서버를 배치하여 서버 시스템의 위험도에 대한 가독성을 높이는 웹 관리 화면에 대한 도면이다.
도6은 본 발명의 일실시예에 따른 웹관리시스템의 등록된 웹서버의 메인 페이지에 악의적인 공격자인 해커가 DDoS공격 툴을 배포할 목적으로 경유지 이용을 위한 공격용 스크립트를 삽입하는 경우, 경고 메시지와 함께 관리자가 설정한 방법으로 가시, 가청할수 있도록 하는 기능을 보여주는 팝업창 도면이다.
도5의 웹 관리 화면은 웹서버를 등록하여 맵(화면)을 구성하도록 지원하고 구성된 맵상에서 자유로이 웹서버를 배치하여 서버 시스템의 위험도에 대한 가독성을 높이는데 목적이 있다.
상기 웹 관리 화면에 등록된 웹서버는 관리스케줄러에 의한 주기적인 스케줄링에 의하여 점검된 내용에 관해 취약성 예보 및 경보 내용을 각각 정상, 주의, 경계, 심각의 4등급과 색변화를 표시하여 경보한다.
즉, 취약성 예보 및 경보 내용(1) 중 심각(1-1)을 적색으로 정상(1-2)을 녹색으로 표시하고, 심각과 정상 사이의 주의 경계는 각각 노란색과 주황색으로 표시하여 시각적인 효과를 볼 수 있다.
구체적으로, 취약성이나 해킹노출 가능여부를 점검 및 관리하는 엔진인 취약성 점검 엔진(32)을 통하여 상기 취약성 예보 및 경보 내용(1) 등을 일정기준에 따 라 분류하여 UI 등으로 맵화면 형식으로 전송할 수 있다.
상기 각 등록된 웹서버에 대한 시스템 생존 체크(Alive Check)현황, 위험도별 취약성현황(2), 카테고리별 취약성 현황(3)을 제공한다.
그리고, 취약성 예보 및 경보 내용(1) 제1데이터베이스(10)의 각 웹서버에 접속하여 링크를 추출하고 상기 링크 정보에 따른 웹페이지의 경로를 재쿼리하여 수신된 응답값을 저장하고 이를 상기 컨텐츠취약성DB(13)와 비교하여, 각 일정 수치를 기준으로 전체 서버 시스템에 대한 위협등급 표시, 위험도별 취약성현황(2)은 취약성 점검 및 패치현황, 카테고리별 취약성 현황(3)은 카테고리 취약점 탐지, OWASP10대 취약점 탐지, 국정원 8대 취약점 정보를 표시한다. 여기서, 각 일정 수치는 제1데이터베이스(10)에 미리 저장되는 정보로서 시스템의 상황에 따라 바뀔 수 있다.
특히, 등록된 웹서버의 메인 페이지에 악의적인 공격자인 해커가 DDoS공격(분산서비스지연공격) 툴을 배포할 목적으로 경유지 이용을 위한 공격용 스크립트를 삽입하는 경우, 도6과 같은 취약성 점검 엔진(32)의 제1데이터베이스에 저장된 상기 공격용 스크립트에 대응되는 스크립트 등과 비교하여 상기 경고 메시지와 함께 관리자가 설정한 방법으로 그 위험성을 가시, 가청할 수 있도록 한다.
따라서, 매일 매일 새로운 보안의 헛점이 발생되는 보안 시스템에서, 계속 추가되는 보안의 구멍을 상술한 본 발명에 따른 웹관리시스템에 의하여 체계적, 효율적, 지속적으로 관리할 수 있게 된다.
도7은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버 버전 취약점 점검, 파라메터를 이용한 취약성 공격, 디렉토리 및 파일 구조의 취약성을 이용한 공격, 알려진 웹 CGI공격, 컨텐츠 취약성 점검, 개인정보보호 점검 부분을 나타내는 취약성 점검 화면을 보여주는 도면이다.
도8은 취약성 관리 화면을 보여주는 도면이다.
도9는 본 발명의 일실시예에 따른 웹관리시스템의 일간, 주간, 월간, 년간의 기간과 관계된 취약성 카테고리별, 위험도별, OWASP10대 취약성별, 국정원 8대 취약성별, 패치위험관리별, Agent별 위험도와 관련된 통계 그래프를 보여주는 도면이다.
도10은 본 발명의 일실시예에 따른 웹관리시스템의 자동 관리스케줄러에 의하여 수집된 웹서버와 웹 프로그램의 취약성 정보를 디렉토리 및 파일구조 별로 명시하고 그 위험도를 표시하여 관리자 운영자에게 현재 웹시스템의 취약성 전부를 보여주는 패치관리화면을 보여주는 도면이다.
도11은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버의 로그를 자동으로 분석하기 위한 침해사고 분석화면을 보여주는 도면이다.
도12는 본 발명의 일실시예에 따른 웹관리시스템의 다양한 정보를 수정 및 관리하는 설정 관련 화면을 보여주는 도면이다.
도7에서 보는 바와 같이, 취약성 점검 화면은 웹서버의 취약성과 불법게시물, 악성코드 등의 노출 여부를 검출하기 위하여 체크 리스트를 선택하기 위한 화면으로써 크게 웹서버 버전 취약점 점검, 파라메터를 이용한 취약성 공격, 디렉토리 및 파일 구조의 취약성을 이용한 공격, 알려진 웹 CGI공격, 컨텐츠 취약성 점검, 개인정보보호 점검 부분으로 이루어진다.
특히, 컨텐츠 취약성은 웹게시판에 사용자가 등록한 욕설, 유언비어 등과 최근 사회적 화재가 되고 있는 웹페이지 위변조를 통한 DDoS공격의 유포 또는 경유지화 공격을 컨텐츠분석엔진(33)을 통하여 탐지할 수 있다.
그리고, 이러한 기술은 웹서버의 웹문서에 포함된 내용만을 검출하는 데에서 그치는 것이 아니라 첨부파일로 파일업로드된 내역 (엑셀, 아래한글, 워드, 파워포인트 등)을 URL 추출 및 추적 엔진(34)을 통하여 검출할 수 있다.
또한 취약성 점검에서 오탐제어엔진(35)을 통한 Include/Exclude 메커니즘을 적용하여, 관리자가 특별히 원하거나 원하지 않은 URL이 추출 또는 추적되었을 경우 예외 처리하여 웹 서버 취약점을 관리하는 오류보정 기능을 탑재한다. 이러한 기능은 특히 관리 대상 웹서버에 링크되어 있는 협찬 사이트나 상위 기관 사이트, 광고사이트를 배제하고 취약성을 관리하고 싶은 경우 유용하게 사용될 수 있다.
취약점 점검 항목은 크게 웹 응용프로그램 취약성 검증 부분과 웹서버에 업로드된 컨텐츠 취약성으로 나누어지며 웹 응용프로그램 취약성은 OWASP 10대 취약성과 국정원 8대 웹보안 취약성을 점검할 수 있도록 설계되어 있으며, 컨텐츠 취약성은 주민등록번호, 사업자 등록번호, 개인 전자메일 주소 등의 외부 노출 등을 점검할수 있도록 설계되어 있다.
특히 추가설정 부분을 지원하여, 사용자의 인증이 필요한 점검 항목과 쿠키값을 내장하여 점검할수 있는 최첨단 기능을 지원하고 있다.
취약점 점검 화면은 크게 대상 서버 선택과 점검 취약점 설정(4), 취약점 정보(5)로 구성이 되며, 임의적인 취약점 점검의 경우 취약점 점검결과 메뉴를 이용하여 보고서 등을 확인할 수 있도록 구성되어 있다.
도8에서 보는 바와 같이, 취약성 관리 화면은 크게 웹서버 점검 결과 (보고서 포함)(6)와 통계 데이터로 구분된다. 웹서버 점검 결과는 관리스케줄러에 의하여 자동으로 점검한 내용에 관한 일체의 기록이 담겨져 있으며, 취약한 내용에 관하여 자세히 명시되어 있다(7). 통계데이터는 일간, 주간, 월간, 년간의 기간과 관계된 취약성 카테고리별, 위험도별, OWASP10대 취약성별, 국정원 8대 취약성별, 패치위험관리별, Agent별 위험도와 관련된 통계 그래프가 제공된다. 이러한 그래프는 크게 파이그래프, 막대그래프, 꺽인선 그래프를 이용하여 관리자 운영자에게 보다 친숙한 통계화면을 제공하게 된다.
여기서, 상기 취약성 관리화면의 모든 데이터는 관리화면에서 등록된 관리대상 에이전트인 웹서버와 관련된 모든 내역이 제공되며, 등록되지 아니한 에이전트에 대한 정보는 제공하지 않는다.
도10에서 보는 바와 같이, 패치관리화면은 자동 관리스케줄러에 의하여 수집된 웹서버와 웹 프로그램의 취약성 정보를 디렉토리 및 파일구조 별로 명시하고 그 위험도를 표시하여 관리자 운영자에게 현재 웹시스템의 취약성 전부를 보여주는 화면이며, 관리자는 이러한 위험성을 인지하여 웹서버 또는 웹프로그램의 취약성을 패치(8)한 후 실제 패치가 정상적으로 이루어 졌는지에 대해 공격 재 생성기(Attack Replayer)를 이용하여 재 검증한 후 문제점이 없으면 패치 완료를 지정하고 체계적인 위험관리를 지원하는 화면이다. 이때 공격 재생성기는 공격 패턴의 수정 기능을 제공하여, 다양한 공격에 대한 취약성 파일을 점검할 수 있도록 지원한다.
도11의 침해사고 분석화면은 웹서버의 로그를 자동으로 분석하기 위한 화면이다. 이 분석화면을 이용하여 기존에 모든 웹 감사 시스템을 전문가 만이 사용하여 수동으로 수천라인의 웹로그를 일일이 검증하였다면, 후술되는 도21 내지 도23에서 보는 바와 같이 화면을 통하여 웹서버 관리자나 운영자는 웹로그를 단지 업로드(9) 하는 것만으로 웹 서버의 외부 공격시도 여부를 자동으로 분석할 수 있다(10). 특히 침해사고 분석기능은 정규식(regular expression)을 이용하여 해킹 가능성을 시그네이처(패턴화)화 하여 제1데이터베이스(10) 등에 저장하고, 해당 엔진(30)이 정규식을 이용 후 탐지하도록 하고, 이 정보는 사용자 또는 관리자가 향후에 검증할 수 있도록 로 데이터(Raw data) 확인 기능을 유아이(UI)에 제공하도록 한다.
도12는 웹관리시스템의 아래와 같이 다양한 정보를 수정 및 관리하는 설정 관련 화면이다.
공지사항(11)은 웹관리시스템을 접속하는 모든 이용자에게 공지사항을 전달 하고자 하는 경우에 사용하는 기능이다.
사용자 관리(12)는 웹관리시스템을 사용하도록 권한을 부여하는 사용자 관리 기능이다.
서버 관리(13)는 웹관리시스템에서 주기적인 관리를 도모하고자 하는 에이전트를 등록하는 화면이며, 이때 등록된 화면은 관리화면에 등록되게 된다.
점검일정표(14)는 웹관리시스템에 등록된 웹서버의 주기적인 관리 점검 일정을 도시한 화면이다.
프로세스 관리(15)는 웹관리시스템에서 운영 중이거나 실행중인 프로세스들을 관리할 수 있는 관리 항목이다.
로그관리(16)는 웹관리시스템을 로그인 후 이용한 주요 항목들을 리스트로 남기는 감사기능이다.
따라서, 웹시스템, 웹프로그램으로 접근하는 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지, 차단하는 종래의 방식에서 본 발명에 따른 웹관리시스템에 의하여 웹시스템, 웹프로그램에 근본적으로 내포된 취약성을 주기적으로 진단하고 효율적으로 개선, 관리하여 내포 또는 잠재적인 웹시스템의 취약성을 근본적으로 해결할 수 있게 된다.
도13은 본 발명의 일실시예에 따른 웹관리시스템의 검증 대상 웹 서버에 최초 접속하여 링크 추출 및 추적하는 간략한 도면으로써 추적 및 추출된 경로는 실제 웹페이지의 경로임으로 해당 웹페이지의 경로를 재호출하여 웹 페이지의 실질적 인 내용을 웹관리시스템 시스템이 직접 자신의 시스템을 가져오게 하는 단계를 순서대로 보여주는 도면이다.
도14는 악성 코드 및 취약성 정보가 내포되어 있는지 검증할 수 있는 컨텐츠 분석 엔진을 보여주는 도면이다.
도15 내지 도18은 본 발명의 일실시예에 따른 웹관리시스템의 컨텐츠 분석 엔진이 진단한 웹 서버 내의 중요정보를 보여주는 도면이다.
도13에서 보는 바와 같이, 웹관리시스템(또는 도면의 sniper 웹관리시스템)이 검증 대상 웹 서버에 최초 접속하여 링크 추출 및 추적한다.
그리고, 상기 추적 및 추출된 경로는 실제 웹페이지의 경로임으로 해당 웹페이지의 경로를 재호출하여 웹 페이지의 실질적인 내용을 웹관리시스템이 직접 자신의 시스템을 가져오게 된다.
이때 컨텐츠 분석 엔진은 다음과 같은 과정을 거쳐 악성 코드 및 취약성 정보가 내포되어 있는지 검증한다.
우선 링크(Link) 추적 및 추출엔진을 이용하여 수집된 링크 정보(파일의 위치까지 포함된 링크정보)를 이용하여 웹페이지를 재쿼리하여 수신된 응답값을 저장하는 처리 모듈을 이용하여 웹페이지의 몸체 부분의 내용 즉, 웹페이지의 모든 내용을 요청하여 가져오고 가져온 데이터의 컨텐츠 부분만을 걸러내는 분석엔진을 거쳐 정화된 데이터는 패턴 데이터 베이스를 통하여 욕설, 해킹 게시물, 주민등록번호 등의 컨텐츠와 관련된 정규식 매칭 엔진을 통하여 검색 및 추출된다.
도19는 본 발명의 일실시예에 따른 웹관리시스템의 여러 대의 물리적으로 분산된 원격의 특정 대상지에 존재하는 웹관리시스템 서버에 접속하여 분산점검을 수행하는 물리적 구성도를 보여주는 도면이다.
도20은 본 발명의 일실시예에 따른 웹관리시스템의 하나의 물리적인 시스템 내부에 웹관리시스템 클리이언트와 서버가 공존하는 경우를 보여주는 도면이다.
본 발명에 따른 웹관리시스템의 컨텐츠 분석 엔진 중 웹애플리케이션의 모든 페이지를 점검해야 함으로 일반적인 웹관련 해킹 분석 도구에 비하여 상당한 오버헤드를 가지는데 이러한 문제를 해결하기 위하여 본 시스템은 멀티 스레드 방식과 클라이언트 서버 구조 등을 포함하는 분산 처리장치라는 구조를 제공하게 된다.
특히, 분산 처리장치 중 클라이언트 서버 구조는 여러 서버들을 분산시킨 후 검색 및 검증에 필요한 절차를 로드밸런싱(load balancing) 함에 따라 짧은 시간에 여러 시스템의 점검할 수 있으며, 중앙 집중적인 관리를 동시에 처리할 수 있도록 지원하게 된다.
도20에서 보는 바와 같이, 가장 상위에 있는 하나의 클라이언트 프로그램을 이용하여 시스템 하나에 클라이언트와 서버 모두 구성되어 있는 경우에 비해 효율적인 자원 분배를 통한 원격 점검을 지원할 수 있게 된다.
또한, 원격에 존재하는 웹관리시스템에 따른 서버는 멀티스레딩(Multithreading)을 지원함으로써 동일한 프로세스를 다중으로 생성하여 하나의 잡을 지정한 스레드에 비례하여(1/n, n=스레드갯수) 분산 처리되는 효율성을 제공한다.
또한, 본 발명에 따른 웹관리시스템은 URL을 추적하고 추출하는 엔진, 웹취약성 점검 엔진, 컨텐츠 취약성 점검 엔진을 다계층으로 멀티스레딩 처리하여 하드웨어의 리소스 사용을 극대화 하여 사용할 수 있도록 제공한다.
따라서, 침해사고 분석과 관련된 웹로그 분석엔진은 비정형화된 웹서버 로그를 효율적으로 분석하기 위하여 웹관리시스템의 파싱기능(도3의 파서를 이용하여)을 이용하여 분석에 용이하도록 데이터를 구분하여 제2데이터베이스(50) 등에 저장하고 구분된 필드마다의 취약성 분석 항목을 도출 및 적용하여 웹서버 로그의 자동화 분석 기능을 제공하게 된다.
도21은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버 로그 파일을 업로드 한 후에 발생되는 상세 분석 처리 구성과 과정을 보여주는 도면이다.
도22는 본 발명의 일실시예에 따른 웹관리시스템의 검증 절차 이후에 해킹 시도가 발생한 경우, 날짜 및 시간, 출발지 도착지 인터넷 주소, 도착지 포트, Http Method, URL, Server Code등을 표기한 후 공격 시그네이처를 판별하여 공격명을 분류하여 팝업창으로 보여주는 도면이다.
도21에서 보는 바와 같이, 본 발명의 일실시예에 따른 웹로그분석엔진은 로그를 분리하는 로그파서(log parser)와 시그너처와 정규식을 저장하는 시그너처 데이터베이스(signature database)와 상기 분리된 로그와 상기 시그너처 데이터베이스에 저장된 시그너처와 정규식의 매칭을 검사하는 시그너처 매칭 엔진 및 레귤러 익스프레션 매칭 엔진(signature matching engine/regular expression matching engine)을 포함할 수 있다.
도면에서 보는 바와 같이 본 발명에 따른 웹로그분석엔진이 웹서버 로그 파일을 업로드 한 후에 발생되는 상세 분석 처리 과정이다. 일단 업로드 된 웹로그 파일은 상기 로그 파서를 이용하여 각 필드 및 의미별 구분작업이 수행되며, 구분된 데이터는 상기 시그너처 데이터베이스에 저장된다. 이때 본 발명에 따른 제1데이터베이스(10)와 상기 시그너처 데이터베이스를 통하여 정규식 또는 해킹 시도 패턴 시그네이처와 비교하여 해킹 시도가 있었는지 점검 및 검증하는 절차가 이루어 지게 된다.
따라서, 검증 절차 이후에 해킹 시도가 발생한 경우, 시그너처 매칭 엔진 및 레귤러 익스프레션 매칭 엔진을 통하여 날짜 및 시간, 출발지 도착지 인터넷 주소, 도착지 포트, Http Method, URL, Server Code등을 표기한 후 공격 시그네이처를 판별하여 공격명을 분류하게 된다.
도23은 본 발명의 일실시예에 따른 웹관리시스템의 웹로그의 수동 업로드 부분과 자동 업로드 부분을 구분하여 분석하는 구성과 과정을 보여주는 도면이다.
도23에서 보는 바와 같이, 본 발명의 일실시예에 따른 웹로그분석엔진은 로그를 수동 또는 자동으로 입력받는 로그리시버(log receiver)와 로그파서와 시그너처 매칭 엔진 및 레귤러 익스프레션 매칭 엔진과 시그너처 데이터베이스를 포함할 수 있다.
먼저, 도면에서 보는 바와 같이 상기 로그리시버에서 로그를 전달받아 로그 파서에 전달되며 자세한 사항은 상술한 바와 같다.
따라서, 본 발명에 따른 웹로그분석엔진의 침해사고 분석과 관련된 웹로그 자동 분석 기능은 웹 해킹 사고와 관련된 침해사고 대응을 전문가가 아닌 비전문가들에게 전문적인 침해사고 대응을 지원하기 위한 기능이다. 이러한 기능을 통하여 보안 관련 비전문가들이 자신의 시스템의 해킹 사고 유무에 대하여 보다 정밀한 진단을 할 수 있도록 시스템은 구현되어 있으며, 이러한 기능을 통하여 최근에 사회상을 반영하고 있는 웹관련 침해사고들을 줄일 수 있다.
도24는 본 발명의 일실시예에 따른 웹관리시스템의 웹서버가 설치되어 있는 네트워크 장비에 설치하여 웹서버의 취약성을 직접 관리하는 구성으로 다른 보안 장비나 네트워크 장비에 영향을 미치지 않는 것을 보여주는 도면이다.
도25는 본 발명의 일실시예에 따른 웹관리시스템의 웹방화벽과 연동하여 이미 분석된 웹 시스템의 취약성을 등록 후, 외부의 해킹시도에 대하여 방어 지원하는 것을 보여주는 도면이다.
이 외에도, 본 발명에 따른 웹관리시스템은 다양한 구성을 지원함으로써 보다 유연하게 네트워크의 위협구간 및 보안장비들의 보안 강도를 측정할 수 있도록 감사 기능을 제공하게 된다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변경 및 변형이 가능하다는 것은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백하다 할 것이다.
도 1은 종래의 웹서버 및 웹 프로그램의 근본적인 취약점 수정 및 패치 없이 세대별 삽입되어 운영되는 보안 네트워크를 보여주는 도면.
도2는 본 발명에 따른 웹관리시스템의 물리적인 설치 구성을 보여주는 도면.
도3은 본 발명의 일실시예에 따른 웹관리시스템의 전체적인 구성을 보여주는 도면.
도4a,b는 본 발명의 일실시예에 따른 웹관리시스템의 세부적인 구성을 보여주는 도면.
도5는 본 발명의 일실시예에 따른 웹관리시스템의 웹서버를 등록하여 맵을 구성하도록 지원하고 구성된 맵상에서 자유로이 웹서버를 배치하여 서버 시스템의 위험도에 대한 가독성을 높이는 웹 관리 화면에 대한 도면.
도6은 본 발명의 일실시예에 따른 웹관리시스템의 등록된 웹서버의 메인 페이지에 악의적인 공격자인 해커가 DDoS공격 툴을 배포할 목적으로 경유지 이용을 위한 공격용 스크립트를 삽입하는 경우, 경고 메시지와 함께 관리자가 설정한 방법으로 가시, 가청할수 있도록 하는 기능을 보여주는 팝업창 도면.
도7은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버 버전 취약점 점검, 파라메터를 이용한 취약성 공격, 디렉토리 및 파일 구조의 취약성을 이용한 공격, 알려진 웹 CGI공격, 컨텐츠 취약성 점검, 개인정보보호 점검 부분을 나타내는 취약성 점검 화면을 보여주는 도면.
도8은 취약성 관리 화면을 보여주는 도면.
도9는 본 발명의 일실시예에 따른 웹관리시스템의 일간, 주간, 월간, 년간의 기간과 관계된 취약성 카테고리별, 위험도별, OWASP10대 취약성별, 국정원 8대 취약성별, 패치위험관리별, Agent별 위험도와 관련된 통계 그래프를 보여주는 도면.
도10은 본 발명의 일실시예에 따른 웹관리시스템의 자동 관리스케줄러에 의하여 수집된 웹서버와 웹 프로그램의 취약성 정보를 디렉토리 및 파일구조 별로 명시하고 그 위험도를 표시하여 관리자 운영자에게 현재 웹시스템의 취약성 전부를 보여주는 패치관리화면을 보여주는 도면.
도11은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버의 로그를 자동으로 분석하기 위한 침해사고 분석화면을 보여주는 도면.
도12는 본 발명의 일실시예에 따른 웹관리시스템의 다양한 정보를 수정 및 관리하는 설정 관련 화면을 보여주는 도면.
도13은 본 발명의 일실시예에 따른 웹관리시스템의 검증 대상 웹 서버에 최초 접속하여 링크 추출 및 추적하는 간략한 도면으로써 추적 및 추출된 경로는 실제 웹페이지의 경로임으로 해당 웹페이지의 경로를 재호출 하여 웹 페이지의 실질적인 내용을 웹관리시스템 시스템이 직접 자신의 시스템을 가져오게 하는 단계를 순서대로 보여주는 도면.
도14는 악성 코드 및 취약성 정보가 내포 되어 있는지 검증할 수 있는 컨텐츠 분석 엔진을 보여주는 도면.
도15 내지 도18은 본 발명의 일실시예에 따른 웹관리시스템의 컨텐츠 분석 엔진이 진단한 웹 서버내의 중요정보를 보여주는 도면.
도19는 본 발명의 일실시예에 따른 웹관리시스템의 여러 대의 물리적으로 분산된 원격의 특정 대상지에 존재하는 웹관리시스템 서버에 접속하여 분산점검을 수행하는 물리적 구성도를 보여주는 도면.
도20은 본 발명의 일실시예에 따른 웹관리시스템의 하나의 물리적인 시스템 내부에 웹관리시스템 클리이언트와 서버가 공존하는 경우를 보여주는 도면.
도21은 본 발명의 일실시예에 따른 웹관리시스템의 웹서버 로그 파일을 업로드 한 후에 발생되는 상세 분석 처리 구성과 과정을 보여주는 도면.
도22는 본 발명의 일실시예에 따른 웹관리시스템의 검증 절차 이후에 해킹 시도가 발생한 경우, 날짜 및 시간, 출발지 도착지 인터넷 주소, 도착지 포트, Http Method, URL, Server Code등을 표기한 후 공격 시그네이처를 판별하여 공격명을 분류하여 팝업창으로 보여주는 도면.
도23은 본 발명의 일실시예에 따른 웹관리시스템의 웹로그의 수동 업로드 부분과 자동 업로드 부분을 구분하여 분석하는 구성과 과정을 보여주는 도면.
도24는 본 발명의 일실시예에 따른 웹관리시스템의 웹서버가 설치되어 있는 네트워크 장비에 설치하여 웹서버의 취약성을 직접 관리하는 구성으로 다른 보안 장비나 네트워크 장비에 영향을 미치지 않는 것을 보여주는 도면.
도25는 본 발명의 일실시예에 따른 웹관리시스템의 웹방화벽과 연동하여 이미 분석된 웹 시스템의 취약성을 등록 후, 외부의 해킹시도에 대하여 방어 지원하는 것을 보여주는 도면.
<도면의 주요부분에 대한 설명>
10 : 제1데이터베이스
20 : 파서
30 : 엔진
30-1 : 컨텐츠분석엔진
30-2 : 웹로그분석엔진
40 : UI 및 관리스케줄러
Claims (11)
- 파라미터의 취약성 정보인 필드에 삽입되는 명령어, 기호, 연산자, 및 취약성 점검 패턴을 저장하는 파라미터취약성 데이터베이스와 디렉토리파일취약성 정보와 구조를 저장하는 디렉토리 및 파일 취약성 데이터베이스와 컨텐츠의 취약성, 무결성, 및 해킹용 웹 스크립트컨텐츠의 정보를 저장하는 컨텐츠 취약성 데이터 베이스와 개인정보인 주민등록번호, 신용카드번호,사업자 등록번호, 전자메일 주소를 저장하는 개인정보 취약성 데이터 베이스와 시스템의 취약성 패턴 목록를 저장하는 시스템 취약성 데이터 베이스를 포함하는 제1데이터베이스와;등록된 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 시스템 서비스 이상 유무 (Health Check), 시스템 정보(웹서버정보, 웹 애플리케이션 정보)를 점검 및 관리하는 시스템 점검 엔진과, 등록되거나 사용자가 지정한 웹서버, 특정 웹관리 화면, 특정 웹 게시판의 프로그램 소스 및 웹관련 페이지와 관련된 URL, 웹애플리케이션, 데이터베이스의 취약성이나 해킹노출 가능여부를 점검 및 관리하는 취약성 점검 엔진과, 웹서버, 웹관리 화면, 및 웹 게시판의 프로그램 소스 및 웹관련 페이지 자체의 취약성, 첨부 또는 업로드된 컨텐츠의 해킹노출 가능여부를 점검 및 관리하는 컨텐츠 분석 엔진과, 웹서버에서 웹서버 구조를 분석하기 위한 URL추출과 웹 페이지간 연결된 URL을 추적하여 웹서버 전체의 디렉토리 및 파일의 주소 및 구조를 분석하는 URL 추출 및 추적 엔진과, 웹서버와 관련없는 URL주소를 분리, 삭제하는 오탐 제어 엔진과, 웹서버의 로그를 자동 또는 수동으로 입력받아 해킹 시도 또는 불법 업로드를 분석하는 웹로그 분석 엔진과, 웹서버에 접속하고 링크를 추출하여 컨텐츠의 해킹노출 가능여부에 대해 점검하고 관리하며 상기 웹서버의 로그를 입력받아 해킹 시도 또는 불법 업로드를 분석하는 웹관리장치가 관리작업을 수행한 적재된 데이터 베이스를 추출하여 보고서를 생성하는 보고서 생성기를 포함하는 엔진과;상기 URL 추출 및 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시키고 웹애플리케이션 파일, 파라메터, 값으로 나누어 웹서버, 웹애플리케이션, 데이터베이스의 주소를 구분하는 URL 파서와, 상기 URL 추출 및 추적 엔진에서 추출된 URL 정보를 웹서버의 절대주소와 매칭시켜 디렉토리 명과 파일의 위치 및 구조를 구분하는 디렉토리/파일 파서와, 상기 웹관리장치에서 관리대상 웹서버에 URL요청후 돌아오는 응답패킷의 본문 및 첨부파일의 본문을 구분하여 상기 컨텐츠 분석 엔진에 전달하는 컨텐츠 파서와, 웹관리시스템에 입력된 웹서버 로그를 요청메소드, 요청IP주소, URL, 응답 상태 코드, HTTP 프로토콜 버전으로 구분하여 상기 웹로그 분석 엔진에 전달하는 웹로그 파서를 포함하는 파서;를 포함하여 구성되는 것을 특징으로 하는 웹관리시스템.
- 제1항에 있어서,원격에서 관리대상 웹서버에 접속하여 점검 관리 업무를 수행하도록 하는 TCP/IP 소켓과;상기 웹관리장치에 따른 관리대상 웹서버의 취약점 및 보안 위배 사항이 발생한 경우 관리자 또는 운영자에게 알람 또는 정해진 동작을 취하는 경보 매니저와;상기 웹관리장치가 일정 주기에 의하여 자동적으로 수행되도록 지원하는 관리스케줄러와;원격의 사용자가 모니터링, 경고열람, 웹서버 취약성 통계정보, 웹서버의 시스템 상태, 웹점검 기능을 수행하도록 열어놓은 접속 화면인 Web Interface;를 포함하여 구성되는 것을 특징으로 하는 웹관리시스템.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080047900A KR100918370B1 (ko) | 2008-05-23 | 2008-05-23 | 웹관리시스템 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080047900A KR100918370B1 (ko) | 2008-05-23 | 2008-05-23 | 웹관리시스템 및 그 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100918370B1 true KR100918370B1 (ko) | 2009-09-21 |
Family
ID=41355973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080047900A KR100918370B1 (ko) | 2008-05-23 | 2008-05-23 | 웹관리시스템 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100918370B1 (ko) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101253616B1 (ko) * | 2011-12-09 | 2013-04-11 | 한국인터넷진흥원 | 네트워크 경로 추적 장치 및 방법 |
| KR101262845B1 (ko) * | 2009-12-18 | 2013-05-09 | 한국전자통신연구원 | Uri컨텐츠 식별을 이용한 웹 부하 공격 차단 장치 및 공격 차단 방법 |
| KR20160087465A (ko) * | 2015-01-13 | 2016-07-22 | 주식회사 시큐아이 | 정보 검색 방법 및 장치 |
| KR20160089995A (ko) * | 2015-01-21 | 2016-07-29 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
| KR101772129B1 (ko) * | 2016-06-01 | 2017-08-29 | (주)엑스소프트 | 콘텐츠 무결성을 검증하는 지능형 스토리지 시스템 |
| CN110147411A (zh) * | 2019-05-20 | 2019-08-20 | 平安科技(深圳)有限公司 | 数据同步方法、装置、计算机设备及存储介质 |
| CN114200894A (zh) * | 2020-09-17 | 2022-03-18 | 上海骞行信息科技有限公司 | 一种基于网络流量分析的plc生产线全息监控系统 |
| WO2023158086A1 (ko) * | 2022-02-18 | 2023-08-24 | 중부대학교 산학협력단 | 진단서버에 의해 제공되는 취약점 진단 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100653120B1 (ko) * | 2005-08-31 | 2006-12-01 | 학교법인 대전기독학원 한남대학교 | 윈도우 시스템에서의 해킹 피해 분석 시스템 및 그 방법 |
| KR100736540B1 (ko) * | 2006-02-20 | 2007-07-06 | 에스케이 텔레콤주식회사 | 웹 서버 위/변조 감시장치 및 그 방법 |
-
2008
- 2008-05-23 KR KR1020080047900A patent/KR100918370B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100653120B1 (ko) * | 2005-08-31 | 2006-12-01 | 학교법인 대전기독학원 한남대학교 | 윈도우 시스템에서의 해킹 피해 분석 시스템 및 그 방법 |
| KR100736540B1 (ko) * | 2006-02-20 | 2007-07-06 | 에스케이 텔레콤주식회사 | 웹 서버 위/변조 감시장치 및 그 방법 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101262845B1 (ko) * | 2009-12-18 | 2013-05-09 | 한국전자통신연구원 | Uri컨텐츠 식별을 이용한 웹 부하 공격 차단 장치 및 공격 차단 방법 |
| KR101253616B1 (ko) * | 2011-12-09 | 2013-04-11 | 한국인터넷진흥원 | 네트워크 경로 추적 장치 및 방법 |
| KR20160087465A (ko) * | 2015-01-13 | 2016-07-22 | 주식회사 시큐아이 | 정보 검색 방법 및 장치 |
| KR101666443B1 (ko) * | 2015-01-13 | 2016-10-17 | 주식회사 시큐아이 | 정보 검색 방법 및 장치 |
| KR20160089995A (ko) * | 2015-01-21 | 2016-07-29 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
| KR101650316B1 (ko) * | 2015-01-21 | 2016-08-23 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
| KR101772129B1 (ko) * | 2016-06-01 | 2017-08-29 | (주)엑스소프트 | 콘텐츠 무결성을 검증하는 지능형 스토리지 시스템 |
| CN110147411A (zh) * | 2019-05-20 | 2019-08-20 | 平安科技(深圳)有限公司 | 数据同步方法、装置、计算机设备及存储介质 |
| CN110147411B (zh) * | 2019-05-20 | 2024-05-28 | 平安科技(深圳)有限公司 | 数据同步方法、装置、计算机设备及存储介质 |
| CN114200894A (zh) * | 2020-09-17 | 2022-03-18 | 上海骞行信息科技有限公司 | 一种基于网络流量分析的plc生产线全息监控系统 |
| CN114200894B (zh) * | 2020-09-17 | 2024-05-28 | 上海骞行信息科技有限公司 | 一种基于网络流量分析的plc生产线全息监控系统 |
| WO2023158086A1 (ko) * | 2022-02-18 | 2023-08-24 | 중부대학교 산학협력단 | 진단서버에 의해 제공되는 취약점 진단 방법 |
| KR20230124189A (ko) * | 2022-02-18 | 2023-08-25 | 중부대학교 산학협력단 | 진단서버에 의해 제공되는 취약점 진단 방법 |
| KR102679203B1 (ko) * | 2022-02-18 | 2024-06-26 | 중부대학교 산학협력단 | 진단서버에 의해 제공되는 취약점 진단 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10397279B2 (en) | Directing audited data traffic to specific repositories | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| KR100918370B1 (ko) | 웹관리시스템 및 그 방법 | |
| CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| US8185488B2 (en) | System and method for correlating events in a pluggable correlation architecture | |
| US20070169199A1 (en) | Web service vulnerability metadata exchange system | |
| US10917422B2 (en) | Digital auditing system and method for detecting unauthorized activities on websites | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| Hassan et al. | Quantitative assessment on broken access control vulnerability in web applications | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| Kim et al. | A system for detection of abnormal behavior in BYOD based on web usage patterns | |
| CN100407089C (zh) | 检测非法访问计算机网络的系统和方法 | |
| Kergl et al. | Detection of zero day exploits using real-time social media streams | |
| Skopik et al. | Intrusion detection in distributed systems using fingerprinting and massive event correlation | |
| Awotipe | Log analysis in cyber threat detection | |
| Mattila | Integration of arctic node threat intelligence sharing platform with Suricata | |
| Rodríguez et al. | Discovering attacker profiles using process mining and the MITRE ATT&CK taxonomy | |
| Shivhare et al. | Addressing Security Issues of Small and Medium Enterprises through Enhanced SIEM Technology | |
| Han et al. | A model for website anomaly detection based on log analysis | |
| Lin et al. | Log Analysis | |
| Sheshasaayee et al. | An Analytical Survey on Intrusion Detection System and Their Identification Methodologies | |
| Papadakis et al. | Technical Cybersecurity Implementation on Automated Minibuses with Security Information and Event Management (SIEM) | |
| Bruzzese | An Analisys of Application Logs with Splunk: developing an App for the synthetic analysis of data and security incidents | |
| Fiedelholtz et al. | Incident Detection and Characterization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E90F | Notification of reason for final refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120927 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20131010 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20150909 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20160908 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20180917 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20190916 Year of fee payment: 11 |