KR101754195B1 - 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 - Google Patents

복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 Download PDF

Info

Publication number
KR101754195B1
KR101754195B1 KR1020150154223A KR20150154223A KR101754195B1 KR 101754195 B1 KR101754195 B1 KR 101754195B1 KR 1020150154223 A KR1020150154223 A KR 1020150154223A KR 20150154223 A KR20150154223 A KR 20150154223A KR 101754195 B1 KR101754195 B1 KR 101754195B1
Authority
KR
South Korea
Prior art keywords
client
log
access
information
agent
Prior art date
Application number
KR1020150154223A
Other languages
English (en)
Other versions
KR20170052779A (ko
Inventor
이상호
홍성관
전희준
권용훈
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020150154223A priority Critical patent/KR101754195B1/ko
Publication of KR20170052779A publication Critical patent/KR20170052779A/ko
Application granted granted Critical
Publication of KR101754195B1 publication Critical patent/KR101754195B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Abstract

자바 에이전트를 기반으로 한 보안 강화 방법 및 장치가 개시된다. 자바 에이전트를 기반으로 한 보안 강화 방법은 기초 데이터 베이스 분석을 기반으로 접근 어플리케이션 영역을 식별하는 단계, 접근 어플리케이션에 로그 기록 에이전트를 삽입하는 단계, 접근 어플리케이션에 삽입된 로그 기록 에이전트를 기반으로 사용 기록을 수집 및 분석하여 비정상적인 접근의 발생 여부에 대해 결정하는 단계와 비정상적인 접근이 발생한 경우, 수집 서버로 비정상적인 접근에 대한 정보를 전송하는 단계를 포함할 수 있다.

Description

복수의 로그 수집 서버를 기반으로 한 보안 강화 방법{Method for security enhancement based on multi log gathering server}
본 발명은 보안 강화를 위한 방법에 관한 것으로서, 보다 상세하게는, 자바 에이전트를 이용한 보안 강화 방법 및 장치에 관한 것이다.
네트워크의 발달로 개인 정보 유출과 같은 보안 사고가 빈번히 발생되고 있다. 개인 정보는 일단 유출되면 명의 도용 및 다른 정보와 결합되어 2차적인 피해를 발생시킬 수 있으며, 회수하는 것이 어렵다. 따라서, 개인 정보 유출은 심각한 사회 문제라 할 수 있다. 특히, 우리나라에서 사용되고 있는 주민 등록 번호의 경우, 변경 또는 갱신이 사실상 불가능한데 반해 인터넷 상에서 본인 확인, 실명 확인 수단으로 최근까지 널리 사용되어 주민 등록 번호를 포함하는 개인 정보가 유출되면 피해의 위험이 크다. 2012년도 개인 정보 유출로 인한 침해 건수는 총 166,801건으로 2011년 대비 약 26.7% 증가하였고, 2011년도 개인 정보 유출 침해 건수는 총 122,215건으로 2010년 대비 약 122.8% 증가하였다.
2014년 11월 사이버 공격 통계에 따르면, 알려지지 않은 공격 중 첫번째는 공격 및 접근이 용이한 홈 페이지를 대상으로 한 위조/변조 공격이고, 두번째로 많은 13%의 공격이 SQL 인젝션으로 대량의 정보가 저장되어 있는 데이터베이스에 대한 공격이다.
개인 정보 유출 사고의 발생 원인은 금전적 이익을 위한 해킹 및 외부 침입에 의해 개인 정보가 유출되거나 내부 업무자의 권한 남용에 의해 유출되는 것으로 파악된다. 개인 정보 유출 사건으로 피해를 당한 이용자들의 침해 관련된 손해 배상 청구건도 증가하고 있다. 10년 기준 소송 참가자는 약 19만명이고, 소송 가액도 2천억원을 넘어선 상황으로 기업들의 개인 정보 피해 고객으로 인한 유무형의 손실에 대한 부담이 증가하고 있다.
대한민국 공개특허공보 제10-2010-0079318호(공개일 2010.07.08.)
본 발명의 일 측면은 자바 에이전트를 이용한 보안 강화 방법을 제공한다.
본 발명의 다른 측면은 자바 에이전트를 이용한 보안 강화 장치를 제공한다.
본 발명의 일 측면에 따른 자바 에이전트를 기반으로 한 보안 강화 방법은 기초 데이터 베이스 분석을 기반으로 접근 어플리케이션 영역을 식별하는 단계, 상기 접근 어플리케이션에 로그 기록 에이전트를 삽입하는 단계, 상기 접근 어플리케이션에 삽입된 상기 로그 기록 에이전트를 기반으로 사용 기록을 수집 및 분석하여 비정상적인 접근의 발생 여부에 대해 결정하는 단계와 상기 비정상적인 접근이 발생한 경우, 수집 서버로 상기 비정상적인 접근에 대한 정보를 전송하는 단계를 포함할 수 있다.
한편, 서브렛 컨테이너(Servelet container)가 상기 로그 기록 에이전트로 바이트코드를 변조하는 클래스를 생성하여 JVM(java virtual machine)으로 올려주기 위한 동작을 수행할 것을 요청하는 단계를 더 포함하고, 상기 로그 기록 에이전트는 클라이언트로부터 요청된 이벤트를 상기 접근 어플리케이션의 접속 이전에 캐치하여 상기 바이트코드를 변조하는 상기 클래스를 생성하여 상기 JVM으로 올려줄 수 있다.
또한, 상기 로그 기록 에이전트는 요청 URI(uniform resource identifier) 및 상기 요청 URI 이전의 요청 URI를 수집하고, 상기 로그 기록 에이전트는 상기 클라이언트의 요청 파라미터 목록, 상기 클라이언트의 세션 값 목록 및 내용, 상기 클라이언트의 쿼리 수행 내역 및 쿼리 수행 결과를 수집할 수 있다.
또한, 상기 로그 기록 에이전트는 상기 로그 기록 에이전트의 실행 여부에 따라 상기 접근 어플리케이션의 성능의 변화가 일정 임계값 이하가 되도록 동작할 수 있다.
또한, 자바 에이전트를 기반으로 한 보안 강화 방법은 상기 클라이언트의 요청이 있는 경우, WAS(web application server)가 초기화를 수행하고 상기 서브렛 컨테이너를 생성하는 단계와 상기 서브렛 컨테이너가 Service(HttpServletRequest req, HttpServletResponse, resp), doGet(HttpServletRequest req, HttpServletResponse, resp)를 기반으로 상기 요청에 따른 응답을 수행하는 단계를 더 포함할 수 있다.
본 발명의 다른 측면에 따른 자바 에이전트를 기반으로 한 보안 강화 장치는 프로세서를 포함하고, 상기 프로세서는 기초 데이터 베이스 분석을 기반으로 접근 어플리케이션 영역을 식별하고, 상기 접근 어플리케이션에 로그 기록 에이전트를 삽입하고, 상기 접근 어플리케이션에 삽입된 상기 로그 기록 에이전트를 기반으로 사용 기록을 수집 및 분석하여 비정상적인 접근의 발생 여부에 대해 결정하고, 상기 비정상적인 접근이 발생한 경우, 수집 서버로 상기 비정상적인 접근에 대한 정보를 전송하도록 구현될 수 있다.
한편, 상기 프로세서는 서브렛 컨테이너(Servelet container)가 상기 로그 기록 에이전트로 바이트코드를 변조하는 클래스를 생성하여 JVM(java virtual machine)으로 올려주기 위한 동작을 수행할 것을 요청하도록 구현되고, 상기 로그 기록 에이전트는 클라이언트로부터 요청된 이벤트를 상기 접근 어플리케이션의 접속 이전에 캐치하여 상기 바이트코드를 변조하는 상기 클래스를 생성하여 상기 JVM으로 올려줄 수 있다.
또한, 상기 로그 기록 에이전트는 요청 URI(uniform resource identifier) 및 상기 요청 URI 이전의 요청 URI를 수집하고, 상기 로그 기록 에이전트는 상기 클라이언트의 요청 파라미터 목록, 상기 클라이언트의 세션 값 목록 및 내용, 상기 클라이언트의 쿼리 수행 내역 및 쿼리 수행 결과를 수집할 수 있다.
또한, 상기 로그 기록 에이전트는 상기 로그 기록 에이전트의 실행 여부에 따라 상기 접근 어플리케이션의 성능의 변화가 일정 임계값 이하가 되도록 동작할 수 있다.
또한, 상기 프로세서는 상기 클라이언트의 요청이 있는 경우, WAS(web application server)가 초기화를 수행하고 상기 서브렛 컨테이너를 생성하고, 상기 서브렛 컨테이너가 Service(HttpServletRequest req, HttpServletResponse, resp), doGet(HttpServletRequest req, HttpServletResponse, resp)를 기반으로 상기 요청에 따른 응답을 수행하도록 구현될 수 있다.
본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법 및 장치는 자바 에이전트(java agent)를 활용한 서버 이전 단에서 바이트코드(ByteCode) 변조를 수행함으로써 불법 정보 유출에 대한 보안이 강화될 수 있다. 이러한 방법이 사용되는 경우, 수많은 변수 상황에 대해 유동적으로 대처할 수 있으며, 데이터가 쌓일수록 많은 패턴을 인식하게 되어 개인 정보에 대해 효과적으로 보안이 유지될 수 있다.
도 1은 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법을 나타낸 순서도이다.
도 2는 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정에서 사용되는 클래스와 메소드를 나타낸 개념도이다.
도 3은 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정에서 변화하는 객체의 흐름과 데이터를 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정을 나타낸 개념도이다.
도 5는 본 발명의 실시예에 따른 로그 수집 서버의 로그 수집 동작을 나타낸 개념도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조 부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
개인 정보에 대한 보호는 정보 시스템 관점에서 OS(operating system), N/W(network), DBMS(database management system), 어플리케이션 등 시스템 전체 영역에서 이루어져야 한다. 현재OS 보안, 네트워크 보안, DB보안 등에 대한 일정 수준의 솔루션 시장이 형성, 발달되어 있다.
그러나 대부분의 개인 정보 유출은 내부자의 위협으로 인한 고객의 정보 훼손, 오용, 유출로 인해 발생된다. 이러한 개인 정보 유출은 주로 어플리케이션 레벨(접속 사용자, 접근 기록이나 패턴 등)에서 관리되어야 한다.
현대 스마트 폰 세대에서 어플리케이션의 보안 문제가 매우 취약하다. 대부분의 대량의 정보 유출은 어플리케이션을 통한 데이터베이스로의 불법적인 접근과 같은 정보 후킹에 의해 발생된다. 정보 후킹을 위해 해커들은 몇 가지의 정보만을 계속 변경시켜가며 보안 망을 피해가며 지속적으로 접근하여 정보를 캐내 간다. 따라서, 이러한 패턴을 인식하여 불법적인 접근을 막아야 한다.
이하, 본 발명의 실시예에서는 에이전트 기반의 어플리케이션 레벨 개인 정보 관련 질의, 탐색 등에 대한 로그 기록과 분석을 통한 개인 정보 유출 위험을 탐지 및 조기 경고할 수 있는 방법 및 장치가 개시된다.
구체적으로 클라이언트가 특정 이벤트를 요청하면 정보와 함께 클래스가 바이트코드로 변조되어서 JVM(java virtual machine) 위에 올라가게 되는데 JVM에 올라가기 전에 캐치하여 바이트코드에 변조를 줌으로써 후킹하여 서버에 저장한 뒤 패턴을 분석할 수 있다. 이러한 방법을 기반으로 외부의 비정상적인 접근에 대하여 알아내어 사용자에게 정보가 제공될 수 있다.
Java 5는 JVM TI /JVM PI로 구현된 에이전트와 자바 에이전트를 병행 지원할 수 있다. 이는 JVM 프로파일링과 같은 저 수준 훅(hook)을 활용하기에 JVM TI를 C/C++로 구현한 네이티브 에이전트(native agent)가 알맞고, JVM위에서 통제 가능한 부문(e.g redefine bytecode, class/object profiling, etc..)을 통한 에이전트 개발은 자바 에이전트가 적합하다.
자바 에이전트는 JVM에서 동작하는 Java 어플리케이션이다. JVM의 다양한 이벤트를 전달받거나 정보 질의, 바이트 코드 제어 등은 특정 API(Instrumentation API ?java.lang.instrument-)를 통하여 수행될 수 있다. 자바 에이전트는 보통 개발 도구 또는 모니터링 도구 개발에 응용되고, 바이트 코드 변조를 통한 개발의 편의성을 제공하는 AspectJ의 LTW(Load Time Weaver)나 Lombok과 같은 오픈 소스가 대표적인 자바 에이전트의 활용 예가 된다.
본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 장치는 내부 업무 처리를 위한 시스템의 개인 정보 관련 부분에 사용 기록 보관을 위한 로그 기록 에이전트를 연결하여 기록할 수 있다. 또한, 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 장치는 로그 기록 에이전트 설정을 위해 기초 데이터베이스 분석을 통한 접근 어플리케이션 영역을 식별하고 해당 접근 어플리케이션에 로그 기록 에이전트를 삽입하며 각 부분에 삽입된 로그 기록 에이전트로부터 수집된 사용 기록을 분석하여 예외적인 접근에 대해 분석하고 개인 정보 보호 위험을 탐지하여 관리자에게 통보할 수 있다.
본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법 및 장치가 사용되는 경우, 자바 에이전트를 활용한 서버 이전 단에서 바이트코드(ByteCode) 변조를 기반으로 한 보안에 대한 첫 시도로서 현재의 시도 되고 있는 많은 해킹에 대한 대책이 될 수 있다. 또한, 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법 및 장치가 수많은 변수 상황에 대해 유동적으로 대처할 수 있으며 데이터가 쌓일수록 많은 패턴을 인식하게 되어 보안 효과가 강화될 수 있다.
도 1은 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법을 나타낸 순서도이다.
본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법 및 장치는 어플리케이션 레벨 개인 정보 관련 질의, 탐색 등에 대한 로그 기록과 분석을 통한 개인 정보 유출 위험을 탐지하고 조기 경고할 수 있다.
도 1을 참조하면, 기초 데이터베이스 분석을 기반으로 접근 어플리케이션 영역을 식별할 수 있다(단계 S100).
본 발명의 실시예에 따르면 접근 어플리케이션에 로그 기록 에이전트 설정(또는 자바 에이전트 설정)을 위해 접근 어플리케이션 영역이 식별될 수 있다.
접근 어플리케이션에 로그 기록 에이전트를 삽입한다(단계 S110).
로그 기록 에이전트(또는 자바 에이전트)는 클라이언트로부터 요청된 이벤트를 어플리케이션 접속 이전에 캐치할 수 있다. 로그 기록 에이전트는 부분적인 정보를 후킹하기 위해 바이트코드를 변조하여 클래스를 생성하여 JVM으로 올려줄 수 있다. 위와 같은 바이트코드 변조를 기반으로 한 후킹 방법을 사용하여 수집된 패턴을 분석하여 비정상적인 접근에 대해 알릴 수 있다.
접근 어플리케이션에 삽입된 로그 기록 에이전트로부터 사용 기록을 수집하고 분석하여 예외적인 접근이 분석될 수 있다(단계S120).
예외적인 접근이 있는 경우, 개인 정보 보호 위험을 탐지하여 관리자에게 통보할 수 있다(단계 S130).
본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법에서 기능적 요구 사항으로 에이전트는 JAVA JVM의 '-javaagent' 옵션으로 JVM에 로드되어 동작해야 한다. 접근 어플리케이션의 실행 내역 후킹 부분에서 유저는 접근 어플리케이션을 사용하는 이용자를 의미할 수 있다.
예를 들어, 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법은 유저의 요청 URI(uniform resource identifier)를 수집할 수 있고, 유저의 현재 요청 이전의 요청 URI(Referer)를 수집할 수 있다. 또한, 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법은 유저의 요청 파라미터 목록, 유저의 세션 값 목록 및 내용을 수집할 수 있도록 한다. 이뿐만 아니라, 본 발명의 실시예에 따른 자바 에이전트를 이용한 보안 강화 방법은 쿼리 수행 내역을 수집할 수 있도록 하고, 쿼리 수행 결과를 수집할 수 있도록 한다. 수집된 결과는 분석되어 예외적인 접근 여부를 분석하기 위해 사용될 수 있다.
또한, 후킹한 내역을 로그 수집 서버로 전송하기 위한 통신 프로토콜이 설정될 수 있고, 통신 프로토콜은 로그 수집 서버에서 전송 내역을 유연하게 활용하기 위해 설정될 수 있다. 로그 수집 서버는 관리 서버에서 설정된 내용에 따라 로그 기록 에이전트에서 전송된 내용을 해석하여 로그로 기록할지 여부를 판단할 수 있는 유연한 구조로 설계될 수 있다. 수집된 로그는 데이터베이스에 저장될 수 있다. 보조적으로 파일 구조나 기타 방법을 사용하여 수집된 로그가 저장될 수 있다. 데이터베이스에 로그 기록시 관리 서버로 로그를 기록한다는 신호가 전송될 수 있다.
본 발명의 실시예에 따른 자바 에이전트(또는 로그 기록 에이전트)를 이용한 보안 강화 방법을 지원하기 위한 요구 사항으로 구동 JAVA 버전은 JAVA EE 5 이상으로 하고, 다양한 WAS(web application server)를 지원하며, 자바 에이전트가 지원하는 WAS의 종류는 최소 3가지 이상으로 한다. 최소 요구 WAS는 Apache Tomcat, Tmax JEUS, Oracle Weblogic으로 하고, WAS의 버전은 WAS의 Servlet 스펙 지원 여부에 따라 결정될 수 있다.
Servlet 스펙은 2.5(JAVA EE 5) 이상으로 한다. 자바 에이전트의 성능은 자바 에이전트를 실행하지 않을 때 대비하여 자바 에이전트를 실행할 때 95% 이상의 후킹 대상 웹 어플리케이션의 성능을 보장해야 한다. 로그 수집 서버는 자바 에이전트가 전송하는 정보를 누락되지 않게 실시간으로 로그 기록 여부를 판단하여 처리할 수 있어야 한다.
인터페이스 요구 사항은 통신 인터페이스 제공에 있어서 자바 에이전트와의 통신 인터페이스를 제공해야 하고, 프로토콜은 자율로 하되 누락되는 패킷이 없도록 설계될 수 있다.
도 2는 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정에서 사용되는 클래스와 메소드를 나타낸 개념도이다.
도 2를 참조하면, 클라이언트(200)의 요청이 있는 경우, WAS(210)는 초기화(initialize)를 수행하고 서브렛 컨테이너(Servlet container)(220)을 생성할 수 있다.
Servelet container(220)는 Service(HttpServletRequest req, HttpServletResponse, resp), doGet(HttpServletRequest req, HttpServletResponse, resp)를 통해 요청에 따른 응답 절차를 위한 동작을 수행할 수 있다.
로그 기록 에이전트(230)는 addTranformer(new SleepingClassFileTransformer)를 기반으로 클라이언트(200)로부터 요청된 이벤트를 어플리케이션 접속 이전에 캐치하여 바이트코드를 변조하는 클래스를 생성하여 JVM으로 올려주기 위한 동작을 수행할 수 있다.
클래스 트랜스포머(ClassTranformer)(240)는 바이트코드의 변조를 기반으로 한 클래스를 생성하여 JVM으로 올려줄 수 있다. QueryString의 변조가 주요 요소가 될 수 있다.
도 3은 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정에서 변화하는 객체의 흐름과 데이터를 나타낸 개념도이다.
도 3을 참조하면, 클라이언트(300)는 WAS(310)로 요청 정보를 전송할 수 있다.
WAS(310)는 초기화 동작 및 수행하고 Servlet container(320)을 생성할 수 있다
Servelet container(320)는 컴파일 동작, 서비스 동작, doGet 동작을 수행하여 요청에 대한 응답을 WAS(310)를 통해 클라이언트로 제공할 수 있다.
또한, Servelet container(320)는 로그 기록 에이전트(330)로 바이트코드를 변조하는 클래스를 생성하여 JVM으로 올려주기 위한 동작을 수행할 것을 요청할 수 있다.
로그 기록 에이전트(330)는 addTranformer(new SleepingClassFileTransformer)를 기반으로 클라이언트(320)로부터 요청된 이벤트를 어플리케이션 접속 이전에 캐치하여 바이트코드를 변조하는 클래스를 생성하여 JVM으로 올려주기 위한 동작을 수행할 수 있다. 로그 기록 에이전트(330)는 위와 같은 바이트코드 변조를 기반으로 한 후킹 방법을 기반으로 수집된 패턴을 분석하여 비정상적인 접근에 대해 알릴 수 있다.
즉, 접근 어플리케이션에 삽입된 로그 기록 에이전트(330)를 기반으로 사용 기록에 대한 수집 및 분석이 수행되고, 예외적인 접근이 분석될 수 있다. 만약, 예외적인 접근이 있는 경우, 개인 정보 보호 위험을 탐지하여 수집 서버(340)로 통보할 수 있다.
도 4는 본 발명의 실시예에 따른 로그 기록 에이전트의 동작 과정을 나타낸 개념도이다.
도 4를 참조하면, 클라이언트(400)는 WAS(410)로 요청 정보를 전송할 수 있다.
WAS(410)는 초기화 동작 및 수행하고 Servlet container(420)을 생성할 수 있다
Servelet container(420)는 컴파일 동작, 서비스 동작, doGet 동작을 수행하여 요청에 대한 응답을 WAS(410)를 통해 클라이언트로 제공할 수 있다.
또한, Servelet container(420)는 로그 기록 에이전트(430)로 바이트코드를 변조하는 클래스를 생성하여 JVM으로 올려주기 위한 동작을 수행할 것을 요청할 수 있다.
로그 기록 에이전트(또는 로그 후킹 에이전트 모듈)(430)는 바이트코드를 변조하는 클래스를 생성하여 JVM으로 올려주기 위한 동작을 수행할 수 있다. 로그 기록 에이전트(430)는 위와 같은 바이트코드 변조를 기반으로 한 후킹 방법을 기반으로 수집된 패턴을 분석하여 수집 서버(440)로 비정상적인 접근에 대해 알릴 수 있다.
즉, 접근 어플리케이션에 삽입된 로그 기록 에이전트(430)를 기반으로 사용 기록에 대한 수집 및 분석이 수행되고, 예외적인 접근이 분석될 수 있다. 만약, 예외적인 접근이 있는 경우, 개인 정보 보호 위험을 탐지하여 수집 서버(440)로 통보할 수 있다.
도 5는 본 발명의 실시예에 따른 로그 수집 서버의 로그 수집 동작을 나타낸 개념도이다.
로그 수집 서버는 수집된 패턴 중 비정상적인 접근인지 여부에 대해 판단할 수 있다.
예를 들어, 로그 수집 서버는 수집된 로그 중 개인 정보의 과도한 접근과 관련된 로그가 있는지 여부에 대해 판단할 수 있다. 예를 들어, 로그 수집 서버는 특정 클라이언트가 개인 정보가 저장된 데이터베이스에 대한 접근 로그가 발생하는 경우, 비정상적인 접근으로 인지할 수 있다.
로그 수집 서버는 위와 같은 비정상적인 접근이 발생하는 경우, 특정 클라이언트의 접근 경로를 분석하여 특정 클라이언트에 대응되는 IP를 기반으로 한 접근을 차단할 수 있다.
로그 수집 서버는 복수개의 서버로 구현될 수 있고, 클라이언트의 접근에 대해 분석은 복수의 로그 수집 서버 각각을 기반으로 수행될 수 있다.
예를 들어, 클라이언트가 방문한 웹에 대한 로그 정보는 제1 로그 수집 서버(510)가 수집할 수 있고, 클라이언트에 의해 입력된 입력 정보는 제2 로그 수집 서버(520)가 수집할 수 있고, 제3 로그 수집 서버(530)는 클라이언트가 각 웹 사이트를 방문한 시간을 수집하고 제4 로그 수집 서버(540)는 클라이언트가 각 웹 사이트에서 다운로드한 정보를 수집할 수 있다.
제1 로그 수집 서버(510) 내지 제4 로그 수집 서버(540) 각각에서 수집된 수집 정보는 하나의 클라이언트를 기준으로 결합되어 분석될 수 있다.
예를 들어, 제1 로그 수집 서버(510)에서 수집된 정보가 제1 정보, 제2 로그 수집 서버(520)에서 수집된 정보가 제2 정보, 제3 로그 수집 서버(530)에서 수집된 정보가 제3 정보, 제4 로그 수집 서버(540)에서 수집된 정보가 제4 정보라고 한다면, 제1 정보 내지 제4 정보 각각에는 클라이언트 및 해당 로그가 수집된 시간을 기준으로 한 식별자가 부여될 수 있다.
통합 로그 수집 서버(550)는 제1 로그 수집 서버(510) 내지 제4 로그 수집 서버(540)에서 수집된 제1 정보 내지 제4 정보를 통합하여 특정 시간 별로 하나의 클라이언트에 대한 로그 정보를 추출할 수 있다.
하나의 클라이언트에 대한 로그 정보를 분석하여 클라이언트가 입력 값을 일정 시간 내에 임계 횟수 이상 변화시켜서 특정 정보에 대한 접근을 하려고 하는지 여부를 결정하여 클라이언트의 비정상적인 접근 여부를 판단할 수 있다.
이와 같은 자바 에이전트를 이용한 보안 강화 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (10)

  1. 로그 수집 서버를 기반으로 한 보안 강화 방법에 있어,
    클라이언트의 접근에 대해 분석은 복수의 로그 수집 서버 각각을 기반으로 수행되는 단계;
    복수의 로그 수집 서버 각각에는 클라이언트 및 해당 로그가 수집된 시간을 기준으로 한 식별자가 부여되는 단계;
    통합 로그 수집 서버에서 상기 복수의 로그 수집 서버 각각에서 수집된 수집 정보를 통합하여 특정시간 별로 하나의 클라이언트에 대한 로그 정보를 추출하여, 수집정보가 하나의 클라이언트를 기준으로 결합되어 분석되는 단계;
    통합 로그 수집 서버에서 하나의 클라이언트에 대한 로그 정보를 분석하여 클라이언트가 입력 값을 일정 시간 내에 임계 횟수 이상 변화시켜서 특정 정보에 대한 접근을 하려고 하는지 여부를 결정하여 클라이언트의 비정상적인 접근 여부를 판단하는 단계; 및
    수집된 정보 중 비정상적인 접근이 발생하는 경우, 특정 클라이언트의 접근 경로를 분석하여 특정 클라이언트에 대응되는 IP를 기반으로 한 접근을 차단하는 단계;를 포함하여 구성된 것을 특징으로 하는 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
KR1020150154223A 2015-11-04 2015-11-04 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 KR101754195B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150154223A KR101754195B1 (ko) 2015-11-04 2015-11-04 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150154223A KR101754195B1 (ko) 2015-11-04 2015-11-04 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법

Publications (2)

Publication Number Publication Date
KR20170052779A KR20170052779A (ko) 2017-05-15
KR101754195B1 true KR101754195B1 (ko) 2017-07-06

Family

ID=58739790

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150154223A KR101754195B1 (ko) 2015-11-04 2015-11-04 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법

Country Status (1)

Country Link
KR (1) KR101754195B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102259557B1 (ko) * 2020-01-16 2021-06-02 주식회사 삼오씨엔에스 개인정보 비정상접속 행위를 차단할 수 있는 파르고스 플랫폼을 구비한 개인정보 보호 시스템
CN111639936B (zh) * 2020-05-24 2023-08-25 中信银行股份有限公司 交易信息的获取方法、装置、电子设备及可读存储介质
CN116644425B (zh) * 2022-04-02 2024-02-20 港珠澳大桥管理局 基于Javaagent的Web漏洞即时阻断方法、装置、设备和存储介质

Also Published As

Publication number Publication date
KR20170052779A (ko) 2017-05-15

Similar Documents

Publication Publication Date Title
US11057427B2 (en) Method for identifying phishing websites and hindering associated activity
US10212134B2 (en) Centralized management and enforcement of online privacy policies
US9854057B2 (en) Network data collection and response system
EP3256981B1 (en) System, apparatus and method for anonymizing data prior to threat detection analysis
Malik et al. CREDROID: Android malware detection by network traffic analysis
Bortolameotti et al. Decanter: Detection of anomalous outbound http traffic by passive application fingerprinting
EP3295359A1 (en) Detection of sql injection attacks
CN105359156B (zh) 非法访问检测系统和非法访问检测方法
US10728267B2 (en) Security system using transaction information collected from web application server or web server
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
KR101754195B1 (ko) 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR101658456B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
Mohammadmoradi et al. Making whitelisting-based defense work against badusb
KR101271449B1 (ko) Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체
CN111756707A (zh) 一种应用于全球广域网的后门安全防护装置和方法
KR101650475B1 (ko) 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
CN114793171A (zh) 访问请求的拦截方法、装置、存储介质及电子装置
CN114157504A (zh) 一种基于Servlet拦截器的安全防护方法
KR100695489B1 (ko) 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right