KR101041997B1 - System for counterplaning web firewall using conative detection?interception and method therefor - Google Patents
System for counterplaning web firewall using conative detection?interception and method therefor Download PDFInfo
- Publication number
- KR101041997B1 KR101041997B1 KR1020090085711A KR20090085711A KR101041997B1 KR 101041997 B1 KR101041997 B1 KR 101041997B1 KR 1020090085711 A KR1020090085711 A KR 1020090085711A KR 20090085711 A KR20090085711 A KR 20090085711A KR 101041997 B1 KR101041997 B1 KR 101041997B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- client
- code analysis
- attack code
- cookie
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것으로서, 정보통신망을 통해 방화벽을 경유하여 웹서비스를 위한 웹 데이터를 웹서버로 전송하는 클라이언트; 및 클라이언트의 IP가 제1 IP정보DB, 2제 IP정보DB 또는 쿠키DB에 기 저장된 블랙리스트 IP내역 또는 블랙리스트 쿠키정보와 일치하는지 여부를 판단하여 일치하는 경우, 클라이언트와 웹서버간의 접속을 차단하고, 판단결과 일치하지 않는 경우, 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하며, 공격코드 분석정보의 점수화데이터를 토대로 클라이언트와 웹서버간의 쿠키세션 일시차단, 쿠키세션 차단, 또는 IP 차단 중에 어느 하나의 차단옵션을 수행하는 방화벽; 을 포함한다.The present invention relates to a corresponding system and method for actively detecting and blocking a web firewall, comprising: a client for transmitting web data for a web service to a web server via a firewall through an information communication network; And determining whether or not the IP of the client matches the blacklisted IP history or the blacklisted cookie information previously stored in the first IP information DB, the second IP information DB, or the cookie DB. If the result does not match, the attack code analysis information generated by analyzing the attack code included in the client IP is scored, and the cookie session is temporarily blocked between the client and the web server based on the scoring data of the attack code analysis information. A firewall that performs the blocking option of either session blocking or IP blocking; .
상기와 같은 본 발명에 따르면, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하며, DOS 또는 DDOS와 같은 공격시에도 사용자별로 세션을 일시적으로 차단함으로써, 하드웨어의 여유 자원을 확보하는 효과가 있다.According to the present invention as described above, when receiving a hacking attack, the network layer layer 7 which receives a lot of hardware resource load through active multi-level response according to the preset attack risk score, not the number of attacks, does not block the IP, and at layer 3 It blocks the IP and temporarily blocks the session for each user even in the case of attacks such as DOS or DDOS, thereby freeing up resources of the hardware.
웹서버, 방화벽, IP, 세션, 쿠키, 점수화데이터, Layer 7, Layer 3 Web server, firewall, IP, session, cookie, scoring data, Layer 7, Layer 3
Description
본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는 웹 방화벽에서 해킹 공격에 대응하여 단순히 탐지ㆍ차단만 하지 않고, 단계적으로 경고, 세션 일시차단, 또는 세션 완전차단 중에 어느 하나의 단계를 수행하되, 해킹 공격별 설정된 점수정보를 토대로 능동적으로 단계별로 제어하는 기술에 관한 것이다.The present invention relates to a countermeasure system and method for active detection and blocking of a web firewall, and more particularly, to not only detect and block a hacking attack in a web firewall, but also to step-by-step a warning, temporarily block a session, or The present invention relates to a technique for performing any one step of full session blocking, and actively controlling step by step based on score information set for each hacking attack.
본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것이다.The present invention relates to a response system and method for active detection and blocking of a web firewall.
일반적으로 웹 방화벽의 경우, 도 1 에 도시된 바와 같이 단순히 공격에 대해서 탐지만 하거나 웹서버에 공격 데이터를 전송시키지 않는 차단 단계를 수행함으로써, 공격자에게 해킹의 경각심을 일깨우지 않는바, 해커들의 지속적인 공격 대상이 되고 있다.In general, in the case of a web firewall, as shown in FIG. 1, by simply performing an interception step of detecting an attack or not transmitting the attack data to a web server, the attacker does not arouse the alarm of hacking. You are being attacked.
또한, 단순히 공격 횟수에 따른 대응으로 일관함으로써, 일정 공격 횟수 동 안은 위험한 공격이 들어오더라도 계속 공격을 당하는 경우가 허다하며, 근래에 인터넷 대란으로 큰 피해를 주고 있는 DOS(Denial Of Service) 공격 또는 DDOS(Distributed Denial Of Service) 공격 발생시 웹 방화벽 하드웨어 자원에 막대한 부하를 전가하게 되고, 이를 통해 무용지물이 된 웹 방화벽이 해킹공격에 대응하지 못하는 문제점이 있다.In addition, by consistently responding according to the number of attacks, even if a dangerous attack comes in a certain number of times, the attack is often continued, and the recent DOS (Denial Of Service) attack that is causing great damage due to the Internet turmoil or When a DDOS (Distributed Denial Of Service) attack occurs, a heavy load is placed on the web firewall hardware resources, and through this, the web firewall, which has become useless, cannot cope with the hacking attack.
본 발명은 상기와 같은 문제점을 해소하고자 안출된 것으로서, 본 발명의 목적은, 웹 방화벽의 대응 단계에 있어서 능동적으로 다단계 대응하되, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하는 시스템 및 방법을 제공함에 있다.The present invention has been made to solve the above problems, the object of the present invention is to actively respond to the multi-step in the corresponding step of the web firewall, when receiving a hacking attack, according to the predetermined attack risk score, not the number of attacks The present invention provides a system and method for blocking IP at Layer 3 without actively blocking IP at a network layer that is heavily loaded with hardware resources through active multi-level response.
이러한 기술적 과제를 달성하기 위한 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템은, 정보통신망을 통해 방화벽을 경유하여 웹서비스를 위한 웹 데이터를 웹서버로 전송하는 클라이언트; 및 클라이언트의 IP가 제1 IP정보DB, 2제 IP정보DB 또는 쿠키DB에 기 저장된 블랙리스트 IP내역 또는 블랙리스트 쿠키정보와 일치하는지 여부를 판단하여 일치하는 경우, 클라이언트와 웹서버간의 접속을 차단하고, 판단결과 일치하지 않는 경우, 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하며, 공격코드 분석정보의 점수화데이터를 토대로 클라이언트와 웹서버간의 쿠키세션 일시차단, 쿠키세션 차단, 또는 IP 차단 중에 어느 하나의 차단옵션을 수행하는 방화벽; 을 포함한다.In accordance with an aspect of the present invention, there is provided a system for actively detecting and blocking a web firewall, including: a client transmitting web data for a web service to a web server via a firewall through an information communication network; And determining whether or not the IP of the client matches the blacklisted IP history or the blacklisted cookie information previously stored in the first IP information DB, the second IP information DB, or the cookie DB. If the result does not match, the attack code analysis information generated by analyzing the attack code included in the client IP is scored, and the cookie session is temporarily blocked between the client and the web server based on the scoring data of the attack code analysis information. A firewall that performs the blocking option of either session blocking or IP blocking; .
그리고, 상술한 시스템을 기반으로 하는 본 발명의 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법은, 방화벽이 클라이언트로부터 웹 데이터를 수신하는 (a) 단계; 방화벽의 IP선별수단이 클라이언트의 IP를 독출하고, 제1 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 클라이언트의 IP와 일치하는지 여부를 판단하는 (b) 단계; (b) 단계의 판단결과, 클라이언트의 IP와 제1 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, 방화벽의 IP판별수단이 클라이언트의 IP와 제2 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 클라이언트의 IP와 일치하는지 여부를 판단하는 (c) 단계; (c) 단계의 판단결과, 클라이언트의 IP와 제2 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단이 클라이언트의 IP와 쿠키DB에 기 저장된 블랙리스트 쿠키정보가 서로 부합하는지 여부를 판단하는 (d) 단계; (d) 단계의 판단결과, 클라이언트의 IP와 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 방화벽의 웹 데이터 분석수단이 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하는 (e) 단계; 방화벽의 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '1점'인지 여부를 판단하는 (f) 단계; (f) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '2점'인지 여부를 판단하는 (g) 단계; (g) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '3점'인지 여부를 판단하는 (h) 단계; (h) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '4점'인지 여부를 판단하는 (i) 단계; 및 (i) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'이 아닌 경우, 방화벽 제어수단이 클라이언트로부터 수신한 웹 데이터를 웹서버로 전송하는 (j) 단계; 를 포함한다.In addition, the corresponding method for active detection and blocking of the web firewall of the present invention based on the above system includes the steps of: (a) the firewall receiving web data from a client; (B) determining, by the IP selection means of the firewall, reading the client's IP and indexing the blacklisted IP contents previously stored in the first IP information DB to match the client's IP; As a result of the determination in step (b), when the IP of the client and the blacklist IP contents previously stored in the first IP information database do not match, the IP discrimination means of the firewall is previously stored in the IP of the client and the second IP information DB. (C) determining whether the IP contents match the IP of the client by indexing the IP contents; As a result of determining in step (c), if the IP of the client and the blacklisted IP contents previously stored in the second IP information database do not match, the IP discriminating means matches the blacklist cookie information previously stored in the client's IP and the cookie DB. (D) determining whether to do so; As a result of the step (d), if the IP of the client and the blacklist cookie information do not match with each other, the web data analysis means of the firewall analyzes the attack code included in the IP of the client to generate scored attack code analysis information. (e) step; (F) determining, by the firewall control means of the firewall, whether the scoring data included in the attack code analysis information is 'one point'; As a result of the determination in step (f), when the scoring data included in the attack code analysis information is not '1 point', the firewall control means determines whether the scoring data included in the attack code analysis information is '2 points' ( g) step; As a result of determining in step (g), if the scoring data included in the attack code analysis information is not '2 points', the firewall control means determines whether the scoring data included in the attack code analysis information is '3 points' ( h) step; As a result of the determination in step (h), when the scoring data included in the attack code analysis information is not '3 points', the firewall control means determines whether the scoring data included in the attack code analysis information is '4 points' ( i) step; And (j) when the scoring data included in the attack code analysis information is not 'four points' as a result of the determination in step (i), the firewall control means transmitting the web data received from the client to the web server; It includes.
상기와 같은 본 발명에 따르면, 웹 방화벽의 대응 단계에 있어서 능동적으로 다단계 대응하되, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하는 효과가 있다.According to the present invention as described above, in the response stage of the web firewall, but actively responding to the multi-level, when receiving a hacking attack, the network receives a lot of hardware resources through active multi-level response according to the predetermined attack risk score, not the number of attacks It is effective to block IP at Layer 3 without blocking IP at Layer 7.
또한, 본 발명에 따르면, DOS 또는 DDOS와 같은 공격시에도 사용자별로(공유기를 통한 공인 IP가 같은 NAT IP의 경우에는 NAT IP별로) 세션을 일시적으로 차단함으로써, 하드웨어 자원을 원활하게 함은 물론, 웹 방화벽 하드웨어의 여유 자원을 확보하는 효과가 있다.In addition, according to the present invention, even in the case of an attack such as DOS or DDOS by temporarily blocking the session for each user (in case of NAT IP in the case of NAT IP with the same public IP), the hardware resources, as well as smoothly, It has the effect of freeing up resources of web firewall hardware.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, terms and words used in the present specification and claims are to be interpreted in accordance with the technical idea of the present invention based on the principle that the inventor can properly define the concept of the term in order to explain his invention in the best way. It should be interpreted in terms of meaning and concept. It is to be noted that the detailed description of known functions and constructions related to the present invention is omitted when it is determined that the gist of the present invention may be unnecessarily blurred.
도 2 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템을 도시한 구성도이고, 도 3 은 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)의 구성요소들 간의 관계를 나타낸 도면인바, 도시된 바와 같이 클라이언트(100), 방화벽(200), 및 웹서버(300)를 포함하여 구성된다.2 is a block diagram showing a response system for active detection and blocking of a web firewall according to the present invention, Figure 3 is a component of a response system (S) for active detection and blocking of a web firewall according to the present invention As shown in the drawing, the
클라이언트(100)는 정보통신망을 통해 방화벽(200)이 구비된 웹서버(300)와 접속되되, 상기 방화벽(200)을 경유하여 웹서버(300)로 웹서비스를 위한 데이터들을 전송한다.The
한편, 방화벽(200)은 네트워크 계층 Layer3(이하, 'IP선별수단(210)'), 제1 IP정보DB(220), 네트워크 계층 Layer7(이하, 'IP판별수단(230)'), 제2 IP정보DB(240), 쿠키DB(250), 웹 데이터 분석수단(260), 및 방화벽 제어수단(270)을 포함하여 구성된다.On the other hand, the
세부적으로, 방화벽(200)은 IP선별수단(210)을 통해 상기 웹서비스 데이터를 전송한 클라이언트(100)의 IP를 독출하고, 제1 IP정보DB(220)에 기 저장된 블랙리스트 IP내역을 색인하여 독출한 IP와 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다.In detail, the
이때, IP선별수단(210)의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP selection means 210 determines that the IP of the
반면에, IP선별수단(210)의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230) 이 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다.On the other hand, when the IP selection means 210 determines that the IP of the
이때, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP determination means 230 determines that the IP of the
반면에, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키(cookie)정보가 서로 부합하는지 여부를 판단한다.On the other hand, if the IP discriminating means 230 determines that the IP of the
이때, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 부합하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP determining means 230 determines that the IP of the
반면에, IP판별수단(230)의 판단결과, 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 웹 데이터 분석수단(260)이 상기 클라이언트(100)의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성한다.On the other hand, when the IP discriminating means 230 determines that the IP read out from the
여기서, 공격코드 분석정보는, 클라이언트(100)의 IP에 포함된 공격코드의 분석에 의해 생성되며, 공격코드에 삽입된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 기 설정된 점수데이터와 부합하도록 점수화한 정보이나, 본 발명이 이에 국한되는 것은 아니며, 공격코드 분석정보 에 포함된 정보들에 대한 항목은 설정변경에 따라 추가ㆍ변경이 가능하다.Here, the attack code analysis information is generated by analysis of the attack code included in the IP of the
또한, 기 설정된 점수화데이터는, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 '0점' 내지 '4점'의 점수를 부여하도록 설정된다.In addition, the predetermined scoring data, the cookie information of the IP included in the attack code analysis information, session information, the presence or absence of malicious code, and the number of attacks per hour to count each of the "0" to "4 points" to give a score Is set.
예컨대, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '0'인 경우, 점수화데이터가 '0점'으로 생성될 수 있다.For example, when the number by each count of data about the cookie information, session information, malicious code insertion, and the number of attacks per hour included in the attack code analysis information is '0', the scoring data is set to '0 point'. Can be generated.
또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '1'인 경우, 점수화데이터가 '1점'으로 생성될 수 있다.In addition, when the number of each of the data on the cookie information, session information, malicious code insertion, and the number of attacks per hour included in the attack code analysis information is '1', the scoring data is '1 point' Can be generated.
또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 또는 시간당 공격횟수에 대한 데이터 중에 어느 하나의 데이터가 존재하여 카운트에 의한 개수가 '2'인 경우, 점수화데이터가 '2점'으로 생성될 수 있다.In addition, when any one of the data of the cookie information, session information, the presence or absence of malicious code, or the number of attacks per hour included in the attack code analysis information is present and the number by the count is '2', scoring data May be generated as 'two points'.
또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 또는 시간당 공격횟수에 대한 데이터 중에 3개 이상의 데이터가 존재하여 카운트에 의한 개수가 '3'인 경우, 점수화데이터가 '3점'으로 생성될 수 있다.In addition, when three or more data exist among the data of cookie information, session information, malicious code insertion, or the number of attacks per hour included in the attack code analysis information, and the number by count is '3', scoring data Can be generated as 'three points'.
그리고, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터가 모두 존재하여 카운트에 의한 개수가 '4'인 경우, 점수화데이터가 '4점'으로 생성될 수 있다.In addition, when the data by cookie count, session information, malicious code insertion, and the number of attack times per hour are all included in the attack code analysis information, and the count is '4', the scoring data is '4 points'. Can be generated with
한편, 방화벽 제어수단(270)은 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '1점'인지 여부를 판단한다.Meanwhile, the firewall control means 270 receives the attack code analysis information generated by the web data analysis means 260 to determine whether the scoring data is 'one point'.
이때, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 기 설정된 경고페이지정보를 상기 클라이언트(100)로 전송한다. 여기서, 경고페이지정보는 공격자에게 경각심을 일으키도록 사이버수사대 홈페이지로 설정할 수 있으나, 본 발명이 이에 국한되지는 않는다.At this time, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '1 point', the preset warning page information is transmitted to the
또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단(230)을 제어하여 기 설정된 소정시간 동안 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 쿠키정보를 쿠키DB(250)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '2 points', the IP discrimination means 230 is controlled to be included in the attack code analysis information for a predetermined time. The cookie session is blocked and the cookie information of the attack code analysis information is registered and stored in the cookie DB 250.
또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단(230)을 제어하여 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 IP정보를 제2 IP정보DB(240)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '3 points', the IP discrimination means 230 is controlled to block the cookie session included in the attack code analysis information. In addition, the IP information of the attack code analysis information is registered and stored in the second IP information DB (240).
또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단(210)을 제어하여 공격코드 분석정보에 포함된 쿠키 세션 및 공격코드 분석정보의 IP정보를 차단하고, 공격코드 분석정보의 IP정보를 제1 IP정보DB(220)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is 'four points', the cookie session and attack included in the attack code analysis information are controlled by controlling the IP selection means 210. The IP information of the code analysis information is blocked, and the IP information of the attack code analysis information is registered and stored in the first
그리고, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점' 내지 '4점'에 포함되지 않은 경우, 클라이언트(100)로부터 전송된 웹서비스를 위한 데이터들을 웹서버(300)로 전송한다.When the scoring data included in the attack code analysis information is not included in the 'one point' to the 'four point', the data for the web service transmitted from the
따라서, 웹서버(300)는 방화벽(200)의 공격코드 분석에 따른 점수데이터에 따라 단계별 검증을 거친 클라이언트(100)와 웹서비스를 위한 데이터를 송수신한다.Therefore, the
한편, 도 4 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법을 나타낸 순서도인바, 도시된 바와 같이, 방화벽(200)이 클라이언트(100)로부터 웹 데이터를 수신한다(S10).On the other hand, Figure 4 is a flow chart illustrating a corresponding method for active detection and blocking of the web firewall according to the present invention, as shown, the
이어서, 방화벽(200)의 IP선별수단(210)이 상기 웹서비스 데이터를 전송한 클라이언트(100)의 IP를 독출하고, 제1 IP정보DB(220)에 기 저장된 블랙리스트 IP내역을 색인하여, 클라이언트(100)의 IP와 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다(S20).Subsequently, the IP selection means 210 of the
제S20단계의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, IP선별수단(210)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S21).As a result of the determination in step S20, when the IP of the
반면에, 제S20단계의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다(S30).On the other hand, when the determination result of step S20, when the IP of the
제S30단계의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, IP판별수단(230)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S31).As a result of the determination in step S30, when the IP of the
반면에, 제S30단계의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키(cookie)정보가 서로 부합하는지 여부를 판단한다(S40).On the contrary, if the determination result of step S30 is that the IP of the
제S40단계의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 부합하는 경우, IP판별수단(230)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S41).As a result of the determination in step S40, when the IP of the
반면에, 제S40단계의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 웹 데이터 분석수단(260)이 상기 클라이언트(100)의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성한다(S50).On the other hand, if the determination result of step S40, the IP of the
이어서, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '1점'인지 여부를 판단한다(S60).Subsequently, the firewall control means 270 receives the attack code analysis information generated by the web data analyzing means 260 to determine whether the scoring data is 'one point' (S60).
제S60단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 기 설정된 경고페이지정보를 상기 클라이언트(100)로 전송한다(S61).As a result of the determination in step S60, when the scoring data included in the attack code analysis information is '1 point', the preset warning page information is transmitted to the client 100 (S61).
반면에, 제S60단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '2점'인지 여부를 판단한 다(S70).On the other hand, if the scored data included in the attack code analysis information is not 'one point' as a result of the determination in step S60, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. Upon receiving the information, it is determined whether the scoring data is '2 points' (S70).
제S70단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단(230)이 기 설정된 소정시간 동안 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 쿠키정보를 쿠키DB(250)에 등록ㆍ저장한다(S71).As a result of the determination in step S70, when the scoring data included in the attack code analysis information is '2 points', the IP discrimination means 230 blocks the cookie session included in the attack code analysis information for a predetermined time. In addition, the cookie information of the attack code analysis information is registered and stored in the cookie DB 250 (S71).
반면에, 제S70단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '3점'인지 여부를 판단한다(S80).On the other hand, if the scored data included in the attack code analysis information is not 'two points' as a result of the determination in step S70, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. Upon receiving the information, it is determined whether the scoring data is 'three points' (S80).
제S80단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단(230)이 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 IP정보를 제2 IP정보DB(240)에 등록ㆍ저장한다(S81).As a result of the determination in step S80, when the scoring data included in the attack code analysis information is '3 points', the IP discrimination means 230 blocks the cookie session included in the attack code analysis information and the attack code analysis information. The IP information is registered and stored in the second IP information DB 240 (S81).
반면에, 제S80단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '4점'인지 여부를 판단한다(S90).On the other hand, when the scored data included in the attack code analysis information is not 'three points' as a result of step S80, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. It is determined whether the scoring data is '4 points' by receiving the information (S90).
제S90단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단(210)이 공격코드 분석정보에 포함된 쿠키 세션 및 공격코드 분석정보의 IP정보를 차단하고, 공격코드 분석정보의 IP정보를 제1 IP정보DB(220)에 등록ㆍ저장한다(S91).As a result of the determination in step S90, when the scoring data included in the attack code analysis information is '4 points', the IP selection unit 210 displays the IP information of the cookie session and attack code analysis information included in the attack code analysis information. Blocking, the IP information of the attack code analysis information is registered and stored in the first IP information DB 220 (S91).
반면에, 제S90단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'이 아닌 경우, 방화벽 제어수단(270)이 클라이언트(100)로부터 전송된 웹서비스를 위한 데이터들을 웹서버(300)로 전송한다(S100).On the other hand, if the scored data included in the attack code analysis information is not 'four points' as a result of step S90, the firewall control means 270 sends the data for the web service transmitted from the
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서, 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.As described above and described with reference to a preferred embodiment for illustrating the technical idea of the present invention, the present invention is not limited to the configuration and operation as shown and described as described above, it is a deviation from the scope of the technical idea It will be understood by those skilled in the art that many modifications and variations can be made to the invention without departing from the scope of the invention. Accordingly, all such suitable changes and modifications and equivalents should be considered to be within the scope of the present invention.
도 1 은 종래의 웹 방화벽 탐지ㆍ차단 시스템을 나타낸 구성도.1 is a block diagram showing a conventional web firewall detection and blocking system.
도 2 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)을 나타낸 구성도.Fig. 2 is a block diagram showing a response system S for active detection and blocking of a web firewall according to the present invention.
도 3 은 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)의 구성요소들 간의 관계를 나타낸 도면.3 is a diagram showing the relationship between the components of the response system (S) for active detection and blocking of a web firewall according to the present invention.
도 4 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법을 나타낸 순서도.4 is a flowchart illustrating a corresponding method for active detection and blocking of a web firewall according to the present invention.
** 도면의 주요 부분에 대한 부호의 설명 **** Description of symbols for the main parts of the drawing **
S: 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템S: Response System for Active Detection and Blocking of Web Firewalls
100: 클라이언트 200: 방화벽100: Client 200: Firewall
210: IP선별수단 220: 제1 IP정보DB210: IP selection means 220: first IP information DB
230: IP판별수단 240: 제2 IP정보DB230: IP discrimination means 240: second IP information DB
250: 쿠키DB 260: 웹 데이터 분석수단250: cookie DB 260: web data analysis means
270: 방화벽 제어수단 300: 웹서버270: firewall control means 300: web server
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090085711A KR101041997B1 (en) | 2009-09-11 | 2009-09-11 | System for counterplaning web firewall using conative detection?interception and method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090085711A KR101041997B1 (en) | 2009-09-11 | 2009-09-11 | System for counterplaning web firewall using conative detection?interception and method therefor |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110027907A KR20110027907A (en) | 2011-03-17 |
KR101041997B1 true KR101041997B1 (en) | 2011-06-16 |
Family
ID=43934441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090085711A KR101041997B1 (en) | 2009-09-11 | 2009-09-11 | System for counterplaning web firewall using conative detection?interception and method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101041997B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10701178B2 (en) | 2016-10-31 | 2020-06-30 | Samsung Sds Co., Ltd. | Method and apparatus of web application server for blocking a client session based on a threshold number of service calls |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102211503B1 (en) * | 2019-04-17 | 2021-02-04 | 주식회사 케이티 | Harmful ip determining method |
KR102341928B1 (en) * | 2020-12-31 | 2021-12-24 | (주)에코넷시스템 | Harmful IP adress provision system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050095147A (en) * | 2004-03-25 | 2005-09-29 | 주식회사 케이티 | Hacking defense apparatus and method with hacking type scenario |
KR20070087198A (en) * | 2004-12-21 | 2007-08-27 | 미슬토우 테크놀로지즈, 인코포레이티드 | Network interface and firewall device |
KR20080030130A (en) * | 2006-09-29 | 2008-04-04 | 주식회사 케이티 | System for managing risk of customer on-demand and method thereof |
KR20090047891A (en) * | 2007-11-08 | 2009-05-13 | 한국전자통신연구원 | The method, apparatus and system for managing malicious code spreading site using fire wall |
-
2009
- 2009-09-11 KR KR1020090085711A patent/KR101041997B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050095147A (en) * | 2004-03-25 | 2005-09-29 | 주식회사 케이티 | Hacking defense apparatus and method with hacking type scenario |
KR20070087198A (en) * | 2004-12-21 | 2007-08-27 | 미슬토우 테크놀로지즈, 인코포레이티드 | Network interface and firewall device |
KR20080030130A (en) * | 2006-09-29 | 2008-04-04 | 주식회사 케이티 | System for managing risk of customer on-demand and method thereof |
KR20090047891A (en) * | 2007-11-08 | 2009-05-13 | 한국전자통신연구원 | The method, apparatus and system for managing malicious code spreading site using fire wall |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10701178B2 (en) | 2016-10-31 | 2020-06-30 | Samsung Sds Co., Ltd. | Method and apparatus of web application server for blocking a client session based on a threshold number of service calls |
Also Published As
Publication number | Publication date |
---|---|
KR20110027907A (en) | 2011-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110719291B (en) | Network threat identification method and identification system based on threat information | |
CN109951500B (en) | Network attack detection method and device | |
US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
CN107426242B (en) | Network security protection method, device and storage medium | |
CN104052734B (en) | It the attack detecting that is identified using global device-fingerprint and prevents | |
JP6432210B2 (en) | Security system, security method, security device, and program | |
US9369479B2 (en) | Detection of malware beaconing activities | |
CN109889547B (en) | Abnormal network equipment detection method and device | |
CN1771709B (en) | Network attack signature generation method and apparatus | |
US9350758B1 (en) | Distributed denial of service (DDoS) honeypots | |
US9398027B2 (en) | Data detecting method and apparatus for firewall | |
KR101236822B1 (en) | Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded | |
CN111010409B (en) | Encryption attack network flow detection method | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
CN108270722B (en) | Attack behavior detection method and device | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
CN107979581B (en) | Detection method and device for zombie characteristics | |
KR20080026122A (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
US20150026806A1 (en) | Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack | |
CN110266650A (en) | The recognition methods of Conpot industry control honey jar | |
CN105959294B (en) | A kind of malice domain name discrimination method and device | |
CN106982188A (en) | The detection method and device in malicious dissemination source | |
CN106878240B (en) | Zombie host identification method and device | |
KR101072981B1 (en) | Protection system against DDoS | |
KR101041997B1 (en) | System for counterplaning web firewall using conative detection?interception and method therefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140610 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160602 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170601 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180611 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190729 Year of fee payment: 9 |