KR101395809B1 - 웹 서버의 공격 탐지 방법 및 시스템 - Google Patents

웹 서버의 공격 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101395809B1
KR101395809B1 KR1020120123176A KR20120123176A KR101395809B1 KR 101395809 B1 KR101395809 B1 KR 101395809B1 KR 1020120123176 A KR1020120123176 A KR 1020120123176A KR 20120123176 A KR20120123176 A KR 20120123176A KR 101395809 B1 KR101395809 B1 KR 101395809B1
Authority
KR
South Korea
Prior art keywords
web
web server
attack
web document
document
Prior art date
Application number
KR1020120123176A
Other languages
English (en)
Other versions
KR20140055829A (ko
Inventor
조경산
최병하
최종무
Original Assignee
단국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 단국대학교 산학협력단 filed Critical 단국대학교 산학협력단
Priority to KR1020120123176A priority Critical patent/KR101395809B1/ko
Publication of KR20140055829A publication Critical patent/KR20140055829A/ko
Application granted granted Critical
Publication of KR101395809B1 publication Critical patent/KR101395809B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 실시예는 웹 서버로부터 외부로 전송되는 트래픽을 감시하여 비정상 행위를 검출함으로써 웹 서버로의 공격을 탐지하는 방법 및 시스템에 관한 것으로서, 웹 문서를 수집하는 단계, 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계, 생성된 정상 행위 모델을 이용하여, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 단계, 및 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함하는 웹 서버로의 공격 탐지 방법을 제공할 수 있다.

Description

웹 서버의 공격 탐지 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING ATTACK ON WEB SERVER}
본 발명의 실시예는 웹 서버로의 공격을 탐지하는 방법 및 시스템에 관한 것으로서, 보다 상세하게는 웹 서버로부터 외부로 전송되는 트래픽을 감시하여 비정상 행위를 검출함으로써 웹 서버로의 공격을 탐지하는 방법 및 시스템에 관한 것이다.
정당한 접근권한을 도용하거나 초과하여 정보시스템에 침입하는 해킹은 단순한 로컬 시스템의 패스워드를 추측하는 공격에서 네트워크를 이용한 원격 시스템의 공격을 거쳐 최근의 웹 기반 공격(Web-based Attacks)으로 발전하고 있다.
웹 기반 공격은 웹 응용 프로그램을 공격하는 방식의 공격이다. 응용 계층 공격의 약 70%가 웹 기반 공격으로 분석된다. 웹 기반 공격은 웹 응용 프로그램과 연결되는 DB 서버, 네트워크 등의 취약점을 노출시키며, 여기에 접속된 단말기에도 악성코드를 유포한다.
웹 기반 공격을 방지하기 위하여 다양한 종류의 방화벽, 침입 탐지 시스템 및 보안 응용 프로그램이 사용되고 있다. 상기와 같은 종래의 웹 서버 보안 시스템은 방화벽, 침입 탐지 시스템 및 웹 방화벽 등이 웹 서버와 계층적으로 연결되고, 외부로부터 상기 웹 서버로 전송되는 트래픽을 검사함으로써 웹 기반 공격을 탐지한다.
그러나, 상기와 같은 종래의 웹 서버 보안 시스템을 우회하는 다양한 종류의 웹 기반 공격 방법들이 지속적으로 등장하고 있다. 예를 들어, USB 메모리를 이용한 악성코드, 웹 서버 관리자와의 친분을 이용한 공격, 웹 응용 프로그램의 오류를 이용한 공격 등은 종래의 웹 서버 보안 시스템을 우회하는 공격으로서 공격의 탐지가 쉽지 않다.
또한, 악성코드가 여러 파일에 분산되어 삽입되고, 상기 파일들을 이용하여 공격이 이루어지는 경우, 웹 서버가 침입되었는지를 신속히 파악하는 데에 어려움이 있다. 이 경우, 상기 웹 서버에 접속한 단말기에 악성코드가 유포되는 등의 추가적인 피해가 발생할 수 있다.
한국등록특허 제10-1095878호 (등록일: 2011.12.13.)
본 발명의 실시예는 웹 서버로의 침입 사실을 보다 정확하게 탐지할 수 있는 웹 서버로의 공격을 탐지하는 방법 및 시스템을 제공할 수 있다.
본 발명의 실시예는 웹 서버로의 침입 사실을 보다 신속하게 탐지할 수 있는 웹 서버로의 공격을 탐지하는 방법 및 시스템을 제공할 수 있다.
본 발명의 실시예는 웹 서버로의 우회 공격을 효과적으로 탐지할 수 있는 웹 서버로의 공격을 탐지하는 방법 및 시스템을 제공할 수 있다.
본 발명의 실시예는 알려지지 않은 방법을 이용한 웹 서버로의 공격을 효과적으로 탐지할 수 있는 웹 서버로의 공격을 탐지하는 방법 및 시스템을 제공할 수 있다.
본 발명의 실시예는 웹 서버로부터 외부로 전송되는 트래픽을 감시하여 비정상 행위를 검출함으로써 웹 서버로의 공격을 탐지하는 방법 및 시스템을 제공할 수 있다.
본 발명의 실시예를 통해 해결하고자 하는 과제는 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당해 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 실시예에 따른 웹 서버로의 공격 탐지 방법은, 웹 문서를 수집하는 단계, 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계, 상기 생성된 정상 행위 모델을 이용하여, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 단계, 및 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함할 수 있다.
본 발명의 다른 실시예에 따른 웹 서버로의 공격 탐지 방법은, 웹 문서를 수집하는 단계, 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계, 상기 소정의 악성코드 패턴과 일치하는 패턴이 검출된 경우 공격이 일어난 것으로 판단하는 단계, 상기 생성된 정상 행위 모델을 이용하여, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 비정상 행위를 검출하는 단계, 및 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함할 수 있다.
본 발명의 실시예에 따른 웹 서버로의 공격 탐지 시스템은, 웹 문서를 수집하는 웹 문서 수집부, 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부, 및 생성된 상기 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부를 포함할 수 있다.
본 발명의 다른 실시예에 따른 웹 서버로의 공격 탐지 시스템은, 웹 문서를 수집하는 웹 문서 수집부, 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부, 및 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하고, 생성된 상기 정상 행위 모델을 이용하여 상기 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부를 포함할 수 있다.
또한, 상기 웹 문서는 HTML(HyperText Markup Language), 자바스크립트(JavaScript), Jscript 또는 ECMA Script 언어로 작성된 코드를 포함할 수 있다.
또한, 상기 정상 행위 모델을 생성하는 단계는, 은닉 마르코프 모델을 초기화시키는 단계, 상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 단계, 및 상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시키는 단계를 포함할 수 있다.
또한, 상기 수집된 웹 문서를 상기 관측열로 변환하는 단계는, 상기 웹 문서를 준비하는 단계, 상기 웹 문서에 포함된 적어도 하나 이상의 코드를 추상 구문 트리로 변환하는 단계, 및 상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계를 포함할 수 있다.
또한, 상기 비정상 행위를 검출하는 단계는, 상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계, 상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하는 단계, 및 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계를 포함할 수 있다.
또한, 상기 복원된 웹 문서에 포함된 상기 코드를 상기 관측열로 변환하는 단계는, 상기 복원된 웹 문서에 포함된 상기 코드를 추상 구문 트리로 변환하는 단계, 및 상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계를 포함할 수 있다.
또한, 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단할 수 있다.
또한, 상기 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계는, 상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계, 및 상기 소정의 악성코드 패턴과 상기 변환된 관측열을 비교하는 단계를 포함할 수 있다.
또한, 상기 소정의 악성코드 패턴은 상기 웹 서버 내의 공격받지 않은 문서 내에는 존재하지 않는 코드 패턴일 수 있다.
XSS 공격 또는 URL 스푸핑을 수행하는 코드 패턴을 포함할 수 있다.
또한, 상기 정상 행위 모델 생성부는, 은닉 마르코프 모델을 초기화하고, 상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하고, 상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시킬 수 있다.
또한, 상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하고, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하고, 상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하고, 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단할 수 있다.
또한, 상기 공격 검출부는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단할 수 있다.
또한, 상기 공격 검출부는 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단할 수 있다.
또한, 상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서, 상기 소정의 악성코드 패턴과 일치하는 상기 패턴 또는 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단할 수 있다.
본 발명의 실시예에 따르면, 웹 서버로의 침입 사실을 보다 정확하게 탐지할 수 있다.
본 발명의 실시예에 따르면, 웹 서버로의 침입 사실을 보다 신속하게 탐지할 수 있다.
본 발명의 실시예에 따르면, 웹 서버로의 우회 공격을 효과적으로 탐지할 수 있다.
본 발명의 실시예에 따르면, 알려지지 않은 방법을 이용한 웹 서버로의 공격을 효과적으로 탐지할 수 있다.
본 발명의 실시예에 따르면, 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 보다 정확하고 신속하게 검출할 수 있다.
도 1은 본 발명의 제1실시예에 따라 웹 서버로의 공격이 탐지되는 과정을 나타내는 순서도이다.
도 2는 본 발명의 제1실시예에 따라 정상 행위 모델을 생성하는 과정을 나타내는 순서도이다.
도 3은 본 발명의 제1실시예에 따라 정상 행위 모델을 생성하기 위해 적용된 은닉 마르코프 모델(Hidden Markov Model, HMM)의 구성을 나타내는 개념도이다.
도 4는 본 발명의 제1실시예에 따라 설정된 은닉 마르코프 모델의 매개변수를 나타내는 표이다.
도 5는 본 발명의 제1실시예에 따라 자바스크립트 코드를, 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 과정을 나타내는 순서도이다.
도 6은 본 발명의 제1실시예에 따라 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 검출하는 과정을 나타내는 순서도이다.
도 7은 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 시스템의 구성을 나타내는 블럭도이다.
도 8은 본 발명의 제2실시예에 따라 웹 서버로의 공격이 탐지되는 과정을 나타내는 순서도이다.
도 9는 본 발명의 제2실시예에 따른 HTML 코드에서의 소정의 악성코드 패턴을 나타내는 표이다.
도 10은 본 발명의 제2실시예에 따른 자바스크립트 코드에서의 소정의 악성코드 패턴을 나타내는 표이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다. 다만, 첨부된 도면은 본 발명의 내용을 보다 쉽게 개시하기 위하여 설명되는 것일 뿐, 본 발명의 범위가 첨부된 도면의 범위로 한정되는 것이 아님은 이 기술분야의 통상의 지식을 가진 자라면 용이하게 알 수 있을 것이다.
또한, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐 아니라, 그 중간에 하나 이상의 다른 구성요소를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함된다. 또한, 어떤 부분이 어떤 구성요소를 '포함'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 이외의 다른 구성요소를 제외한다는 의미가 아니라 이외의 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예에 따른 웹 서버로의 공격 탐지 방법 및 시스템에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 제1실시예에 따라 웹 서버로의 공격이 탐지되는 과정을 나타내는 순서도이다.
도 1을 참조하면, 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법은 먼저, 웹 문서를 수집하는 단계(S100)를 수행할 수 있다. 상기 웹 문서는 HTML(HyperText Markup Language) 언어로 작성된 코드 또는 자바스크립트(JavaScript) 언어로 작성된 코드를 포함할 수 있다.
넓은 의미의 자바스크립트는 좁은 의미의 자바스크립트 외에 JScript, ECMA Script 등의 언어를 포함할 수 있고, 각 언어에서 사용되는 문법이나 객체 형식은 유사성을 갖는다. 자바스크립트 언어에 포함된 함수와 변수 등의 조합과 순서에 따라 완전히 다른 행위가 일어날 수 있다.
상기 웹 문서는 웹 서버 내에 저장되어 있는 문서 또는 웹 서버와 연결된 데이터베이스(database, DB) 내에 저장되어 있는 문서일 수 있다. 또한, 상기 웹 문서는 상기 웹 서버에 의해 동적으로 생성된 문서일 수 있다. HTML 또는 자바스크립트로 작성된 코드를 포함하는 웹 문서는 클라이언트로부터의 요청에 따라 서버로부터 전송될 수 있다.
다음으로, 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계(S110)를 수행할 수 있다. 도 2는 본 발명의 제1실시예에 따라 정상 행위 모델을 생성하는 과정을 나타내는 순서도이다.
도 2를 참조하면, 정상 행위 모델을 생성하는 단계(S110)는 먼저 은닉 마르코프 모델(Hidden Markov Model, HMM)을 초기화시키는 단계(S111)를 수행할 수 있다. 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법에서는 은닉 마르코프 모델을 이용하여 웹 문서에 포함된 코드에 대한 정상 행위 모델을 생성할 수 있다.
은닉 마르코프 모델은 모델링되는 시스템이 미지의 모수(parameter)를 가진 마르코프 프로세스(Markov process)라고 가정하고, 관측의 대상이 되는 관측열로부터 관측된 모수를 기초로 하여 숨겨진 모수를 결정하는 하나의 통계적 모델이다.
은닉 마르코프 모델은 {S, V, Π, A, B}의 5가지 매개변수를 포함할 수 있다. 매개변수 S는 은닉된 상태(state)의 집합을 나타낼 수 있다. 매개변수 V는 관측될 수 있는 기호의 집합을 나타낼 수 있다. 매개변수 Π는 각 상태의 초기 확률의 집합을 나타낼 수 있다. 매개변수 A는 임의의 어느 하나의 상태에서 임의의 어느 하나의 상태로 천이(transition)될 확률의 집합을 나타낼 수 있다. 매개변수 B는 임의의 어느 하나의 상태에서 임의의 어느 하나의 기호가 관측될 확률의 집합을 나타낼 수 있다.
도 3은 본 발명의 제1실시예에 따라 웹 문서에 포함된 코드에 대한 정상 행위 모델을 생성하기 위해 적용된 은닉 마르코프 모델의 구성을 나타내는 개념도이다. 도 3은 자바스크립트 언어로 작성된 코드에 대한 은닉 마르코프 모델의 구성을 도시하고 있다.
또한, 도 4는 본 발명의 제1실시예에 따라 설정된 은닉 마르코프 모델의 매개변수를 나타내는 표이다. 도 4는 자바스크립트 언어로 작성된 코드에 대한 은닉 마르코프 모델을 위해 설정된 매개변수를 나타내고 있다.
도 3 및 도 4를 참조하면, 자바스크립트 언어로 작성된 코드에 대한 은닉 마르코프 모델은 매개변수 S로서 5개의 은닉된 상태를 포함하는 집합이 설정될 수 있다. 즉, S = {S1, S2, S3, S4, S5}가 성립할 수 있다. 상기 5개의 은닉된 상태는 "연산자", "예약어", "객체 또는 함수의 이름", "변수에 할당된 값 또는 함수의 인자값 또는 함수의 반환값", "기타"를 포함할 수 있다.
또한, 상기 은닉 마르코프 모델은 매개변수 V로서 자바스크립트로 작성된 코드 내에서 관측될 수 있는 기호를 포함하는 집합이 설정될 수 있다. 예를 들어, V는 연산자 44개, 예약어 28개, 객체 또는 함수의 이름 500개, 변수에 할당된 값 또는 함수의 인자값 또는 함수의 반환값 30개, 기타 88개의 기호를 포함할 수 있다. 따라서, V = {v1, v2, ..., v690}이 성립할 수 있다.
또한, 상기 은닉 마르코프 모델은 매개변수 Π로서 각각의 은닉된 상태의 초기 확률의 집합이 설정될 수 있다. S1에 대응하는 초기 확률을 x1, S2에 대응하는 초기 확률을 x2, S3에 대응하는 초기 확률을 x3, S4에 대응하는 초기 확률을 x4, S5에 대응하는 초기 확률을 x5라고 정의될 수 있다. x1 내지 x5를 모두 합한 결과는 1일 수 있다. x1 내지 x5의 값은 모두 서로 동일할 수 있다. 따라서, Π = {π1, π2, π3. π4. π5} = {0.2, 0.2, 0.2, 0.2, 0.2}일 수 있다.
또한, 상기 은닉 마르코프 모델은 매개변수 A로서 임의의 어느 하나의 상태에서 임의의 어느 하나의 상태로 천이(transition)될 확률의 집합이 설정될 수 있다. S1 내지 S5의 상태 중에서 i번째 상태인 Si로부터 j번째 상태인 Sj로 천이될 확률을 aij라고 정의하면, A = {aij | 1 <= i <= 5, 1 <= j <= 5}가 성립될 수 있다. 예를 들어, A = {a11, a12, a13, a14, a15, a21, a22, a23, a24, a25, a31, a32, a33, a34, a35, a41, a42, a43, a44, a45, a51, a52, a53, a54, a55} = {1/4, 1/6, 1/6, 1/4, 1/6, 1/4, 1/4, 1/6, 1/7, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5, 1/5}로 설정될 수 있다.
또한, 상기 은닉 마르코프 모델은 매개변수 B로서 임의의 어느 하나의 상태에서 임의의 어느 하나의 기호가 관측될 확률의 집합을 나타낼 수 있다. S1 내지 S5의 상태 중에서 i번째 상태인 Si에서 v1 내지 v690의 기호 중에서 k번째 기호인 vk가 관측될 확률을 bik라고 정의하면, B = {bik | 1 <= i <= 5, 1 <= k <= 690}가 성립될 수 있다. 예를 들어, S1에서 연산자 중 어느 하나가 관측될 확률이 80%, S2에서 예약어 중 어느 하나가 관측될 확률이 80%, S3에서 기타 기호 중 어느 하나가 관측될 확률이 80%, S4에서 변수에 할당된 값 또는 함수의 인자값 또는 함수의 반환값 중 어느 하나가 관측될 확률이 80%, S5에서 객체 또는 함수의 이름 중 어느 하나가 관측될 확률이 80%로 설정될 수 있다.
만약 HTML로 작성된 코드에 대한 은닉 마르코프 모델을 생성하는 경우에는, 매개변수 S로서 3개의 은닉된 상태를 포함하는 집합이 설정될 수 있다. 즉, S = {S1, S2, S3}가 성립할 수 있다. 상기 3개의 은닉된 상태는 "태그 이름", "태그 속성", "태그 내용"을 포함할 수 있다.
매개변수 V는 태그 이름 91개, 태그 속성 119개, 태그 내용 24개의 기호를 포함할 수 있다. 따라서, V = {v1, v2, ..., v234}이 성립할 수 있다. 매개변수 Π에 대하여는, Π = {π1, π2, π3} = {1, 0, 0}으로 설정될 수 있다.
매개변수 A에 대하여는, A = {aij | 1 <= i <= 3, 1 <= j <= 3}가 성립될 수 있다. 또한, 매개변수 B에 대하여는, B = {bik | 1 <= i <= 3, 1 <= k <= 234}가 성립될 수 있다.
다시 도 2를 참조하면, 다음으로, 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 단계(S112)를 수행할 수 있다. 도 5는 본 발명의 제1실시예에 따라 자바스크립트 코드를, 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 과정을 나타내는 순서도이다.
도 5을 참조하면, 먼저, 웹 문서를 준비하는 단계(S113)를 수행할 수 있다. 예를 들어, 도 5의 첫번째 블럭의 첫번째 줄과 같이 자바스크립트 코드 "var a={};"을 포함하는 웹 문서가 준비될 수 있다.
다음으로, 상기 웹 문서에 포함된 적어도 하나 이상의 코드를 추상 구문 트리(Abstract Syntax Tree, AST)로 변환하는 단계(S114)를 수행할 수 있다. 자바스크립트 코드는 자바스크립트 파서(parser)를 이용하여 추상 구문 트리로 변환될 수 있다. 예를 들어, "var a={};"가 도 5의 두번째 블럭의 2번째 줄 내지 4번째 줄과 같이 변환될 수 있다.
다음으로, 상기 변환된 추상 구문 트리를 관측열로 변환하는 단계(S115)를 수행할 수 있다. 예를 들어, 도 5의 두번째 블럭의 2번째 줄 내지 4번째 줄의 추상 구문 트리가 도 5의 세번째 블럭의 "첫번째 관측열" 부분에 나타난 바와 같이 "VAR-VAR-NAME-a-OBJECTLIT"으로 변환될 수 있다.
만약 HTML로 작성된 코드를 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 경우에는, HTML 코드를 HTML 파서를 이용하여 추상 구문 트리로 변환한 다음, 상기 변환된 추상 구문 트리를 관측열로 변환할 수 있다. 예를 들어, HTML 코드 "<img src=0>"을 관측열 "img-src-0"으로 변환할 수 있다.
다시 도 2을 참조하면, 다음으로, 상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습(train)시키는 단계(S116)를 수행할 수 있다. 상기 은닉 마르코프 모델을 학습시킴으로써 상기 은닉 마르코프 모델의 각 매개변수의 값이 추정될 수 있다. 이로써 상기 은닉 마르코프 모델의 매개변수 Π, Α, Β의 값이 최적화된 값으로 변경될 수 있다. 다시 말해서, 웹 서버의 웹 문서를 이용하여 은닉 마르코프 모델을 학습시킴으로써 최적화된 정상 행위 모델이 생성될 수 있다. 생성된 정상 행위 모델은 파일 등의 형태로 저장될 수 있다.
다시 도 1을 참조하면 다음으로, 생성된 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 검출하는 단계(S120)를 수행할 수 있다. 도 6은 본 발명의 제1실시예에 따라 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 검출하는 과정을 나타내는 순서도이다.
도 6을 참조하면, 먼저, 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 웹 문서를 복원하는 단계(S121)를 수행할 수 있다. 웹 서버는 하나의 웹 문서를 외부로 전송할 때, 하나 이상의 패킷으로 분할하여 전송할 수 있다. 만약 하나의 웹 문서가 둘 이상의 패킷으로 분할된 경우, 상기 둘 이상의 패킷을 다시 조립함으로써 하나의 웹 문서가 복원될 수 있다.
다음으로, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계(S122)를 수행할 수 있다. 예를 들어, 도 5에 나타난 바와 같이, 코드를 자바스크립트 파서 또는 HTML 파서를 이용하여 추상 구문 트리로 변환한 다음, 상기 변환된 추상 구문 트리를 관측열로 변환할 수 있다.
다음으로, 상기 정상 행위 모델을 이용하여 상기 변환된 관측열에 대한 확률을 추정하는 단계(S123)를 수행할 수 있다. 만약 상기 변환된 관측열이, 정상 행위 모델이 이미 학습했던 패턴인 경우, 상기 추정된 확률은 0보다 클 수 있다. 만약 상기 변환된 관측열이, 정상 행위 모델이 학습한 적이 없는 패턴인 경우, 상기 추정된 확률은 0일 수 있다.
다음으로, 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계(S124)를 수행할 수 있다. 예를 들어, 추정된 확률이 소정의 기준값보다 작거나 같은 경우에는 상기 관측열이 비정상 행위라고 판단될 수 있다. 상기 소정의 기준값은 예를 들어, 0일 수 있다. 다시 말해서, 추정된 확률이 0인 경우에는 상기 관측열이 비정상 행위라고 판단될 수 있다.
다시 도 1을 참조하면 다음으로, 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계(S130)를 수행할 수 있다. 비정상 행위가 검출된 경우, 웹 서버는 웹 기반 공격에 의해 침입이 일어난 상태일 수 있다. 다시 말해서, 비정상 행위가 검출되었는지 여부를 이용하여 웹 서버로의 공격을 탐지할 수 있다.
도 7은 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 시스템의 구성을 나타내는 블럭도이다. 도 7을 참조하면, 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 시스템은, 웹 문서를 수집하는 웹 문서 수집부(300), 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부(310), 생성된 상기 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부(320)를 포함할 수 있다. 공격 검출부(320)는, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단할 수 있다.
웹 문서 수집부(300)는 웹 문서를 수집할 수 있다. 웹 문서 수집부(300)의 동작은 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법의 웹 문서를 수집하는 단계(S100)에 대응되므로 여기에서는 자세한 설명을 생략하기로 한다.
정상 행위 모델 생성부(310)는 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성할 수 있다. 정상 행위 모델 생성부(310)의 동작은 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법의 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계(S110)에 대응되므로 여기에서는 자세한 설명을 생략하기로 한다.
공격 검출부(320)는 생성된 상기 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하고, 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단할 수 있다. 공격 검출부(320)의 동작은 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법의 생성된 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 검출하는 단계(S120) 및 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계(S130)에 대응되므로 여기에서는 자세한 설명을 생략하기로 한다.
실제 웹 서버 상에서 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 방법 및 시스템을 이용하여 공격 탐지 성능을 측정한 결과는 다음과 같다.
웹 서버에서, 운영체제로서 윈도우 2000 서버, 데이터베이스로서 MS-SQL 2000, 서버 프로그램으로서 IIS 5.0, 웹 프로그램 언어로서 ASP가 사용되었다. 또한, 상기 데이터베이스 및 상기 웹 응용 프로그램은 실제 쇼핑몰 사이트의 그것과 동일하게 설정되었다. 웹 서버는 MS Virtual PC를 이용하여 구동되었다.
또한, 공격 탐지 시스템에서, 패킷 캡쳐 라이브러리로서 Jpcap 0.7, HTML 파서로서 Jericho HTML Parser 3.2, 자바스크립트 파서로서 Rhino 1.7 R3, 은닉 마르코프 모델 라이브러리로서 JaHMM이 사용되었다. 공격 탐지 시스템은 MS Virtual PC를 이용하여 구동되었다.
먼저, 웹 서버가 공격되지 않은 상태에서, 외부의 웹 클라이언트를 이용하여 무작위로 1691개의 페이지를 요청하였다. 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 시스템을 이용하여, 상기 요청에 대해 외부로 전송되는 패킷으로부터 변환된 96245개의 관측열에 대해 비정상 행위인지 여부가 판단되었다.
상기 판단 결과, 모두 13개 페이지로부터 하나씩, 모두 13개의 관측열이 비정상 행위라고 판단되었다. 웹 서버가 공격되지 않은 상태이므로, 상기 96245개의 관측열은 모두 정상 행위임에도 불구하고, 약 0.0001%의 비율로 비정상 행위라고 잘못 판단되었다. 상기와 같은 오탐은 일부의 오류 페이지 및 학습되지 못한 특수한 웹 문서 때문일 수 있다.
다음으로, 웹 기반 공격에 의한 페이지 99개 및 SQL Injection에 의한 웹 페이지 1개를 웹 서버 및 데이터베이스에 저장하고, 외부의 웹 클라이언트를 이용하여 상기 100개의 페이지를 요청하였다. 본 발명의 제1실시예에 따른 웹 서버로의 공격 탐지 시스템을 이용하여, 상기 요청에 대해 외부로 전송되는 패킷으로부터 변환된 관측열에 대해 비정상 행위인지 여부가 판단되었다.
상기 판단 결과, 96개의 페이지에 대하여 비정상 행위라고 판단되었으며, 3개의 페이지에서는 자바스크립트 파서를 이용하여 변환하는 단계에서 오류가 발생하였고, 1개의 페이지에 대하여는 정상 행위라고 판단되었다. 다시 말해서, 96%의 탐지율이 확인되었다. 만약 자바스크립트 파서를 이용하여 변환하는 단계에서 오류가 발생된 페이지를 제외한다면 99%의 탐지율이 확인되었다. 정상 행위라고 판단된 상기 1개의 페이지에 포함된 코드는 다른 사이트로 이동시키는 기능을 하는 코드로서 정상적인 코드와 구별되지 않는 구성을 갖고 있었다.
도 8은 본 발명의 제2실시예에 따라 웹 서버로의 공격이 탐지되는 과정을 나타내는 순서도이다. 이하에서는 제1실시예와 다른 점을 중심으로 본 발명의 제2실시예에 따른 웹 서버로의 공격 탐지 방법 및 시스템에 대해 상세히 설명하기로 한다.
도 8을 참조하면, 생성된 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 검출하는 단계(S120) 이전에, 웹 서버로부터 외부로 전송되는 트래픽 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계(S217) 및 상기 소정의 악성코드 패턴과 일치하는 패턴이 검출된 경우 공격이 일어난 것으로 판단하는 단계(S219)를 더 포함할 수 있다.
웹 서버로부터 외부로 전송되는 트래픽 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계(S217)는, 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 웹 문서를 복원하는 단계(S121), 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계(S122) 및 상기 소정의 악성코드 패턴과 상기 변환된 관측열을 비교하는 단계(S218)를 포함할 수 있다.
상기 소정의 악성코드 패턴은 공격된 페이지에서만 발견될 수 있는 독특한 코드, 기호 또는 특성을 포함할 수 있다. 상기 소정의 악성코드 패턴은 웹 서버 내의 정상적인 문서 즉, 공격받지 않은 문서 내에는 존재하지 않는 비정상적인 코드의 패턴일 수 있다. 상기 소정의 악성코드 패턴은 예를 들어, 코드 유포 기능, XSS 공격 기능, URL 스푸핑 기능 또는 정보 유출 기능을 수행하는 코드 패턴을 포함할 수 있다.
도 9는 HTML 코드에서의 예시적인 악성코드 패턴들을 나타내는 표이다. 또한, 도 10은 자바스크립트 코드에서의 예시적인 악성코드 패턴들을 나타내는 표이다. 본 발명의 제2실시예에 따른 상기 소정의 악성코드 패턴은 예를 들어, 도 9의 표에 열거된 HTML 코드에서의 패턴 또는 도 10의 표에 열거된 자바스크립트 코드에서의 패턴을 포함할 수 있다.
본 발명의 제2실시예에 따른 공격 탐지 방법에 따르면, 공격된 페이지임에도 불구하고 제1실시예에 따른 공격 탐지 방법을 이용하는 경우에 탐지하지 못할 수 있는 페이지를 더 탐지할 수 있다. 예를 들어, 다른 사이트로 이동시키는 기능을 하는 코드로서 정상적인 코드와 구별되지 않는 구성을 갖고 있기 때문에 악성코드임에도 불구하고 제1실시예에 따른 공격 탐지 방법을 이용하는 경우에 탐지되지 않을 수 있는 코드가 더 탐지될 수 있다. 다시 말해서, 제2실시예에 따른 공격 탐지 방법을 이용하는 경우, 제1실시예에 따른 공격 탐지 방법을 이용하는 경우에 비해 공격에 대한 탐지율이 더 증가할 수 있다.
본 발명의 제2실시예에 따른 공격 탐지 시스템은, 웹 문서를 수집하는 웹 문서 수집부(300), 상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부(310), 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하고, 생성된 상기 정상 행위 모델을 이용하여 상기 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부(420)를 포함할 수 있다. 공격 검출부(420)는, 웹 서버로부터 외부로 전송되는 웹 문서 중에서, 상기 소정의 악성코드 패턴과 일치하는 패턴 또는 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단할 수 있다.
이상에서 설명한 본 발명의 실시예에 따르면, 웹 서버로의 침입 사실을 보다 정확하게 탐지할 수 있다. 또한, 웹 서버로의 침입 사실을 보다 신속하게 탐지할 수 있다. 또한, 웹 서버로의 우회 공격을 효과적으로 탐지할 수 있다. 또한, 알려지지 않은 방법을 이용한 웹 서버로의 공격을 효과적으로 탐지할 수 있다. 또한, 웹 서버로부터 외부로 전송되는 트래픽 중에서 비정상 행위를 보다 정확하고 신속하게 검출할 수 있다.
이상에서 본 발명의 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 실시예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
300: 웹 문서 수집부
310: 정상 행위 모델 생성부
320: 공격 검출부

Claims (19)

  1. 웹 문서를 수집하는 단계;
    상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계;
    상기 생성된 정상 행위 모델을 이용하여, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 단계; 및
    상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함하고,
    상기 웹 문서는 HTML(HyperText Markup Language), 자바스크립트(JavaScript), Jscript 또는 ECMA Script 언어로 작성된 코드를 포함하는 웹 서버의 공격 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 정상 행위 모델을 생성하는 단계는,
    은닉 마르코프 모델을 초기화시키는 단계;
    상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 단계; 및
    상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시키는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  4. 제3항에 있어서,
    상기 수집된 웹 문서를 상기 관측열로 변환하는 단계는,
    상기 웹 문서를 준비하는 단계;
    상기 웹 문서에 포함된 적어도 하나 이상의 코드를 추상 구문 트리로 변환하는 단계; 및
    상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  5. 제1항에 있어서,
    상기 비정상 행위를 검출하는 단계는,
    상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계;
    상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계;
    상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하는 단계; 및
    상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  6. 제5항에 있어서,
    상기 복원된 웹 문서에 포함된 상기 코드를 상기 관측열로 변환하는 단계는,
    상기 복원된 웹 문서에 포함된 상기 코드를 추상 구문 트리로 변환하는 단계; 및
    상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  7. 제5항에 있어서,
    상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단하는 웹 서버의 공격 탐지 방법.
  8. 웹 문서를 수집하는 단계;
    상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계;
    웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계;
    상기 소정의 악성코드 패턴과 일치하는 패턴이 검출된 경우 공격이 일어난 것으로 판단하는 단계;
    상기 생성된 정상 행위 모델을 이용하여, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 비정상 행위를 검출하는 단계; 및
    상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  9. 제8항에 있어서,
    상기 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계는,
    상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계;
    상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계; 및
    상기 소정의 악성코드 패턴과 상기 변환된 관측열을 비교하는 단계
    를 포함하는 웹 서버의 공격 탐지 방법.
  10. 제8항에 있어서,
    상기 소정의 악성코드 패턴은 상기 웹 서버 내의 공격받지 않은 문서 내에는 존재하지 않는 코드 패턴인 웹 서버의 공격 탐지 방법.
  11. 웹 문서를 수집하는 웹 문서 수집부;
    상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부; 및
    생성된 상기 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부
    를 포함하는 웹 서버의 공격 탐지 시스템.
  12. 제11항에 있어서,
    상기 웹 문서는 HTML(HyperText Markup Language), 자바스크립트(JavaScript), Jscript 또는 ECMA Script 언어로 작성된 코드를 포함하는 웹 서버의 공격 탐지 시스템.
  13. 제11항에 있어서,
    상기 정상 행위 모델 생성부는, 은닉 마르코프 모델을 초기화하고, 상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하고, 상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시키는 웹 서버의 공격 탐지 시스템.
  14. 제11항에 있어서,
    상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하고, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하고, 상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하고, 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 웹 서버의 공격 탐지 시스템.
  15. 제14항에 있어서,
    상기 공격 검출부는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단하는 웹 서버의 공격 탐지 시스템.
  16. 제11항에 있어서,
    상기 공격 검출부는 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 웹 서버의 공격 탐지 시스템.
  17. 웹 문서를 수집하는 웹 문서 수집부;
    상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부; 및
    웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하고, 생성된 상기 정상 행위 모델을 이용하여 상기 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부
    를 포함하는 웹 서버의 공격 탐지 시스템.
  18. 제17항에 있어서,
    상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서, 상기 소정의 악성코드 패턴과 일치하는 상기 패턴 또는 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 웹 서버의 공격 탐지 시스템.
  19. 제17항에 있어서,
    상기 소정의 악성코드 패턴은 상기 웹 서버 내의 공격받지 않은 문서 내에는 존재하지 않는 코드 패턴인 웹 서버의 공격 탐지 시스템.
KR1020120123176A 2012-11-01 2012-11-01 웹 서버의 공격 탐지 방법 및 시스템 KR101395809B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120123176A KR101395809B1 (ko) 2012-11-01 2012-11-01 웹 서버의 공격 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120123176A KR101395809B1 (ko) 2012-11-01 2012-11-01 웹 서버의 공격 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20140055829A KR20140055829A (ko) 2014-05-09
KR101395809B1 true KR101395809B1 (ko) 2014-05-16

Family

ID=50887401

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120123176A KR101395809B1 (ko) 2012-11-01 2012-11-01 웹 서버의 공격 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101395809B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102094060B1 (ko) 2016-08-10 2020-03-26 최해용 실탄 사격용 가상훈련 영상 스크린 장치
CN108881194B (zh) * 2018-06-07 2020-12-11 中国人民解放军战略支援部队信息工程大学 企业内部用户异常行为检测方法和装置
CN113111345B (zh) * 2020-01-13 2024-05-24 深信服科技股份有限公司 一种xxe攻击检测方法、系统、设备及计算机存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120159629A1 (en) 2010-12-16 2012-06-21 National Taiwan University Of Science And Technology Method and system for detecting malicious script

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120159629A1 (en) 2010-12-16 2012-06-21 National Taiwan University Of Science And Technology Method and system for detecting malicious script

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
한국인터넷정보학회 2009 제20차 정기총회 및 추계학술발표대회 *
한국인터넷정보학회 2009 제20차 정기총회 및 추계학술발표대회*
한국정보과학회 2004년도 가을 학술발표논문집 제31권 제2호 *
한국컴퓨터정보학회지 제16권 제1호 통권 제82호 *

Also Published As

Publication number Publication date
KR20140055829A (ko) 2014-05-09

Similar Documents

Publication Publication Date Title
Nadler et al. Detection of malicious and low throughput data exfiltration over the DNS protocol
CN113783896B (zh) 一种网络攻击路径追踪方法和装置
CN112131882A (zh) 一种多源异构网络安全知识图谱构建方法及装置
JP2023506168A (ja) システム・イベントの自動意味論的モデリング
US10841320B2 (en) Identifying command and control endpoint used by domain generation algorithm (DGA) malware
CN103748853A (zh) 用于对数据通信网络中的协议消息进行分类的方法和系统
US20110307956A1 (en) System and method for analyzing malicious code using a static analyzer
US20140310808A1 (en) Detection of Stealthy Malware Activities with Traffic Causality and Scalable Triggering Relation Discovery
CN1328638C (zh) Windows环境下的主机入侵检测方法
US11647037B2 (en) Penetration tests of systems under test
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
EP3287909B1 (en) Access classification device, access classification method, and access classification program
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN112350992A (zh) 基于web白名单的安全防护方法、装置、设备及存储介质
Sangeetha et al. Signature based semantic intrusion detection system on cloud
CN111726364A (zh) 一种主机入侵防范方法、系统及相关装置
KR101395809B1 (ko) 웹 서버의 공격 탐지 방법 및 시스템
Gupta et al. Prevention of cross-site scripting vulnerabilities using dynamic hash generation technique on the server side
Hashim et al. Defences against web application attacks and detecting phishing links using machine learning
CN113902052A (zh) 一种基于ae-svm模型的分布式拒绝服务攻击网络异常检测方法
Khan et al. Implementation of IDS for web application attack using evolutionary algorithm
CN112738127A (zh) 基于Web的网站与主机漏洞检测系统及其方法
Hubballi et al. XSSmitigate: Deep packet inspection based XSS attack quarantine in software defined networks
Tan et al. Web Application Anomaly Detection Based On Converting HTTP Request Parameters To Numeric
Wu et al. ICScope: Detecting and Measuring Vulnerable ICS Devices Exposed on the Internet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180411

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190408

Year of fee payment: 6