KR101074597B1 - 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 - Google Patents
가상 웹서버 기반의 침입 유도 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR101074597B1 KR101074597B1 KR1020040074724A KR20040074724A KR101074597B1 KR 101074597 B1 KR101074597 B1 KR 101074597B1 KR 1020040074724 A KR1020040074724 A KR 1020040074724A KR 20040074724 A KR20040074724 A KR 20040074724A KR 101074597 B1 KR101074597 B1 KR 101074597B1
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion
- web
- request message
- virtual
- alert
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
본 발명은 가상 웹서버를 이용한 침입 유도 시스템에 관한 것으로, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 웹 요청 메시지를 출력하는 가상웹서버; 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 침입판정기에 의해 생성된 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비함으로써, 침입에 따른 실질적인 피해를 받지 않으면서 새로운 형태의 침입을 조기에 탐지할 수 있다.
Description
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도.
도 3은 도 2의 침입여부 판단 단계(230)의 상세 흐름도.
본 발명은 가상 웹서버 기반의 침입 유도 시스템 및 그 방법에 관한 것으로, 웹 요청 메시지를 수신하기 위한 가상의 웹서버를 구비한 후, 이로 입력되는 트래픽을 감시하여 새로운 종류의 해킹 방법 및 해커의 신분을 조기에 탐지할 수 있는 기술에 관한 것이다.
일반적으로, 해킹을 탐지하는 방법으로는 오용탐지방법과 비정상탐지방법이 있다.
오용탐지방법은 미리 공격에 해당하는 서명에 대한 정보 데이터베이스를 침입탐지시스템에 저장한 후, 네트워크 트래픽이나 호스트 사용자의 행동에서 서명(Signature) 패턴을 검색함으로써 해킹을 탐지하는 방법이다.
그런데 이러한 방식은 일단 해킹이 발생한 후에, 이에 대한 서명 정보를 데이터베이스에 업데이트함으로써, 동일한 방식의 해킹이 재발생하면 이를 탐지해내는 방식으로서, 나날이 발전하고 있는 해킹 방식에 적극적으로 대응하기가 곤란하다는 문제점이 있다.
그리고 비정상탐지방법은 갑작스러운 트래픽 변동을 감지하여 해킹을 탐지하는 방법으로, 이는 OSI(open systems interconnection) 7계층 중 제 4계층(TCP/IP) 이하의 정보만을 이용하여 해킹을 탐지하기 때문에, 제 7계층(HTTP) 특성을 이용한 해킹 방법은 해킹 사 후에도 탐지하기가 곤란하다는 문제점이 있다.
본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로, 본 발명의 목적은 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 이용하여 해킹을 유도함으로써, OSI 제 7 계층의 특성을 이용한 새로운 해킹 기술 및 해커 정보를 조기에 탐지할 수 있는 기술을 제공함에 있다.
상술한 바와 같은 문제점을 해결하기 위한 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템은, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버; 상기 웹 요 청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비한다.
이때 바람직하게는, 상기 가상웹서버는, 상기 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원함으로써, 상기 웹 요청메시지가 악성 코드에 해당하는 경우에 안정적으로 상기 웹 요청메시지를 외부로 전달한다.
그리고 바람직하게는, 상기 침입판정기는, 소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대하여, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도의 비율이 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단한다.
이때 바람직하게는, 상기 침입 유도 시스템은, 상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함한다.
그리고 바람직하게는, 상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함한다.
한편, 본 발명에 따른 가상 웹서버 기반의 침입 유도 방법은, 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 마련하는 단계; 상기 가상웹서버로 입력되는 클라이언트의 웹 요청 메시지에 대응하여, '404 File Not Found'로 응답하고, 외부로 상기 웹 요청 메시지를 전달하는 가상 웹서비 스 단계; 상기 가상웹서버로부터 상기 웹 요청 메시지를 전달받은 후, 전달된 웹 요청 메시지의 요청 주소별 접근 빈도수 변화에 기초하여 침입여부를 판단하는 침입 판정 단계; 상기 침입 판정 단계에서 침입으로 판단되는 경우, 상기 침입으로 판단된 상기 웹요청메시지에 대한 경보를 생성하는 단계; 및 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 단계를 구비한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명하고자 한다.
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도이다.
도 1을 참조하면, 본 발명에 따른 침입유도시스템(100)은 가상웹서버(120), 침입판정기(130), 경보생성기(140), 및 설정정보DB(150)를 구비한다.
가상웹서버(120)는 웹 요청 패킷을 표준 웹 프로토콜포트(80)에서 받아들이는 서버 소프트웨어로 구성되며, 일반적인 웹서버와는 달리 오직 파일 요청에 대해 응답하는 겟 메소드(GET METHOD)와 포스트 메소드(POST METHOD)만을 지원한다. 그리고 클라이언트로부터 웹 요청 메시지가 입력되면, 그 웹 요청 메시지에서 지시한 파일과 무관하게 HTTP1.1 규약에 따른 '404 File Not Found' 코드를 전송한다. 이때 '404 File Not Found' 코드는 요청한 파일이 웹서버내에 존재하지 않는 다는 것을 의미한다.
이후, 가상웹서버(120)는 클라이언트가 보낸 웹 요청 정보를 침입판정기(130)로 전달한다.
이와 같이 가상웹서버(120)는 클라이언트의 웹 요청에 대응하여 무조건 '404 File Not Found'로 응답하기 때문에, 실제 가상웹서버(120)는 전혀 부하를 받지 않고 클라이언트의 웹 요청 메시지를 받아들여, 침입여부를 판정하기 위한 자료로 활용할 수 있다.
침입판정기(130)는 가상웹서버(120)로부터 전달받은 웹 요청 정보를 통계적 분석 기법으로 분석하여 침입을 탐지한다. 즉, 웹 요청 정보에 따른 각 요청 주소별 접근 빈도 추이를 산출하고, 만약 특정 주소에 대한 접근 빈도가 소정 임계치 이상 증가하면, 침입으로 판단하여 경보를 생성한다. 이때 생성되는 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL을 포함한다.
경보생성기(140)는 침입판정기(130)가 생성한 경보에 대응하는 이메일 및 시스템 로그를 생성한다.
설정정보DB(150)는 침입판정기가 침입 여부를 판단하기 위한 펙터로 이용되는 검사기준 시간값 및 검사기준임계값을 저장하고 있다.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도이다. 도 2를 참조하면, 우선 가상웹서버(120)는 외부 클라이언트로부터 웹 요청 메시지를 수신하면(S200), 이에 대해 '404 File Not Found'로 응답한다(S210). 그리고 가상웹서버(120)는 클라이언트로부터 요청된 웹 요청 메시지를 침입판정기(130)로 전달한다(S220).
침입판정기(130)는 통계적 분석 기법에 따라 웹 요청정보를 분석하여, 침입 여부를 판단한다(S230). 도 3은 도 2의 침입여부 판단 단계(S230)의 상세 흐름도이다.
도 3을 참조하면, 우선 침입판정기(130)는 설정정보DB(150)로부터 검사기준시간(M) 및 검사기준임계값(Tc)을 독출한다(S231).
그리고 가상웹서버(120)로부터 전달받은 웹 요청 정보에 기초하여, 지난 5분간의 웹 요청 평균 회수(N)를 산출한다(S233). 그리고 이후 지난 M분간 웹요청 평균회수(S)를 산출한다. 이때 지난 5분간 웹 요청 평균회수(N) 및 M분간 웹 요청 평균회수(S)는 요청 주소별로 산출되며, 검사기준시간(M)은 S233 단계에서 웹 요청 평균회수를 산출한 5분보다 길다.
이후, 요청 주소별 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)이 검사기준임계값(Tc)이상인지 판단한다(S235).
만약 S235 단계에서 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)가 검사기준임계값(Tc)이상이면 침입이 발생한 것으로 판단한다(S236).
다시 도 2로 돌아가서, S230 단계에서 침입이 발생한 것으로 판단되었는지 확인하여(S240), 침입이 발생하지 않은 것으로 판단되면, S200 단계 이후 동작을 반복 수행한다. 그리고 침입이 발생한 것으로 판단되면 침입 경보를 생성하고(S250), 경보생성기(140)는 침입경보에 대응하는 이메일 및 시스템 로그를 생성한다(S260).
상술한 바와 같은 방법에 의해 OSI 제 7 계층에서 발생되는 새로운 형식의 해킹 방식을 조기에 탐지할 수 있다.
따라서, 본 발명에 의하면, 가상 웹서버로 입력되는 웹 요청 메시지에 대해 '404 File Not Found'로 대응한 후, 웹 요청 메시지를 분석하여 침입여부를 판단하기 때문에, 실제로 침입에 따른 피해를 보지 않고서도 OSI 제 7 계층에서 발생하는 침입을 조기에 탐지할 수 있는 장점이 있다.
아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.
Claims (6)
- HTTP 표준 프로토콜만을 지원하고, 클라이언트로부터 입력되는 웹 요청 메시지에 대해 무조건 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버;상기 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
- 삭제
- 제 1항에 있어서, 상기 침입판정기는,소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대한, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접 근 빈도의 비율을 계산하여, 만약 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
- 제 3항에 있어서,상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
- 제 1항에 있어서,상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040074724A KR101074597B1 (ko) | 2004-09-17 | 2004-09-17 | 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040074724A KR101074597B1 (ko) | 2004-09-17 | 2004-09-17 | 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060025871A KR20060025871A (ko) | 2006-03-22 |
KR101074597B1 true KR101074597B1 (ko) | 2011-10-17 |
Family
ID=37131243
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040074724A KR101074597B1 (ko) | 2004-09-17 | 2004-09-17 | 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101074597B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486298B (zh) * | 2014-11-27 | 2018-03-09 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
CN117278322B (zh) * | 2023-11-13 | 2024-02-20 | 国家工业信息安全发展研究中心 | Web入侵检测方法、装置、终端设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020069369A1 (en) | 2000-07-05 | 2002-06-06 | Tremain Geoffrey Donald | Method and apparatus for providing computer services |
US20020083341A1 (en) * | 2000-12-27 | 2002-06-27 | Yehuda Feuerstein | Security component for a computing device |
-
2004
- 2004-09-17 KR KR1020040074724A patent/KR101074597B1/ko not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020069369A1 (en) | 2000-07-05 | 2002-06-06 | Tremain Geoffrey Donald | Method and apparatus for providing computer services |
US20020083341A1 (en) * | 2000-12-27 | 2002-06-27 | Yehuda Feuerstein | Security component for a computing device |
Also Published As
Publication number | Publication date |
---|---|
KR20060025871A (ko) | 2006-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US10050917B2 (en) | Multi-dimensional reputation scoring | |
CN1771709B (zh) | 用于产生网络攻击特征标记的方法和装置 | |
US8561167B2 (en) | Web reputation scoring | |
US7949716B2 (en) | Correlation and analysis of entity attributes | |
EP2865165B1 (en) | Method and device for secure content retrieval | |
US8179798B2 (en) | Reputation based connection throttling | |
US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
US8019689B1 (en) | Deriving reputation scores for web sites that accept personally identifiable information | |
US20060236401A1 (en) | System, method and program product to identify a distributed denial of service attack | |
US20150040218A1 (en) | Detecting image spam | |
CN106453669B (zh) | 一种负载均衡方法及一种服务器 | |
CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
CN107493576B (zh) | 用于确定无线接入点的安全信息的方法与设备 | |
JP2008520010A (ja) | Eメールアンチフィッシングインスペクタ | |
US20080159283A1 (en) | Communication control apparatus, communication control method and communication control program product | |
CN110636068B (zh) | 在cc攻击防护中识别未知cdn节点的方法以及装置 | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
US8996640B2 (en) | System, method and computer readable medium for processing unsolicited electronic mail | |
RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN108234486A (zh) | 一种网络监测方法及监测服务器 | |
KR101074597B1 (ko) | 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 | |
CN112565203B (zh) | 一种集中管理平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |