KR101112200B1 - 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 - Google Patents

유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 Download PDF

Info

Publication number
KR101112200B1
KR101112200B1 KR1020090057980A KR20090057980A KR101112200B1 KR 101112200 B1 KR101112200 B1 KR 101112200B1 KR 1020090057980 A KR1020090057980 A KR 1020090057980A KR 20090057980 A KR20090057980 A KR 20090057980A KR 101112200 B1 KR101112200 B1 KR 101112200B1
Authority
KR
South Korea
Prior art keywords
proxy
information
traffic
filtering
filter
Prior art date
Application number
KR1020090057980A
Other languages
English (en)
Other versions
KR20110000474A (ko
Inventor
박종공
Original Assignee
(주) 임앤정
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 임앤정 filed Critical (주) 임앤정
Priority to KR1020090057980A priority Critical patent/KR101112200B1/ko
Publication of KR20110000474A publication Critical patent/KR20110000474A/ko
Application granted granted Critical
Publication of KR101112200B1 publication Critical patent/KR101112200B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 국내외로부터 유입되는 유해 트래픽의 특징을 이용하여 해외로부터 유입되는 유해 트래픽을 원척적으로 봉쇄시켜, 개인정보 및 계좌 정보가가 유출되는 것을 방지할 수 있도록 하는 유해 트래픽 필터링 전용 임베디드 시스템 및 유해트래픽 필터링방법에 관한 것으로, 유해 트래픽 필터링 전용 임베디드 시스템에 있어서, HTTP/HTTPS 트래픽 중 헤더 정보 중 IP 세탁(Proxy)된 유해 트래픽 중 미리 설정되어 있는 조건에 만족한 경우를 추출하여 해당 Factor를 증가시키는 필터엔진; 및 상기 필터엔진을 통해 추출된 정보(Factor 모음) 중 건수가 몇 건인지 비교를 실시하여 특정 회수에 따른 경고/차단되도록 하거나, 정상 트래픽으로 인정하여 대상 사이트로 통과할 수 있도록 하는 유해트래픽 판단 시스템으로 이루어진 것을 특징으로 한다.
해외, 유해, 트래픽, 필터링, 전용, 임베디드

Description

유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 {Exclusive embeded system for filtering of malicious traffic and filtering method of malicious traffic}
본 발명은 유해 트래픽 필터링 전용 임베디드 시스템 및 유해트래픽 필터링방법에 관한 것이다.
보다 상세하게는 해외로부터 유입되는 유해 트래픽의 특징을 이용하여 해외로부터 유입되는 유해 트래픽을 원척적으로 봉쇄시켜, 개인정보 및 계좌 정보가가 유출되는 것을 방지할 수 있도록 하는 유해 트래픽 필터링 전용 임베디드 시스템 및 유해트래픽 필터링방법에 관한 것이다.
해외로부터 유입되는 트래픽 중에 은행, 게임 사이트로 접속을 하여 개인정보 내에 있는 계좌정보 등의 금융정보를 탈취하고 있다. 즉, 도 1에 도시된 바와 같이 해외 내에 있는 공격자는 정보를 탈취하기 위히 IP 세탁을 수행하면서 빈번한 요청을 하게 되고 한국내에서 운영되고 있는 은행, 게임 웹 사이트들을 통해 사용 자의 개인정보 및 사용자의 계좌정보를 탈취할 수 있게 된다.
상기 해외 발 유해 트래픽은 Proxy, VPN 또는 원격접속 프로그램 등을 사용하여 출발지 IP 주소를 세탁하고 있어 공격자를 찾아 내기 어렵다는 문제점이 있다.
해외 발 유해 트래픽을 모니터링 한 결과 Proxy, VPN 또는 원격접속 프로그램을 사용할 때 몇 가지 특징(HTTP/HTTPS 헤더 정보 등)를 포함하고 있음을 찾아 내었다.
본 발명은 상기와 같은 개발 요구에 부응하기 위해 안출된 것으로, 본 발명은 해외로부터 유입되는 유해 트래픽의 특징을 이용하여 해외로부터 유입되는 유해 트래픽을 원척적으로 봉쇄시켜, 개인정보 및 계좌 정보가가 유출되는 것을 방지할 수 있도록 하는 유해 트래픽 필터링 전용 임베디드 시스템 및 유해트래픽 필터링방법을 제공하는데, 그 목적이 있다.
즉, 본 발명은 원격(해외)에서 Proxy를 이용하여 출발지 주소를 세탁하여 은행 또는 게임 사이트로 향하는 해외발 유해 트래픽을 공격 대상 웹 사이트 네트워크 앞 단에 유해 트래픽을 필터링하는 기능을 갖는 유해트래픽 조기경보 전용 임베디드 시스템을 인-라인(inline) 형태로 구성하여 유해 트래픽을 제거할 수 있도록 한다.
상기 목적을 달성하기 위한 본 발명의 일 실시예는, 유해 트래픽 필터링 전용 임베디드 시스템에 있어서, HTTP/HTTPS 트래픽 중 헤더 정보 중 IP 세탁(Proxy)된 유해 트래픽 중 미리 설정되어 있는 조건에 만족한 경우를 추출하여 해당 Factor를 증가시키는 필터엔진; 및 상기 필터엔진을 통해 추출된 정보(Factor 모음) 중 건수가 몇 건인지 비교를 실시하여 특정 회수에 따른 경고/차단되도록 하거나, 정상 트래픽으로 인정하여 대상 사이트로 통과할 수 있도록 하는 유해트래픽 판단 시스템으로 이루어진 것을 특징으로 한다.
상기의 Factor는 하기하는 connectionType; color Depth; 브라우저/OS 종류; Transparent Proxy, Anonymous Proxy, High Anonymous Proxy, Web Proxy 등의 Proxy type;과 같이 필터링에 사용되는 인자(factor)를 말한다.
상기 필터엔진은, 트래픽의 헤더를 파싱하여 connectionType이 추출되면 리모트 필터 팩터를 증가시키고, color Depth이 추출되면 리모트 필터 팩터를 증가시키고, 브라우저/OS가 추출되면 리모트 필터 팩터를 증가시키고, Transparent Proxy를 추출하면 프록시 필터 팩터를 증가시키고, Anonymous Proxy를 추출하면 프록시 필터 팩터를 증가시키고, High Anonymous Proxy를 추출하면 프록시 필터 팩터를 증가시키고, Web Proxy를 추출하면 프록시 필터 팩터를 증가시켜서 DB의 팩터 모음에 저장되도록 하는 것을 특징으로 한다.
상기 필터엔진은, 리모트 필터(110)와 프록시 필터(120)로 이루어진다.
상기 리모트 필터는, 웹 페이지 요청시 Body 태그의 behavior 설정상태를 체크하고, 페이지가 로드 된 후 자바스크립트의 onload()가 실행되는지를 체크하고, 체크되는 데이터 값으로는 MODEM 또는 LAN으로 체크한다. 따라서 국내 환경으로 LAN 이 체크되지 않을 시에는 VPN이나 기타 다른 경로를 통한 값으로 추정하여, connectionType을 추출하는 것을 특징으로 한다.
상기 리모트 필터는, 웹 페이지 요청시 Body 태그의 behavior 설정상태를 체크하고, 페이지가 로드 된 후 자바스크립트의 onload()가 실행되는지를 체크하고, 체크되는 데이터 값으로는 컬러 값으로 체크하여 국내 환경으로 컬러 값으로 25이하인 경우 원격지를 경유함으로 컬러 값이 25 미만으로 떨어지는 것으로 추정하는 방식으로 colorDepth 추출을 하는 것을 특징으로 한다.
상기 리모트 필터는, 웹 요청시도 시 서비스 요청 헤더 부분에 User-Agent에 OS 및 브라우저 정보가 함께 포함되어 있는지를 체크하고, 해당 부분을 OS 및 브라우저 정보로 저장 후 원격 접속 여부에 판단 자료 제공하는 것으로 OS 및 브라우저 정보를 추출하는 것을 특징으로 한다.
상기 프록시 필터는, 웹 요청시도 시 서비스 요청 헤더 부분에 proxy 서버 종류와 client의 IP를 함께 포함하고 있는지를 체크하고, 'Via:' 부분이 proxy 서버의 종류를 뜻하고 'X-Forwarded-For:' 부분이 client의 실제 IP를 뜻하므로, 해당 부분이 있으면 Transparent Proxy로 추출하는 방식으로, Transparent Proxy를 추출하는 것을 특징으로 한다.
상기 프록시 필터는, client의 IP 정보는 없지만 proxy 서버 종류만 포함하고 있으며, 'X-BlueCoat-Via:' 부분이 proxy 서버 종류를 나타내므로, 해당 부분이 있으면 Anonymous Proxy로 추출하는 것을 특징으로 한다.
상기 프록시 필터는 proxy 서버 정보와 client의 IP 정보를 포함하고 있지 않으며, 일반적인 client 요청 헤더와 동일하기 때문에, 해당 부분이 있으면 High Anonymous Proxy로 추출하는 것을 특징으로 한다.
또한, 본 발명의 다른 실시예는 유해트래픽 필터링 방법에 있어서, (1) 필터엔진을 구성하고 있는 리모트 필터 및 프록시 필터를 이용하여 팩터정보를 추출하여 DB에 저장시키는 단계; (2) 유해트래픽 판단 시스템은, DB에 저장되어 있는 팩터 모음을 체크하여, 상기 필터 엔진에 의해 모아진 팩터 정보를 리모트 필터를 통해 추출된 팩터와 프록시 필터를 통해 추출된 팩터를 분류하여, 각각의 팩터 수를 산출하는 단계; (3) 유해트래픽 판단 시스템은, 상기 산출된 팩터수를 비교하여 비교수를 산출하고, 비교수가 "0"인 경우 정상적인 트래픽으로 인정하여 OUT NIC로 통과시키고는 단계; (4) 유해트래픽 판단 시스템은, 비교수가 2이하인 경우 심각한 상태로 경고한 후 Source IP를 차단하고 유해트래픽으로 DB에 저장시키는 단계; 및 (5) 유해트래픽 판단 시스템은, 상기 비교수가 0보다 크고 2 미만인 경우 위험 경고 안내 메시지를 출력하고 Source IP를 모니터링하며, 유해트래픽 정보로 Source IP 정보를 DB에 저장시키는 단계로 이루어진 것을 특징으로 한다.
본 발명은 본 발명은 상기와 같은 개발 요구에 부응하기 위해 안출된 것으로, 본 발명은 해외로부터 유입되는 유해 트래픽의 특징을 이용하여 해외로부터 유입되는 유해 트래픽을 원척적으로 봉쇄시켜, 개인정보 및 계좌 정보가가 유출되는 것을 방지할 수 있도록 하는 효과가 있다.
또한, 본 발명은 원격(해외)에서 Proxy를 이용하여 출발지 주소를 세탁하여 은행 또는 게임 사이트로 향하는 해외발 유해 트래픽을 공격 대상 웹 사이트 네트워크 앞 단에 유해 트래픽을 필터링하는 기능을 갖는 유해트래픽 조기경보 전용 임베디드 시스템을 인-라인(inline) 형태로 구성하여 유해 트래픽을 제거할 수 있도록 하는 효과가 있다.
이하, 본 발명의 구성을 첨부한 도면을 참조하여 설명하면 다음과 같다.
본 발명에 따른 유해 트래픽 필터링 전용 임베디드 시스템은 도 3 내지 도 5에 도시된 바와 같이, HTTP/HTTPS 트래픽 중 헤더 정보 중 해외 발, IP 세탁(Proxy)된 유해 트래픽 중 미리 설정되어 있는 조건에 만족한 경우를 추출하여 해당 Factor를 증가시키는 필터엔진(100)과 상기 필터엔진(100)을 통해 추출된 정보(Factor 모음) 중 건수가 몇 건인지 비교를 실시하여 특정 회수에 따른 경고/차단되도록 하거나, 정상 트래픽으로 인정하여 대상 사이트로 통과할 수 있도록 하는 유해트래픽 판단 시스템(200)으로 구성된다.
필터엔진(100)은 트래픽의 헤더를 파싱하여 connectionType이 추출되면 리모트 필터 팩터를 증가시키고, color Depth이 추출되면 리모트 필터 팩터를 증가시키 고, 브라우저/OS가 추출되면 리모트 필터 팩터를 증가시킨다. 그리고 Transparent Proxy를 추출하면 프록시 필터 팩터를 증가시키고, Anonymous Proxy를 추출하면 프록시 필터 팩터를 증가시키고, High Anonymous Proxy를 추출하면 프록시 필터 팩터를 증가시키고, Web Proxy를 추출하면 프록시 필터 팩터를 증가시켜서 DB의 팩터 모음에 저장되도록 한다.
상기 필터엔진(100)은 도 5에 도시된 바와 같이 리모트 필터(110)와 프록시 필터(120)로 이루어진다.
상기 리모트 필터(110)는 도 7에 도시된 바와 같이 connectionType을 추출한다. 즉, 웹 페이지 요청시 Body 태그의 behavior 설정상태를 체크하고, 페이지가 로드 된 후 자바스크립트의 onload() 가 실행되는지를 체크하고, 체크되는 데이터 값으로는 MODEM 또는 LAN으로 체크한다. 따라서 국내 환경으로 LAN 이 체크되지 않을 시에는 VPN이나 기타 다른 경로를 통한 값으로 추정한다.
또한, 상기 리모트 필터(110)는 colorDepth 추출한다. 즉, 웹 페이지 요청시 Body 태그의 behavior 설정상태를 체크하고, 페이지가 로드 된 후 자바스크립트의 onload() 가 실행되는지를 체크하고, 체크되는 데이터 값으로는 컬러 값으로 체크한다. 따라서 국내 환경으로 컬러 값으로 25이하인 경우 원격지를 경유함으로 컬러 값이 25 미만으로 떨어지는 것으로 추정한다.
또한, 상기 리모트 필터(110)는 OS 및 브라우저 정보 추출한다. 즉 웹 요청시도 시 서비스 요청 헤더 부분에 User-Agent에 OS 및 브라우저 정보가 함께 포함되어 있는지를 체크하고, 해당 부분을 OS 및 브라우저 정보로 저장 후 원격 접속 여부에 판단 자료 제공한다.
상기 프록시 필터(120)는 Transparent Proxy를 추출한다. 즉 웹 요청시도 시 서비스 요청 헤더 부분에 proxy 서버 종류와 client의 IP를 함께 포함하고 있는지를 체크하고, 'Via:' 부분이 proxy 서버의 종류를 뜻하고 'X-Forwarded-For:' 부분이 client의 실제 IP를 뜻하므로, 해당 부분이 있으면 Transparent Proxy로 추출한다.
상기 프록시 필터(120)는 Anonymous Proxy를 추출한다. 즉, client의 IP 정보는 없지만 proxy 서버 종류만 포함하고 있으며, 'X-BlueCoat-Via:' 부분이 proxy 서버 종류를 나타내므로, 해당 부분이 있으면 Anonymous Proxy로 추출한다.
상기 프록시 필터(120)는 High Anonymous Proxy를 추출한다. 즉, proxy 서버 정보와 client의 IP 정보를 포함하고 있지 않으며, 일반적인 client 요청 헤더와 동일하기 때문에, 해당 부분이 있으면 High Anonymous Proxy로 추출한다.
상기 프록시 필터(120)는 Proxy Header를 추출한다. 즉, HTTP/HTTPS 헤더 중, Proxy를 사용한 경우 하기의 표를 통해 나타낸 바와 같이 필드들이 헤더에 포함 되며 각 필드들은 Proxy Server에 따라 상이하다.
Figure 112009039162116-pat00001
유해트래픽 판단시스템(200)은 상기 필터엔진(100)에 의해 추출된 팩터 모음 중 리모트 필터(110)와 프록시 필터(120)에서 추출된 팩터 수를 각각 비교하고, 비교수가 "0"인 경우는 정상적인 트래픽으로 인정하여 OUT NIC로 통과시키고, 비교수가 2이하인 경우 심각한 상태로 경고한 후 Source IP를 차단하고 유해트래픽으로 DB에 저장시키며, 상기 비교수가 0보다 크고 2 미만인 경우 위험 경고 안내 메시지를 출력하고 Source IP를 모니터링하며, 유해트래픽 정보로 Source IP 정보를 DB에 저장시킨다.
상기와 같이 구성된 유해 트래픽 필터링 전용 임베디드 시스템이 운영방법에 대해 설명하면 다음과 같다.
먼저 해외에서 한국 접속 시 유해 트래픽은 작은 대역폭(narrow bandwidth)을 이용하고 있으며, 출발지 주소 세탁을 위한 Proxy 접속을 시도한다. 즉 LAN 이외의 방법으로 접속을 시도한다.
그러므로 유입되는 트랙픽이 원격지임을 확인하기 위하여 Java Script behavior 방법을 사용하고, 상기 방법의 속성 중 랜/모뎀(LAN/MODEM)을 점검하는 태그인 behavior.connectiontype으로 랜/모뎀(LAN/MODEM) 속성을 추출한다.
그리고 방법의 속성 중 작은 대역폭 점검을 하기 위해 태그를 사용한다. 즉, behavior.colordepth를 사용하여 대역폭이 큰 경우엔 25 이상을 나타내므로, 그 미만인 경우에는 작은 대역폭으로 간주한다.
Proxy란 정보보안 분야에서 주로 보안상의 이유로 직접 통신할 수 없는 두 점 사이에서 통신을 할 경우 그 사이에 있어서 중계기로서 대리로 통신을 수행하는 기능을 말하며, 그 중계 기기 자체를 Proxy Server라고 한다.
상기 Proxy Server는 클라이언트 입장과 서버의 입장에서 볼 때 서로 상반되는 역할을 하는 것처럼 인식한다. 즉 사용자(클라이언트) 입장에서 본다면 Proxy Server는 마치 원격 서버처럼 동작하는 것이고, 원격 서버에서의 입장에서 본다면 클라이언트처럼 동작하는 것이다.
상기 Proxy Server의 특징은 IP레벨에서 서로 연결되지 않은 클라이언트와 서버 사이에 응용프로그램의 데이터를 중계하고, 클라이언트와 서버프로그램이 지원하지 않는 접근제한을 수행하며, Proxy Server는 Proxy Server에 요청된 내용들을 캐시를 이용하여 저장하고, 캐시 안에 있는 정보를 클라이언트에서 요구하는 요청에 대해서는 원격 서버에 접속하여 데이터를 가져올 필요가 없게 됨으로써 전송 시간을 절약할 수 있게 됨과 동시에 불필요하게 외부와의 연결을 하지 않아도 되며, 외부와의 트래픽을 줄이게 됨으로써 네트워크 병목 현상을 방지하는 효과를 얻는다.
그리고 IP 세탁(IP Laundry)은 도 2에 도시된 바와 같이 자신의 IP 주소를 의도적으로 상대방에게 알리지 않고 접속하기 위해 우회(경유)하여 특정 서버에 접속하는 행위로서, 그 특징은 접속된 서버에 남는 로그에 세탁된 IP주소(경유지)가 남게 되고, IP세탁하는 방법으로 Proxy 서버를 이용하거나, IP 주소를 세탁해 주는 사이트(회사)를 이용하거나, IP 추적 회피 툴을 이용한다.
이에 본 발명에 따라 구현된 유해 트래픽 필터링 전용 임베디드 시스템은 먼저 필터엔진(100)을 구성하고 있는 리모트 필터(110) 및 프록시 필터(120)를 이용하여 팩터정보를 추출하여 DB에 저장시킨다.
상기 프록시 필터(120)는 웹 프록시도 추출하는데, 추출하는 키워드는 하기를 통해 알 수 있다.
Figure 112009039162116-pat00002
Figure 112009039162116-pat00003
유해트래픽 판단 시스템(200)은 도 8에 도시된 바와 같이 DB에 저장되어 있는 팩터 모음을 체크(S100)하여, 상기 필터 엔진(100)에 의해 모아진 팩터 정보를 리모트 필터(110)를 통해 추출된 팩터와 프록시 필터(120)를 통해 추출된 팩터를 분류하여, 각각의 팩터 수를 산출한다.
그리고 유해트래픽 판단 시스템(200)은 상기 산출된 팩터수를 비교(S110)하여 비교수를 산출(S120)하고, 비교수가 "0"인 경우 정상적인 트래픽으로 인정하여 OUT NIC로 통과시킨다(S130).
그리고 유해트래픽 판단 시스템(200)은 비교수가 2이상인 경우 심각한 상태로 경고(S140)한 후 Source IP를 차단(S150)하고 유해트래픽으로 DB에 저장(S160)시킨다. 즉 팩터가 2와 같거나 큰 경우 도 9에 도시된 바와 같이 해당 출발지 IP(Source IP)에서 오는 트래픽을 차단한다.
그리고 유해트래픽 판단 시스템(200)은 상기 비교수가 0보다 크고 2 미만인 경우 위험 경고 안내 메시지를 출력(S170)하고 Source IP를 모니터링(S180)하며, 유해트래픽 정보로 Source IP 정보를 DB에 저장(S190)시킨다. 즉 팩터가 1인 경우는 도 8에 도시된 바와 같이 해당 출발지 IP(Source IP)에서 오는 트래픽을 모니터링한다.
도 6에 도시된 바와 같이 본 발명이 적용된 경우 해외 내에 있는 공격자가 프록시 서버를 통해 빈번한 요청을 하게 되는 경우에도 한국 내에 있는 은행, 게임 웹 사이트 등과 연결된 유해 트래픽 필터링 전용 임배디드 시스템을 구축함으로써, 해외의 공격자로부터 발송되는 유해 트래픽을 차단하여 사용자의 개인 정보 및 계좌정보가 해외의 공격자에게 넘겨지는 경우를 방지할 수 있도록 한다.
본 발명에 기재된 해외는 피해 서버에 접속하는 사용자들 또는 악의의 접속자들로 표현할 수도 있다.
상술한 바와 같이 본 발명에 따른 바람직한 실시 예를 설명하였지만, 본 발명은 상기한 실시 예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.
도 1은 일반적인 유해 트래픽 진입 개념을 설명하기 위한 도면이다.
도 2는 IP 세탁을 설명하기 위한 도면이다.
도 3 내지 도 5는 본 발명에 따른 유해 트래픽 필터링 전용 임배디드 시스템을 설명하기 위한 도면이다.
도 6은 본 발명에 따른 유해 트래픽 진입 개념을 설명하기 위한 도면이다.
도 7은 도 5에 적용된 리모트 필터 및 프록시 필터의 필터링 알고리즘을 설명하기 위한 도면이다.
도 8은 본 발명에 따른 유해 트래픽 필터링 방법을 설명하기 위한 동작 흐름도이다.
도 9는 트래픽 모니터링 화면도이다.
도 10은 차단조회화면도이다.
**도면의 주요부분에 대한 부호의 설명**
100 : 필터엔진
110 : 리모트 필터
120 : 프록시 필터
200 : 유해트래픽 판단 시스템

Claims (10)

  1. 유해 트래픽 필터링 전용 임베디드 시스템이,
    리모트 필터와 프록시 필터로 구성되는 필터엔진; 및
    유해트래픽 판단 시스템;으로 이루어지되,
    상기 필터엔진은
    HTTP/HTTPS 트래픽 중 헤더 정보 중 필터링에 사용될 인자(factor)인
    접속경로인 connectionType,
    브라우저 및 OS 정보 및
    proxy type으로서 접속자의 실제 IP 정보가 존재하는 경우의 Transparent Proxy, IP 정보는 없지만 proxy 서버종류만 존재하는 경우의 Anonymous Proxy, IP 정보와 proxy 정보가 없는 경우의 High Anonymous Proxy 중에서
    체크 되는 connectionType, 브라우저 및 OS 정보, proxy type의 해당 Factor를 증가시키도록 하며,
    트래픽의 정보를 파싱하여 connectionType이 추출되면 리모트 필터 Factor를 증가시키고, 브라우저/OS가 추출되면 리모트 필터 Factor를 증가시키고, Transparent Proxy를 추출하면 프록시 필터 Factor를 증가시키고, Anonymous Proxy를 추출하면 프록시 필터 Factor를 증가시키고, High Anonymous Proxy를 추출하면 프록시 필터 Factor를 증가시켜서 DB의 Factor 모음에 저장되도록 하고;
    상기 유해트래픽 판단 시스템은
    상기 필터엔진을 통해 추출된 정보(Factor 모음) 중 건수가 몇 건인지 비교를 실시하여 특정 회수에 따라 경고/차단되도록 하거나, 정상 트래픽으로 인정하여 대상 사이트로 통과할 수 있도록 하는;
    것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 connectionType은 MODEM, LAN, VPN 또는 기타 경로 중 어느 경로를 통하여 접속하는 지 여부를 나타내는 것으로서,
    웹 페이지 요청시 Body 태그의 behavior 설정상태를 체크하고, 페이지가 로드 된 후 자바스크립트의 onload()가 실행되는지를 체크하고, 체크되는 데이터 값으로는 MODEM 또는 LAN으로 체크하며, 국내 환경으로 LAN이 체크되지 않을 시에는 VPN이나 기타 다른 경로를 통한 값으로 추정하여 connectionType을 추출하는 것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 브라우저 및 OS 정보는,
    웹 요청시도 시 서비스 요청 헤더 부분에 User-Agent에 OS 및 브라우저 정보가 함께 포함되어 있는지를 체크하고, 해당 부분의 OS 및 브라우저 정보를 추출하는 것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  7. 제 1 항에 있어서,
    상기 Transparent Proxy는,
    웹 요청시도 시 서비스 요청 헤더 부분에 proxy 서버 종류와 client(접속자)의 IP를 함께 포함하고 있는지를 체크하고, 헤더 부분에 proxy 서버 종류와 client(접속자)의 IP가 있으면 Transparent Proxy로 추출하는 것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  8. 제 1 항에 있어서,
    상기 Anonymous Proxy는,
    웹 요청시도 시 서비스 요청 헤더 부분에 proxy 서버 종류와 client(접속자)의 IP를 함께 포함하고 있는지를 체크하고, 헤더 부분에 client(접속자)의 IP 정보는 없지만 proxy 서버 종류만 포함하고 있으면 Anonymous Proxy로 추출하는 것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  9. 제 1 항에 있어서,
    상기 High Anonymous Proxy는,
    웹 요청시도 시 서비스 요청 헤더 부분에 proxy 서버 종류와 client(접속자)의 IP를 함께 포함하고 있는지를 체크하고, 헤더 부분에 proxy 서버 정보와 client의 IP 정보를 포함하고 있지 않으며 일반적인 헤더(accept-language, ua-cpu, accept-encoding, user-agent) 정보와 상이한 점을 보일 경우, High Anonymous Proxy로 추출하는 것을 특징으로 하는 유해 트래픽 필터링 전용 임베디드 시스템.
  10. 삭제
KR1020090057980A 2009-06-26 2009-06-26 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 KR101112200B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090057980A KR101112200B1 (ko) 2009-06-26 2009-06-26 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090057980A KR101112200B1 (ko) 2009-06-26 2009-06-26 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법

Publications (2)

Publication Number Publication Date
KR20110000474A KR20110000474A (ko) 2011-01-03
KR101112200B1 true KR101112200B1 (ko) 2012-02-24

Family

ID=43609332

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090057980A KR101112200B1 (ko) 2009-06-26 2009-06-26 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법

Country Status (1)

Country Link
KR (1) KR101112200B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
US7516487B1 (en) 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7516487B1 (en) 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법

Also Published As

Publication number Publication date
KR20110000474A (ko) 2011-01-03

Similar Documents

Publication Publication Date Title
JP5325335B2 (ja) フィルタリング方法、システムおよびネットワーク機器
US9680850B2 (en) Identifying bots
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US8438639B2 (en) Apparatus for detecting and filtering application layer DDoS attack of web service
CN105763561B (zh) 一种攻击防御方法和装置
CN103685294B (zh) 拒绝服务攻击的攻击源的识别方法和装置
US20110214182A1 (en) Methods for proactively securing a web application and apparatuses thereof
EP1330095A1 (en) Monitoring of data flow for enhancing network security
US9166951B2 (en) Strict communications transport security
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN103152325B (zh) 防止通过共享方式访问互联网的方法及装置
CN104378255A (zh) web恶意用户的检测方法及装置
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
CN103634284A (zh) 一种网络flood攻击的侦测方法及装置
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
KR20200109875A (ko) 유해 ip 판단 방법
KR20110059963A (ko) 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템
KR101112200B1 (ko) 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법
Selvamani et al. Protection of web applications from cross-site scripting attacks in browser side
Choi et al. Slowloris dos countermeasure over websocket
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
KR101103744B1 (ko) 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법
KR101794746B1 (ko) 네트워크의 침입을 탐지하는 방법, 방화벽 시스템 및 컴퓨터 판독 가능한 기록 매체
Utsai et al. DOS attack reduction by using Web service filter

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E902 Notification of reason for refusal
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150114

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160125

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170105

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180123

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190124

Year of fee payment: 8