KR101132573B1 - 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법 - Google Patents

웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법 Download PDF

Info

Publication number
KR101132573B1
KR101132573B1 KR1020110122781A KR20110122781A KR101132573B1 KR 101132573 B1 KR101132573 B1 KR 101132573B1 KR 1020110122781 A KR1020110122781 A KR 1020110122781A KR 20110122781 A KR20110122781 A KR 20110122781A KR 101132573 B1 KR101132573 B1 KR 101132573B1
Authority
KR
South Korea
Prior art keywords
user terminal
user
unit
data
information
Prior art date
Application number
KR1020110122781A
Other languages
English (en)
Inventor
조용수
조학수
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020110122781A priority Critical patent/KR101132573B1/ko
Application granted granted Critical
Publication of KR101132573B1 publication Critical patent/KR101132573B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 DoS, DDoS 공격과 같은 서버 자원 고갈형 공격을 일으키는 자동화 코드 공격을 웹 방화벽에서 차단하는 방법에 관한 것으로, 연결형 서비스를 기본으로 하는 웹 서버를 보호하기 위하여, 웹 방화벽에서 연결 자원을 소모시켜 정상적인 서비스를 거부시키려는 자동화 코드를 차단하며, 특히 웹 서버에 연결을 시도하는 최초 사용자가 일반 정상 사용자의 신호인지 아니면 공격형 자동화 코드의 신호인지를 분별하고, 정상 사용자의 신호로 인증받은 정상 사용자의 신호에 한하여 다시 일정 조건 이후 정상 사용자인지 다시 확인하여 공격형 자동화 코드의 분별이 가능하도록 하며, 정상 사용자의 신호의 경우에 정상적인 웹 서비스를 보장하도록 하는 웹 서버를 위협하는 자동화코드 공격 차단시스템 및 그의 차단방법에 관한 것이다.
이와 같은 본 발명은 사용자단말기와 웹서버 사이에 연결되는 차단시스템에 있어서, 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 구비되는 등록사용자판별부와, 등록사용자판별부에 의하여 정상사용자단말기의 접속정보가 아닐 경우, 접속된 사용자단말기로 응답요청 데이터인 사용자검증의 데이터를 전송하고 사용자검증의 데이터에 대한 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기로 분류된 사용자단말기의 접속정보의 데이터가 저장되도록 하는 사용자인증부가 포함되도록 구비되어, 등록사용자판별부에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 사용자인증부를 통하여 정상사용자단말기로 판별된 사용자단말기와 웹서버 사이에 신호송수신이 되도록 구비되는 것을 특징으로 한다.

Description

웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법{DEFENSE SYSTEM OF AUTOMATIC CODE ATTACK THAT THREATEN WEB SERVER AND DEFENSE METHOD THEREOF}
본 발명은 DoS, DDoS 공격과 같은 서버 자원 고갈형 공격을 일으키는 자동화 코드 공격을 웹 방화벽에서 차단하는 방법에 관한 것으로, 연결형 서비스를 기본으로 하는 웹 서버를 보호하기 위하여, 웹 방화벽에서 연결 자원을 소모시켜 정상적인 서비스를 거부시키려는 자동화 코드공격을 차단하며, 특히 웹 서버에 연결을 시도하는 최초 사용자가 일반 정상 사용자에 의한 신호인지 아니면 공격형 자동화 코드 공격의 신호인지를 분별하고, 정상 사용자의 신호로 인증받은 정상 사용자의 신호에 한하여 다시 일정 조건 이후 정상 사용자인지 다시 확인하여 공격형 자동화 코드 공격의 분별이 가능하도록 하며, 정상 사용자의 신호의 경우에 정상적인 웹 서비스를 보장하도록 하는 웹 서버를 위협하는 자동화코드 공격 차단시스템 및 그의 차단방법에 관한 것이다.
일반적으로 DDoS 공격은 자동화된 코드(좀비 바이러스)를 이용하여, 특정 웹서버에 일제히 대량의 데이터 패킷을 발생시킴으로써 짧은 시간 안에, 성능저하 및 시스템 마비를 일으키는 형태를 띠고 있다. 그러나 최근에 나타난 변형 DDoS 공격 패턴을 보면 대상 웹 서버에 정상 사용자인 것처럼 위장하여 HTTP Connection을 연결하여 천천히 최대 연결 개수에 도달하게 함으로써 HTTP 서비스가 중단되거나 정상 사용자가 접근할 수 없도록 만든다.
이처럼 변형 DDoS 공격을 일으키는 자동화 코드의 공격으로 HTTP 서비스를 통해 웹서버에 접속하여 Post 요청을 수행한다. 또한 웹서버와 연결이 끊어지지 않게 하기 위해 5 ~ 10초 간격으로 Login 페이지에 대한 요청을 진행하여 이 연결이 살아 있음을 웹서버에 인지시키고, 웹서버에서는 Post 요청에 대한 응답을 지속적으로 보내게 되면서 일정 시간이 지나게 되면 웹서버의 허용 가능한 세션을 모두 고갈시켜 서버 다운이 일어나게 한다.
하지만 이에 반해 현재 일반적으로 이용되는 웹서버 및 관련 기술들에서는 대부분 웹서버와 별도의 감지채널, 감지탐지 방식을 이용하기 때문에, 이처럼 지능화된 자동화 코드 공격에 대해서는 방어능력이 저하되는 상황이다. 그 예를 보면, 특허출원 제10-2009-0100835호(웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치), 특허출원 제10-2009-0064010호(디도스 공격 감지 및 방법) 등은 공격자와 웹서버 사이의 네트워크와 연결된 선로와 연결되는 별도의 감지구성을 갖는 것이기 때문에, 이미 감지구성에 의하여 공격이 탐지된 경우에는 이미 해당 웹서버는 디도스 공격이 이루어진 상태인 것이다. 즉 원천적으로 디도스 공격을 방어하지는 못하는 것이다.
이처럼 종래의 일반적으로 이용되는 웹서버 및 관련 기술들에서는 대부분 웹서버와 별도의 감지채널, 감지탐지 방식을 이용하기 때문에, 이처럼 지능화된 자동화 코드 공격에서의 Post 요청을 리다이렉션 하더라도 이미 요청을 받은 상태에서는 웹서버에서 응답을 줄 수밖에 없는 구조적 취약점을 가지고 있다. 그리고 이처럼 지능화된 변형의 DDoS와 같은 자동화 코드 공격을 방어할 수 있는 알고리즘 등의 특화된 기술이 없는 등, 안전한 사용을 이루기가 곤란하고, 따라서 기존의 웹서버와 별도의 네트워크를 갖는 구조의 상황에서는 어쩔 수 없이 웹서버 자체로 자동화 코드 공격을 방어해야 하는 데, 자동화 코드의 연결과 관련한 문제점을 해소하지 못하기 때문에, 지능화된 자동화코드의 공격에 대한 방어의 문제점을 해소하지는 못하고 있는 실정이다.
[문헌1] 대한민국 특허출원 제10-2009-0100835호 [문헌2] 대한민국 특허출원 제10-2009-0064010호
상기와 같은 문제점을 해소하기 위한 본 발명은 연결형 서비스 기반의 웹서버의 보호를 위해 자동화 코드 공격의 차단시스템을 이용하여 웹서버에 접근하는 모든 객체의 초기 요청을 리다이렉트시키고 일련의 인증 과정을 거쳐 정상 사용자와 자동화 코드 공격을 판별하여 실질적으로 자동화 코드 공격을 차단시켜, 정상적인 사용자의 연결을 보장하는 것을 목적으로 하고 있다.
즉 차단시스템을 통한 자동화 코드 공격의 접근 차단방법으로는 HTTP Connection으로 접근을 시도하는 사용자를 리다이렉트하는 단계와 랜덤하게 위치하는 버튼을 클릭하게 하고, 특정 문자열을 입력하게 하여 자동화 코드 공격을 판별하는 단계와 정상으로 판별된 사용자단말기의 IP를 이용하여 키 값을 생성하여 정상 사용자단말기를 인증하는 단계와 기 인증받은 사용자단말기를 대상으로 일정한 세션 갱신 시간 안에 연속으로 Post 요청과 같은 정보요청이 연 3회 이상과 같이 일정 횟수 이상으로 발생될 경우 자동화 코드 공격으로 판별하는 단계와 사용자의 웹 페이지의 해쉬값을 이용하여 정상사용자단말기의 접속이 될 경우 인증 완료 후, 사용자가 이용하고 있는 웹페이지를 동일하게 사용할 수 있도록 지원하는 단계가 포함되어 이루어지도록 하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명은, 사용자단말기(12)와 웹서버(15) 사이에 연결되는 차단시스템에 있어서, 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 구비되는 등록사용자판별부(20)와, 상기 등록사용자판별부(20)에 의하여 정상사용자단말기의 접속정보가 아닐 경우, 접속된 사용자단말기로 응답요청 데이터인 사용자검증의 데이터를 전송하고 사용자검증의 데이터에 대한 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기로 분류된 사용자단말기의 접속정보의 데이터가 저장되도록 하는 사용자인증부(30)가 포함되도록 구비되어, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)와 웹서버(15) 사이에 신호송수신이 되도록 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
이에 본 발명은, 상기 등록사용자판별부(20)에서는, 접속된 사용자단말기에 대해서 등록인증테이블에 등록되지 않은 사용자단말기의 정보일 경우에는 재접속요청신호인 리다이렉트 신호를 전송하도록 구비된 리다이렉트처리부(24)가 포함되어 이루어지는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
그리고 본 발명은, 상기 등록사용자판별부(20)는, 접속된 사용자단말기에 대한 사용자단말기(12)의 IP 정보가 포함된 사용자단말기의 접속정보를 추출하는 수신데이터추출부(21)와, 사용자단말기(12)의 IP 정보로부터 해쉬 값이 추출되도록 하는 데이터변환부(22)와, 상기 데이터변환부(22)에 의해 추출된 사용자단말기(12)의 IP 정보에 대한 해쉬 값의 데이터가 등록인증테이블에 저장된 정상사용자단말기의 IP 정보에 대한 해쉬 값과 일치하는 사용자단말기의 정보가 있는지 여부를 판별하여, 정상사용자단말기의 접속정보로 판별될 경우에는 웹서버(15)와의 신호 송수신이 되도록 구비되는 등록데이터판별부(23)가 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
또한 본 발명은, 상기 사용자인증부(30)는, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록되지 않은 사용자단말기인 인증대상의 사용자단말기의 접속정보로부터 사용자검증의 데이터 전송을 위한 정보를 추출하는 인증대상사용자정보추출부(31)와, 인증대상의 사용자단말기로 사용자단말기에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 인증대상의 사용자단말기의 접속정보 및 해당 인증대상의 사용자단말기로 전송된 사용자단말기에 대한 응답요청 데이터가 포함된 사용자검증의 데이터가 저장되도록 하는 검증발송데이터처리부(32)와, 상기 검증발송데이터처리부(32)에서 송신된 사용자단말기에 대한 응답요청 데이터에 대해서, 사용자단말기(12)의 응답신호를 수신받고, 정상의 응답신호인지 여부를 판별하여 정상의 응답신호를 전송한 사용자단말기(12)에 대해서 정상사용자단말기로 분류되도록 하여 해당 정상사용자단말기의 접속정보가 저장되도록 하는 문답신호처리부(33)와, 상기 문답신호처리부(33)에서 정상사용자단말기로 분류되지 않은 사용자단말기의 접속정보에 대해서 접속종료가 되도록 하는 강제접속종료부(34)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
이와 함께 본 발명은, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기로부터의 재접속신호가 수신된 경우, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 분석하기 위한 사용자재인증부(40)가 더 포함되어 구비되는 것과, 상기 사용자재인증부(40)는, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 추출하고, 재접속된 사용자단말기에 대해 인증데이터저장부에 저장된 종전 접속정보의 데이터를 리딩하는 재접속정보추출부(41)와, 재접속된 사용자단말기의 종전 접속에 대해서 재접속된 시간이 접속갱신경과시간 이내인지 여부를 판별하는 재접속경과판별부(42)와, 재접속된 사용자단말기에 대해서 접속갱신경과시간 동안 재접속초과횟수 이상으로 접속되었는지 여부를 판별하는 재접속횟수초과판별부(43)와, 상기 재접속경과판별부(42)에 의해 접속갱신경과시간을 경과한 재접속된 시간으로 판별된 경우, 또는 상기 재접속횟수초과판별부(43)에 의해 재접속초과횟수 이상으로 재접속된 것으로 판별된 경우에는, 해당 재접속 사용자단말기의 접속이 종료되도록 하는 재인증접속종료부(44)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
또한 본 발명은, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 웹서버(15)와의 접속신호가 수신된 경우, 해당 사용자단말기에 대해 기존에 접속한 웹서버의 웹정보를 데이터저장부로부터 리딩하여 해당 사용자단말기(12)로 전송되도록 구비되는 웹주소제어부(50)가 더 포함되어 구비되는 것과, 상기 웹주소제어부(50)는, 웹서버(15)의 정보를 요청하는 사용자단말기(12)에 대한 정보를 추출하는 사용자정보추출부(51)와, 사용자단말기의 접속정보 중 웹주소와 일치하는 웹정보데이터를 데이터저장부에서 리딩하는 사용자접속웹정보추출부(52)와, 상기 사용자접속웹정보추출부(52)에서 리딩된 웹정보데이터를 사용자단말기(12)로 전송되도록 구비된 접속웹정보전송처리부(53)가 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템이 제공된다.
이에 더하여 본 발명은, 등록사용자판별부(20)에 의하여, 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 하는 등록사용자판별단계(S02); 사용자인증부(30)에 의하여 정상사용자단말기의 접속정보가 아닐 경우의 사용자단말기로 사용자에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 사용자검증의 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기에 대한 접속정보의 데이터를 저장하도록 하는 사용자인증단계(S03)가 포함되어, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)와 웹서버(15) 사이에 신호송수신이 되도록 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법이 제공된다.
이에 본 발명은, 상기 등록사용자판별단계(S02)는, 상기 등록사용자판별부(20)의 수신데이터추출부(21)에 의하여, 접속된 사용자단말기(12)의 IP 정보가 포함된 사용자단말기의 접속정보를 추출하는 수신데이터추출단계(S21); 상기 등록사용자판별부(20)의 데이터변환부(22)에 의하여, 사용자단말기(12)의 IP 정보로부터 해쉬 값이 추출되도록 하는 데이터변환단계(S22); 상기 등록사용자판별부(20)의 등록데이터판별부(23)에 의하여, 상기 데이터변환단계(S22)에서 추출된 사용자단말기(12)의 IP 정보에 대한 해쉬 값의 데이터가 등록인증테이블에 저장된 정상사용자단말기의 IP 정보에 대한 해쉬 값과 일치하는 사용자단말기의 정보가 있는지 여부를 판별하여, 등록인증테이블에 저장되어 정상사용자단말기의 접속정보로 판별될 경우에는 웹서버(15)와의 신호 송수신이 되도록 구비되는 등록데이터판별단계(S23); 상기 등록사용자판별부(20)의 리다이렉트처리부(24)에 의하여, 접속된 사용자단말기에 대해서 등록인증테이블에 등록되지 않은 사용자단말기의 정보일 경우에는 재접속요청신호인 리다이렉트 신호를 전송하도록 하는 리다이렉트단계(S24)가 포함되어 이루어지는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법이 제공된다.
또한 본 발명은, 상기 사용자인증단계(S03)는, 상기 사용자인증부(30)의 인증대상사용자정보추출부(31)에 의하여, 상기 등록사용자판별단계(S02)에서의 처리 과정에 의하여 등록인증테이블에 등록되지 않은 사용자단말기인 인증대상사용자의 사용자단말기의 접속정보로부터 사용자에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하기 위해 인증대상사용자의 사용자단말기에 대한 주소정보의 데이터를 추출하는 인증대상사용자정보추출단계(S31); 상기 사용자인증부(30)의 검증발송데이터처리부(32)에 의하여, 인증대상사용자의 사용자단말기(12)로 사용자에 대한 응답요청 데이터를 전송하고, 인증대상사용자의 사용자단말기(12)의 접속정보 및 해당 인증대상사용자의 사용자단말기(12)로 전송된 사용자에 대한 응답요청 데이터가 저장되도록 하는 검증발송데이터처리단계(S32); 상기 사용자인증부(30)의 문답신호처리부(33)에 의하여, 상기 검증발송데이터처리단계(S32)에서 송신된 사용자에 대한 응답요청 데이터에 대해서, 사용자단말기(12)의 응답신호를 수신받고, 정상의 응답신호인지 여부를 판별하여 정상의 응답신호를 전송한 사용자단말기(12)에 대해서 정상사용자의 정상사용자단말기(13)로 분류되도록 하여 해당 정상사용자단말기(13)의 접속정보가 인증데이터저장부에 저장되도록 하는 문답신호처리단계(S33); 상기 사용자인증부(30)의 강제접속종료부(34)에 의하여, 상기 문답신호처리단계(S32)에서 정상사용자단말기로 분류되지 않은 사용자단말기의 접속정보에 대해서 접속종료가 되도록 하는 강제접속종료단계(S34)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법이 제공된다.
그리고 본 발명은, 사용자재인증부(40)에 의하여, 상기 등록사용자판별부(20)에서 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 재접속신호가 수신된 경우, 재접속의 사용자단말기에 대한 재접속정보의 데이터를 분석하는 사용자재인증단계(S04)가 더 포함되어 구비되고, 상기 사용자재인증단계(S04)는, 상기 사용자재인증부(40)의 재접속정보추출부(41)에 의하여, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 추출하고, 재접속된 사용자단말기에 대해 인증데이터저장부에 저장된 종전 접속정보의 데이터를 리딩하는 재접속정보추출단계(S41); 상기 사용자재인증부(40)의 재접속경과판별부(42)에 의하여, 재접속 사용자단말기의 종전 접속에 대해서 재접속된 시간이 접속갱신경과시간 이내인지 여부를 판별하는 재접속경과판별단계(S42); 상기 사용자재인증부(40)의 재접속횟수초과판별부(43)에 의하여, 재접속 사용자단말기에 대해서 접속갱신경과시간 동안 재접속초과횟수 이상으로 접속되었는지 여부를 판별하는 재접속횟수초과판별단계(S43); 상기 사용자재인증부(40)의 재인증접속종료부(44)에 의하여, 상기 재접속경과판별부(42)에 의해 접속갱신경과시간을 경과한 재접속된 시간으로 판별된 경우, 또는 상기 재접속횟수초과판별부(43)에 의해 재접속초과횟수 이상으로 재접속된 것으로 판별된 경우에는, 해당 재접속 사용자단말기의 접속이 종료되도록 하는 재인증접속종료단계(S44)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법이 제공된다.
나아가 본 발명은, 웹주소제어부(50)에 의하여, 상기 등록사용자판별부(20)에서 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 웹서버(15)와의 접속신호가 수신된 경우, 해당 사용자단말기에 대해 기존에 접속한 웹서버의 웹정보를 데이터저장부로부터 리딩하여 해당 사용자단말기(12)로 전송되도록 구비되는 웹주소제어단계(S05)가 더 포함되어 구비되고, 상기 웹주소제어단계(S05)는, 상기 웹주소제어부(50)의 사용자정보추출부(51)에 의하여, 웹서버(15)의 정보를 요청하는 사용자단말기(12)에 대한 정보를 추출하는 사용자정보추출단계(S51); 상기 웹주소제어부(50)의 사용자접속웹정보추출부(52)에 의하여, 사용자단말기의 접속정보 중 웹주소와 일치하는 웹정보데이터를 데이터저장부에서 리딩하는 사용자접속웹정보추출단계(S52); 상기 웹주소제어부(50)의 접속웹정보전송처리부(53)에 의하여, 상기 사용자접속웹정보추출부(52)에서 리딩된 웹정보데이터를 사용자단말기(12)로 전송되도록 하는 접속웹정보전송처리단계(S53)가 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법이 제공된다.
상기와 같이 구성되는 본 발명은 연결 형 기반 웹서버에 정상적이고 인증받은 사용자단말기 만이 연결할 수 있도록 보장하도록 하는 효과가 있다.
또한 인증받은 사용자단말기에 대해서도 사람의 작동에 따른 정상사용자단말기의 접속인지, 아니면 자동화 코드 공격에 의한 접속인이 재 인증 과정을 거치도록 함으로써, 기 인증받은 정상의 사용자단말기로 분류된 경우에도 자동화코드 공격으로 판별되는 경우에 접속이 차단되도록 함으로써, 변형의 자동화 코드 공격에도 안정적으로 웹서버의 운영이 가능하도록 하는 탁월한 효과가 있는 것이다.
아울러 정상의 사용자단말기에 안정적인 웹페이지 정보가 제공되도록 하는 것이다.
도 1은 본 발명에 따른 차단시스템에 대한 개략적인 구성도이다.
도 2는 본 발명에 따른 차단시스템에서의 개략적인 제어 순서도이다.
도 3은 본 발명에 따른 차단시스템에서의 사용자인증에 대한 개략적인 제어 순서도이다.
도 4는 본 발명에 따른 차단시스템에서의 사용자재인증에 대한 개략적인 제어 순서도이다.
도 5는 본 발명에 따른 차단시스템에서의 차단 및 정상 사용에 대한 실시예시도이다.
도 6은 본 발명에 따른 차단시스템에 대한 전체적인 세부의 제어 구성도이다.
도 7은 본 발명에 따른 차단시스템에 대한 전체적인 세부의 제어 순서도이다.
도 8은 본 발명에 따른 차단시스템에서 사용자 인증에 따른 예제 흐름도에 대한 예시도이다.
도 9는 본 발명에 따른 차단시스템에서 사용자 재인증에 따른 예제 흐름도에 대한 예시도이다.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
즉 본 발명에 따른 웹 서버를 위협하는 자동화 코드 공격의 차단시스템(10) 및 차단방법의 발명은 첨부된 도 1 내지 도 9 등에서와 같이, 사용자단말기(12)와 웹서버(15) 사이에 연결되는 차단시스템에 관한 것이다.
이에 웹 서버(Web Server)를 위협하는 자동화 코드라고 하면 일반적으로 일정 시간 또는 일정 규칙에 의하여 특정 또는 불특정의 웹 서버를 공격하도록 코딩된 코드라고 할 수 있고, 이러한 자동화 코드 공격은 일반적으로 잘 알려진 DoS, 또는 DDoS 등이 있고, 근래에는 더욱 다양하게 변종된 자동화 코드 공격기법, 종전의 코딩된 방식과 결합되어 더욱 지능화된 자동화 코드 공격기법들이 출현하고 있다. 본 발명은 이러한 자동화 코드 공격의 차단을 목적으로 하여 개발된 발명인 것이다.
그리고 대부분의 자동화 코드 공격의 경우 웹 접속을 시도하는 과정 중에, 웹 정보의 요청만 수행하고 이에 따른 이후의 단계는 수행하지 않는 것에 주요 차단과정이 수행되는 것이다. 또는 일부 자동화코드공격시에는 초기에 응답신호를 발생하지만 어느 정도 이후 단계는 수행되지 않도록 한 상태에서 공격을 계속 진행할 수도 있기 때문에 이러한 부분에 대해서도 차단여부를 판별할 필요가 있을 것이다. 따라서 이후 상세히 설명되는 본 발명의 세부 구성들에 의하여 자동화 코드 공격을 항시 차단할 수 있을 것이다.
이에 본 발명의 상세 구성을 살펴보기로 한다.
우선 본 발명에 따른 웹 서버를 위협하는 자동화 코드 공격의 차단시스템(10)의 주요구성을 살펴보면 다음과 같다.
본 발명에 따른 차단시스템(10)은 웹서버(15)와 사용자단말기(12) 사이에 위치되어 웹서버(15)와 사용자단말기(12) 사이에 송수신되는 접속정보의 데이터를 추출하여 이에 대한 분석을 통하여 자동화 코드 공격에 대한 차단 여부의 과정을 수행한다.
이에 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 구비되는 등록사용자판별부(20)가 구비되는 것이다. 그리고 이러한 등록사용자판별부(20)에 의하여 기 등록된 사용자단말기의 정보인지(정상사용자단말기) 여부를 판별하게 된다. 즉 이러한 등록사용자판별부(20)에 의하여, 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 하는 등록사용자판별단계(S02)가 수행된다.
그리고 이러한 등록사용자판별부(20)의 세부 구성을 살펴보면, 접속된 사용자단말기에 대한 사용자단말기(12)의 IP 정보가 포함된 사용자단말기의 접속정보를 추출하는 수신데이터추출부(21)와, 사용자단말기(12)의 IP 정보로부터 해쉬 값이 추출되도록 하는 데이터변환부(22)와, 상기 데이터변환부(22)에 의해 추출된 사용자단말기(12)의 IP 정보에 대한 해쉬 값의 데이터가 등록인증테이블에 저장된 정상사용자단말기의 IP 정보에 대한 해쉬 값과 일치하는 사용자단말기의 정보가 있는지 여부를 판별하여, 정상사용자단말기의 접속정보로 판별될 경우에는 웹서버(15)와의 신호 송수신이 되도록 구비되는 등록데이터판별부(23) 등이 구성될 수 있을 것이다.
또한 이러한 세부 구성들에 의한 처리과정을 살펴보면, 상기 등록사용자판별단계(S02)는, 상기 등록사용자판별부(20)의 수신데이터추출부(21)에 의하여, 접속된 사용자단말기(12)의 IP 정보가 포함된 사용자단말기의 접속정보를 추출하는 수신데이터추출단계(S21); 상기 등록사용자판별부(20)의 데이터변환부(22)에 의하여, 사용자단말기(12)의 IP 정보로부터 해쉬 값이 추출되도록 하는 데이터변환단계(S22); 상기 등록사용자판별부(20)의 등록데이터판별부(23)에 의하여, 상기 데이터변환단계(S22)에서 추출된 사용자단말기(12)의 IP 정보에 대한 해쉬 값의 데이터가 등록인증테이블에 저장된 정상사용자단말기의 IP 정보에 대한 해쉬 값과 일치하는 사용자단말기의 정보가 있는지 여부를 판별하여, 등록인증테이블에 저장되어 정상사용자단말기의 접속정보로 판별될 경우에는 웹서버(15)와의 신호 송수신이 되도록 구비되는 등록데이터판별단계(S23) 등이 수행될 것이다.
이에 등록사용자판별부(20) 및 등록사용자판별단계(S02) 등에서 언급되는 등록인증테이블은 정상사용자로 등록된 기 사용자단말기에 대한 정보가 저장되는 데이터저장부의 데이터테이블로, 이러한 등록인증테이블이 저장된 데이터저장부(데이터베이스, 인증DB, 등록인증데이터베이스, 플래쉬메모리 등 다양한 형태)는 등록사용자판별부(20) 내에 별도의 저장부로써 마련될 수도 있고, 첨부된 도 1 또는 도 6 등에서와 같이 등록사용자판별부(20)와는 별도로 마련되어 연결된 인증데이터저장부(60)에 마련되도록 실시될 수도 있을 것이다. 물론 본 발명에 따른 차단시스템(10)과 별체로 구성되고 데이터 송수신되도록 연결될 수 있는 별도의 장치 또는 데이터서버(미도시됨)에 이러한 등록인증테이블이 마련되어 정보데이터를 제공받도록 구성될 수도 있을 것이다. 그러나 데이터 송수신의 효율성 또는 부재의 구성의 효율성 등에 비춰보면 도 1, 도 6 등에서와 같이 인증데이터저장부(60)에 등록인증테이블을 구성함이 좀더 바람직하다 할 것이다.
이처럼 등록사용자판별부(20)에 의한 판별과정으로, 정상사용자단말기(13)로 판별된 사용자단말기(12)는 도 3 등에서와 같이 웹서버(15)로 접속이 가능하도록 함으로써 정상적으로 웹서버를 이용할 수 있을 것이다. 하지만 등록인증테이블에 등록된 기 사용자가 아닌 것으로 판별된 경우에는 별도의 인증과정을 수행해야 할 것이다.
이에 등록사용자판별부(20)에 미 등록된 사용자로 판별된 경우에는, 다시 리다이렉트 과정이 더 부가되어 수행될 수도 있을 것이다.
이러한 리다이렉트의 과정을 위해, 상기 등록사용자판별부(20)에서는, 접속된 사용자단말기에 대해서 등록인증테이블에 등록되지 않은 사용자단말기의 정보일 경우에는 재접속요청신호인 리다이렉트 신호를 전송하도록 구비된 리다이렉트처리부(24)가 구성될 수 있을 것이다.
그리고 상기 등록사용자판별부(20)의 리다이렉트처리부(24)에 의하여, 접속된 사용자단말기에 대해서 등록인증테이블에 등록되지 않은 사용자단말기의 정보일 경우에는 재접속요청신호인 리다이렉트 신호를 전송하도록 하는 리다이렉트단계(S24)가 수행될 것이다.
이에 이러한 리다이렉트의 처리를 위한 리다이렉트처리부(24)는 첨부된 도 6 및 상세한 설명의 예시에서는 등록사용자판별부(20)에 부속되어 구성됨을 예시하였으나, 이에 한정되는 것은 아니며, 기타 다른 실시예로는 사용자인증부(30)에 부속되어 구성되도록 실시될 수도 있으며, 등록사용자판별부(20) 또는 사용자인증부(30) 등과는 별도의 부재로써 구성되도록 실시될 수도 있으며, 이러한 다양한 양태의 실시예는 본 발명에 따른 차단시스템 또는 웹서버 등의 구성 및 통신접속 상황에 따라 알맞게 정하여져 실시될 수 있음은 당연한 것이다.
이에 이러한 리다이렉트처리부 및 리다이렉트단계(S24) 등에 의한 리다이렉트의 수행은, 등록인증테이블에 등록되지 않아 아직 검증되지 않은 사용자단말기에 대해서, 다시 정상적인 접속의 사용자인지 여부를 재확인하기 위한 절차에 해당되는 것이며, 이러한 리다이렉트의 방식은 대부분 다른 웹접속 주소로의 재접속 요청의 정보를 전송하고 이에 기존 접속 정보를 끊고 새로 알려준 웹접속 주소로 접속한 사용자단말기를 정상 사용자단말기로 선별하도록 하는 것이다.
예를 들면 도 3의 예시에서와 같이, 등록사용자판별부(20)를 통해 접속한 사용자단말기(12)가 등록인증테이블로써 검증되지 않은 경우에, 다시 재접속 요청의 리다이렉트 과정이 수행되는 것으로, 사용자단말기로부터 최초 접속시도한 웹서버의 주소가 192.168.0.38로 서버로 접속 신호를 보낸 경우라 가정하면, 본 발명에 따른 리다이렉트처리부에서는 리다이렉트의 재접속 주소로 192.168.0.110의 인증서버로 재접속 요청의 신호를 전송하게 될 것이다. 따라서 인증서버로의 재접속 주소로 다시 접속한 사용자단말기에 대해서는 리다이렉트의 과정이 수행된 것으로 이후의 과정을 수행하게 될 것이고, 리다이렉트의 응답신호가 없는 사용자단말기의 경우, 또는 다른 주소 아니면 기존의 웹서버주소(192.168.0.38)로 접속을 시도하는 경우에는 해당 사용자단말기를 강제접속하게 될 것이다.
이에 더하여 이처럼 리다이렉트에 대해 올바른 접속이 아닌 불량 사용자단말기에 대해서는 별도의 블랙리스트테이블을 구성하여 차후의 접속을 원천적으로 차단하도록 구성될 수도 있을 것이다.
이러한 리다이렉트 과정에 따른 사용자단말기에서의 다양한 반응에 대한 처리 과정을 살펴보면 다음과 같이 실시될 수도 있을 것이다. 도 3을 참조하여 살펴보면, 리다이렉트에 응답신호를 전송한 사용자단말기('예'의 처리과정)는 다음의 순서로 진행되도록 할 것이다. 예를 들면 일정 응답시간(Time out)을 설정하여 이러한 Time out 이내에 응답신호가 있을 경우에는 정상 처리과정을 수행하게 될 것이다.
그러나 이러한 Time out, 예로 대략 10분 이내 정도의 시간이 경과하여도 리다이렉트의 재접속 신호가 없는 사용자 단말기의 경우('아니오'의 처리과정)에는 FIN, RST 등에 의해 비정상 사용자의 접속을 강제종료하도록 수행하게 된다.
이상에서와 같이 등록사용자판별부(20) 및 등록사용자판별단계(S02)에서 등록인증테이블에 등록되지 않은 사용자에 대해서는 사용자인증을 수행하게 될 것이다. 즉 상기 등록사용자판별부(20)에 의하여 정상사용자단말기의 접속정보가 아닐 경우, 접속된 사용자단말기로 응답요청 데이터인 사용자검증의 데이터를 전송하고 사용자검증의 데이터에 대한 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기로 분류된 사용자단말기의 접속정보의 데이터가 저장되도록 하는 사용자인증부(30)가 구비되는 것이다.
그리고 사용자인증부(30)에 의하여 정상사용자단말기의 접속정보가 아닐 경우의 사용자단말기로 사용자에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 사용자검증의 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기에 대한 접속정보의 데이터를 저장하도록 하는 사용자인증단계(S03)가 수행되는 것이다.
이처럼 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기(등록사용자판별단계(S20)), 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)(사용자인증단계(S03)) 등은 정상적인 사용자단말기(12)로 되는 것으로, 이러한 정상의 사용자단말기는 웹서버(15) 사이에 정상적인 신호송수신이 되도록 구비되는 것이다.
이러한 상기 사용자인증부(30)의 세부 구성의 예를 보면 다음과 같이 구성될 수도 있을 것이다.
즉 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록되지 않은 사용자단말기인 인증대상의 사용자단말기의 접속정보로부터 사용자검증의 데이터 전송을 위한 정보를 추출하는 인증대상사용자정보추출부(31)와, 인증대상의 사용자단말기로 사용자단말기에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 인증대상의 사용자단말기의 접속정보 및 해당 인증대상의 사용자단말기로 전송된 사용자단말기에 대한 응답요청 데이터가 포함된 사용자검증의 데이터가 저장되도록 하는 검증발송데이터처리부(32)와, 상기 검증발송데이터처리부(32)에서 송신된 사용자단말기에 대한 응답요청 데이터에 대해서, 사용자단말기(12)의 응답신호를 수신받고, 정상의 응답신호인지 여부를 판별하여 정상의 응답신호를 전송한 사용자단말기(12)에 대해서 정상사용자단말기로 분류되도록 하여 해당 정상사용자단말기의 접속정보가 저장되도록 하는 문답신호처리부(33)와, 상기 문답신호처리부(33)에서 정상사용자단말기로 분류되지 않은 사용자단말기의 접속정보에 대해서 접속종료가 되도록 하는 강제접속종료부(34) 등이 구성될 수 있을 것이다.
그리고 이러한 사용자인증부(30)에 의한 상기 사용자인증단계(S03)는 다음과 같이 수행될 수 있을 것이다.
즉 상기 사용자인증부(30)의 인증대상사용자정보추출부(31)에 의하여, 상기 등록사용자판별단계(S02)에서의 처리 과정에 의하여 등록인증테이블에 등록되지 않은 사용자단말기인 인증대상사용자의 사용자단말기의 접속정보로부터 사용자에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하기 위해 인증대상사용자의 사용자단말기에 대한 주소정보의 데이터를 추출하는 인증대상사용자정보추출단계(S31); 상기 사용자인증부(30)의 검증발송데이터처리부(32)에 의하여, 인증대상사용자의 사용자단말기(12)로 사용자에 대한 응답요청 데이터를 전송하고, 인증대상사용자의 사용자단말기(12)의 접속정보 및 해당 인증대상사용자의 사용자단말기(12)로 전송된 사용자에 대한 응답요청 데이터가 저장되도록 하는 검증발송데이터처리단계(S32); 상기 사용자인증부(30)의 문답신호처리부(33)에 의하여, 상기 검증발송데이터처리단계(S32)에서 송신된 사용자에 대한 응답요청 데이터에 대해서, 사용자단말기(12)의 응답신호를 수신받고, 정상의 응답신호인지 여부를 판별하여 정상의 응답신호를 전송한 사용자단말기(12)에 대해서 정상사용자의 정상사용자단말기(13)로 분류되도록 하여 해당 정상사용자단말기(13)의 접속정보가 인증데이터저장부에 저장되도록 하는 문답신호처리단계(S33); 상기 사용자인증부(30)의 강제접속종료부(34)에 의하여, 상기 문답신호처리단계(S32)에서 정상사용자단말기로 분류되지 않은 사용자단말기의 접속정보에 대해서 접속종료가 되도록 하는 강제접속종료단계(S34) 등이 수행될 것이다.
다음으로 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기로부터의 재접속신호가 수신된 경우, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 분석하기 위한 사용자재인증부(40)가 더 포함되어 구성될 수도 있을 것이다.
이러한 상기 사용자재인증부(40)의 세부 구성을 보면 다음과 같다.
즉 재접속된 사용자단말기에 대한 재접속정보의 데이터를 추출하고, 재접속된 사용자단말기에 대해 인증데이터저장부에 저장된 종전 접속정보의 데이터를 리딩하는 재접속정보추출부(41)와, 재접속된 사용자단말기의 종전 접속에 대해서 재접속된 시간이 접속갱신경과시간 이내인지 여부를 판별하는 재접속경과판별부(42)와, 재접속된 사용자단말기에 대해서 접속갱신경과시간 동안 재접속초과횟수 이상으로 접속되었는지 여부를 판별하는 재접속횟수초과판별부(43)와, 상기 재접속경과판별부(42)에 의해 접속갱신경과시간을 경과한 재접속된 시간으로 판별된 경우, 또는 상기 재접속횟수초과판별부(43)에 의해 재접속초과횟수 이상으로 재접속된 것으로 판별된 경우에는, 해당 재접속 사용자단말기의 접속이 종료되도록 하는 재인증접속종료부(44) 등이 구성될 수 있을 것이다.
또한 이러한 사용자재인증부(40)에 의하여, 상기 등록사용자판별부(20)에서 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 재접속신호가 수신된 경우, 재접속의 사용자단말기에 대한 재접속정보의 데이터를 분석하는 사용자재인증단계(S04)가 더 수행될 것이다.
그리고 이러한 상기 사용자재인증단계(S04)의 세부 단계를 보면, 상기 사용자재인증부(40)의 재접속정보추출부(41)에 의하여, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 추출하고, 재접속된 사용자단말기에 대해 인증데이터저장부에 저장된 종전 접속정보의 데이터를 리딩하는 재접속정보추출단계(S41); 상기 사용자재인증부(40)의 재접속경과판별부(42)에 의하여, 재접속 사용자단말기의 종전 접속에 대해서 재접속된 시간이 접속갱신경과시간 이내인지 여부를 판별하는 재접속경과판별단계(S42); 상기 사용자재인증부(40)의 재접속횟수초과판별부(43)에 의하여, 재접속 사용자단말기에 대해서 접속갱신경과시간 동안 재접속초과횟수 이상으로 접속되었는지 여부를 판별하는 재접속횟수초과판별단계(S43); 상기 사용자재인증부(40)의 재인증접속종료부(44)에 의하여, 상기 재접속경과판별부(42)에 의해 접속갱신경과시간을 경과한 재접속된 시간으로 판별된 경우, 또는 상기 재접속횟수초과판별부(43)에 의해 재접속초과횟수 이상으로 재접속된 것으로 판별된 경우에는, 해당 재접속 사용자단말기의 접속이 종료되도록 하는 재인증접속종료단계(S44) 등이 수행될 것이다.
이에 더하여 본 발명에서는 정상 사용자단말기의 정상 접속시 종전에 접속하였던 웹서버의 정보데이터를 웹서버에서 제공받기 보다는 차단시스템에 저장되어있던 웹서버의 정보를 사용자단말기로 전송하도록 함으로써 보다 빠른 접속환경을 제공할 수도 있을 것이다.
이를 위한 구성을 보면, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 웹서버(15)와의 접속신호가 수신된 경우, 해당 사용자단말기에 대해 기존에 접속한 웹서버의 웹정보를 데이터저장부로부터 리딩하여 해당 사용자단말기(12)로 전송되도록 구비되는 웹주소제어부(50)가 더 구성될 수 있을 것이다.
그리고 이러한 상기 웹주소제어부(50)의 세부 구성예를 보면, 웹서버(15)의 정보를 요청하는 사용자단말기(12)에 대한 정보를 추출하는 사용자정보추출부(51)와, 사용자단말기의 접속정보 중 웹주소와 일치하는 웹정보데이터를 데이터저장부에서 리딩하는 사용자접속웹정보추출부(52)와, 상기 사용자접속웹정보추출부(52)에서 리딩된 웹정보데이터를 사용자단말기(12)로 전송되도록 구비된 접속웹정보전송처리부(53) 등이 구성될 수 있을 것이다.
그리하여 이러한 웹주소제어부(50)에 의하여, 상기 등록사용자판별부(20)에서 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 웹서버(15)와의 접속신호가 수신된 경우, 해당 사용자단말기에 대해 기존에 접속한 웹서버의 웹정보를 데이터저장부로부터 리딩하여 해당 사용자단말기(12)로 전송되도록 구비되는 웹주소제어단계(S05)가 더 수행될 수 있을 것이다.
그리고 이러한 상기 웹주소제어단계(S05)의 상세단계를 보면, 상기 웹주소제어부(50)의 사용자정보추출부(51)에 의하여, 웹서버(15)의 정보를 요청하는 사용자단말기(12)에 대한 정보를 추출하는 사용자정보추출단계(S51); 상기 웹주소제어부(50)의 사용자접속웹정보추출부(52)에 의하여, 사용자단말기의 접속정보 중 웹주소와 일치하는 웹정보데이터를 데이터저장부에서 리딩하는 사용자접속웹정보추출단계(S52); 상기 웹주소제어부(50)의 접속웹정보전송처리부(53)에 의하여, 상기 사용자접속웹정보추출부(52)에서 리딩된 웹정보데이터를 사용자단말기(12)로 전송되도록 하는 접속웹정보전송처리단계(S53)가 수행될 것이다.
이와 같이 구비된 본 발명에 따른 차단시스템(10) 및 차단방법 등에 의하여 웹서버를 위협하는 자동화코드 공격의 차단과정의 실시예를 첨부된 도면을 참조하여 살펴보면 다음과 같다.
첨부된 도면에서의 실시예에서 웹 방화벽과 같이 본 발명에 따른 차단시스템(10)은 웹서버(15)와 사용자단말기(12) 사이에 구성되는 것이다. 그리하여 웹 서버(Web Server, 15)로 접속을 시도하는 사용자단말기의 정상접속의 유무를 판별하기 위해 인증 테이블(예 : 인증데이터저장부(60))과 사용자 인증부와 사용자 재 인증부와 웹 주소 제어부 등이 포함되어 구성될 수 있을 것이다.
이에 인증 테이블은 웹 서버로 접속을 시도하는 사용자단말기의 접속정보로부터 변환된 키값의 존재 유무를 판별하는데 중요 데이터테이블의 역할을 하게 될 것이다. 보다 상세히 설명하면, 웹 서버(15)로 접속을 시도하는 사용자단말기의 접속정보가 수신될 시 접속정보의 데이터로부터 산출된 사용자단말기의 정보가 등록인증테이블에 존재하는지 여부를 판별하게 된다. 예를 들면 접속을 시도하는 사용자단말기(12) 접속정보 중에서 IP에 특정 문자열을 추가하여 만든 키의 해쉬 값과 인증 테이블에 기 등록되어 저장되어 있는 키의 해쉬 값과 비교하여 사용자의 인증 여부를 판별할 수 있을 것이다. 이러한 과정을 통하여 인증 테이블에 등록되지 않은 사용자단말기의 접근 시, 리다이렉트를 수행하여 1차적인 접근을 차단하고 사용자 인증부로 전송하여 일련의 판별 과정을 거치도록 구성될 수 있을 것이다.
다음으로 사용자인증부(30)는 이처럼 리다이렉트된 최초 접속 사용자단말기의 정상접속 여부를 판별하는 역할을 수행한다. 최초 접근 시, 사용자단말기로 응답신호를 전송하여, 사용자단말기의 화면에 응답용 화면이 표시되도록 하며, 화면에 랜덤하게 위치되는 버튼을 클릭하거나 화면에 표시되는 특정 문자열을 재입력하게 함으로써, 응답되는 응답신호의 여부에 따라 자동화 코드 공격인지 여부를 판별하게 한다. 정상이 아닌 사용자단말기의 접속정보, 즉 자동화 코드 공격으로 판별될 시, 차단시스템에서는 RST, FIN을 이용하여 접속을 강제 종료시키게 된다.
그리고 정상으로 판별된 사용자단말기의 접속에 대해서는 사용자단말기의 IP정보를 특정 문자열과 합하여 키를 생성하고 이 키 값은 인증데이터저장부(60)에 저장되도록 한다.
그리고 본 발명에 따른 차단시스템(10)에 있어서 다음 단계로 사용자재인증부(40)가 구비되는 것으로, 사용자재인증부(40)는 사용자단말기와 웹서버 사이에 데이터가 송수신될 경우에, 기존에 인증받은 사용자단말기의 접속정보를 대상으로 특성 행위가 감지될 시, 재 인증 과정을 수행하여 사용자단말기의 정상접속 여부를 판별하는 역할을 한다.
보다 상세히 설명하면, 이러한 사용자재인증부(40)에서는 일정한 접속 세션 갱신 시간 안에 웹 서버로 데이터를 전송할 목적으로 사용하는 Post 명령을 일정 횟수 이상 시도될 경우, 웹 서버에 접속하려는 사용자단말기의 접속을 자동화 코드 공격 접속으로 판별하여 접속을 강제로 종료하게 한다.
다음으로 본 발명에 따른 차단시스템(10)의 웹주소제어부(50)가 구비되어, 정상 사용자로 인증받은 사용자단말기에 대해 웹 페이지의 연속성을 지원하는 역할을 수행한다. 즉 정상 사용자단말기(12)에 대하여 인증이 완료된 이후, 사용자단말기(12)가 접속하는 웹페이지의 해쉬 값을 저장하도록 한 후, 재인증 등의 과정으로 정상접속으로 판별된 경우에, 해당 사용자단말기가 기존에 접속하였던 웹페이지 주소로 접속할 경우에 해쉬 값으로 웹페이지 정보를 제공하여 접속이 수월하도록 하는 기능을 지원할 수 있다.
다음으로 도 2는 자동화 코드 공격의 차단을 위해 차단시스템에서 수행하는 4단계 처리 순서도로 도식화한 것으로, 인증 테이블에 의한 판별과정으로 접속한 사용자단말기의 정보에 대한 키의 해쉬 값과 인증 데이터저장부의 인증테이블에 이미 등록된 접속허용된 사용자단말기의 정보에 대한 키의 해쉬 값을 매칭시켜 비교하는 인증 여부 판별단계(즉 등록사용자판별단계), 등록되지 않은 사용자단말기의 정보일 경우 해당 사용자단말기 측에 리다이렉트과정을 비롯하여 사용자인증의 과정이 수행되도록 하여 자동화 코드 공격에 대한 판별 여부를 수행하는 사용자 인증/사용자 재 인증 단계(사용자인증단계, 사용자재인증단계 등), 정상 사용자단말기의 정보로 판별된 경우 인증받은 사용자단말기의 정보를 저장하는 사용자 인증 정보 저장단계, 사용자단말기의 웹 페이지 연속성을 지원하는 웹 페이지 제어 단계(즉 웹주소제어단계) 등이 실시될 수 있을 것이다.
이러한 각 단계별 기능으로써 차단시스템(10)의 성능 향상 및 자동화 코드 공격여부의 판별에 대한 정확성의 효과를 얻을 수 있다.
도 3은 차단시스템(10)에서 웹 서버로 접근하는 사용자단말기의 정보를 대상으로 하는 것으로, 특히 기 등록되지 않은 최초 사용자단말기의 접속정보에 대한 자동화 코드 공격의 여부를 판별하는 예시를 통한 상세 동작 순서도이다. 확인되지 않은 사용자단말기의 접속정보로 차단시스템(10)이 보호하는 웹 서버(15)에 최초 접속 요청 시, 차단시스템(10)의 등록인증 테이블에 의하여 접속을 시도하는 사용자단말기의 IP 정보와 특정 문자열을 합하여 산출되는 해쉬 값을 추출하여 인증 데이터저장부(등록인증테이블)에 있는 기존에 인증받은 사용자단말기의 정보에 대한 키의 해쉬 값과 매칭시켜 인증 여부를 판별한다.
그리하여 인증을 받지 않은 사용자단말기의 접속정보로 판별된 경우 차단시스템(10)에서 리다이렉트 과정을 실행하여 자동화 코드 공격의 여부를 판별한다.
이에 웹서버(15)에 접속요청하는 사용자단말기(12)의 접속정보와 인증데이터저장부(60)에 기 등록된 정상사용자단말기(13)의 접속정보를 비교하여 리다이렉트 또는 이후의 사용자인증과정을 수행할지 여부의 판별과정에 대한 일실시예를 첨부된 도면 중 도 8을 참고하여 설명하면 다음과 같다.
즉 차단시스템(10)에 접속을 하게 되는 사용자단말기(12)의 접속정보의 데이터로부터 IP 정보와 같은 사용자단말기(12)의 고유의 접속정보를 수신데이터추출부(21)에서 추출하게 된다. 그리고 추출된 사용자단말기(12)의 IP 정보와 같은 접속정보에 특정 문자열을 추가하는 과정이 더 부가될 수 있을 것이다. 이러한 문자열의 추가는 해당 사용자단말기의 정보를 고유하게 저장하기 위한 것으로, 사용자된 차단시스템의 설치 또는 운영상황에 따라 각각 알맞은 문자열의 추가를 수행할 수 있을 것이며, 어느 특정 문자열로 제한되지는 않을 것이다.
첨부된 도 8의 예시에서는 웹서버(15)에 접속요청하는 사용자단말기(12)의 IP주소가 "175.112.85.156"이라고 가정할 경우, 이에 대한 문자열의 예시로 "WinsTechnet"으로 정한다면, 결국 "175.112.85.156 + WinsTechnet"의 데이터가 생성될 것이다.
이후에 이렇게 문자열이 추가된 사용자단말기(12)의 접속정보에 대한 키 생성과정이 수행될 수 있을 것이며, 그에 대한 도 8에서의 예시로는 "645WW040-1193-392T-00SS002N830E"로 예시하고 있다. 그리고 이러한 키에 대한 해쉬값을 산출하게 되는 과정으로 도 8의 예시에서는 사용자단말기(12)에 대한 해쉬 값으로 "4A84EEC6"의 값으로 예시되어 있다. 이러한 일련의 과정이 데이터변환부(22)에 의하여 진행될 수 있을 것이다.
그리고 이처럼 웹서버(15)에 접속요청한 사용자단말기(12)의 접속정보로부터 추출된 해쉬값에 대하여 등록데이터판별부(23)에서는, 기 저장된 인증데이터저장부(60)의 등록인증테이블에 저장된 기 사용자단말기에 대한 접속정보의 해쉬값과 비교판별하게 될 것이다. 그리하여 기 등록된 사용자 단말기의 정보와 일치하는 해시 값을 갖는 사용자단말기(12)의 접속정보를 정상사용자단말기(13)로 분류하여 웹서버(15)의 접속이 이루어지도록 처리된다. 하지만 기 등록된 사용자단말기의 정보와 일치하는 값이 없는 접속된 사용자단말기의 경우에는 이후의 별도의 사용자인증과정이 수행되도록 함으로써, 자동화 코드 공격을 미연에 방지할 수 있도록 처리되는 것이다.
이에 사용자인증부(30)에 대한 사용자인증단계를 수행하기 전에, 리다이렉트처리부에 의하여 접속요청의 사용자단말기(12) 측으로 리다이렉트 과정이 수행되도록 실시될 수도 있을 것이다.
예를 들면 인증데이터저장부(60)의 등록인증테이블에 기 등록된 사용자단말기의 정보에 대한 해쉬 값에 대하여, 접속 요청의 사용자단말기(12)에 대한 해쉬 값이 매칭되지 않는 경우에, 해당 접속 요청의 사용자단말기(12) 측으로 리다이렉트의 과정이 수행될 수 있는 것으로, 접속요청의 사용자단말기(12)가 최초 웹서버(15) 측의 IP 주소(예를 들면 192.168.0.38)로 접속요청한 IP 주소와 다른 인증서버로 재접속하라는 리다이렉트의 과정이 수행될 수 있을 것으로, 이에 인증서버의 IP주소의 예로는 앞선 웹서버(15)의 IP 주소와는 다른 IP 주소(인증서버의 IP 주소의 예 : 192.168.0.110)로 리다이렉트 접속을 요청하게 될 것이다.
이러한 리다이렉트의 재접속 요청을 받은 사용자단말기(12)에서 리다이렉트의 응답신호로 인증서버로 재접속한 경우에는 정상 사용자단말기로 분류하여 사용자인증부(30)에 의한 사용자인증단계를 수행할 수 있도록 진행하게 된다.
하지만 다른 IP 주소로의 리다이렉트에 대한 응답시간(Time out) 이내에 리다이렉트의 재접속을 수행하지 않게 되면 해당 사용자단말기는 공격자단말기(14)로 판별하여 강제 접속종료(FIN, RST 등)로 접속차단의 과정이 수행되도록 하여, 웹서버(15)를 자동화코드의 공격으로부터 보호하도록 하는 것이다.
이처럼 리다이렉트에 정상적으로 반응한 사용자단말기(12)는 다음 사용자인증의 과정을 수행하게 되는 것으로, 사용자인증부(30)에 의해서 전송되는 사용자인증에 대한 요청데이터를 수신받고, 해당 사용자인증의 데이터가 사용자단말기(12)의 화면에 표시되는 내용에 대해서, 사용자단말기(12)의 사용자가 선택한 응답데이터가 차단시스템(10)에 수신됨을 판별하여 사용자인증의 과정이 수행되도록 하는 것으로, 사용자단말기(12)의 화면에는 랜덤하게 위치해 있는 응답버튼을 클릭하거나 제시되는 특정 문자열을 입력하게 하여 자동화 코드 공격 여부를 판별하는 것이다.
이에 이러한 일련의 사용자인증의 과정에 반응이 없는 사용자단말기의 경우 공격자단말기(14)로 판별하여, 차단시스템(10)에서 RST, FIN 등의 과정으로 공격자단말기(14)의 접속을 강제 종료시킨다. 이러한 사용자인증부(30)에서 정상사용자단말기(13)로 인증받은 경우, 사용자단말기의 IP 정보와 같은 접속정보와 특정 문자열과 합하여 키값을 만들고, 만들어진 키(해쉬값 등)는 인증 데이터저장부에 저장된다. 이후 인증데이터저장부에 기 저장된 사용자단말기의 접속정보로 이용되기 때문에, 이처럼 사용자인증과정이 완료되어 기 등록된 정상사용자단말기로 된 경우의 사용자단말기는 이후의 접속의 경우, 정상사용자단말기(13)로서 지속적으로 웹 서비스를 이용할 수 있게 된다.
아울러 본 발명에 따른 차단시스템(10)의 웹주소제어부(50)에 의하여 정상 사용자단말기에서 접속하는 웹 페이지 정보를 동일하게 사용할 수 있게 하기 위하여, 사용자 인증부에서 사용자단말기에 대한 리다이렉트시, 사용자단말기와 접속해 있던 웹 주소의 리퍼러 정보를 같이 가져오도록 실시될 수 있다. 정상으로 판별된 사용자단말기에 대한 리다이렉트 시, 가져온 웹 주소의 리퍼러 정보를 이용하여 사용자단말기와 접속하고 있던 웹 페이지를 동일하게 사용할 수 있게 한다.
다음으로 도 4는 기존에 차단시스템(10)에서 인증을 받은 사용자단말기(12)인 정상사용자단말기(13)를 대상으로 특정 행위(재접속, 웹페이지 정보의 재요청, 임의의 데이터에 대한 재요청 등)가 감지되었을 시, 자동화 코드 공격여부를 판별하는 예시를 통한 상세 동작의 순서도이다. 즉 차단시스템(10)에서 정상 사용자단말기(13)로 인증받은 사용자단말기로부터 웹서버(15) 측으로 데이터의 전송을 요청할 목적으로 포스트 요청을 수행할 시, 사용자재인증부(40)에서 포스트 요청을 카운팅 한다. 차단시스템(10)에서 지정한 세션 갱신 시간(예 : 10분 정도) 이내에, 연속으로 포스트 요청(Post 명령)의 횟수에 대한 카운트(Count) 과정이 수행되도록 하고, 이에 초과 카운트 횟수(예 : 3회 정도) 이상 발생될 시, 그 횟수에 대한 카운트 판별로 접속한 사용자단말기에 대한 자동화 코드 공격 판별 여부를 수행하는 것이다.
그리고 자동화 코드의 공격으로 판별된 사용자단말기는 공격자단말기(14)로 판별하여 차단시스템(10)에서 RST, FIN을 이용하여 접속을 강제 종료시킨다. 인증 받은 사용자단말기에서의 세션 갱신 시간의 인증 효력 시간(예 : 약 10분 정도)의 세션 연결 시간이 지나는 동안 아무런 접속이나 서비스 이용이 없으면 연결은 종료되고 다시 재 인증 절차를 거치게 된다.
예를 들면, 기 인증받은 사용자단말기가 웹서버에 대한 아무런 액션 및 명령(예 : get, post 등)이 없을 시, 세션이 끊어질 수 있는 시간을 대략 10분으로 정할 수 있을 것이다. 이러한 세션을 갱신하기 위한 10분 안에 사용자단말기에 의한 액션 및 명령이 수행되어야 할 것이다.
이처럼 (세션 갱신 시간) 10분(도 9의 예시) 안에 웹서버로 데이터의 전송 요청을 목적으로 사용하는 정보요청의 데이터(예 : get, post 등)가 1분 이내에 연속해서 3번 이상 발생 시, 사용자재인증부(40)에서는 그 발생 건수를 Count하여 사용자의 정상여부를 판별하게 될 것이다. 그리고 이처럼 소정 시간 이내에 초과횟수로 데이터요청의 세션 갱신 시도시 해당 사용자단말기를 공격단말기로 판별하여 접속을 강제 종료하게 될 것이다.
이상에서와 같이 구비되는 본 발명에 따른 웹서버를 위협하는 자동화 코드 공격의 차단시스템(10) 및 차단방법 등에 대해서, 첨부된 도 5의 예시 표를 참조하여 공격자단말기(14)의 차단과정 및 정상 사용자의 정상 이용에 대한 과정을 살펴보기로 한다.
도 5의 첫 번째 Case 1의 사용자단말기(IP 예 : 10.10.149.249)일 경우, 등록사용자판별부(20)에 의한 등록사용자판별단계(S02)에 의하여 기 등록된 사용자단말기가 아닌 것으로 판별(N(아니오))됨을 알 수 있다. 따라서 정상적으로 웹서버(15)에는 바로 접속은 안되도록 하면서, 이후의 사용자인증과정이 수행되도록 하는 것이다. 이에 사용자인증부(30)에 의한 사용자인증단계(S03)에 의하여 응답신호를 반응함으로써 정상사용자단말기(13)로 판별(정상)되어, 차단요청을 하지 않게 된다(N(차단요청없음)). 이후에는 정상사용자단말기로서 인증데이터저장부(60)에 등록된 기 사용자단말기로 되어 웹서버와의 정상적인 접속상태를 갖게 될 것이다.
다음으로 두 번째 Case 2의 사용자단말기(IP 예 : 10.10.149.250)일 경우, 등록사용자판별부(20)에서는 기 등록된 정상사용자단말기로 판별된 경우(Y(예))가 되고, 따라서 바로 사용자재인증부(40)의 관리에 들어가게 될 것이다. 물론 이러한 두 번째 사용자단말기는 정상적으로 웹서버(15)와 접속이 될 것이다. 그러나 사용자재인증부(40)에서의 일정 세션 갱신기간 이내에 정보교환이 있었는지 판별하게 될 것이고, 또한 일정 시간 이내에 정해진 횟수 이상의 정보 요청시에는 이를 공격자단말기(14)의 접속정보로 판별(비정상)하게 될 것이고, 따라서 이러한 사용자단말기의 접속을 차단요청(Y(차단요청))하게 될 것이다. 그리하여 자동화 코드의 공격을 미연에 방지할 수 있을 것이다.
또한 세 번째 Case 3의 사용자단말기(IP 예 : 10.10.149.248)일 경우, 역시 등록사용자판별부(20)에서 정상사용자단말기(13)로 판별(Y(예))되어 웹서버와 정상 접속이 이루어질 것이고, 이후 사용자재인증부(40)의 판별에 의해서도 계속해서 정상사용자단말기(13)로 판별(정상)됨으로써, 차단요청이 이루어지지 않을 것이다(N(차단요청없음).
끝으로 네 번째 Case 4의 사용자단말기(IP 예 : 10.10.149.251)일 경우, 등록사용자판별부(20)의 판별 시 기 등록된 사용자단말기가 아니므로(N(아니오), 이후 사용자인증과정이 수행될 것이다. 즉 사용자인증부(30)에 의한 사용자인증단계(S03)에 의해서 응답신호를 사용자단말기에서 보내지 않음으로써 자동화 코드의 공격으로 판별(비정상)하게 될 것이고, 따라서 공격자단말기(14)에 해당되어 접속을 차단하게 될 것이다(Y(차단요청)).
이처럼 다양한 상황으로 접속하게 되는 사용자단말기에 대해서 본 발명에 따른 차단시스템(10)에 의하여 정상사용자단말기(13)는 웹서버와의 정상 접속상태를 유지할 수 있도록 하고, 자동화 코드 공격의 공격자단말기(14)에 대해서는 접속차단이 이루어지도록 하여, 웹서버를 안전하게 보호하도록 하는 것이다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니 된다.
10 : 차단시스템
12 : 사용자단말기 13 : 정상사용자단말기
14 : 공격자단말기 15 : 웹서버
20 : 등록사용자판별부 21 : 수신데이터추출부
22 : 데이터변환부 23 : 등록데이터판별부
24 : 리다이렉트처리부
30 : 사용자인증부 31 : 인증대상사용자정보추출부
32 : 검증발송데이터처리부 33 : 문답신호처리부
34 : 강제접속종료부
40 : 사용자재인증부 41 : 재접속자정보추출부
42 : 재접속경과판별부 43 : 재접속횟수초과판별부
44 : 재인증접속종료부
50 : 웹주소제어부 51 : 사용자정보추출부
52 : 사용자접속웹정보추출부 53 : 접속웹정보전송처리부
60 : 인증데이터저장부

Claims (5)

  1. 사용자단말기(12)와 웹서버(15) 사이에 연결되는 차단시스템이 구비되어지되,
    접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 구비되는 등록사용자판별부(20)와,
    상기 등록사용자판별부(20)에 의하여 정상사용자단말기의 접속정보가 아닐 경우, 접속된 사용자단말기로 응답요청 데이터인 사용자검증의 데이터를 전송하고 사용자검증의 데이터에 대한 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기로 분류된 사용자단말기의 접속정보의 데이터가 저장되도록 하는 사용자인증부(30)가 포함되도록 구비되는 차단시스템에 있어서,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)와 웹서버(15) 사이에 신호송수신이 되도록 구비되고,
    상기 등록사용자판별부(20)에서는, 접속된 사용자단말기에 대해서 등록인증테이블에 등록되지 않은 사용자단말기의 정보일 경우에는 재접속요청신호인 리다이렉트 신호를 전송하도록 구비된 리다이렉트처리부(24)가 포함되어 이루어지는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템.
  2. 삭제
  3. 사용자단말기(12)와 웹서버(15) 사이에 연결되는 차단시스템이 구비되어지되,
    접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 구비되는 등록사용자판별부(20)와,
    상기 등록사용자판별부(20)에 의하여 정상사용자단말기의 접속정보가 아닐 경우, 접속된 사용자단말기로 응답요청 데이터인 사용자검증의 데이터를 전송하고 사용자검증의 데이터에 대한 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기로 분류된 사용자단말기의 접속정보의 데이터가 저장되도록 하는 사용자인증부(30)가 포함되도록 구비되는 차단시스템에 있어서,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)와 웹서버(15) 사이에 신호송수신이 되도록 구비되고,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기로부터의 재접속신호가 수신된 경우, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 분석하기 위한 사용자재인증부(40)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템.
  4. 제 1항 또는 제 3항에 있어서,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 웹서버(15)와의 접속신호가 수신된 경우, 해당 사용자단말기에 대해 기존에 접속한 웹서버의 웹정보를 데이터저장부로부터 리딩하여 해당 사용자단말기(12)로 전송되도록 구비되는 웹주소제어부(50)가 더 포함되어 구비되고,
    상기 등록사용자판별부(20)는, 접속된 사용자단말기에 대한 사용자단말기(12)의 IP 정보가 포함된 사용자단말기의 접속정보를 추출하는 수신데이터추출부(21)와, 사용자단말기(12)의 IP 정보로부터 해쉬 값이 추출되도록 하는 데이터변환부(22)와, 상기 데이터변환부(22)에 의해 추출된 사용자단말기(12)의 IP 정보에 대한 해쉬 값의 데이터가 등록인증테이블에 저장된 정상사용자단말기의 IP 정보에 대한 해쉬 값과 일치하는 사용자단말기의 정보가 있는지 여부를 판별하여, 정상사용자단말기의 접속정보로 판별될 경우에는 웹서버(15)와의 신호 송수신이 되도록 구비되는 등록데이터판별부(23)가 포함되어 구비되며,
    상기 사용자인증부(30)는, 상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록되지 않은 사용자단말기인 인증대상의 사용자단말기의 접속정보로부터 사용자검증의 데이터 전송을 위한 정보를 추출하는 인증대상사용자정보추출부(31)와, 인증대상의 사용자단말기로 사용자단말기에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 인증대상의 사용자단말기의 접속정보 및 해당 인증대상의 사용자단말기로 전송된 사용자단말기에 대한 응답요청 데이터가 포함된 사용자검증의 데이터가 저장되도록 하는 검증발송데이터처리부(32)와, 상기 검증발송데이터처리부(32)에서 송신된 사용자단말기에 대한 응답요청 데이터에 대해서, 사용자단말기(12)의 응답신호를 수신받고, 정상의 응답신호인지 여부를 판별하여 정상의 응답신호를 전송한 사용자단말기(12)에 대해서 정상사용자단말기로 분류되도록 하여 해당 정상사용자단말기의 접속정보가 저장되도록 하는 문답신호처리부(33)와, 상기 문답신호처리부(33)에서 정상사용자단말기로 분류되지 않은 사용자단말기의 접속정보에 대해서 접속종료가 되도록 하는 강제접속종료부(34)가 더 포함되어 구비되고,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기로부터의 재접속신호가 수신된 경우, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 분석하기 위한 사용자재인증부(40)가 구비되어지되, 상기 사용자재인증부(40)는, 재접속된 사용자단말기에 대한 재접속정보의 데이터를 추출하고, 재접속된 사용자단말기에 대해 인증데이터저장부에 저장된 종전 접속정보의 데이터를 리딩하는 재접속정보추출부(41)와, 재접속된 사용자단말기의 종전 접속에 대해서 재접속된 시간이 접속갱신경과시간 이내인지 여부를 판별하는 재접속경과판별부(42)와, 재접속된 사용자단말기에 대해서 접속갱신경과시간 동안 재접속초과횟수 이상으로 접속되었는지 여부를 판별하는 재접속횟수초과판별부(43)와, 상기 재접속경과판별부(42)에 의해 접속갱신경과시간을 경과한 재접속된 시간으로 판별된 경우, 또는 상기 재접속횟수초과판별부(43)에 의해 재접속초과횟수 이상으로 재접속된 것으로 판별된 경우에는, 해당 재접속 사용자단말기의 접속이 종료되도록 하는 재인증접속종료부(44)가 더 포함되어 구비되며,
    상기 웹주소제어부(50)는, 웹서버(15)의 정보를 요청하는 사용자단말기(12)에 대한 정보를 추출하는 사용자정보추출부(51)와, 사용자단말기의 접속정보 중 웹주소와 일치하는 웹정보데이터를 데이터저장부에서 리딩하는 사용자접속웹정보추출부(52)와, 상기 사용자접속웹정보추출부(52)에서 리딩된 웹정보데이터를 사용자단말기(12)로 전송되도록 구비된 접속웹정보전송처리부(53)가 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단시스템.
  5. 등록사용자판별부(20)에 의하여, 접속된 사용자단말기의 접속정보 데이터를 분석하여 등록인증테이블에 등록된 정상사용자단말기의 접속정보 인지를 판별하도록 하는 등록사용자판별단계(S02);
    사용자인증부(30)에 의하여 정상사용자단말기의 접속정보가 아닐 경우의 사용자단말기로 사용자에 대한 응답요청 데이터인 사용자검증의 데이터를 전송하고, 사용자검증의 응답데이터를 전송한 사용자단말기를 정상사용자단말기로 분류하며, 정상사용자단말기에 대한 접속정보의 데이터를 저장하도록 하는 사용자인증단계(S03)가 포함되어,
    상기 등록사용자판별부(20)에 의하여 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)와 웹서버(15) 사이에 신호송수신이 되도록 구비되고,
    사용자재인증부(40)에 의하여, 상기 등록사용자판별부(20)에서 등록인증테이블에 등록됨으로 판별된 사용자단말기, 또는 상기 사용자인증부(30)를 통하여 정상사용자단말기로 판별된 사용자단말기(12)로부터의 재접속신호가 수신된 경우, 재접속의 사용자단말기에 대한 재접속정보의 데이터를 분석하는 사용자재인증단계(S04)가 더 포함되어 구비되는 것을 특징으로 하는 웹서버를 위협하는 자동화코드 공격의 차단방법.
KR1020110122781A 2011-11-23 2011-11-23 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법 KR101132573B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110122781A KR101132573B1 (ko) 2011-11-23 2011-11-23 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110122781A KR101132573B1 (ko) 2011-11-23 2011-11-23 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법

Publications (1)

Publication Number Publication Date
KR101132573B1 true KR101132573B1 (ko) 2012-04-05

Family

ID=46143142

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110122781A KR101132573B1 (ko) 2011-11-23 2011-11-23 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법

Country Status (1)

Country Link
KR (1) KR101132573B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101369743B1 (ko) * 2012-06-25 2014-03-06 한국전자통신연구원 리퍼러 검증 장치 및 그 방법
WO2014142904A1 (en) * 2013-03-14 2014-09-18 Intel Corporation Context based switching to a secure operating system environment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070118894A1 (en) 2005-11-23 2007-05-24 Nextone Communications, Inc. Method for responding to denial of service attacks at the session layer or above
KR100858271B1 (ko) 2007-11-27 2008-09-11 주식회사 나우콤 분산서비스거부공격 차단장치 및 그 방법
KR20110059963A (ko) * 2009-11-30 2011-06-08 삼성에스디에스 주식회사 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템
KR101072981B1 (ko) * 2009-09-15 2011-10-12 주식회사 유섹 분산 서비스 거부 공격의 방어 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070118894A1 (en) 2005-11-23 2007-05-24 Nextone Communications, Inc. Method for responding to denial of service attacks at the session layer or above
KR100858271B1 (ko) 2007-11-27 2008-09-11 주식회사 나우콤 분산서비스거부공격 차단장치 및 그 방법
KR101072981B1 (ko) * 2009-09-15 2011-10-12 주식회사 유섹 분산 서비스 거부 공격의 방어 시스템
KR20110059963A (ko) * 2009-11-30 2011-06-08 삼성에스디에스 주식회사 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101369743B1 (ko) * 2012-06-25 2014-03-06 한국전자통신연구원 리퍼러 검증 장치 및 그 방법
US8893233B2 (en) 2012-06-25 2014-11-18 Electronics And Telecommunications Research Referer verification apparatus and method
WO2014142904A1 (en) * 2013-03-14 2014-09-18 Intel Corporation Context based switching to a secure operating system environment

Similar Documents

Publication Publication Date Title
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
US11888868B2 (en) Identifying security risks and fraud attacks using authentication from a network of websites
US11509685B2 (en) Cyberattack prevention system
US8819803B1 (en) Validating association of client devices with authenticated clients
US8490190B1 (en) Use of interactive messaging channels to verify endpoints
US20110270969A1 (en) Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information
US9282116B1 (en) System and method for preventing DOS attacks utilizing invalid transaction statistics
US20210075790A1 (en) Attacker detection via fingerprinting cookie mechanism
Kumar et al. DDOS prevention in IoT
US9237143B1 (en) User authentication avoiding exposure of information about enumerable system resources
US11165817B2 (en) Mitigation of network denial of service attacks using IP location services
US9602505B1 (en) Dynamic access control
CN107046516B (zh) 一种识别移动终端身份的风控控制方法及装置
CN113672897A (zh) 数据通信方法、装置、电子设备及存储介质
KR101132573B1 (ko) 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법
CN106789882A (zh) 一种域名请求攻击的防御方法及系统
Nirmal et al. Maximizing online security by providing a 3 factor authentication system to counter-attack'Phishing'
US11310265B2 (en) Detecting MAC/IP spoofing attacks on networks
Sokol et al. Definition of attack in the context of low-level interaction server honeypots
KR101109563B1 (ko) 인터넷 서비스 보장 장치 및 방법
BR102020003105A2 (pt) Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina
Louis Detection of session hijacking
US10931713B1 (en) Passive detection of genuine web browsers based on security parameters
KR102401661B1 (ko) DDoS 공격의 탐지 및 방어 시스템 및 그 방법
CN114567479B (zh) 一种智能设备安全管控加固及监测预警方法

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160321

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170303

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180327

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190327

Year of fee payment: 8