KR101512700B1 - A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof - Google Patents

A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof Download PDF

Info

Publication number
KR101512700B1
KR101512700B1 KR1020130130677A KR20130130677A KR101512700B1 KR 101512700 B1 KR101512700 B1 KR 101512700B1 KR 1020130130677 A KR1020130130677 A KR 1020130130677A KR 20130130677 A KR20130130677 A KR 20130130677A KR 101512700 B1 KR101512700 B1 KR 101512700B1
Authority
KR
South Korea
Prior art keywords
page
user
link
web
unauthorized
Prior art date
Application number
KR1020130130677A
Other languages
Korean (ko)
Inventor
윤상식
구연헌
백두성
박경숙
Original Assignee
주식회사 모두텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 모두텍 filed Critical 주식회사 모두텍
Priority to KR1020130130677A priority Critical patent/KR101512700B1/en
Application granted granted Critical
Publication of KR101512700B1 publication Critical patent/KR101512700B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

This invention is related to an unauthorized traffic accurate access control system for the web server based on user behavior patterns and a method thereof. It involves the following steps of: generating link maps by receiving web server addresses by making use of a website link relationship analysis and a network traffic control technology; defining user behavior patterns based on the generated link maps; detecting unauthorized behavior based on the defined user behavior patterns; and controlling access by blocking access to the detected unauthorized behavior and leaving log records. Therefore, the present invention improves the web server′s performance and security by detecting an unauthorized behavior immediately and performing an accurate access control.

Description

사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법{A PRECISE ACCESS CONTROL SYSTEM FOR UNAUTHORIZED TRAFFIC IN A WEB SERVER BASED ON USER BEHAVIOR PATTERNS AND THE CONTROL METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a non-traffic access control system for a web server based on a user behavior pattern, and a control method therefor,

본 발명은 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법에 관한 것으로, 더욱 상세하게는 웹 서버의 접근 제어 기능을 제공할 때 사이트 맵을 분석하여 사용자 행위패턴을 정의하고 이를 기반으로 사용자의 웹페이지 이동 경로에 따라 비인가 행위를 판별한 후 비인가 접근에 대하여 웹 서버로의 접근을 제어할 수 있는 기능을 수행하는 웹 서버 정밀 보호 시스템 및 그 방법에 관한 것이다.The present invention relates to an unauthorized traffic fine access control system and control method for a web server based on a user behavior pattern, and more particularly, to a web server that defines a user behavior pattern by analyzing a site map when providing access control functions of a web server, The present invention relates to a web server precision protection system and a method for controlling access to a web server for an unauthorized access after discriminating unauthorized activity based on a web page movement path of a user.

기존의 웹 서비스 접근 제어 서비스는 클릭 수 혹은 로그인 실패 횟수 등의 단순한 정보만을 사용하여 사용자의 이상 행위를 판단하고 처리하였기 때문에 지능화된 웹 수집 로봇 혹은 해킹 프로그램으로부터 안전하지 못했고, 사용자의 행위 패턴에 기반을 두는 지능화된 서비스를 제공하는 면에서 한계가 있었다.Since the existing web service access control service judged and processed the user's abnormal behavior using only simple information such as the number of clicks or the number of login failures, it was unsafe from the intelligent web collection robot or the hacking program, There is a limitation in providing an intelligent service.

또한, 기존의 웹 서비스 접근 제어 서비스에 설치되어 있는 사용자의 이상 행위를 탐지하기 위한 주요 프로그램 코드들은 웹 서버의 유지보수 및 기능 확장에 있어서 제약 사항이 되어 왔으며 웹 서버의 서비스 품질을 저하시키는 원인이 되어 왔다.In addition, main program codes for detecting abnormal behavior of a user installed in the existing web service access control service have been a constraint on the maintenance and extension of the web server and cause a deterioration of the service quality of the web server Has come.

상기와 같은 실정에 따라 본 발명은 웹 서버의 주소를 입력받아 링크 맵을 생성하고, 생성된 링크 맵을 기반으로 사용자 행위패턴을 정의하여, 정의된 사용자 행위패턴를 기반으로 비인가 행위를 탐지 및 비인가 행위에 대한 접근을 제어하는 방법을 제시하고자 한다.According to the present invention, the present invention provides a method and apparatus for generating a link map by receiving an address of a web server, defining a user action pattern based on the generated link map, detecting unauthorized activity based on a defined user action pattern, And to control access to them.

본 발명의 기재를 통해서, 웹서버는 복수의 웹사이트를 포함할 수 있으며, 각 웹사이트는 복수의 웹페이지를 포함할 수 있다. 그리고 웹사이트는 해당 웹사이트에 대한 사이트 맵을 가지고 있을 수 있다.Through the description of the present invention, a web server can include a plurality of web sites, and each web site can include a plurality of web pages. And the website may have a sitemap for that website.

종래기술로서, 한국등록특허공보 제10-0894331호 (2009.04.14)는 웹 애플리케이션 공격의 비정상 행위를 탐지하는 시스템에 관한 것으로서, 상기 침입 탐지 시스템은 웹 요청과 웹 서버의 응답에 대한 정보와 저장된 웹 로그의 문자열을 Ratcliff와 Metzener의 패턴 매칭 알고리즘을 사용하여 웹 로그 문자열의 유사도를 분석함으로써 특정 웹 페이지로의 접근에 대한 정상 유무를 판단하는 시스템에 관한 것이다.Korean Patent Registration No. 10-0894331 (Apr. 14, 2009) discloses a system for detecting an abnormal behavior of a web application attack, wherein the intrusion detection system includes information about a web request, a response of the web server, The present invention relates to a system for determining whether an access to a specific web page is normal or not by analyzing a similarity of a web log string using a pattern matching algorithm of Ratcliff and Metzener.

또한, 한국등록특허공보 제10-1084681호 (2011.11.11)는 봇넷 탐지를 위한 네트워크 트래픽의 행위패턴 모델링 시스템에 관한 것으로서, 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜을 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 기술에 관한 내용이 기재되어 있다.In addition, Korean Patent Registration No. 10-1084681 (November 11, 2011) relates to a behavior pattern modeling system for network traffic for botnet detection. The network traffic traffic modeling system for the botnet detects the network traffic based on the destination, And a technique for modeling the network behavior by classifying the communication behavior for each client by performing patterning according to the detailed items of the protocol.

상기 종래기술들은 비정상 행위를 탐지하여 특정 웹페이지로의 접근을 차단하거나 행위 패턴을 모델링하는 것에 대해서 기재하고 있으나, 본원 발명과 같이 웹사이트 맵을 분석하여 웹사이트의 모든 페이지들에 대한 정상 접근 경로를 작성하고 이를 기반으로 사용자 행위패턴을 생성한 후, 이렇게 생성된 사용자 행위패턴을 기반으로 사용자 트래픽의 정상 및 비정상에 대해 판단하는 기술은 기재된 바가 없다.The conventional techniques described above detect the abnormal behavior and block access to a specific web page or model a behavior pattern. However, as described in the present invention, the web site map is analyzed and a normal access route There is no description of a technique for determining whether the user traffic is normal or abnormal based on the generated user behavior pattern.

본 발명은 상기된 과제를 해결하기 위해 창작된 것으로, 웹사이트의 링크 관계 분석 및 네트워크 트래픽 제어 기술을 이용하여 웹 서버상에서 발생하는 비인가 행위를 즉시에 탐지하고 정밀 접근제어를 수행함으로써 웹 서버의 성능 및 안정성을 향상시킬 수 있는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 방법을 제공하는데 그 목적이 있다.The present invention has been made in order to solve the above-described problems, and it is an object of the present invention to provide a Web server capable of detecting unauthorized activity occurring on a Web server using link- And to provide a method and system for controlling access to unauthorized traffic of a web server based on a user behavior pattern capable of improving stability.

또한, 본 발명은 웹 서버의 주소를 입력받아 링크 맵을 생성하는 맵 생성단계, 생성된 링크 맵을 기반으로 사용자 행위패턴을 정의하는 사용자 행위패턴 정의단계, 정의된 사용자 행위패턴을 목적지 비인가 행위를 탐지하는 비인가 행위 탐지단계 및 탐지된 비인가 행위에 대해서 접근을 차단하고 로그 기록을 남기는 접근제어 단계를 포함하는 과정을 수행함으로써 비인가 트래픽을 제어할 수 있는 시스템 및 그 방법을 제공하는데 그 목적이 있다.According to another aspect of the present invention, there is provided a method of generating a web service, the method comprising: generating a map by receiving a web server address and generating a link map; defining a user action pattern defining a user action pattern based on the generated link map; The present invention provides a system and method for controlling unauthorized traffic by performing a process of detecting an unauthorized activity to be detected and an access control step of blocking access to the detected unauthorized activity and leaving a log record.

또한, 본 발명은 웹사이트 분석기와 비인가 행위 탐지기를 이용하여 효율적으로 사용자 행위패턴을 정의하고, 비인가 행위를 탐지할 수 있는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 방법을 제공하는데 그 목적이 있다.In addition, the present invention provides a system and method for unauthorized traffic access control of a web server based on a user behavior pattern, which can efficiently detect a user behavior pattern using a web site analyzer and an unauthorized activity detector, and detect unauthorized activity It has its purpose.

본 발명의 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법은, 웹 서버의 주소를 입력 받아 링크 맵을 생성하는 맵 생성단계; 생성된 링크 맵을 기반으로 사용자 행위 패턴을 정의하는 사용자 행위패턴 정의단계; 정의된 사용자 행위 패턴을 기반으로 비인가 행위를 탐지하는 비인가 행위 탐지단계; 및 탐지된 비인가 행위에 대해서 접근을 차단하고 로그 기록을 남기는 접근제어단계;를 포함하는 것을 특징으로 한다. 또한, 상기 맵 생성단계는, 맵 생성을 위한 대상 웹 서버의 인터넷 주소를 입력 받는 단계; 웹 서버로부터 웹페이지를 다운로드하고, 다운로드 된 페이지에서 링크 목록을 추출하는 단계; 상기 추출한 링크 목록을 사용하여 링크 관계를 형성하는 단계; 링크 목록이 더 이상 발견되지 않을 때까지 링크 된 웹페이지를 다운로드하고, 다운로드 된 페이지에서 링크 목록을 추출하는 단계와 추출한 링크 목록을 사용하여 링크 관계를 형성하는 단계를 반복하여 수행하는 단계; 및 링크 목록이 더 이상 발견되지 않으면 상기 링크 관계를 데이터베이스에 저장하는 단계;를 포함하고, 상기 사용자 행위패턴 정의단계는, 상기 웹사이트 분석기를 통해 생성된 사이트 맵에서 사용자가 이동할 수 있는 웹 서버 내의 페이지 이동경로를 데이터 형식으로 저장하는 것을 특징으로 하며, 상기 데이터 형식은, 사용자의 행위패턴을 출발지 페이지와 목적지 페이지 그리고 페이지를 이동하기 위한 액션으로 표시하고, 상기 비인가 행위 탐지단계는, 정의된 사용자 행위패턴을 기반으로 모든 웹페이지에 도달할 수 있는 정상 경로를 계산하여 경로 테이블을 생성하는 단계; 사용자의 요청 메시지를 수신한 후 수신한 요청 메시지를 분석하여 목적지 페이지를 추출하는 단계; 상기 단계에서 추출한 목적지 페이지를 기반으로 사용자 경로를 계산하는 단계; 및 상기 사용자 경로를 상기 경로 테이블에 있는 정상 경로와 비교하여 비인가 행위를 탐지하는 단계;를 포함하고, 상기 목적지 페이지를 기반으로 사용자 경로를 계산하는 단계는, 목적지 페이지의 출발지 페이지를 모두 검색하고, 검색된 출발지 페이지를 목적지 페이지로 두고 그 목적지 페이지에 해당하는 출발지 페이지를 다시 검색하여, 출발 페이지가 더 이상 나타나지 않을 때까지 반복하여 주어진 처음 목적지 페이지에 대한 사용자 유입 경로를 계산하는 것을 특징으로 한다.According to an embodiment of the present invention, there is provided a method for precisely controlling unauthorized traffic of a web server based on a user behavior pattern, the method comprising: a map generation step of receiving a web server address and generating a link map; A user behavior pattern defining step of defining a user action pattern based on the generated link map; An unauthorized activity detection step of detecting unauthorized activity based on the defined user action pattern; And an access control step of blocking access to the detected unauthorized activity and leaving a log record. The map generating step may include receiving an Internet address of a target web server for map generation; Downloading a web page from a web server and extracting a link list from the downloaded page; Forming a link relationship using the extracted link list; Downloading the linked web page until the link list is no longer found, extracting the link list from the downloaded page, and forming the link relationship using the extracted link list; And storing the link relationship in a database if the link list is no longer found, wherein the user behavior pattern definition step includes a step of, in the site map generated through the website analyzer, The method according to claim 1, characterized in that the data format includes a behavior pattern of a user as an action for moving a departure page, a destination page and a page, Generating a route table by calculating a normal route that can reach all web pages based on a behavior pattern; Extracting a destination page by analyzing the received request message after receiving the request message of the user; Calculating a user path based on the destination page extracted in the step; And detecting the unauthorized behavior by comparing the user path with a normal path in the path table. The step of calculating the user path based on the destination page may include searching all the source pages of the destination page, The source page corresponding to the destination page is searched again by using the searched source page as the destination page, and the user inflow path for the given initial destination page is calculated repeatedly until the source page no longer appears.

또한, 본 발명의 또 다른 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템은, 웹사이트 분석기; 비인가 행위 탐지기; 사용자 인터페이스 모듈; 및 메모리;를 포함하며, 상기 웹사이트 분석기를 이용하여 웹 서버의 사이트 맵을 생성하고, 생성된 사이트 맵을 기반으로 사용자 행위패턴을 정의하여 데이터베이스에 저장한 후, 상기 비인가 행위 탐지기를 통해 사용자 경로와 사용자 행위패턴을 비교하여 비인가 행위를 탐지하는 것을 특징으로 한다. 또한, 상기 웹사이트 분석기는, 웹 문서 수집모듈; 웹 문서 분석모듈; 링크관계 형성모듈; 사이트 맵 저장모듈; 또는 이들의 조합 중 하나 이상을 포함하여 구성되어 있고, 상기 비인가 행위 탐지기는, 패킷 수신 모듈; 패킷 분석 모듈; 그룹 식별 모듈; 세션 관리 모듈; 비인가 행위 탐지모듈; 경로 계산 모듈; 행위패턴 로드모듈; 로그모듈; 또는 이들의 조합 중 하나 이상을 포함하여 구성되어 있으며, 또한 상기 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템은, 상기 웹사이트 분석기를 통해 생성된 사이트 맵에서 사용자가 이동할 수 있는 웹 서버 내의 페이지 이동경로를 데이터 형식으로 저장하는 것을 특징으로 하고, 상기 데이터 형식은, 사용자의 행위패턴을 출발지 페이지와 목적지 페이지 그리고 페이지를 이동하기 위한 액션으로 표시하며, 목적지 페이지의 출발지 페이지를 모두 검색하고, 검색된 출발지 페이지를 목적지 페이지로 두고 그 목적지 페이지에 해당하는 출발지 페이지를 다시 검색하여, 출발 페이지가 더 이상 나타나지 않을 때까지 반복함으로써 주어진 처음 목적지 페이지에 대한 사용자 유입 경로를 계산하며, 상기 데이터베이스는, 시스템 내부에 장착된 저장수단에 구현되거나, 전기 혹은 광학 케이블로 연결된 별도의 저장수단으로 구현될 수도 있으며, 또한 네트워크상에서 서버 가상화와 스토리지 가상화를 통한 클라우드 시스템으로 구현하는 것이 가능한 것을 특징으로 한다.According to still another aspect of the present invention, there is provided a system for controlling access to unauthorized traffic in a web server based on a user behavior pattern, the system comprising: a web site analyzer; Unauthorized activity detectors; A user interface module; And a memory configured to generate a site map of the web server using the web site analyzer, define a user action pattern based on the generated site map, store the user action pattern in a database, And detects the unauthorized activity by comparing the user behavior pattern with the user behavior pattern. The web site analyzer may further comprise: a web document collection module; Web document analysis module; Link relationship formation module; Site map storage module; Or a combination thereof, and the unauthorized-activity detector comprises: a packet receiving module; Packet analysis module; A group identification module; Session management module; Unauthorized activity detection module; Path calculation module; Behavior pattern load module; Log module; Or a combination thereof. In addition, the unauthorized traffic fine access control system of the user behavior pattern-based web server may include at least one of the following: a web server which can move a user in a site map generated through the web site analyzer, Wherein the data format includes an action for moving a departure page, a destination page, and a page, the action pattern of the user, and searches all the departure pages of the destination page, Calculates a user's inflow path for a given initial destination page by repeating the searched origination page as a destination page, the source page corresponding to the destination page again until the departure page no longer appears, and the databaseIt is implemented in the storage means mounted on the unit, and may be implemented in a separate storage means coupled to an electrical or optical cable, and is characterized in that it is possible to implement the cloud system through server virtualization and storage virtualization in the network.

본 발명은 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 방법에 관한 것으로, 웹사이트의 링크 관계 분석 및 네트워크 트래픽 제어 기술을 이용하여, 웹 서버의 주소를 입력받아 링크 맵을 생성하고, 생성된 링크 맵을 기반으로 사용자 행위패턴을 정의하며, 정의된 사용자 행위패턴을 기반으로 비인가 행위를 탐지하여, 비인가 행위에 대해서 접근을 차단하고 로그 기록을 남기는 접근제어를 수행함으로써, 웹 서버 상에서 발생하는 비인가 행위를 즉시에 탐지하고 정밀 접근제어를 수행함으로써, 웹 서버의 성능 및 안정성을 향상시킬 수 있는 효과가 있다.The present invention relates to an unauthorized traffic fine access control system and method for a web server based on a user behavior pattern, and uses a web site link analysis and a network traffic control technique to generate a link map , Defines a user action pattern based on the generated link map, detects unauthorized activity based on the defined user action pattern, blocks access to unauthorized activity, and performs access control to leave a log record. It is possible to improve the performance and stability of the web server by detecting the unauthorized activity occurring immediately and performing the precise access control.

도 1a은 본 발명의 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템의 구성에 대해 설명하기 위한 예시도.
도 1b는 본 발명의 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법에 대해 설명하기 위한 흐름도.
도 2a는 본 발명의 일 실시예에 따른 웹사이트 분석기의 구조에 대해 설명하기 위한 예시도.
도 2b는 본 발명의 일 실시예에 따른 웹사이트 분석기에서 사이트 맵을 생성하기 위한 방법에 대해 설명하기 위한 흐름도.
도 3은 본 발명의 일 실시예에 따른 사이트 맵을 구성하는 데이터베이스의 구성에 대해 설명하기 위한 예시도.
도 4는 본 발명의 일 실시예에 따른 사용자 행위패턴의 데이터 형식에 대해 설명하기 위한 예시도.
도 5는 본 발명의 일 실시예에 따른 정의된 사용자 행위패턴의 상태 다이어그램 및 다이어그램을 사용자 행위패턴 데이터 형식으로 표현한 예시도.
도 6a는 본 발명의 일 실시예에 따른 비인가 행위 탐지기의 구조에 대해 설명하기 위한 예시도.
도 6b는 본 발명의 일 실시예에 따른 비인가 행위를 탐지하는 방법에 대해 설명하기 위한 흐름도.
도 7은 본 발명의 일 실시예에 따른 회원가입을 위한 사용자 행위패턴의 한 예에 대해 설명하기 위한 예시도.BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1A is an exemplary diagram illustrating a configuration of a unauthorized traffic fine access control system of a web server based on a user behavior pattern according to an embodiment of the present invention; FIG.
FIG. 1B is a flowchart illustrating a method for controlling unauthorized traffic fine access of a web server based on a user behavior pattern according to an embodiment of the present invention. Referring to FIG.
FIG. 2A is an exemplary diagram illustrating a structure of a Web site analyzer according to an embodiment of the present invention; FIG.
FIG. 2B is a flow chart illustrating a method for generating a site map in a web site analyzer according to an embodiment of the present invention; FIG.
3 is an exemplary diagram for explaining a configuration of a database constituting a site map according to an embodiment of the present invention;
4 is an exemplary diagram illustrating a data format of a user behavior pattern according to an embodiment of the present invention;
5 is an exemplary diagram illustrating a state diagram and a diagram of a defined user behavior pattern according to an embodiment of the present invention in a user behavior pattern data format;
FIG. 6A is an exemplary diagram illustrating a structure of an unauthorized person detector according to an embodiment of the present invention; FIG.
FIG. 6B is a flowchart for explaining a method for detecting unauthorized conduct according to an embodiment of the present invention; FIG.
FIG. 7 is an exemplary diagram illustrating an example of a user behavior pattern for membership enrollment according to an embodiment of the present invention; FIG.

이하, 첨부된 도면을 참조하여 본 발명에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법의 일 실시예를 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout.

도 1a은 본 발명의 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템의 구성에 대해 설명하기 위한 예시도이다.FIG. 1A is an exemplary diagram for explaining a configuration of a unauthorized traffic fine access control system of a web server based on a user behavior pattern according to an embodiment of the present invention.

도 1a에 도시되어 있는 바와 같이, 본 발명의 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템(10)은 인터넷(30)을 통해 웹 서버(20)에 접속하는 사용자들(40)의 웹서버에 대한 접근행위 중에서 지능화된 웹 수집 로봇, 해킹 프로그램 또는 이들의 조합을 포함한 툴을 이용한 비정상적인 접근행위를 탐지하고 정밀 접근제어를 수행하여 웹 서버(20)의 성능 및 안정성을 향상함으로써, 해당 웹 서버(20)에서 중단 없이 계속적인 서비스를 제공할 수 있도록 하는 일종의 웹 서버의 서비스 품질 확보 시스템으로서, 그 구조는 웹사이트 분석기(100), 비인가 행위 탐지기(200), 사용자 인터페이스(U/I) 모듈(300), 메모리(400) 및 데이터베이스(500)를 포함하여 구성되어 있다. 참고로 상기 데이터베이스(500)는 본 발명의 시스템 내부에 장착된 저장수단에 구현되거나, 전기 혹은 광학 케이블로 연결된 별도의 저장수단으로 구현될 수도 있으며, 또한 네트워크 상에서 서버 가상화와 스토리지 가상화를 통한 클라우드 시스템으로 구현하는 것이 가능하다.1A, the unauthorized traffic fine access control system 10 of the user behavior pattern-based web server of the present invention is a system for accessing the unauthenticated traffic of the web server 20 of the user 40 accessing the web server 20 via the Internet 30, It is possible to detect an abnormal accessing operation using a tool including an intelligent web collecting robot, a hacking program, or a combination thereof, and perform precise access control to improve the performance and stability of the web server 20, The web site analyzer 100, the unauthorized activity detector 200, the user interface (U / I), and the user interface (U / I) A module 300, a memory 400, and a database 500. For reference, the database 500 may be embodied in a storage unit installed in the system of the present invention, or may be implemented as a separate storage unit connected with an electric or optical cable. In addition, the database 500 may be implemented as a server system As shown in FIG.

상기 웹사이트 분석기(100)는 특정 웹 서버의 주소를 입력 받아 링크 맵을 생성하는 것이고, 상기 비인가 행위 탐지기(200)는 상기 웹사이트 분석기(100)에서 생성한 링크 맵을 기반으로 비인가 행위를 탐지하는 것이다. 또한, 상기 사용자 인터페이스 모듈(300)은 입출력장치에 연결되어 시스템 운영자가 수동 혹은 자동으로 본 발명의 시스템에 접속하여 수동으로 추가정보 및 제어명령을 입력하거나, 비인가 행위 정밀 접근제어 처리 과정 및 결과 등을 확인할 수 있는 인터페이스이다. 상기 메모리(400)는 비인가 행위를 탐지하는데 있어서 자주 사용되는 사용자 행위패턴을 상기 데이터베이스(500)로부터 미리 업데이트 받아 저장하고 있다가 필요할 때 데이터베이스(500)를 거지치 않고 바로 상기 비인가 행위 탐지기(200)로 제공하는 방식을 사용함으로써, 본 발명의 시스템으로 인해 사용자와 웹 서버 간의 접속 딜레이 현상이 발생하는 것을 최대한 방지하고 보다 빠른 속도로 비인가 행위를 탐지할 수 있도록 한다.The unauthentic behavior detector 200 detects unauthorized activity based on the link map generated by the web site analyzer 100. The unauthentic behavior detector 200 detects an unauthorized activity based on the link map generated by the web site analyzer 100, . In addition, the user interface module 300 is connected to the input / output device so that a system operator can manually or automatically access the system of the present invention to manually input additional information and control commands, or perform unauthorized access precision access control processing, . The memory 400 updates and stores a user behavior pattern frequently used in detecting unauthorized activity from the database 500 and stores the updated user behavior pattern in the database 500. [ The system of the present invention can prevent the connection delay phenomenon between the user and the web server as much as possible and detect unauthorized activity at a faster speed.

참고로, 상기 실시예에서 비인가 트래픽 정밀 접근제어 시스템을 구성하는 각 구성수단들은 설명의 편의를 위하여 기재된 것일 뿐이며, 실질적으로는 어느 하나의 구성수단에서 모든 동작을 처리할 수도 있고, 더 다양한 구성수단으로 세분화하거나, 그 구성수단들을 조합하여 처리하도록 구성할 수도 있을 것이다. 또한, 본 발명의 시스템을 구현하는데 있어서 일반적으로 사용되는 구성요소들에 대해서는 본 발명의 요지를 설명하는데 있어 반드시 필요한 부분이 아니기 때문에 생략하도록 한다.For reference, in the above embodiment, each constituent means constituting the unauthorized traffic precision access control system is described only for convenience of explanation, and substantially all the constituent means may be processed by any constituent means, , Or may be configured to process the constituent means in combination. In addition, the components generally used in the implementation of the system of the present invention are not necessarily necessary for explaining the gist of the present invention, so they are omitted.

도 1b는 본 발명의 일 실시예에 따른 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법에 대해 설명하기 위한 흐름도로서, 이에 도시되어 있는 바와 같이 인가 트래픽 정밀 접근제어 방법은, 상기 웹사이트 분석기(100)에서 웹 서버의 주소를 입력 받아 링크 맵을 생성하는 맵 생성단계(S101), 생성된 링크 맵을 기반으로 사용자 행위 패턴을 정의하는 사용자 행위패턴 정의단계(S102), 정의된 사용자 행위패턴을 기반으로 상기 비인가 행위 탐지기(200)에서 비인가 행위를 탐지하는 비인가 행위 탐지단계(S103) 및 탐지된 비인가 행위에 대해서 접근을 차단하고 로그 기록을 남기는 접근제어단계(S104)를 통해, 웹 서버에 비정상적인 접근행위를 하는 비인가 트래픽에 대한 정밀 접근제어를 수행한다. FIG. 1B is a flowchart for explaining an unauthorized traffic fine access control method of a web server based on a user behavior pattern according to an embodiment of the present invention. As shown in FIG. 1B, A user action pattern definition step (S102) for defining a user action pattern based on the generated link map (S101), a user action pattern definition step (S102) for defining a user action pattern based on the generated link map, (S103) for detecting an unauthorized activity in the unauthentic behavior detector (200), and an access control step (S104) for blocking access to the detected unauthorized activity and recording a log in the web server And performs precise access control for unauthorized traffic that has an abnormal access behavior.

도 2a는 본 발명의 일 실시예에 따른 웹사이트 분석기의 구조에 대해 설명하기 위한 예시도이다. 2A is an exemplary diagram illustrating a structure of a web site analyzer according to an exemplary embodiment of the present invention.

도 2a에 도시되어 있는 바와 같이, 본 발명에 따른 웹사이트 분석기(100)는 상기 맵 생성단계를 수행하기 위해 사용되는 것으로서, 그 구조는 웹 문서 수집모듈(110), 웹 문서 분석모듈(120), 링크관계 형성모듈(130), 사이트 맵 저장모듈(140)로 구성되어있다. As shown in FIG. 2A, the web site analyzer 100 according to the present invention is used to perform the map generation step. The structure includes a web document collection module 110, a web document analysis module 120, A link relation forming module 130, and a site map storing module 140. [

상기 웹 문서 수집모듈(110)은 웹 서버를 구성하고 있는 웹페이지를 수집하는 모듈이고, 상기 웹 문서 분석모듈(120)은 상기 수집한 웹 서버의 웹페이지들을 분석하여 링크목록 추출하는 것이다. 상기 링크관계 형성모듈(130)은 상기 추출한 웹 서버의 링크목록 간에 관계를 따라 링크관계를 형성하여 사이트 맵을 생성하는 것이고, 상기 사이트 맵 저장모듈(140)은 상기 형성된 링크관계와 사이트 맵을 데이터베이스(500)에 저장하고 관리하는 것이다.The web document collection module 110 is a module for collecting web pages constituting a web server, and the web document analysis module 120 analyzes the web pages of the collected web server to extract a link list. The link relation forming module 130 forms a link map according to the relation between the extracted link lists of the web server, and the site map storing module 140 stores the link relation and the site map in the database (500).

또한 사용자 인터페이스 모듈(300)을 통해 사용자가 직접 상기 웹사이트 분석기에 접속하여 웹사이트의 링크관계를 형성하거나 수정할 수도 있다. In addition, the user may directly access the website analyzer through the user interface module 300 to form or modify the link relation of the web site.

도 2b는 본 발명의 일 실시예에 따른 웹사이트 분석기(100)에서 사이트 맵을 생성하기 위한 방법에 대해 설명하기 위한 흐름도로서, 이에 도시되어 있는 바와 같이 사이트 맵을 생성하기 위한 방법은, 맵 생성을 위한 대상 웹 서버의 인터넷 주소를 입력받는 단계(S201), 상기 웹 문서 수집 모듈을 이용하여 웹 서버로부터 웹페이지를 다운로드 하고(S202), 상기 웹 문서 분석모듈을 이용하여 다운로드 된 페이지에서 링크목록을 추출하는 단계(S203), 상기 단계에서 추출된 링크 목록을 기반으로 상기 링크관계 형성모듈을 이용하여 링크 관계를 형성하는 단계(S204), 상기 단계에서 링크목록이 더 이상 발견되지 않을 때까지 페이지 다운로드 단계로 천이하여 처리를 계속하는 단계(S205), 상기 단계에서 링크목록이 더 이상 발견되지 않으면 사이트 맵 저장모듈을 이용하여 링크관계를 데이터베이스에 기록하는 단계(S206)를 포함하여 구성된다. 즉, 사이트 맵을 생성하는 방법은 특정 페이지 다운받아 해당 페이지에 존재하는 링크목록을 추출하고, 추출한 링크목록의 링크 페이지를 다운받아 링크 페이지 내에 존재하는 새로운 링크목록을 추출하는 방식을 사용하는 것으로, 더 이상 새로운 링크목록이 존재하지 않을 때까지 상기 과정을 반복함으로써, 웹페이지에 대한 모든 링크 관계를 생성할 수 있는 것이다. FIG. 2B is a flowchart illustrating a method for generating a site map in the web site analyzer 100 according to an embodiment of the present invention. As shown in FIG. 2B, (S201), a web page is downloaded from a web server using the web document collection module (S202), and a link list (S203); forming a link relation using the link relation formation module based on the link list extracted in the step (S204); and if the link list is not found any more (S205). If the link list is no longer found in the step (S205), the site map storage module It is configured to include a step (S206) for recording using a link between the database. That is, a method of generating a site map is a method of downloading a specific page, extracting a link list existing on the page, downloading a link page of the extracted link list, and extracting a new link list existing in the link page. By repeating the above process until there is no more new link list, all link relationships to the web page can be created.

도 3은 본 발명의 일 실시예에 따른 사이트 맵을 구성하는 데이터베이스의 구성에 대해 설명하기 위한 예시도이다.3 is an exemplary diagram illustrating a configuration of a database constituting a site map according to an embodiment of the present invention.

도 3에 도시되어 있는 바와 같이, 사이트 맵을 구성하는 데이터베이스의 구성은 LINK_TABLE(210) 및 LINK_REL_TABLE(220)을 포함하여 구성되어 있다. 상기 LINK_TABLE(210)은 발견된 링크의 목록을 저장하는 테이블로서, 예를 들어 발견된 순서에 따라 아이디를 숫자(0, 1, 2…)로 매기고 해당 링크의 주소와 함께 저장하는 것이다. 또한 상기 LINK_REL_TABLE(220)은 링크 간의 관계를 나타내는 테이블로서, 출발지(SRC), 목적지(DST), 깊이(DEPTH)를 사용하여 나타낸다. 예들 들어 도 3에 도시된 LINK_REL_TABLE(220)의 SRC(0), DST(1), DEPTH(1)은 출발지 페이지가 index.html이고 목적지 페이지가 intro.html이며, 상기 출발지 페이지(index.html)에서 목적지 페이지(intro.html)로는 한번의 페이지 이동만으로 이동이 가능하다는 것이다. 또한, SRC(1), DST(0), DEPTH(1)은 출발지 페이지를 intro.html로 하고 목적지 페이지를 index.html로 하며, 상기 출발지 페이지(intro.html)에서 목적지 페이지(index.html)로는 한 번의 페이지 이동만으로 이동이 가능하다는 것이다. As shown in FIG. 3, the configuration of the database constituting the site map includes a LINK_TABLE 210 and a LINK_REL_TABLE 220. The LINK_TABLE 210 is a table for storing a list of found links. For example, the LINK_TABLE 210 sets IDs to numbers (0, 1, 2, ...) according to the found order and stores them together with the address of the link. The LINK_REL_TABLE 220 is a table indicating the relationship between links, and is represented using a source (SRC), a destination (DST), and a depth (DEPTH). For example, SRC (0), DST (1), and DEPTH (1) of LINK_REL_TABLE 220 shown in FIG. 3 have a source page index.html, a destination page intro.html, In the destination page (intro.html), it is possible to move by only one page movement. In addition, SRC (1), DST (0), and DEPTH (1) have a starting page as intro.html, a destination page as index.html and a destination page (index.html) It is possible to move only by one page movement.

이와 같이 이동하기 전에 머무른 페이지를 출발지(SRC)로 두고 이동한 페이지를 목적지(DST)로 두어 페이지 간의 연관관계를 표현한다. 더불어, 플래쉬 메뉴와 같이 사이트 분석도구가 추출하지 못하는 링크에 대해서는 상기 사용자 인터페이스 모듈(300)을 통해 사용자가 직접 링크를 입력하고, 이와 같이 사용자가 직접 입력한 사용자 정의 링크는 상기 분석되어 저장된 데이터베이스(500)의 링크정보와 통합되어 저장된다. In this way, the page that has been left before moving is set as the start point (SRC), and the moved page is set as the destination (DST) to express the relationship between the pages. In addition, for a link that the site analysis tool can not extract, such as a flash menu, the user directly inputs a link through the user interface module 300, and the user-defined link directly input by the user is stored in the analyzed database 500).

도 4는 본 발명의 일 실시예에 따른 사용자 행위패턴의 데이터 형식에 대해 설명하기 위한 예시도이다.4 is an exemplary diagram illustrating a data format of a user behavior pattern according to an embodiment of the present invention.

상기 비인가 트래픽 정밀 접근제어 시스템의 두 번째 단계에서는 상기 웹사이트 분석기(100)를 통해 생성된 사이트 맵을 사용하여 사용자의 행위패턴을 정의한다. 사용자 행위패턴은 사용자가 이동할 수 있는 웹 서버 내의 페이지 이동경로를 표현한 것으로서, 이러한 사용자 행위패턴은 도 4에 도시된 데이터 형식(530)으로 저장된다.In the second step of the unauthorized traffic fine access control system, a behavior pattern of a user is defined using a site map generated through the web site analyzer 100. The user behavior pattern is an expression of a page movement path in a web server to which a user can move. The user behavior pattern is stored in the data format 530 shown in FIG.

참고로, 사용자 행위패턴은 사용자의 역할별로 다르게 적용되어야 하기 때문에 사용자 그룹별로 행위패턴이 정의된다. 사용자 그룹은 미등록사용자, 등록사용자, 관리자 등으로 구분될 수 있으며 이는 웹 서버가 제공하는 서비스의 정책에 따라 다르게 정의된다. 예를 들어, 상기 등록사용자를 유료사용자와 무료사용자로 나눌 수도 있으며, 웹 서버의 이용도에 따라 프리미엄사용자와 일반사용자로 나눌 수도 있을 것이다.For reference, a behavior pattern is defined for each user group because a user behavior pattern must be applied differently according to a role of a user. A user group can be classified into an unregistered user, a registered user, an administrator, and the like, which is defined differently according to the service policy of the web server. For example, the registered user may be divided into a paying user and a free user, and may be divided into a premium user and a general user depending on the usage of the web server.

또한, 사용자의 행위패턴을 정의하는 방법은 출발지 페이지와 목적지 페이지 그리고 페이지를 이동하기 위한 동작(액션)으로 표시된다. 페이지 이동 시의 동작은 단순한 링크인 경우와 폼 형태로 제출하는 경우로 구분되며, 단순한 링크로 이루어진 경우는 ‘L’로, 폼 데이터 제출의 경우에는 ‘S’로 표기한다. 출발지와 목적지가 같은 경우에는 웹페이지 이동을 위해서 동작을 취했을 때 실패해서 같은 페이지로 돌아오는 값을 사용한다. In addition, a method of defining a behavior pattern of a user is represented by an action (action) for moving a departure page, a destination page, and a page. The action when the page is moved is divided into a case of simple link and a case of form submission, and a case of simple link is indicated as 'L' and a case of form data submission is indicated as 'S'. If the origin and destination are the same, use a value that returns to the same page when the action is taken to move the web page.

상기 사용자 행위패턴의 데이터 형식(530)에서 <UserActionPatterns>는 사용자의 행위패턴들을 정의한 것이다. <patterns>는 페이지 이동에 관한 사용자 행위패턴을 정의한 것으로서, <path>의 나열로 구성되어 있다. 상기 <path>는 페이지 이동 경로를 정의하는 것으로서, src는 출발지 페이지, dst는 목적지 페이지, action은 페이지 이동 시의 동작을 나타낸다. name은 해당 패턴에 식별 명칭을 부여하는 것으로서 알파벳, 숫자, -, _, 공백문자 등의 문자열을 사용할 수 있으며, roles는 사용자 행위패턴이 유효한 역할의 name을 나열하는 것으로서, 여러 역할을 지정 가능하며 각 역할의 구분자는 쉼표(,)를 사용한다. 또한 이 속성 값이 지정되지 않을 경우에는 해당 패턴에 대해 사용자 및 사용자 역할을 식별하지 않고 패턴을 적용한다. position은 패턴 식별 위치를 지정하는 것으로서, 속성 값을 정의하지 않을 경우 디폴트로 [*]값이 설정된 것으로 간주한다. 또한, acl는 특정 패턴 경로 상태일 경우의 제어 동작을 지정하는 것으로서, 해당 패킷을 통과 시키는 [access], 해당 패킷을 drop 시키는 [drop], 해당 패킷, 세션 및 사용자 정보에 대한 주요 정보를 로깅하는 [log], 로깅에서 제외하는 [nolog], 패킷을 복사하여 저장하는 [capture]와 같은 값들이 올 수 있고, 상기와 같은 값들은 구분자(쉼표)를 사용하여 여러 개를 지정할 수도 있다. 또한, <loop>는 해당 패턴의 반복을 정의하는 것으로서, <path> 및 <loop>를 포함할 수 있으며, [maxcount]는 상기 loop 패턴이 반복되는 최대 횟수이고 해당 횟수를 넘으면 <patterns> mismatch로 판단한다. In the data format 530 of the user behavior pattern, < UserActionPatterns > defines user behavior patterns. <patterns> defines a user behavior pattern for page movement, and consists of a list of <path>. The <path> defines a page movement path, src indicates a source page, dst indicates a destination page, and action indicates an operation when a page is moved. The name is used to assign an identification name to the pattern. It can be alphabetic, numeric, -, _, or whitespace. Roles list the names of the roles for which the user behavior pattern is valid. Separators for each role use a comma (,). Also, if this attribute value is not specified, the pattern is applied to the pattern without identifying the user and user roles. position specifies the pattern identification position. If the attribute value is not defined, it is assumed that the value [*] is set by default. In addition, acl designates a control operation in the case of a specific pattern path state, and it includes [access] for passing the packet, [drop] for dropping the packet, and key information about the packet, session and user information [log], [nolog] to exclude from logging, [capture] to copy and store a packet, and the like values can be specified by using a separator (comma). Also, <loop> defines the repetition of the pattern. It can include <path> and <loop>, [maxcount] is the maximum number of repetitions of the loop pattern, and <patterns> mismatch .

도 5는 본 발명의 일 실시예에 따른 정의된 사용자 행위패턴의 상태 다이어그램 및 다이어그램을 사용자 행위패턴 데이터 형식으로 표현한 예시도이다. 5 is an exemplary diagram illustrating a state diagram and a diagram of a defined user behavior pattern according to an embodiment of the present invention in a user behavior pattern data format.

이에 도시되어 있는 바와 같이, 사용자 행위패턴이 도 5의 다이어그램(540)과 같이 정의되었다고 가정했을 때, page3으로의 정상적인 경로는 page1/page2/page3 또는 page1/page2/page4/page3 의 경로가 유효하며 이외의 경로이동이 발생하면 모두 비인가 행위로 처리되는 것이다. 5, assuming that the user behavior pattern is defined as diagram 540 of FIG. 5, the normal path to page 3 is that the path of page1 / page2 / page3 or page1 / page2 / page4 / page3 is valid If any other path move occurs, it is treated as an unauthorized act.

도 6a는 본 발명의 일 실시예에 따른 비인가 행위 탐지기의 구조에 대해 설명하기 위한 예시도이다.FIG. 6A is a diagram illustrating an exemplary structure of an unauthorized person detector according to an exemplary embodiment of the present invention. Referring to FIG.

상기 비인가 트래픽 정밀 접근제어 시스템의 세 번째 단계에서는 상기 두 번째 단계에서 정의된 사용자 행위패턴을 기반으로 비인가 행위를 실시간으로 탐지하고 접근 제어를 수행한다. 비인가 행위 탐지기(200)는 사용자별로 요청 메시지를 분석하여 사용자의 페이지 이동 경로를 구하고 이를 사용자 행위패턴과 비교하여 비인가 행위를 탐지한다.In the third step of the unauthorized traffic fine access control system, unauthorized activity is detected in real time and access control is performed based on the user action pattern defined in the second step. The unauthorized activity detector 200 analyzes a request message for each user to obtain a page movement path of the user and compares the path to a user's action pattern to detect unauthorized activity.

상기 비인가 행위 탐지기(200)는 패킷 수신 모듈(210), 패킷 분석 모듈(220), 그룹 식별 모듈(230), 세션 관리 모듈(240), 비인가 행위 탐지모듈(250), 경로 계산 모듈(260), 행위패턴 로드모듈(270) 및 로그모듈(280)을 포함하여 구성된다.The unauthorized activity detector 200 includes a packet reception module 210, a packet analysis module 220, a group identification module 230, a session management module 240, an unauthorized activity detection module 250, a path calculation module 260, A behavior pattern load module 270, and a log module 280. [

상기 패킷 수신 모듈(210)은 웹 서버에 접속하는 사용자의 요청 메시지(이하, 패킷)를 수신하는 것이고, 상기 패킷 분석 모듈(220)은 상기 패킷 수신 모듈(210)로부터 패킷을 전송받아 패킷 및 목적지 페이지를 분석하는 것이며, 상기 그룹 식별 모듈(230)은 상기 패킷에 매칭되는 사용자 행위패턴 그룹을 식별하는 것이다. 또한, 상기 세션 관리 모듈(240)은 네트워크 환경에서 사용자와 웹 서버 간의 연결을 관리하는 것으로서, 상기 세션 관리 모듈(240)을 통해 사용자, 웹 서버 및 본 발명의 시스템이 연결되어 본 발명의 시스템이 사용자의 이동경로를 계산할 수 있게 된다. 상기 비인가 행위 탐지모듈(250)은 사용자 경로와 사용자 행위패턴을 비교하여 비인가 행위를 탐지하는 것이고, 경로 계산 모듈(260)은 웹 서버에서의 사용자 경로를 계산하는 것이며, 상기 행위패턴 로드모듈(270) 데이터베이스(500) 혹은 메모리(400)로부터 사용자 행위패턴을 업로드 받아 상기 비인가 행위 탐지모듈(250)에 제공하는 것이다. 또한, 상기 로그모듈(280)은 상기 비인가 행위 탐지모듈(250)에서 탐지한 비인가 행위에 대한 로그기록을 생성, 저장 및 관리를 수행하는 것이다.The packet receiving module 210 receives a user request message (hereinafter referred to as a packet) connecting to the web server. The packet analyzing module 220 receives a packet from the packet receiving module 210, Page, and the group identification module 230 identifies a group of user behavior patterns that match the packet. In addition, the session management module 240 manages connection between a user and a web server in a network environment. A user, a web server, and a system of the present invention are connected through the session management module 240, It is possible to calculate the movement path of the user. The unauthorized activity detection module 250 detects an unauthorized activity by comparing a user path and a user action pattern. The path calculation module 260 calculates a user path in the web server, and the action pattern load module 270 ) The user behavior pattern from the database 500 or the memory 400 and provides the unauthorized activity detection module 250 with the uploaded user behavior pattern. Also, the log module 280 generates, stores, and manages a log record of unauthorized activity detected by the unauthorized activity detection module 250.

도 6b는 본 발명의 일 실시예에 따른 비인가 행위를 탐지하는 방법에 대해 설명하기 위한 흐름도로서, 이에 도시되어 있는 바와 같이 비인가 행위를 탐지하는 방법은 먼저 사용자 행위패턴을 기반으로 모든 웹페이지에 도달할 수 있는 정상 경로를 계산하여 경로 테이블을 생성한다(S301). 사용자의 요청 메시지(패킷)를 수신한 후(S302), 사용자의 요청 메시지를 분석하여 목적지 페이지를 추출한다(S303). 여기서 목적지 페이지를 추출하면 서비스에 대한 정보를 알 수 있으므로, 해당 사용자의 서비스 정보(즉, 사용자가 해당 웹사이트를 통해서 이용하는 서비스)를 분석하여 사용자의 해당 웹사이트에 대한 접속을 보장하거나 제한할 수도 있다. 그 후 해당 패킷에 매칭되는 사용자 행위패턴 그룹을 식별하고(S304), 이때 사용자와 웹 서버 간의 세션이 존재하지 않으면(S305) 새로 세션을 생성 및 등록하여 사용자와 웹 서버를 연결한다(S306). 상기 과정에서 추출한 목적지 페이지를 기반으로 사용자 경로를 계산한다(S307). 이렇게 얻어진 사용자 경로를 상기 경로 테이블과 비교하여 해당 사용자 경로가 비인가 행위인지 판단한다(S308). 이때 경로 테이블에 있는 경로와 사용자 경로가 다르면 비인가 행위로 판단하고, 상기 사용자의 요청 메시지(패킷)를 버리고(S309), 이를 로그기록에 남긴다(S310). 또한, 사용자 경로가 경로 테이블에 있으면 비인가 행위가 아닌 것으로 판단한 후, 해당 경로를 저장하고(S311), 상기 사용자의 요청 메시지(패킷)를 정상 처리한다(S312). 6B is a flowchart for explaining a method for detecting an unauthorized activity according to an embodiment of the present invention. As shown in FIG. 6B, a method for detecting an unauthorized activity includes first arriving at all web pages (Step S301). In step S301, the normal path is calculated. After receiving the request message (packet) of the user (S302), the request message of the user is analyzed and the destination page is extracted (S303). Here, if the destination page is extracted, information about the service can be known. Therefore, the service information of the user (that is, the service that the user uses through the web site) can be analyzed to guarantee or restrict access to the user's web site have. If there is no session between the user and the web server (S305), a new session is created and registered to connect the user and the web server (S306). The user path is calculated based on the extracted destination page (S307). The obtained user path is compared with the path table to determine whether the corresponding user path is unauthorized (S308). At this time, if the path in the path table differs from the user path, it is determined that the user path is unauthorized, and the user's request message (packet) is discarded (S309). If the user path is found in the path table, it is determined that the user path is not unauthorized, and then the path is stored (S311) and the user's request message (packet) is processed normally (S312).

참고로, 상기 사용자 경로를 계산하는 방법은 먼저 주어진 페이지를 찾고 주어진 페이지의 출발지 페이지를 모두 검색한 후, 검색된 출발 페이지들을 다시 목적지 페이지로 두고 그 목적지 페이지에 해당하는 출발지 페이지를 다시 검색한다. 출발지 페이지가 더 이상 나타나지 않을 때까지 상기 과정을 반복함으로써, 주어진 페이지에 대한 사용자 경로를 계산할 수 있다. In the method of calculating the user route, a given page is searched first, all departure pages of a given page are searched, and the searched departure pages are used as a destination page again, and the departure page corresponding to the destination page is searched again. By repeating the above process until the departure page no longer appears, the user path for the given page can be calculated.

도 7은 본 발명의 일 실시예에 따른 회원가입을 위한 사용자 행위패턴의 한 예에 대해 설명하기 위한 예시도이다. 이에 도시되어 있는 바와 같이, 회원가입이 성공적으로 되기 위해서는 사용자의 요청이 회원가입 페이지(610)로부터 약관 및 동의 페이지(620), 가입인증 페이지(630), 개인정보입력 페이지(640)를 경유하여 등록완료 페이지(650)에 도달하여야 한다. 가입인증 단계에서 인증이 실패하면 인증실패 페이지(660)로 이동하게 되고 인증실패 페이지에서 링크(L)를 선택하여 가입인증 페이지로 다시 이동할 수 있다. 이와 동일하게 개인정보입력 페이지에서 실패하게 되면 등록실패 페이지(670)로 천이하게 되고 링크(L)를 통해서 개인정보입력 페이지로 이동할 수 있다. 상기와 같이 정의된 경로 외에 다른 모든 경로를 통해 접근하는 사용자는 비인가 행위로 판단하고 차단 등의 방법을 통해 웹 서버로의 접근을 제어하고, 로그기록을 남김으로써 비인가 트래픽으로부터 웹 서버를 보호할 수 있다.FIG. 7 is an exemplary diagram illustrating an example of a user behavior pattern for membership enrollment according to an embodiment of the present invention. Referring to FIG. As shown therein, in order for the subscription to be successful, the user's request is transmitted from the subscription page 610 via the terms and agreement page 620, the subscription authentication page 630, and the personal information input page 640 The registration completion page 650 should be reached. If the authentication fails in the subscription authentication step, the user can go to the authentication failure page 660 and select the link (L) from the authentication failure page to move back to the subscription authentication page. Similarly, if the personal information input page fails, the registration failure page 670 is transited to the personal information input page through the link L. [ The user who accesses through all the paths other than the defined path is determined to be unauthorized and controls the access to the web server through a method such as blocking and protects the web server from unauthorized traffic by leaving a log record have.

이상으로 본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, I will understand the point. Accordingly, the technical scope of the present invention should be defined by the following claims.

10 : 비인가 트래픽 정밀 접근제어 시스템
20 : 웹 서버 30 : 인터넷
40 : 사용자 100 : 웹사이트 분석기
110 : 웹 문서 수집모듈 120 : 웹 문서 분석모듈
130 : 링크관계 형성모듈 140 : 사이트 맵 저장 모듈
200 : 비인가 행위 탐지기 210 : 패킷 수신 모듈
220 : 패킷 분석 모듈 230 : 그룹 식별 모듈
240 : 세션 관리 모듈 250 : 비인가 행위 탐지모듈
260 : 경로 계산 모듈 270 : 행위패턴 로드모듈
280 : 로그모듈 300 : 사용자 인터페이스 모듈
400 : 메모리 500 : 데이터베이스
510 : LINK_TABLE 520 : LINK_REL_TABLE
530 : 사용자 행위패턴의 데이터 형식
540 : 사용자 행위패턴 다이어그램
610 : 회원가입 페이지
620 : 약관 및 동의 페이지 630 : 가입인증 페이지
640 : 개인정보 입력 페이지 650 : 등록완료 페이지
660 : 인증실패 페이지 670 : 등록실패 페이지10: Unauthorized traffic precision access control system
20: Web server 30: Internet
40: User 100: Website Analyzer
110: Web document collection module 120: Web document analysis module
130: Link relation forming module 140: Site map storing module
200: unauthorized activity detector 210: packet receiving module
220: packet analysis module 230: group identification module
240: Session management module 250: Unauthorized activity detection module
260: path calculation module 270: behavior pattern load module
280: log module 300: user interface module
400: memory 500: database
510: LINK_TABLE 520: LINK_REL_TABLE
530: Data format of user behavior pattern
540: User behavior pattern diagram
610: Membership Page
620: Terms &amp; Consent page 630: Subscription verification page
640: Enter personal information page 650: Registration completion page
660: Authentication Failed Page 670: Registration Failed Page

Claims (13)

웹 서버로부터 웹사이트의 주소를 입력받아 링크 맵을 생성하는 링크 맵 생성 단계;
생성된 링크 맵을 기반으로 사용자 행위 패턴을 정의하는 사용자 행위패턴 정의 단계;
상기 정의된 사용자 행위패턴을 기반으로 비인가 행위를 탐지하는 비인가 행위 탐지 단계; 및
상기 탐지된 비인가 행위에 대해서 접근을 차단하고 로그 기록을 남기는 접근제어 단계;를 포함하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법.A link map generation step of receiving a web site address from a web server and generating a link map;
A user behavior pattern defining step of defining a user action pattern based on the generated link map;
Detecting an unauthorized activity based on the defined user behavior pattern; And
And an access control step of blocking access to the detected unauthorized activity and leaving a log record. 청구항 1에 있어서,
상기 링크 맵 생성 단계는,
링크 맵 생성을 위한 대상 웹사이트의 인터넷 주소를 입력 받는 단계;
웹사이트로부터 적어도 하나 이상의 웹페이지를 다운로드하고, 다운로드 된 웹페이지에서 링크 목록을 추출하는 단계;
상기 추출한 링크 목록을 사용하여 링크 연결 관계의 맵을 형성하는 단계;
링크 목록이 더 이상 발견되지 않을 때까지 링크 된 웹페이지를 다운로드하고, 다운로드된 웹페이지에서 링크 목록을 추출하는 단계와 추출한 링크 목록을 사용하여 링크 연결 관계의 맵을 형성하는 단계를 반복하여 수행하는 단계; 및
링크 목록이 더 이상 발견되지 않으면 상기 링크 연결 관계에 대한 맵을 데이터베이스에 저장하는 단계;를 포함하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법.The method according to claim 1,
The link map generation step includes:
Receiving an Internet address of a target web site for generating a link map;
Downloading at least one web page from a web site, and extracting a link list from the downloaded web page;
Forming a map of a link connection relationship using the extracted link list;
Downloading the linked web page until the link list is no longer found, extracting the link list from the downloaded web page, and forming the map of the link connection relationship using the extracted link list are repeatedly performed step; And
And storing the map of the link connection relationship in the database if the link list is not found any more. 청구항 1에 있어서,
상기 사용자 행위패턴 정의 단계는,
웹사이트 분석기를 통해 생성된 사이트 맵에서 사용자가 이동할 수 있는 웹사이트 내의 페이지 이동경로를 소정의 데이터 형식으로 저장하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법. The method according to claim 1,
The user behavior pattern definition step may include:
A method for controlling access to unauthorized traffic in a web server based on a user behavior pattern, the method comprising: storing a page movement path in a web site in which a user can move in a site map generated through a web site analyzer in a predetermined data format. 청구항 3에 있어서,
상기 소정의 데이터 형식은,
사용자의 행위패턴을 출발지 페이지와 목적지 페이지 그리고 페이지를 이동하기 위한 액션으로 표시하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법.The method of claim 3,
Wherein the predetermined data format includes:
And displaying the action pattern of the user as an action for moving the departure page, the destination page, and the page. 청구항 1에 있어서,
상기 비인가 행위 탐지 단계는,
정의된 사용자 행위패턴을 기반으로 모든 웹페이지에 도달할 수 있는 정상 경로를 계산하여 경로 테이블을 생성하는 단계;
사용자의 요청 메시지를 수신한 후 수신한 요청 메시지를 분석하여 목적지 페이지를 추출하는 단계;
상기 단계에서 추출한 목적지 페이지를 기반으로 사용자 경로를 계산하는 단계; 및
상기 사용자 경로를 상기 경로 테이블에 있는 정상 경로와 비교하여 비인가 행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법.The method according to claim 1,
Wherein the unauthorized activity detection step comprises:
Generating a route table by calculating a normal route that can reach all web pages based on a defined user behavior pattern;
Extracting a destination page by analyzing the received request message after receiving the request message of the user;
Calculating a user path based on the destination page extracted in the step; And
And detecting unauthorized activity by comparing the user route with a normal route in the route table. 청구항 5에 있어서,
상기 목적지 페이지를 기반으로 사용자 경로를 계산하는 단계는,
목적지 페이지의 출발지 페이지를 모두 검색하고, 검색된 출발지 페이지를 목적지 페이지로 두고 그 목적지 페이지에 해당하는 출발지 페이지를 다시 검색하여 출발 페이지가 더 이상 나타나지 않을 때까지 반복함으로써, 주어진 처음 목적지 페이지에 대한 사용자 유입 경로를 계산하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 방법. The method of claim 5,
Wherein calculating the user path based on the destination page comprises:
The source page of the destination page is searched, the searched start page is set as the destination page, the start page corresponding to the destination page is searched again, and the process is repeated until the start page is no longer displayed, Wherein the route calculation unit calculates a route based on a user behavior pattern based on the user action pattern. 특정 웹 서버의 주소를 입력 받아 링크 맵을 생성하는 웹사이트 분석기;
상기 생성된 링크 맵을 기반으로 미리 정의되어 데이터베이스에 저장된 사용자 패턴을 기반으로 비인가 행위를 탐지하는 비인가 행위 탐지기; 및
상기 비인가 행위를 탐지하는데 있어서 자주 사용되는 사용자 행위패턴을 상기 데이터베이스로부터 미리 업데이트 받아 저장하고 있다가, 미리 정의된 특정 경우에 대해서 데이터베이스를 거지치 않고 바로 상기 비인가 행위 탐지기로 제공할 수 있도록 하기 위한 메모리;를 포함하며,
상기 탐지된 비인가 행위에 대해서 접근을 차단하고 로그를 남기는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템.A web site analyzer for receiving a specific web server address and generating a link map;
An unauthorized activity detector for detecting unauthorized activity based on a user pattern previously defined on the basis of the generated link map and stored in a database; And
A memory for storing a user behavior pattern frequently used in detecting the unauthorized activity in advance from the database and storing the updated user behavior pattern in a predetermined case and providing the database to the unauthorized activity detector immediately, &Lt; / RTI &gt;
Wherein the unauthorized traffic access control system is configured to block access to the detected unauthorized activity and to leave a log. 청구항 7에 있어서,
상기 웹사이트 분석기는,
웹문서 수집 모듈; 웹문서 분석 모듈; 링크관계 형성 모듈; 사이트 맵 저장 모듈; 또는 이들의 조합 중 하나 이상을 포함하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템. The method of claim 7,
Wherein the website analyzer comprises:
Web document collection module; Web document analysis module; Link relationship formation module; Site map storage module; Or a combination thereof, wherein the unauthorized traffic fine access control system of the web server based on the user behavior pattern comprises: 청구항 7에 있어서,
상기 비인가 행위 탐지기는,
패킷 수신 모듈; 패킷 분석 모듈; 그룹 식별 모듈; 세션 관리 모듈; 비인가 행위 탐지모듈; 경로 계산 모듈; 행위패턴 로드모듈; 로그모듈; 또는 이들의 조합 중 하나 이상을 포함하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템. The method of claim 7,
Wherein the unauthorized activity detector comprises:
A packet receiving module; Packet analysis module; A group identification module; Session management module; Unauthorized activity detection module; Path calculation module; Behavior pattern load module; Log module; Or a combination thereof, wherein the unauthorized traffic fine access control system of the web server based on the user behavior pattern comprises: 청구항 9에 있어서,
상기 웹사이트 분석기를 통해 생성된 사이트 맵에서 사용자가 이동할 수 있는 웹페이지 내의 페이지 이동경로를 소정의 데이터 형식으로 저장하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템. The method of claim 9,
And stores the page movement path in the web page that the user can move in a predetermined data format in the site map generated by the web site analyzer. 청구항 10에 있어서,
상기 소정의 데이터 형식은,
사용자의 행위패턴을 출발지 페이지와 목적지 페이지 그리고 페이지를 이동하기 위한 액션으로 표시하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템.The method of claim 10,
Wherein the predetermined data format includes:
And the action pattern of the user is displayed as an action for moving the departure page, the destination page and the page. 청구항 11에 있어서,
목적지 페이지의 출발지 페이지를 모두 검색하고, 검색된 출발지 페이지를 목적지 페이지로 두고 그 목적지 페이지에 해당하는 출발지 페이지를 다시 검색하여 출발 페이지가 더 이상 나타나지 않을 때까지 반복함으로써, 주어진 처음 목적지 페이지에 대한 사용자 유입 경로를 계산하는 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템. The method of claim 11,
The source page of the destination page is searched, the searched start page is set as the destination page, the start page corresponding to the destination page is searched again, and the process is repeated until the start page is no longer displayed, And the route calculation unit calculates the route based on the route information. 청구항 7에 있어서,
상기 데이터베이스는,
시스템 내부에 장착된 저장수단에 구현되거나, 전기 혹은 광학 케이블로 연결된 별도의 저장수단으로 구현될 수도 있으며, 또한 네트워크상에서 스토리지 가상화를 통한 클라우드 시스템으로 구현하는 것이 가능한 것을 특징으로 하는 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템.The method of claim 7,
The database includes:
The present invention can be embodied as a storage means mounted inside the system or as a separate storage means connected with an electric or optical cable and can be implemented as a cloud system through storage virtualization on a network. Server unauthorized traffic precision access control system.
KR1020130130677A 2013-10-31 2013-10-31 A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof KR101512700B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130130677A KR101512700B1 (en) 2013-10-31 2013-10-31 A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130130677A KR101512700B1 (en) 2013-10-31 2013-10-31 A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof

Publications (1)

Publication Number Publication Date
KR101512700B1 true KR101512700B1 (en) 2015-04-16

Family

ID=53053367

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130130677A KR101512700B1 (en) 2013-10-31 2013-10-31 A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof

Country Status (1)

Country Link
KR (1) KR101512700B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111859363A (en) * 2020-06-24 2020-10-30 杭州数梦工场科技有限公司 Method and device for identifying unauthorized application access and electronic equipment
US20220210186A1 (en) * 2020-12-28 2022-06-30 Citrix Systems, Inc. Systems and methods for protection against theft of user credentials by email phishing attacks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080052097A (en) * 2006-12-07 2008-06-11 한국전자통신연구원 Harmful web site filtering method and apparatus using web structural information
KR20110070182A (en) * 2009-12-18 2011-06-24 한국인터넷진흥원 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
KR101073615B1 (en) * 2010-06-04 2011-10-14 주식회사 모임 Apparatus and method for automatic and adaptive landing to commerce sites, and recordng medium thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080052097A (en) * 2006-12-07 2008-06-11 한국전자통신연구원 Harmful web site filtering method and apparatus using web structural information
KR20110070182A (en) * 2009-12-18 2011-06-24 한국인터넷진흥원 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
KR101073615B1 (en) * 2010-06-04 2011-10-14 주식회사 모임 Apparatus and method for automatic and adaptive landing to commerce sites, and recordng medium thereof

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111859363A (en) * 2020-06-24 2020-10-30 杭州数梦工场科技有限公司 Method and device for identifying unauthorized application access and electronic equipment
CN111859363B (en) * 2020-06-24 2024-04-05 杭州数梦工场科技有限公司 Method and device for identifying unauthorized access of application and electronic equipment
US20220210186A1 (en) * 2020-12-28 2022-06-30 Citrix Systems, Inc. Systems and methods for protection against theft of user credentials by email phishing attacks
US11962618B2 (en) * 2020-12-28 2024-04-16 Citrix Systems, Inc. Systems and methods for protection against theft of user credentials by email phishing attacks

Similar Documents

Publication Publication Date Title
CN110855676B (en) Network attack processing method and device and storage medium
CN106961419B (en) WebShell detection method, device and system
CN111209565B (en) Horizontal override vulnerability detection method, equipment and computer readable storage medium
CN113392402B (en) Power Internet of things protocol vulnerability detection system and method based on fuzzy test
CN110602029B (en) Method and system for identifying network attack
Li et al. Block: a black-box approach for detection of state violation attacks towards web applications
CN104426906A (en) Identifying malicious devices within a computer network
CN105933268A (en) Webshell detection method and apparatus based on total access log analysis
KR20170060280A (en) Apparatus and method for automatically generating rules for malware detection
CN115134099B (en) Network attack behavior analysis method and device based on full flow
CN109768992A (en) Webpage malicious scanning processing method and device, terminal device, readable storage medium storing program for executing
CN112511561A (en) Network attack path determination method, equipment, storage medium and device
CN111404937B (en) Method and device for detecting server vulnerability
CN111488590A (en) SQ L injection detection method based on user behavior credibility analysis
WO2019190403A1 (en) An industrial control system firewall module
CN113315767A (en) Electric power Internet of things equipment safety detection system and method
CN111031025B (en) Method and device for automatically detecting and verifying Webshell
CN112905996A (en) Information security traceability system and method based on multi-dimensional data association analysis
KR101512700B1 (en) A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof
WO2018135964A1 (en) Method for protecting web applications by automatically generating application models
CN108234431A (en) A kind of backstage logs in behavioral value method and detection service device
CN112671724B (en) Terminal security detection analysis method, device, equipment and readable storage medium
CN115242436B (en) Malicious traffic detection method and system based on command line characteristics
CN109190408B (en) Data information security processing method and system
CN115051874B (en) Multi-feature CS malicious encrypted traffic detection method and system

Legal Events

Date Code Title Description
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee