KR101074597B1 - 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 - Google Patents

가상 웹서버 기반의 침입 유도 시스템 및 그 방법 Download PDF

Info

Publication number
KR101074597B1
KR101074597B1 KR1020040074724A KR20040074724A KR101074597B1 KR 101074597 B1 KR101074597 B1 KR 101074597B1 KR 1020040074724 A KR1020040074724 A KR 1020040074724A KR 20040074724 A KR20040074724 A KR 20040074724A KR 101074597 B1 KR101074597 B1 KR 101074597B1
Authority
KR
South Korea
Prior art keywords
intrusion
web
request message
virtual
alert
Prior art date
Application number
KR1020040074724A
Other languages
English (en)
Other versions
KR20060025871A (ko
Inventor
강유
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040074724A priority Critical patent/KR101074597B1/ko
Publication of KR20060025871A publication Critical patent/KR20060025871A/ko
Application granted granted Critical
Publication of KR101074597B1 publication Critical patent/KR101074597B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

본 발명은 가상 웹서버를 이용한 침입 유도 시스템에 관한 것으로, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 웹 요청 메시지를 출력하는 가상웹서버; 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 침입판정기에 의해 생성된 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비함으로써, 침입에 따른 실질적인 피해를 받지 않으면서 새로운 형태의 침입을 조기에 탐지할 수 있다.

Description

가상 웹서버 기반의 침입 유도 시스템 및 그 방법{VIRTUAL WEB-SERVER BASED INTRUSION ENTICEMENT SYSTEM FOR EARLY DETECTION OF INTERNET WEB ATTACK AND METHOD THEREOF}
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도.
도 3은 도 2의 침입여부 판단 단계(230)의 상세 흐름도.
본 발명은 가상 웹서버 기반의 침입 유도 시스템 및 그 방법에 관한 것으로, 웹 요청 메시지를 수신하기 위한 가상의 웹서버를 구비한 후, 이로 입력되는 트래픽을 감시하여 새로운 종류의 해킹 방법 및 해커의 신분을 조기에 탐지할 수 있는 기술에 관한 것이다.
일반적으로, 해킹을 탐지하는 방법으로는 오용탐지방법과 비정상탐지방법이 있다.
오용탐지방법은 미리 공격에 해당하는 서명에 대한 정보 데이터베이스를 침입탐지시스템에 저장한 후, 네트워크 트래픽이나 호스트 사용자의 행동에서 서명(Signature) 패턴을 검색함으로써 해킹을 탐지하는 방법이다.
그런데 이러한 방식은 일단 해킹이 발생한 후에, 이에 대한 서명 정보를 데이터베이스에 업데이트함으로써, 동일한 방식의 해킹이 재발생하면 이를 탐지해내는 방식으로서, 나날이 발전하고 있는 해킹 방식에 적극적으로 대응하기가 곤란하다는 문제점이 있다.
그리고 비정상탐지방법은 갑작스러운 트래픽 변동을 감지하여 해킹을 탐지하는 방법으로, 이는 OSI(open systems interconnection) 7계층 중 제 4계층(TCP/IP) 이하의 정보만을 이용하여 해킹을 탐지하기 때문에, 제 7계층(HTTP) 특성을 이용한 해킹 방법은 해킹 사 후에도 탐지하기가 곤란하다는 문제점이 있다.
본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로, 본 발명의 목적은 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 이용하여 해킹을 유도함으로써, OSI 제 7 계층의 특성을 이용한 새로운 해킹 기술 및 해커 정보를 조기에 탐지할 수 있는 기술을 제공함에 있다.
상술한 바와 같은 문제점을 해결하기 위한 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템은, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버; 상기 웹 요 청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비한다.
이때 바람직하게는, 상기 가상웹서버는, 상기 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원함으로써, 상기 웹 요청메시지가 악성 코드에 해당하는 경우에 안정적으로 상기 웹 요청메시지를 외부로 전달한다.
그리고 바람직하게는, 상기 침입판정기는, 소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대하여, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도의 비율이 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단한다.
이때 바람직하게는, 상기 침입 유도 시스템은, 상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함한다.
그리고 바람직하게는, 상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함한다.
한편, 본 발명에 따른 가상 웹서버 기반의 침입 유도 방법은, 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 마련하는 단계; 상기 가상웹서버로 입력되는 클라이언트의 웹 요청 메시지에 대응하여, '404 File Not Found'로 응답하고, 외부로 상기 웹 요청 메시지를 전달하는 가상 웹서비 스 단계; 상기 가상웹서버로부터 상기 웹 요청 메시지를 전달받은 후, 전달된 웹 요청 메시지의 요청 주소별 접근 빈도수 변화에 기초하여 침입여부를 판단하는 침입 판정 단계; 상기 침입 판정 단계에서 침입으로 판단되는 경우, 상기 침입으로 판단된 상기 웹요청메시지에 대한 경보를 생성하는 단계; 및 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 단계를 구비한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명하고자 한다.
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도이다.
도 1을 참조하면, 본 발명에 따른 침입유도시스템(100)은 가상웹서버(120), 침입판정기(130), 경보생성기(140), 및 설정정보DB(150)를 구비한다.
가상웹서버(120)는 웹 요청 패킷을 표준 웹 프로토콜포트(80)에서 받아들이는 서버 소프트웨어로 구성되며, 일반적인 웹서버와는 달리 오직 파일 요청에 대해 응답하는 겟 메소드(GET METHOD)와 포스트 메소드(POST METHOD)만을 지원한다. 그리고 클라이언트로부터 웹 요청 메시지가 입력되면, 그 웹 요청 메시지에서 지시한 파일과 무관하게 HTTP1.1 규약에 따른 '404 File Not Found' 코드를 전송한다. 이때 '404 File Not Found' 코드는 요청한 파일이 웹서버내에 존재하지 않는 다는 것을 의미한다.
이후, 가상웹서버(120)는 클라이언트가 보낸 웹 요청 정보를 침입판정기(130)로 전달한다.
이와 같이 가상웹서버(120)는 클라이언트의 웹 요청에 대응하여 무조건 '404 File Not Found'로 응답하기 때문에, 실제 가상웹서버(120)는 전혀 부하를 받지 않고 클라이언트의 웹 요청 메시지를 받아들여, 침입여부를 판정하기 위한 자료로 활용할 수 있다.
침입판정기(130)는 가상웹서버(120)로부터 전달받은 웹 요청 정보를 통계적 분석 기법으로 분석하여 침입을 탐지한다. 즉, 웹 요청 정보에 따른 각 요청 주소별 접근 빈도 추이를 산출하고, 만약 특정 주소에 대한 접근 빈도가 소정 임계치 이상 증가하면, 침입으로 판단하여 경보를 생성한다. 이때 생성되는 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL을 포함한다.
경보생성기(140)는 침입판정기(130)가 생성한 경보에 대응하는 이메일 및 시스템 로그를 생성한다.
설정정보DB(150)는 침입판정기가 침입 여부를 판단하기 위한 펙터로 이용되는 검사기준 시간값 및 검사기준임계값을 저장하고 있다.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도이다. 도 2를 참조하면, 우선 가상웹서버(120)는 외부 클라이언트로부터 웹 요청 메시지를 수신하면(S200), 이에 대해 '404 File Not Found'로 응답한다(S210). 그리고 가상웹서버(120)는 클라이언트로부터 요청된 웹 요청 메시지를 침입판정기(130)로 전달한다(S220).
침입판정기(130)는 통계적 분석 기법에 따라 웹 요청정보를 분석하여, 침입 여부를 판단한다(S230). 도 3은 도 2의 침입여부 판단 단계(S230)의 상세 흐름도이다.
도 3을 참조하면, 우선 침입판정기(130)는 설정정보DB(150)로부터 검사기준시간(M) 및 검사기준임계값(Tc)을 독출한다(S231).
그리고 가상웹서버(120)로부터 전달받은 웹 요청 정보에 기초하여, 지난 5분간의 웹 요청 평균 회수(N)를 산출한다(S233). 그리고 이후 지난 M분간 웹요청 평균회수(S)를 산출한다. 이때 지난 5분간 웹 요청 평균회수(N) 및 M분간 웹 요청 평균회수(S)는 요청 주소별로 산출되며, 검사기준시간(M)은 S233 단계에서 웹 요청 평균회수를 산출한 5분보다 길다.
이후, 요청 주소별 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)이 검사기준임계값(Tc)이상인지 판단한다(S235).
만약 S235 단계에서 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)가 검사기준임계값(Tc)이상이면 침입이 발생한 것으로 판단한다(S236).
다시 도 2로 돌아가서, S230 단계에서 침입이 발생한 것으로 판단되었는지 확인하여(S240), 침입이 발생하지 않은 것으로 판단되면, S200 단계 이후 동작을 반복 수행한다. 그리고 침입이 발생한 것으로 판단되면 침입 경보를 생성하고(S250), 경보생성기(140)는 침입경보에 대응하는 이메일 및 시스템 로그를 생성한다(S260).
상술한 바와 같은 방법에 의해 OSI 제 7 계층에서 발생되는 새로운 형식의 해킹 방식을 조기에 탐지할 수 있다.
따라서, 본 발명에 의하면, 가상 웹서버로 입력되는 웹 요청 메시지에 대해 '404 File Not Found'로 대응한 후, 웹 요청 메시지를 분석하여 침입여부를 판단하기 때문에, 실제로 침입에 따른 피해를 보지 않고서도 OSI 제 7 계층에서 발생하는 침입을 조기에 탐지할 수 있는 장점이 있다.
아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.

Claims (6)

  1. HTTP 표준 프로토콜만을 지원하고, 클라이언트로부터 입력되는 웹 요청 메시지에 대해 무조건 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버;
    상기 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및
    상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  2. 삭제
  3. 제 1항에 있어서, 상기 침입판정기는,
    소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대한, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접 근 빈도의 비율을 계산하여, 만약 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  4. 제 3항에 있어서,
    상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  5. 제 1항에 있어서,
    상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  6. 삭제
KR1020040074724A 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 KR101074597B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060025871A KR20060025871A (ko) 2006-03-22
KR101074597B1 true KR101074597B1 (ko) 2011-10-17

Family

ID=37131243

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101074597B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
CN117278322B (zh) * 2023-11-13 2024-02-20 国家工业信息安全发展研究中心 Web入侵检测方法、装置、终端设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069369A1 (en) 2000-07-05 2002-06-06 Tremain Geoffrey Donald Method and apparatus for providing computer services
US20020083341A1 (en) * 2000-12-27 2002-06-27 Yehuda Feuerstein Security component for a computing device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069369A1 (en) 2000-07-05 2002-06-06 Tremain Geoffrey Donald Method and apparatus for providing computer services
US20020083341A1 (en) * 2000-12-27 2002-06-27 Yehuda Feuerstein Security component for a computing device

Also Published As

Publication number Publication date
KR20060025871A (ko) 2006-03-22

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
US10050917B2 (en) Multi-dimensional reputation scoring
CN1771709B (zh) 用于产生网络攻击特征标记的方法和装置
US8561167B2 (en) Web reputation scoring
US7949716B2 (en) Correlation and analysis of entity attributes
EP2865165B1 (en) Method and device for secure content retrieval
US8179798B2 (en) Reputation based connection throttling
US8844034B2 (en) Method and apparatus for detecting and defending against CC attack
US8019689B1 (en) Deriving reputation scores for web sites that accept personally identifiable information
US20060236401A1 (en) System, method and program product to identify a distributed denial of service attack
US20150040218A1 (en) Detecting image spam
CN106453669B (zh) 一种负载均衡方法及一种服务器
CN108809749B (zh) 基于采样率来执行流的上层检查
CN107493576B (zh) 用于确定无线接入点的安全信息的方法与设备
JP2008520010A (ja) Eメールアンチフィッシングインスペクタ
US20080159283A1 (en) Communication control apparatus, communication control method and communication control program product
CN110636068B (zh) 在cc攻击防护中识别未知cdn节点的方法以及装置
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
US8996640B2 (en) System, method and computer readable medium for processing unsolicited electronic mail
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
CN108234516B (zh) 一种网络泛洪攻击的检测方法及装置
CN108183884B (zh) 一种网络攻击判定方法及装置
CN108234486A (zh) 一种网络监测方法及监测服务器
KR101074597B1 (ko) 가상 웹서버 기반의 침입 유도 시스템 및 그 방법
CN112565203B (zh) 一种集中管理平台

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee