KR101041997B1 - System for counterplaning web firewall using conative detection?interception and method therefor - Google Patents

System for counterplaning web firewall using conative detection?interception and method therefor Download PDF

Info

Publication number
KR101041997B1
KR101041997B1 KR1020090085711A KR20090085711A KR101041997B1 KR 101041997 B1 KR101041997 B1 KR 101041997B1 KR 1020090085711 A KR1020090085711 A KR 1020090085711A KR 20090085711 A KR20090085711 A KR 20090085711A KR 101041997 B1 KR101041997 B1 KR 101041997B1
Authority
KR
South Korea
Prior art keywords
information
client
code analysis
attack code
cookie
Prior art date
Application number
KR1020090085711A
Other languages
Korean (ko)
Other versions
KR20110027907A (en
Inventor
이호재
Original Assignee
주식회사 엘림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘림넷 filed Critical 주식회사 엘림넷
Priority to KR1020090085711A priority Critical patent/KR101041997B1/en
Publication of KR20110027907A publication Critical patent/KR20110027907A/en
Application granted granted Critical
Publication of KR101041997B1 publication Critical patent/KR101041997B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것으로서, 정보통신망을 통해 방화벽을 경유하여 웹서비스를 위한 웹 데이터를 웹서버로 전송하는 클라이언트; 및 클라이언트의 IP가 제1 IP정보DB, 2제 IP정보DB 또는 쿠키DB에 기 저장된 블랙리스트 IP내역 또는 블랙리스트 쿠키정보와 일치하는지 여부를 판단하여 일치하는 경우, 클라이언트와 웹서버간의 접속을 차단하고, 판단결과 일치하지 않는 경우, 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하며, 공격코드 분석정보의 점수화데이터를 토대로 클라이언트와 웹서버간의 쿠키세션 일시차단, 쿠키세션 차단, 또는 IP 차단 중에 어느 하나의 차단옵션을 수행하는 방화벽; 을 포함한다.The present invention relates to a corresponding system and method for actively detecting and blocking a web firewall, comprising: a client for transmitting web data for a web service to a web server via a firewall through an information communication network; And determining whether or not the IP of the client matches the blacklisted IP history or the blacklisted cookie information previously stored in the first IP information DB, the second IP information DB, or the cookie DB. If the result does not match, the attack code analysis information generated by analyzing the attack code included in the client IP is scored, and the cookie session is temporarily blocked between the client and the web server based on the scoring data of the attack code analysis information. A firewall that performs the blocking option of either session blocking or IP blocking; .

상기와 같은 본 발명에 따르면, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하며, DOS 또는 DDOS와 같은 공격시에도 사용자별로 세션을 일시적으로 차단함으로써, 하드웨어의 여유 자원을 확보하는 효과가 있다.According to the present invention as described above, when receiving a hacking attack, the network layer layer 7 which receives a lot of hardware resource load through active multi-level response according to the preset attack risk score, not the number of attacks, does not block the IP, and at layer 3 It blocks the IP and temporarily blocks the session for each user even in the case of attacks such as DOS or DDOS, thereby freeing up resources of the hardware.

웹서버, 방화벽, IP, 세션, 쿠키, 점수화데이터, Layer 7, Layer 3 Web server, firewall, IP, session, cookie, scoring data, Layer 7, Layer 3

Description

웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법{SYSTEM FOR COUNTERPLANING WEB FIREWALL USING CONATIVE DETECTIONㆍINTERCEPTION AND METHOD THEREFOR}Countermeasure system and method for active detection and blocking of web firewall {SYSTEM FOR COUNTERPLANING WEB FIREWALL USING CONATIVE DETECTION and INTERCEPTION AND METHOD THEREFOR}

본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는 웹 방화벽에서 해킹 공격에 대응하여 단순히 탐지ㆍ차단만 하지 않고, 단계적으로 경고, 세션 일시차단, 또는 세션 완전차단 중에 어느 하나의 단계를 수행하되, 해킹 공격별 설정된 점수정보를 토대로 능동적으로 단계별로 제어하는 기술에 관한 것이다.The present invention relates to a countermeasure system and method for active detection and blocking of a web firewall, and more particularly, to not only detect and block a hacking attack in a web firewall, but also to step-by-step a warning, temporarily block a session, or The present invention relates to a technique for performing any one step of full session blocking, and actively controlling step by step based on score information set for each hacking attack.

본 발명은 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법에 관한 것이다.The present invention relates to a response system and method for active detection and blocking of a web firewall.

일반적으로 웹 방화벽의 경우, 도 1 에 도시된 바와 같이 단순히 공격에 대해서 탐지만 하거나 웹서버에 공격 데이터를 전송시키지 않는 차단 단계를 수행함으로써, 공격자에게 해킹의 경각심을 일깨우지 않는바, 해커들의 지속적인 공격 대상이 되고 있다.In general, in the case of a web firewall, as shown in FIG. 1, by simply performing an interception step of detecting an attack or not transmitting the attack data to a web server, the attacker does not arouse the alarm of hacking. You are being attacked.

또한, 단순히 공격 횟수에 따른 대응으로 일관함으로써, 일정 공격 횟수 동 안은 위험한 공격이 들어오더라도 계속 공격을 당하는 경우가 허다하며, 근래에 인터넷 대란으로 큰 피해를 주고 있는 DOS(Denial Of Service) 공격 또는 DDOS(Distributed Denial Of Service) 공격 발생시 웹 방화벽 하드웨어 자원에 막대한 부하를 전가하게 되고, 이를 통해 무용지물이 된 웹 방화벽이 해킹공격에 대응하지 못하는 문제점이 있다.In addition, by consistently responding according to the number of attacks, even if a dangerous attack comes in a certain number of times, the attack is often continued, and the recent DOS (Denial Of Service) attack that is causing great damage due to the Internet turmoil or When a DDOS (Distributed Denial Of Service) attack occurs, a heavy load is placed on the web firewall hardware resources, and through this, the web firewall, which has become useless, cannot cope with the hacking attack.

본 발명은 상기와 같은 문제점을 해소하고자 안출된 것으로서, 본 발명의 목적은, 웹 방화벽의 대응 단계에 있어서 능동적으로 다단계 대응하되, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하는 시스템 및 방법을 제공함에 있다.The present invention has been made to solve the above problems, the object of the present invention is to actively respond to the multi-step in the corresponding step of the web firewall, when receiving a hacking attack, according to the predetermined attack risk score, not the number of attacks The present invention provides a system and method for blocking IP at Layer 3 without actively blocking IP at a network layer that is heavily loaded with hardware resources through active multi-level response.

이러한 기술적 과제를 달성하기 위한 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템은, 정보통신망을 통해 방화벽을 경유하여 웹서비스를 위한 웹 데이터를 웹서버로 전송하는 클라이언트; 및 클라이언트의 IP가 제1 IP정보DB, 2제 IP정보DB 또는 쿠키DB에 기 저장된 블랙리스트 IP내역 또는 블랙리스트 쿠키정보와 일치하는지 여부를 판단하여 일치하는 경우, 클라이언트와 웹서버간의 접속을 차단하고, 판단결과 일치하지 않는 경우, 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하며, 공격코드 분석정보의 점수화데이터를 토대로 클라이언트와 웹서버간의 쿠키세션 일시차단, 쿠키세션 차단, 또는 IP 차단 중에 어느 하나의 차단옵션을 수행하는 방화벽; 을 포함한다.In accordance with an aspect of the present invention, there is provided a system for actively detecting and blocking a web firewall, including: a client transmitting web data for a web service to a web server via a firewall through an information communication network; And determining whether or not the IP of the client matches the blacklisted IP history or the blacklisted cookie information previously stored in the first IP information DB, the second IP information DB, or the cookie DB. If the result does not match, the attack code analysis information generated by analyzing the attack code included in the client IP is scored, and the cookie session is temporarily blocked between the client and the web server based on the scoring data of the attack code analysis information. A firewall that performs the blocking option of either session blocking or IP blocking; .

그리고, 상술한 시스템을 기반으로 하는 본 발명의 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법은, 방화벽이 클라이언트로부터 웹 데이터를 수신하는 (a) 단계; 방화벽의 IP선별수단이 클라이언트의 IP를 독출하고, 제1 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 클라이언트의 IP와 일치하는지 여부를 판단하는 (b) 단계; (b) 단계의 판단결과, 클라이언트의 IP와 제1 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, 방화벽의 IP판별수단이 클라이언트의 IP와 제2 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 클라이언트의 IP와 일치하는지 여부를 판단하는 (c) 단계; (c) 단계의 판단결과, 클라이언트의 IP와 제2 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단이 클라이언트의 IP와 쿠키DB에 기 저장된 블랙리스트 쿠키정보가 서로 부합하는지 여부를 판단하는 (d) 단계; (d) 단계의 판단결과, 클라이언트의 IP와 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 방화벽의 웹 데이터 분석수단이 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하는 (e) 단계; 방화벽의 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '1점'인지 여부를 판단하는 (f) 단계; (f) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '2점'인지 여부를 판단하는 (g) 단계; (g) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '3점'인지 여부를 판단하는 (h) 단계; (h) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'이 아닌 경우, 방화벽 제어수단이 공격코드 분석정보에 포함된 점수화데이터가 '4점'인지 여부를 판단하는 (i) 단계; 및 (i) 단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'이 아닌 경우, 방화벽 제어수단이 클라이언트로부터 수신한 웹 데이터를 웹서버로 전송하는 (j) 단계; 를 포함한다.In addition, the corresponding method for active detection and blocking of the web firewall of the present invention based on the above system includes the steps of: (a) the firewall receiving web data from a client; (B) determining, by the IP selection means of the firewall, reading the client's IP and indexing the blacklisted IP contents previously stored in the first IP information DB to match the client's IP; As a result of the determination in step (b), when the IP of the client and the blacklist IP contents previously stored in the first IP information database do not match, the IP discrimination means of the firewall is previously stored in the IP of the client and the second IP information DB. (C) determining whether the IP contents match the IP of the client by indexing the IP contents; As a result of determining in step (c), if the IP of the client and the blacklisted IP contents previously stored in the second IP information database do not match, the IP discriminating means matches the blacklist cookie information previously stored in the client's IP and the cookie DB. (D) determining whether to do so; As a result of the step (d), if the IP of the client and the blacklist cookie information do not match with each other, the web data analysis means of the firewall analyzes the attack code included in the IP of the client to generate scored attack code analysis information. (e) step; (F) determining, by the firewall control means of the firewall, whether the scoring data included in the attack code analysis information is 'one point'; As a result of the determination in step (f), when the scoring data included in the attack code analysis information is not '1 point', the firewall control means determines whether the scoring data included in the attack code analysis information is '2 points' ( g) step; As a result of determining in step (g), if the scoring data included in the attack code analysis information is not '2 points', the firewall control means determines whether the scoring data included in the attack code analysis information is '3 points' ( h) step; As a result of the determination in step (h), when the scoring data included in the attack code analysis information is not '3 points', the firewall control means determines whether the scoring data included in the attack code analysis information is '4 points' ( i) step; And (j) when the scoring data included in the attack code analysis information is not 'four points' as a result of the determination in step (i), the firewall control means transmitting the web data received from the client to the web server; It includes.

상기와 같은 본 발명에 따르면, 웹 방화벽의 대응 단계에 있어서 능동적으로 다단계 대응하되, 해킹 공격을 받을 경우, 공격 횟수가 아닌 기 설정된 공격 위험도 점수에 따라 능동적 다단계 대응을 통해 하드웨어 자원 부하를 많이 받는 네트워크 계층 Layer 7에서 IP를 차단하지 않고, Layer 3에서 IP를 차단하는 효과가 있다.According to the present invention as described above, in the response stage of the web firewall, but actively responding to the multi-level, when receiving a hacking attack, the network receives a lot of hardware resources through active multi-level response according to the predetermined attack risk score, not the number of attacks It is effective to block IP at Layer 3 without blocking IP at Layer 7.

또한, 본 발명에 따르면, DOS 또는 DDOS와 같은 공격시에도 사용자별로(공유기를 통한 공인 IP가 같은 NAT IP의 경우에는 NAT IP별로) 세션을 일시적으로 차단함으로써, 하드웨어 자원을 원활하게 함은 물론, 웹 방화벽 하드웨어의 여유 자원을 확보하는 효과가 있다.In addition, according to the present invention, even in the case of an attack such as DOS or DDOS by temporarily blocking the session for each user (in case of NAT IP in the case of NAT IP with the same public IP), the hardware resources, as well as smoothly, It has the effect of freeing up resources of web firewall hardware.

본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, terms and words used in the present specification and claims are to be interpreted in accordance with the technical idea of the present invention based on the principle that the inventor can properly define the concept of the term in order to explain his invention in the best way. It should be interpreted in terms of meaning and concept. It is to be noted that the detailed description of known functions and constructions related to the present invention is omitted when it is determined that the gist of the present invention may be unnecessarily blurred.

도 2 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템을 도시한 구성도이고, 도 3 은 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)의 구성요소들 간의 관계를 나타낸 도면인바, 도시된 바와 같이 클라이언트(100), 방화벽(200), 및 웹서버(300)를 포함하여 구성된다.2 is a block diagram showing a response system for active detection and blocking of a web firewall according to the present invention, Figure 3 is a component of a response system (S) for active detection and blocking of a web firewall according to the present invention As shown in the drawing, the client 100, the firewall 200, and the web server 300 are configured as shown.

클라이언트(100)는 정보통신망을 통해 방화벽(200)이 구비된 웹서버(300)와 접속되되, 상기 방화벽(200)을 경유하여 웹서버(300)로 웹서비스를 위한 데이터들을 전송한다.The client 100 is connected to a web server 300 equipped with a firewall 200 through an information communication network, and transmits data for web service to the web server 300 via the firewall 200.

한편, 방화벽(200)은 네트워크 계층 Layer3(이하, 'IP선별수단(210)'), 제1 IP정보DB(220), 네트워크 계층 Layer7(이하, 'IP판별수단(230)'), 제2 IP정보DB(240), 쿠키DB(250), 웹 데이터 분석수단(260), 및 방화벽 제어수단(270)을 포함하여 구성된다.On the other hand, the firewall 200 is the network layer Layer 3 (hereinafter referred to as 'IP selection means 210'), the first IP information DB 220, the network layer Layer 7 (hereinafter referred to as 'IP identification means 230'), the second IP information DB 240, cookie DB 250, web data analysis means 260, and firewall control means 270 is configured to include.

세부적으로, 방화벽(200)은 IP선별수단(210)을 통해 상기 웹서비스 데이터를 전송한 클라이언트(100)의 IP를 독출하고, 제1 IP정보DB(220)에 기 저장된 블랙리스트 IP내역을 색인하여 독출한 IP와 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다.In detail, the firewall 200 reads the IP of the client 100 that has transmitted the web service data through the IP selection unit 210 and indexes the blacklist IP contents previously stored in the first IP information DB 220. It is determined whether the read IP and the indexed blacklist IP contents match.

이때, IP선별수단(210)의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP selection means 210 determines that the IP of the client 100 and the blacklisted IP contents indexed from the first IP information DB 220 match, the client 100 and the web server 300 are separated. Block the connection.

반면에, IP선별수단(210)의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230) 이 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다.On the other hand, when the IP selection means 210 determines that the IP of the client 100 and the blacklisted IP contents indexed from the first IP information DB 220 do not match, the IP discrimination means 230 determines that the client ( It is determined whether the IP of 100 and the blacklisted IP contents indexed from the second IP information DB 240 match.

이때, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP determination means 230 determines that the IP of the client 100 and the blacklisted IP contents indexed from the second IP information DB 240 match, the client 100 and the web server 300 are separated. Block the connection.

반면에, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키(cookie)정보가 서로 부합하는지 여부를 판단한다.On the other hand, if the IP discriminating means 230 determines that the IP of the client 100 and the blacklisted IP contents indexed from the second IP information DB 240 do not match, the IP discriminating means 230 determines that the client ( It is determined whether the IP read from 100 and the blacklist cookie information indexed from the cookie DB 250 match each other.

이때, IP판별수단(230)의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 부합하는 경우, 클라이언트(100)와 웹서버(300)간의 접속을 차단한다.At this time, when the IP determining means 230 determines that the IP of the client 100 and the blacklist cookie information indexed from the cookie DB 250 match, the connection between the client 100 and the web server 300 is blocked. do.

반면에, IP판별수단(230)의 판단결과, 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 웹 데이터 분석수단(260)이 상기 클라이언트(100)의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성한다.On the other hand, when the IP discriminating means 230 determines that the IP read out from the client 100 and the blacklist cookie information indexed from the cookie DB 250 do not match each other, the web data analyzing means 260 determines that the web data analyzing means 260 is the same. The attack code analysis information generated by analyzing the attack code included in the IP of the client 100 is generated.

여기서, 공격코드 분석정보는, 클라이언트(100)의 IP에 포함된 공격코드의 분석에 의해 생성되며, 공격코드에 삽입된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 기 설정된 점수데이터와 부합하도록 점수화한 정보이나, 본 발명이 이에 국한되는 것은 아니며, 공격코드 분석정보 에 포함된 정보들에 대한 항목은 설정변경에 따라 추가ㆍ변경이 가능하다.Here, the attack code analysis information is generated by analysis of the attack code included in the IP of the client 100, and the cookie information, session information, the presence or absence of malicious code insertion, and the number of attack times per hour of the IP inserted in the attack code, respectively. Information that is scored and scored to match the predetermined score data, but the present invention is not limited thereto, and items for information included in the attack code analysis information may be added and changed according to the setting change.

또한, 기 설정된 점수화데이터는, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 '0점' 내지 '4점'의 점수를 부여하도록 설정된다.In addition, the predetermined scoring data, the cookie information of the IP included in the attack code analysis information, session information, the presence or absence of malicious code, and the number of attacks per hour to count each of the "0" to "4 points" to give a score Is set.

예컨대, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '0'인 경우, 점수화데이터가 '0점'으로 생성될 수 있다.For example, when the number by each count of data about the cookie information, session information, malicious code insertion, and the number of attacks per hour included in the attack code analysis information is '0', the scoring data is set to '0 point'. Can be generated.

또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '1'인 경우, 점수화데이터가 '1점'으로 생성될 수 있다.In addition, when the number of each of the data on the cookie information, session information, malicious code insertion, and the number of attacks per hour included in the attack code analysis information is '1', the scoring data is '1 point' Can be generated.

또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 또는 시간당 공격횟수에 대한 데이터 중에 어느 하나의 데이터가 존재하여 카운트에 의한 개수가 '2'인 경우, 점수화데이터가 '2점'으로 생성될 수 있다.In addition, when any one of the data of the cookie information, session information, the presence or absence of malicious code, or the number of attacks per hour included in the attack code analysis information is present and the number by the count is '2', scoring data May be generated as 'two points'.

또한, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 또는 시간당 공격횟수에 대한 데이터 중에 3개 이상의 데이터가 존재하여 카운트에 의한 개수가 '3'인 경우, 점수화데이터가 '3점'으로 생성될 수 있다.In addition, when three or more data exist among the data of cookie information, session information, malicious code insertion, or the number of attacks per hour included in the attack code analysis information, and the number by count is '3', scoring data Can be generated as 'three points'.

그리고, 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터가 모두 존재하여 카운트에 의한 개수가 '4'인 경우, 점수화데이터가 '4점'으로 생성될 수 있다.In addition, when the data by cookie count, session information, malicious code insertion, and the number of attack times per hour are all included in the attack code analysis information, and the count is '4', the scoring data is '4 points'. Can be generated with

한편, 방화벽 제어수단(270)은 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '1점'인지 여부를 판단한다.Meanwhile, the firewall control means 270 receives the attack code analysis information generated by the web data analysis means 260 to determine whether the scoring data is 'one point'.

이때, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 기 설정된 경고페이지정보를 상기 클라이언트(100)로 전송한다. 여기서, 경고페이지정보는 공격자에게 경각심을 일으키도록 사이버수사대 홈페이지로 설정할 수 있으나, 본 발명이 이에 국한되지는 않는다.At this time, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '1 point', the preset warning page information is transmitted to the client 100. Here, the warning page information may be set as the cyber investigation homepage to cause an alarm to the attacker, but the present invention is not limited thereto.

또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단(230)을 제어하여 기 설정된 소정시간 동안 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 쿠키정보를 쿠키DB(250)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '2 points', the IP discrimination means 230 is controlled to be included in the attack code analysis information for a predetermined time. The cookie session is blocked and the cookie information of the attack code analysis information is registered and stored in the cookie DB 250.

또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단(230)을 제어하여 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 IP정보를 제2 IP정보DB(240)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is '3 points', the IP discrimination means 230 is controlled to block the cookie session included in the attack code analysis information. In addition, the IP information of the attack code analysis information is registered and stored in the second IP information DB (240).

또한, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단(210)을 제어하여 공격코드 분석정보에 포함된 쿠키 세션 및 공격코드 분석정보의 IP정보를 차단하고, 공격코드 분석정보의 IP정보를 제1 IP정보DB(220)에 등록ㆍ저장한다.In addition, when the firewall control means 270 determines that the scoring data included in the attack code analysis information is 'four points', the cookie session and attack included in the attack code analysis information are controlled by controlling the IP selection means 210. The IP information of the code analysis information is blocked, and the IP information of the attack code analysis information is registered and stored in the first IP information DB 220.

그리고, 방화벽 제어수단(270)의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점' 내지 '4점'에 포함되지 않은 경우, 클라이언트(100)로부터 전송된 웹서비스를 위한 데이터들을 웹서버(300)로 전송한다.When the scoring data included in the attack code analysis information is not included in the 'one point' to the 'four point', the data for the web service transmitted from the client 100 is determined. Send to the web server (300).

따라서, 웹서버(300)는 방화벽(200)의 공격코드 분석에 따른 점수데이터에 따라 단계별 검증을 거친 클라이언트(100)와 웹서비스를 위한 데이터를 송수신한다.Therefore, the web server 300 transmits and receives data for the web service and the client 100 has been verified step by step according to the score data according to the attack code analysis of the firewall 200.

한편, 도 4 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법을 나타낸 순서도인바, 도시된 바와 같이, 방화벽(200)이 클라이언트(100)로부터 웹 데이터를 수신한다(S10).On the other hand, Figure 4 is a flow chart illustrating a corresponding method for active detection and blocking of the web firewall according to the present invention, as shown, the firewall 200 receives the web data from the client 100 (S10).

이어서, 방화벽(200)의 IP선별수단(210)이 상기 웹서비스 데이터를 전송한 클라이언트(100)의 IP를 독출하고, 제1 IP정보DB(220)에 기 저장된 블랙리스트 IP내역을 색인하여, 클라이언트(100)의 IP와 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다(S20).Subsequently, the IP selection means 210 of the firewall 200 reads the IP of the client 100 that has transmitted the web service data, indexes the blacklisted IP contents previously stored in the first IP information DB 220, It is determined whether or not the IP of the client 100 and the indexed blacklist IP contents match (S20).

제S20단계의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, IP선별수단(210)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S21).As a result of the determination in step S20, when the IP of the client 100 and the blacklisted IP contents indexed from the first IP information DB 220 match, the IP selecting means 210 sets the client 100 and the web server 300. ) To block the connection (S21).

반면에, 제S20단계의 판단결과, 클라이언트(100)의 IP와 제1 IP정보DB(220)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는지 여부를 판단한다(S30).On the other hand, when the determination result of step S20, when the IP of the client 100 and the blacklisted IP contents indexed from the first IP information DB 220 does not match, the IP discrimination means 230 is determined by the client 100. It is determined whether or not the blacklisted IP contents indexed from the IP and the second IP information DB 240 match (S30).

제S30단계의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하는 경우, IP판별수단(230)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S31).As a result of the determination in step S30, when the IP of the client 100 and the blacklisted IP contents indexed from the second IP information DB 240 match, the IP discriminating means 230 is performed by the client 100 and the web server 300. ) To block the connection (S31).

반면에, 제S30단계의 판단결과, 클라이언트(100)의 IP와 제2 IP정보DB(240)로부터 색인한 블랙리스트 IP내역이 일치하지 않는 경우, IP판별수단(230)이 클라이언트(100)로부터 독출한 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키(cookie)정보가 서로 부합하는지 여부를 판단한다(S40).On the contrary, if the determination result of step S30 is that the IP of the client 100 and the blacklisted IP contents indexed from the second IP information DB 240 do not coincide, the IP discrimination means 230 is determined from the client 100. It is determined whether the read IP and the blacklist cookie information indexed from the cookie DB 250 match each other (S40).

제S40단계의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 부합하는 경우, IP판별수단(230)이 클라이언트(100)와 웹서버(300)간의 접속을 차단한다(S41).As a result of the determination in step S40, when the IP of the client 100 and the blacklist cookie information indexed from the cookie DB 250 match, the IP discrimination means 230 connects the client 100 to the web server 300. Block (S41).

반면에, 제S40단계의 판단결과, 클라이언트(100)의 IP와 쿠키DB(250)로부터 색인한 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 웹 데이터 분석수단(260)이 상기 클라이언트(100)의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성한다(S50).On the other hand, if the determination result of step S40, the IP of the client 100 and the blacklist cookie information indexed from the cookie DB 250 does not match each other, the web data analysis means 260 of the client 100 The attack code analysis information scored by analyzing the attack code included in the IP is generated (S50).

이어서, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '1점'인지 여부를 판단한다(S60).Subsequently, the firewall control means 270 receives the attack code analysis information generated by the web data analyzing means 260 to determine whether the scoring data is 'one point' (S60).

제S60단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 기 설정된 경고페이지정보를 상기 클라이언트(100)로 전송한다(S61).As a result of the determination in step S60, when the scoring data included in the attack code analysis information is '1 point', the preset warning page information is transmitted to the client 100 (S61).

반면에, 제S60단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '1점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '2점'인지 여부를 판단한 다(S70).On the other hand, if the scored data included in the attack code analysis information is not 'one point' as a result of the determination in step S60, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. Upon receiving the information, it is determined whether the scoring data is '2 points' (S70).

제S70단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단(230)이 기 설정된 소정시간 동안 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 쿠키정보를 쿠키DB(250)에 등록ㆍ저장한다(S71).As a result of the determination in step S70, when the scoring data included in the attack code analysis information is '2 points', the IP discrimination means 230 blocks the cookie session included in the attack code analysis information for a predetermined time. In addition, the cookie information of the attack code analysis information is registered and stored in the cookie DB 250 (S71).

반면에, 제S70단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '2점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '3점'인지 여부를 판단한다(S80).On the other hand, if the scored data included in the attack code analysis information is not 'two points' as a result of the determination in step S70, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. Upon receiving the information, it is determined whether the scoring data is 'three points' (S80).

제S80단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단(230)이 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 공격코드 분석정보의 IP정보를 제2 IP정보DB(240)에 등록ㆍ저장한다(S81).As a result of the determination in step S80, when the scoring data included in the attack code analysis information is '3 points', the IP discrimination means 230 blocks the cookie session included in the attack code analysis information and the attack code analysis information. The IP information is registered and stored in the second IP information DB 240 (S81).

반면에, 제S80단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '3점'이 아닌 경우, 방화벽 제어수단(270)이 상기 웹 데이터 분석수단(260)에 의해 생성된 공격코드 분석정보를 인가받아 점수화데이터가 '4점'인지 여부를 판단한다(S90).On the other hand, when the scored data included in the attack code analysis information is not 'three points' as a result of step S80, the firewall control means 270 analyzes the attack code generated by the web data analysis means 260. It is determined whether the scoring data is '4 points' by receiving the information (S90).

제S90단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단(210)이 공격코드 분석정보에 포함된 쿠키 세션 및 공격코드 분석정보의 IP정보를 차단하고, 공격코드 분석정보의 IP정보를 제1 IP정보DB(220)에 등록ㆍ저장한다(S91).As a result of the determination in step S90, when the scoring data included in the attack code analysis information is '4 points', the IP selection unit 210 displays the IP information of the cookie session and attack code analysis information included in the attack code analysis information. Blocking, the IP information of the attack code analysis information is registered and stored in the first IP information DB 220 (S91).

반면에, 제S90단계의 판단결과, 공격코드 분석정보에 포함된 점수화데이터가 '4점'이 아닌 경우, 방화벽 제어수단(270)이 클라이언트(100)로부터 전송된 웹서비스를 위한 데이터들을 웹서버(300)로 전송한다(S100).On the other hand, if the scored data included in the attack code analysis information is not 'four points' as a result of step S90, the firewall control means 270 sends the data for the web service transmitted from the client 100 to the web server. Transmit to 300 (S100).

이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서, 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.As described above and described with reference to a preferred embodiment for illustrating the technical idea of the present invention, the present invention is not limited to the configuration and operation as shown and described as described above, it is a deviation from the scope of the technical idea It will be understood by those skilled in the art that many modifications and variations can be made to the invention without departing from the scope of the invention. Accordingly, all such suitable changes and modifications and equivalents should be considered to be within the scope of the present invention.

도 1 은 종래의 웹 방화벽 탐지ㆍ차단 시스템을 나타낸 구성도.1 is a block diagram showing a conventional web firewall detection and blocking system.

도 2 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)을 나타낸 구성도.Fig. 2 is a block diagram showing a response system S for active detection and blocking of a web firewall according to the present invention.

도 3 은 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템(S)의 구성요소들 간의 관계를 나타낸 도면.3 is a diagram showing the relationship between the components of the response system (S) for active detection and blocking of a web firewall according to the present invention.

도 4 는 본 발명에 따른 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법을 나타낸 순서도.4 is a flowchart illustrating a corresponding method for active detection and blocking of a web firewall according to the present invention.

** 도면의 주요 부분에 대한 부호의 설명 **** Description of symbols for the main parts of the drawing **

S: 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템S: Response System for Active Detection and Blocking of Web Firewalls

100: 클라이언트 200: 방화벽100: Client 200: Firewall

210: IP선별수단 220: 제1 IP정보DB210: IP selection means 220: first IP information DB

230: IP판별수단 240: 제2 IP정보DB230: IP discrimination means 240: second IP information DB

250: 쿠키DB 260: 웹 데이터 분석수단250: cookie DB 260: web data analysis means

270: 방화벽 제어수단 300: 웹서버270: firewall control means 300: web server

Claims (8)

웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템에 있어서.A response system for active detection and blocking of web firewalls. 정보통신망을 통해 방화벽을 경유하여 웹서비스를 위한 웹 데이터를 웹서버로 전송하는 클라이언트; 및A client for transmitting web data for a web service to a web server via a firewall through an information communication network; And 상기 클라이언트의 IP가 제1 IP정보DB, 제2 IP정보DB 또는 쿠키DB에 기 저장된 블랙리스트 IP내역 또는 블랙리스트 쿠키정보와 일치하는지 여부를 판단하여 일치하는 경우, 상기 클라이언트와 웹서버간의 접속을 차단하고, 상기 판단결과 일치하지 않는 경우, 상기 클라이언트의 IP에 포함된 공격코드를 분석하여 공격 위험도에 따라 점수화한 공격코드 분석정보를 생성하며, 상기 공격코드 분석정보의 점수화데이터를 토대로 상기 클라이언트와 웹서버간의 쿠키세션 일시차단, 쿠키세션 차단, 또는 IP 차단 중에 어느 하나의 차단옵션을 수행하는 방화벽; 을 포함하되,If it is determined whether the IP of the client matches the blacklisted IP contents or the blacklisted cookie information previously stored in the first IP information DB, the second IP information DB, or the cookie DB, connection between the client and the web server is established. If the blocking result does not match, analyzing the attack code included in the IP of the client to generate attack code analysis information scored according to the attack risk, and based on the scoring data of the attack code analysis information and the client; A firewall for performing any one of a blocking option between cookie sessions between web servers, cookie session blocking, or IP blocking; Including, 상기 점수화데이터는, 상기 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 '0점' 내지 '4점'의 점수를 부여하도록 설정되고, 상기 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '0'인 경우, 상기 점수화데이터가 '0점'으로 생성하고, 상기 공격코드 분석정보에 포함된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수에 대한 데이터 각각의 카운트에 의한 개수가 '1'인 경우, 상기 점수화데이터가 '1점'으로 생성하며, 상기 카운트에 의한 개수가 '2'인 경우, 상기 점수화데이터가 '2점'으로 생성하고, 상기 카운트에 의한 개수가 '3'인 경우, 점수화데이터가 '3점'으로 생성하며, 상기 카운트에 의한 개수가 '4'인 경우, 점수화데이터가 '4점'으로 생성하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템.The scoring data is set to give a score of '0' to '4' by counting each of cookie information, session information, malicious code insertion, and the number of attack times per IP included in the attack code analysis information. When the number by each count of data about the cookie information, session information, malicious code insertion, and the number of attack times per hour included in the attack code analysis information is '0', the scoring data is '0 point' If the number by the count of each of the data for the cookie information, session information, the presence or absence of malicious code, and the number of attacks per hour included in the attack code analysis information, and the number of attacks per hour is' 1 ', the scoring data is' 1 point ', and if the number by the count is' 2', the scoring data is generated by '2 points', and when the number by the count is' 3', the scoring data is' 3 points' Generated by the above And if the number by the count is '4', scoring data is generated by '4 points'. 제 1 항에 있어서,The method of claim 1, 상기 방화벽은,The firewall, 상기 클라이언트의 IP를 독출하고, 상기 제1 IP정보DB에 기저장된 블랙리스트 IP내역을 색인하며, 상기 클라이언트의 IP와 상기 블랙리스트 IP내역이 일치하는지 여부를 판단하여 일치하는 경우, 상기 클라이언트와 웹서버간의 접속을 차단하는 IP선별수단;Reads the IP of the client, indexes the blacklisted IP contents previously stored in the first IP information DB, determines whether the IP of the client matches the blacklisted IP contents, and matches the client with the web. IP selecting means for blocking the connection between the server; 상기 제2 IP정보DB에 기저장된 블랙리스트 IP내역을 색인하며, 상기 클라이언트의 IP와 상기 블랙리스트 IP내역이 일치하는지 여부를 판단하여 일치하는 경우, 상기 클라이언트와 웹서버간의 접속을 차단하며, 상기 클라이언트의 IP와 상기 쿠키DB로부터 색인한 블랙리스트 쿠키정보가 일치하는지 여부를 판단하여 일치하는 경우, 상기 클라이언트와 웹서버간의 접속을 차단하는 IP판별수단;Indexing the blacklisted IP contents previously stored in the second IP information DB, and determining whether or not the IP of the client and the blacklisted IP contents are matched, and disconnecting the connection between the client and the web server; An IP discrimination means for determining whether or not the IP of the client and the blacklist cookie information indexed from the cookie DB match and, when the IP is matched, block the connection between the client and the web server; 상기 클라이언트 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하는 웹 데이터 분석수단; 및Web data analysis means for generating attack code analysis information scored by analyzing the attack code contained in the client IP; And 상기 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 기 설정된 경고페이지정보를 상기 클라이언트로 전송하고, 상기 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단을 제어하여 기 설정된 소정시간 동안 상기 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 상기 공격코드 분석정보의 쿠키정보를 상기 쿠키DB에 등록ㆍ저장하며, 상기 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단을 제어하여 상기 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 상기 공격코드 분석정보의 IP정보를 제2 IP정보DB(240)에 등록ㆍ저장하고, 상기 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단을 제어하여 상기 공격코드 분석정보에 포함된 쿠키 세션 및 상기 공격코드 분석정보의 IP정보를 차단함과 아울러 상기 공격코드 분석정보의 IP정보를 제1 IP정보DB에 등록ㆍ저장하는 방화벽 제어수단; 을 포함하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템.When the scoring data included in the attack code analysis information is '1 point', the preset warning page information is transmitted to the client, and when the scoring data included in the attack code analysis information is '2 points', the IP Blocks the cookie session included in the attack code analysis information for a predetermined time by controlling the discriminating means, registers and stores the cookie information of the attack code analysis information in the cookie DB, and includes it in the attack code analysis information. When the scored data is '3 points', the IP discriminating means is controlled to block the cookie session included in the attack code analysis information and to display the IP information of the attack code analysis information as the second IP information DB 240. If the scoring data contained in the attack code analysis information is '4 points', the cookie session and image included in the attack code analysis information are controlled by controlling the IP selection means. Blocking the IP information of the attack code analysis information and also addition firewall control means for registering and storing the IP information of the attack information to the code analysis claim 1 IP information DB; Corresponding system for active detection and blocking of the web firewall, characterized in that it comprises a. 제 2 항에 있어서,The method of claim 2, 상기 방화벽 제어수단은,The firewall control means, 상기 공격코드 분석정보에 포함된 점수화데이터가 '1점' 내지 '4점'에 포함되지 않은 경우, 상기 클라이언트로부터 수신한 웹 데이터들을 상기 웹서버로 전송하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템.If the scoring data included in the attack code analysis information is not included in the '1 point' to '4 point', the active detection of the web firewall, characterized in that for transmitting the web data received from the client to the web server. Response system for shutoff. 제 1 항에 있어서,The method of claim 1, 상기 공격코드 분석정보는,The attack code analysis information, 상기 클라이언트의 IP에 포함된 공격코드를 분석하여 생성되며, 상기 공격코드에 삽입된 IP의 쿠키정보, 세션정보, 악성코드 삽입유무, 및 시간당 공격횟수 각각을 카운트하여 기 설정된 점수데이터와 부합하도록 점수화한 정보인 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템.Generated by analyzing the attack code included in the client's IP, and counting each of the cookie information, session information, the presence or absence of malicious code, and the number of attack times per hour inserted into the attack code to match the predetermined score data A response system for active detection and blocking of a web firewall, characterized in that the information. 삭제delete 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법에 있어서,In the countermeasure for the active detection and blocking of the Web firewall, (a) 방화벽이 클라이언트로부터 웹 데이터를 수신하는 단계;(a) the firewall receiving web data from the client; (b) 상기 방화벽의 IP선별수단이 상기 클라이언트의 IP를 독출하고, 제1 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 상기 클라이언트의 IP와 일치하는지 여부를 판단하는 단계;(b) determining, by the IP selection means of the firewall, reading the IP of the client, indexing the blacklisted IP contents previously stored in the first IP information DB and matching the IP of the client; (c) 상기 (b) 단계의 판단결과, 상기 클라이언트의 IP와 상기 제1 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, 상기 방화벽의 IP판별수단이 상기 클라이언트의 IP와 제2 IP정보DB에 기 저장된 블랙리스트 IP내역을 색인하여 상기 클라이언트의 IP와 일치하는지 여부를 판단하는 단계;(c) When the determination result of step (b) indicates that the IP of the client and the blacklisted IP contents previously stored in the first IP information DB do not match, the IP discrimination means of the firewall is determined by the IP of the client and the second. Indexing the blacklisted IP contents previously stored in the IP information DB and determining whether they match the IP of the client; (d) 상기 (c) 단계의 판단결과, 상기 클라이언트의 IP와 상기 제2 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하지 않는 경우, 상기 IP판별수단이 상기 클라이언트의 IP와 쿠키DB에 기 저장된 블랙리스트 쿠키정보가 서로 부합하는지 여 부를 판단하는 단계;(d) When the determination result of step (c) indicates that the IP of the client and the blacklisted IP contents previously stored in the second IP information DB do not match, the IP determining means writes to the IP of the client and the cookie DB. Determining whether the stored blacklist cookie information matches each other; (e) 상기 (d) 단계의 판단결과, 상기 클라이언트의 IP와 상기 블랙리스트 쿠키정보가 서로 부합하지 않는 경우, 상기 방화벽의 웹 데이터 분석수단이 상기 클라이언트의 IP에 포함된 공격코드를 분석하여 점수화한 공격코드 분석정보를 생성하는 단계;(e) As a result of the determination of step (d), when the IP of the client and the blacklist cookie information do not match each other, the web data analysis means of the firewall analyzes and scores the attack code included in the IP of the client. Generating an attack code analysis information; (f) 상기 방화벽의 방화벽 제어수단이 상기 공격코드 분석정보에 포함된 점수화데이터가 '1점'인지 여부를 판단하는 단계;(f) determining, by the firewall control means of the firewall, whether the scoring data included in the attack code analysis information is 'one point'; (g) 상기 (f) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '1점'이 아닌 경우, 상기 방화벽 제어수단이 상기 공격코드 분석정보에 포함된 점수화데이터가 '2점'인지 여부를 판단하는 단계;(g) if the scoring data included in the attack code analysis information is not '1 point' as a result of the determination in step (f), the firewall control means scores data included in the attack code analysis information as '2 points'; Determining whether or not; (h) 상기 (g) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '2점'이 아닌 경우, 상기 방화벽 제어수단이 상기 공격코드 분석정보에 포함된 점수화데이터가 '3점'인지 여부를 판단하는 단계;(h) If the scored data included in the attack code analysis information is not '2 points' as a result of the determination in step (g), the firewall control means scores data included in the attack code analysis information as '3 points'. Determining whether or not; (i) 상기 (h) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '3점'이 아닌 경우, 상기 방화벽 제어수단이 상기 공격코드 분석정보에 포함된 점수화데이터가 '4점'인지 여부를 판단하는 단계; 및(i) If the scoring data included in the attack code analysis information is not '3 points' as a result of the determination in step (h), the firewall control means scores data included in the attack code analysis information as '4 points'. Determining whether or not; And (j) 상기 (i) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '4점'이 아닌 경우, 상기 방화벽 제어수단이 상기 클라이언트로부터 수신한 웹 데이터를 웹서버로 전송하는 단계; 를 포함하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법.(j) if the scoring data included in the attack code analysis information is not 'four points' as a result of the determination in step (i), transmitting, by the firewall control means, web data received from the client to a web server; ; Corresponding method for active detection and blocking of the web firewall, characterized in that it comprises a. 제 6 항에 있어서,The method of claim 6, (k) 상기 (b) 단계의 판단결과, 상기 클라이언트의 IP와 상기 제1 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하는 경우, 상기 클라이언트와 웹사이트 간의 접속을 차단하는 단계;(k) blocking access between the client and the website when the IP of the client and the blacklisted IP contents previously stored in the first IP information DB match as a result of the determination of step (b); (l) 상기 (c) 단계의 판단결과, 상기 클라이언트의 IP와 상기 제2 IP정보DB에 기 저장된 블랙리스트 IP내역이 일치하는 경우, 상기 클라이언트와 웹사이트 간의 접속을 차단하는 단계; 및(l) blocking access between the client and the website when the IP of the client and the blacklisted IP contents previously stored in the second IP information database match with each other as a result of the determination of step (c); And (m) 상기 (d) 단계의 판단결과, 상기 클라이언트의 IP와 상기 쿠키DB에 기 저장된 블랙리스트 쿠키정보가 서로 부합하는 경우, 상기 클라이언트와 웹사이트 간의 접속을 차단하는 단계; 를 포함하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법.(m) blocking access between the client and the website when the IP of the client and the blacklist cookie information previously stored in the cookie DB match each other as a result of the determination of step (d); Corresponding method for active detection and blocking of the web firewall, characterized in that it comprises a. 제 6 항에 있어서,The method of claim 6, (o) 상기 (f) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '1점'인 경우, 상기 방화벽 제어수단이 기 설정된 경고페이지정보를 상기 클라이언트로 전송하는 단계;(o) if the scoring data included in the attack code analysis information is '1 point' as a result of the determination in step (f), transmitting, by the firewall control means, preset warning page information to the client; (p) 상기 (g) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '2점'인 경우, 상기 IP판별수단이 기 설정된 소정시간 동안 상기 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 상기 공격코드 분석정보의 쿠키정 보를 상기 쿠키DB에 등록ㆍ저장하는 단계;(p) if the scoring data included in the attack code analysis information is '2 points' as a result of the determination in step (g), the cookie session included in the attack code analysis information for a predetermined time is set by the IP discrimination means; Blocking and registering the cookie information of the attack code analysis information in the cookie DB; (q) 상기 (h) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '3점'인 경우, 상기 IP판별수단이 상기 공격코드 분석정보에 포함된 쿠키 세션을 차단함과 아울러 상기 공격코드 분석정보의 IP정보를 상기 제2 IP정보DB에 등록ㆍ저장하는 단계; 및(q) if the scoring data included in the attack code analysis information is '3 points' as a result of the determination in step (h), the IP discriminating means blocks the cookie session included in the attack code analysis information; Registering and storing the IP information of the attack code analysis information in the second IP information DB; And (r) 상기 (i) 단계의 판단결과, 상기 공격코드 분석정보에 포함된 점수화데이터가 '4점'인 경우, 상기 IP선별수단이 상기 공격코드 분석정보에 포함된 쿠키 세션 및 상기 공격코드 분석정보의 IP정보를 차단하고, 상기 공격코드 분석정보의 IP정보를 상기 제1 IP정보DB에 등록ㆍ저장하는 단계; 를 포함하는 것을 특징으로 하는 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 방법.(r) if the scoring data included in the attack code analysis information is '4 points' as a result of the determination in the step (i), the cookie session and the attack code analysis including the IP selection means included in the attack code analysis information; Blocking IP information of the information and registering and storing the IP information of the attack code analysis information in the first IP information DB; Corresponding method for active detection and blocking of the web firewall, characterized in that it comprises a.
KR1020090085711A 2009-09-11 2009-09-11 System for counterplaning web firewall using conative detection?interception and method therefor KR101041997B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090085711A KR101041997B1 (en) 2009-09-11 2009-09-11 System for counterplaning web firewall using conative detection?interception and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090085711A KR101041997B1 (en) 2009-09-11 2009-09-11 System for counterplaning web firewall using conative detection?interception and method therefor

Publications (2)

Publication Number Publication Date
KR20110027907A KR20110027907A (en) 2011-03-17
KR101041997B1 true KR101041997B1 (en) 2011-06-16

Family

ID=43934441

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090085711A KR101041997B1 (en) 2009-09-11 2009-09-11 System for counterplaning web firewall using conative detection?interception and method therefor

Country Status (1)

Country Link
KR (1) KR101041997B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10701178B2 (en) 2016-10-31 2020-06-30 Samsung Sds Co., Ltd. Method and apparatus of web application server for blocking a client session based on a threshold number of service calls

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102211503B1 (en) * 2019-04-17 2021-02-04 주식회사 케이티 Harmful ip determining method
KR102341928B1 (en) * 2020-12-31 2021-12-24 (주)에코넷시스템 Harmful IP adress provision system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095147A (en) * 2004-03-25 2005-09-29 주식회사 케이티 Hacking defense apparatus and method with hacking type scenario
KR20070087198A (en) * 2004-12-21 2007-08-27 미슬토우 테크놀로지즈, 인코포레이티드 Network interface and firewall device
KR20080030130A (en) * 2006-09-29 2008-04-04 주식회사 케이티 System for managing risk of customer on-demand and method thereof
KR20090047891A (en) * 2007-11-08 2009-05-13 한국전자통신연구원 The method, apparatus and system for managing malicious code spreading site using fire wall

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095147A (en) * 2004-03-25 2005-09-29 주식회사 케이티 Hacking defense apparatus and method with hacking type scenario
KR20070087198A (en) * 2004-12-21 2007-08-27 미슬토우 테크놀로지즈, 인코포레이티드 Network interface and firewall device
KR20080030130A (en) * 2006-09-29 2008-04-04 주식회사 케이티 System for managing risk of customer on-demand and method thereof
KR20090047891A (en) * 2007-11-08 2009-05-13 한국전자통신연구원 The method, apparatus and system for managing malicious code spreading site using fire wall

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10701178B2 (en) 2016-10-31 2020-06-30 Samsung Sds Co., Ltd. Method and apparatus of web application server for blocking a client session based on a threshold number of service calls

Also Published As

Publication number Publication date
KR20110027907A (en) 2011-03-17

Similar Documents

Publication Publication Date Title
CN110719291B (en) Network threat identification method and identification system based on threat information
CN109951500B (en) Network attack detection method and device
US20210152520A1 (en) Network Firewall for Mitigating Against Persistent Low Volume Attacks
CN107426242B (en) Network security protection method, device and storage medium
CN104052734B (en) It the attack detecting that is identified using global device-fingerprint and prevents
JP6432210B2 (en) Security system, security method, security device, and program
US9369479B2 (en) Detection of malware beaconing activities
CN109889547B (en) Abnormal network equipment detection method and device
CN1771709B (en) Network attack signature generation method and apparatus
US9350758B1 (en) Distributed denial of service (DDoS) honeypots
US9398027B2 (en) Data detecting method and apparatus for firewall
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
CN111010409B (en) Encryption attack network flow detection method
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
CN108270722B (en) Attack behavior detection method and device
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
CN107979581B (en) Detection method and device for zombie characteristics
KR20080026122A (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
US20150026806A1 (en) Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack
CN110266650A (en) The recognition methods of Conpot industry control honey jar
CN105959294B (en) A kind of malice domain name discrimination method and device
CN106982188A (en) The detection method and device in malicious dissemination source
CN106878240B (en) Zombie host identification method and device
KR101072981B1 (en) Protection system against DDoS
KR101041997B1 (en) System for counterplaning web firewall using conative detection?interception and method therefor

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140610

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160602

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170601

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180611

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 9