KR101865690B1 - Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 - Google Patents

Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 Download PDF

Info

Publication number
KR101865690B1
KR101865690B1 KR1020160099660A KR20160099660A KR101865690B1 KR 101865690 B1 KR101865690 B1 KR 101865690B1 KR 1020160099660 A KR1020160099660 A KR 1020160099660A KR 20160099660 A KR20160099660 A KR 20160099660A KR 101865690 B1 KR101865690 B1 KR 101865690B1
Authority
KR
South Korea
Prior art keywords
packet
web
log
file
log file
Prior art date
Application number
KR1020160099660A
Other languages
English (en)
Other versions
KR20180016685A (ko
Inventor
장진영
강희택
Original Assignee
주식회사 시큐다임
강희택
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐다임, 강희택 filed Critical 주식회사 시큐다임
Priority to KR1020160099660A priority Critical patent/KR101865690B1/ko
Publication of KR20180016685A publication Critical patent/KR20180016685A/ko
Application granted granted Critical
Publication of KR101865690B1 publication Critical patent/KR101865690B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일측면에 따르면, 웹서버에 접속 이벤트가 발생되는 단계; 웹서버에서 상기 접속 이벤트에 프로세스를 실행하기 위하여 상기 접속 이벤트에 대한 암호화 패킷을 복호화하는 단계; 로그파일 에이전트가 상기 복호화된 접속이벤트에 대한 로그 파일을 패킷 재생성장치로 전송하는 단계; 상기 패킷 재생성장치의 웹로그 수집부에서 상기 로그파일 에이전트에서 전송된 로그파일을 수신하여 저장하는 단계; 상기 패킷 재생성장치의 웹로그 필터부에서 상기 웹로그 수집부에 수신된 로그 파일의 포멧을 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여 가시성 변환대상을 선택하는 단계; 상기 패킷 재생성장치의 파일변환부에서 상기 가시성 변환대상으로 선택된 로그 파일을 tcp.stream 통신으로 컨버팅한 PCAP 파일 형식으로 변환하는 단계; 및 상기 패킷 재생성장치의 전송부에서 상기 변환된 PCAP 파일을 network Interface를 통하여 가시성 확보를 위한 보안처리장비에 packet 형태로 전송하는 단계; 를 포함하는 것을 특징으로 하는 네트워크 보안 감시 방법이 제공된다.

Description

HTTPS 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법{security monitoring system and method of network for visibility of HTTPS-based connection}
본 발명은 HTTPS 기반 통신의 가시성이 확보를 위한 네트워크 보안 감시시스템 및 방법에 관한 기술이다.
SSL(Secure Sockets Layer)은 통신 과정에서 전송계층 종단간 보안과 데이터 무결성을 확보하기 위한 암호화 기술로, 웹 브라우징, 전자 메일, 인스턴트 메신저, VoIP 등 응용 부분에 적용하고 있다.
최근 HTTP 프로토콜을 암호화해 보안성을 높인 SSL(Secure Sockets Layer) 프로토콜을 적용하는 사이트가 늘어나면서 네트워크 가시성 솔루션이 주목받고 있다. 암호화된 트래픽을 복호화하는 과정에서 발생하는 성능 저하를 최소화하고, SSL 트래픽에 숨겨진 보안 위협을 사전에 차단하고자 하는 과제를 해결하기 위해서이다.
현재 주요 브라우저와 SNS, 웹메일 등에서 SSL을 이용하는 HTTPS 통신을 사용하고 있으며, 기업 트래픽의 대부분이 암호화로 데이터를 전송한다.
HTTPS 기반 통신은 웹사이트를 통과하는 모든 데이터에 대한 안전성을 확보하기 위한 것으로 기존에는 전자상거래, 인터넷 뱅킹 등에 주로 사용됐으나, 최근에는 주요 검색사이트 및 G메일, 페이스북 등의 사이트에도 적용하고 있다.
전 세계에서 가장 방문자 수가 많은 포탈 사이트들 모두 HTTPS 또는 트래픽 암호화를 사용해 별도의 복호화 작업 없이는 트래픽 탐지가 불가능한 보안 기기로 렌더링하고 있는 것으로 알려져있다.
그리고 웹 환경이 HTTP/1.0, HTTP/1.1에서 새로운 버전인 HTTP/2.0이 등장되고 있는데, HTTP/2.0에서는 모든 통신이 TLS 위에서만 동작되는, 암호화 통신 https 만 지원을 하게 됨에 따라 더더욱 암호화 통신에 대한 가시성 확보가 중요하다.
그러나 트래픽 암호화는 사이버 범죄에 악용되기 쉬운 맹점도 있다. 암호화된 트래픽에 악성코드를 숨겨 침입할 수 있기 때문이다. SSL 트래픽에 숨겨진 악성코드는 전통적인 방화벽이나 침입 보호 시스템(IPS)에서 걸러지지 않기 때문에 자칫 기업 보안에 큰 위협이 될 수 있다.
암호화된 트래픽을 들여다보기 위해서는 기업 보안 경계에서 SSL 복호화를 수행해야 하는데, 이는 큰 성능 저하를 불러온다.
네트워크 상에서 HTTPS의 사용량이 매년 20% 이상 증가되는 추세 (전체 Web 사용량 중 HTTPS 사용률 10 ~ 30% 수준)이다.
가트너에서는 2015년말 전세계 인터넷 트래픽의 50% 이상이 암호화 통신이 될 것으로 예상한 바 있다.
이에 따른 사내 보안제품(F/W, IPS, IDS, DLP, SANDBOX, 포렌직, WAF)들의 HTTPS 복호화를 제공하는 솔루션과의 연동 없이는 HTTPS에 대한 가시성 미 확보되어 이에 따른 보안문제가 제기될 수 있다.
또한, 네트워크 구성상 in line모드(Transparent) 환경에서의 복호화를 위한 보안처리장비를 형성할 경우 네트워크 서비스의 안정성이 저하되거나, Cipher suit 변경에 대한 신속 지원에 한계를 나타낼 수 있다.
그리고 Out-Of-Path(Explicit) 모드 환경에서 보안처리장비를 형성할 경우는, 키 교환 방식이 EC(타원곡선 Elliptic Curve) 방식인 ECDH (Elliptic Curve Diffie-Hellman) , ECDHE(Elliptic Curve Diffie-Hellman Ephemeral) 대칭키교환 방식에 대해서는 복호화가 불가하여 암호화 트래픽에 대한 복호화 기능을 제공할 수 없다. 게다가 해당 경우는 웹서버(WAS)의 Private Key 공유에 대한 해킹 위험성이 존재할 수 있다.
애플리케이션 중심 사회가 가속화되면서 웹 환경도 애플리케이션으로 빠르게 전환되고 있다. 웹이 모든 업무에서 활용되고 있는 만큼, 웹 애플리케이션은 비즈니스를 진행하는 중요한 수단으로 자리잡고 있다.
웹 애플리케이션 공격은 알려지거나, 알려지지 않은 웹 애플리케이션 취약점을 악용한 공격과 함께 웹 스크랩핑, 피싱, 파밍 등 사기공격, L7 디도스, 부르트포스 공격 등으로 중요 데이터 유출과 비즈니스 경쟁력 감소, 신뢰도 악화, 금전적인 피해를 입게 된다.
따라서, 웹 방화벽은 HTTP/HTTPS 지원, 행위기반 애플리케이션 디도스 방어, 세션 기반 브루트포스 공격 방어, 브라우저 보호 등이 필수적으로 요구된다.
이중에서도 특히 HTTP/HTTPS 지원 부문에서는 웹 성능에 부하를 주지 않으면서, SSL/TLS 가시성을 확보되어야 한다.
따라서, 복잡한 네트워크 인프라 내에서 보안성을 높이는 것은 물론, 성능 모니터링을 통해 애플리케이션 효율성을 극대화할 수 있는 네트워크 가시성 확보 방안이 요구된다.
본 발명 기술에 대한 배경기술은 대한민국 공개특허공보 2005-0032765호에 게시된다.
대한민국 공개특허공보 KR 2005-0032765A호(인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법)
본 발명은 보안처리장비로 인한 네트워크 서비스에 대한 성능저하를 최소화하면서 웹서버에 암호화 패킷으로 접속되는 https 통신에 대한 가시성을 확보할 수 있는 네트워크 보안 감시방법을 제공하는 것이다.
또한, 본 발명의 또 다른 목적은 보안처리장비로 인한 네트워크 서비스에 대한 성능저하를 최소화하면서 웹서버에 암호화 패킷으로 접속되는 https 통신과 일반적인 HTTP 통신에 대한 가시성을 확보할 수 있는 네트워크 보안 감시방법을 제공하는 것이다.
본 발명의 목적은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다
본 발명의 일측면에 따르면, 웹서버에 접속 이벤트가 발생되는 단계; 웹서버에서 상기 접속 이벤트에 프로세스를 실행하기 위하여 상기 접속 이벤트에 대한 암호화 패킷을 복호화 하는 단계; 로그파일 에이전트가 상기 복호화된 접속이벤트에 대하여 로그 파일을 생성하여 패킷 재생성장치로 전송하는 단계; 상기 패킷 재생성장치의 웹로그 수집부에서 상기 로그파일 에이전트에서 전송된 로그파일을 수신하여 저장하는 단계; 상기 패킷 재생성장치의 웹로그 필터부에서 상기 웹로그 수집부에 수신된 로그 파일의 포멧를 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여 가시성 변환대상을 선택하는 단계; 상기 패킷 재생성장치의 파일변환부에서 상기 가시성 변환대상으로 선택된 로그 파일을 tcp.stream 통신으로 컨버팅한 PCAP 파일 형식으로 변환하는 단계; 및 상기 패킷 재생성장치의 전송부에서 상기 변환된 PCAP 파일을 network Interface를 통하여 가시성 확보를 위한 보안처리장비에 packet 형태로 전송하는 단계; 를 포함하는 것을 특징으로 하는 네트워크 보안 감시 방법이 제공된다.
상기 로그파일 에이전트가 상기 패킷 재생성장치로 상기 로그파일을 전송하는 단계 이전에 상기 복호화된 접속이벤트에 대한 로그파일을 생성하여 저장하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 네트워크 보안 감시 방법은, 상기 보안처리장비에서 패킷 재생성 장치의 전송부로부터 전송된 packet 형태의 PCAP 파일을 수신하는 단계; 상기 보안처리장비에서 상기 수신된 PCAP 파일을 사용자 화면으로 display하고 웹로그를 분석하여 블랙리스트 패턴인지를 판단하는 단계; - 여기서 블랙리스트 패턴은 알려진 침입패턴, 악성패턴으로 학습된 패턴 및 시그니쳐 베이스의 정해진 공격 모델 중 어느 하나를 의미함- 상기 보안처리장비에서 상기 블랙리스트 패턴으로 판단된 경우에는 경고 메시지를 출력하는 단계; 를 더 포함하는 것을 특징으로 한다.
또한, 상기 네트워크 보안 감시 방법은, 상기 보안처리장비에서 패킷 재생성 장치의 전송부로부터 전송된 packet 형태의 PCAP 파일을 수신하는 단계; 상기 보안처리장비에서 상기 수신된 PCAP 파일을 사용자 화면으로 display하고 웹로그를 분석하여 이상 징후 패턴인지를 판단하는 단계; -여기서 비정상적인 패턴은 비정상적으로 데이터량이 증가된 패턴, CPU를 사용하는 패턴 및 정해진 모델을 벗어나는 패턴 중 어느 하나인 것을 의미함- 상기 이상징후 패턴인 경우는 상기 웹로그에 대한 웹페이지를 display하는 단계; 상기 웹로그에 대하여 악성패턴으로 분류하여 입력되는 단계; 및 상기 웹로그 패턴 및 해당 IP를 블랙리스트 데이터에 등록하는 단계; 를 더 포함하는 것을 특징으로 한다.
본 발명의 또 다른 측면에 따르면, 웹서버; 상기 웹서버에 접속된 이벤트에 대하여 가시성 확보를 위한 모니터링 제어를 수행하는 보안처리장비; 상기 웹서버에 설치되며, 상기 웹서버에 접속 이벤트가 발생시, 상기 웹서버에서 상기 접속 이벤트에 프로세스를 실행하기 위하여 상기 접속 이벤트에 대한 암호화 패킷을 복호화하면, 상기 복호화된 접속이벤트에 대하여 로그 파일을 생성하여 저장하는 로그파일 에이전트; 상기 로그파일 에이전트에서 전송된 로그파일을 수신하여 저장하는 패킷 재생성장치의 웹로그 수집부; 상기 웹로그 수집부에 수신된 로그 파일의 포멧을 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여 가시성 변환대상을 선택하는 기능을 수행하는 패킷 재생성장치의 웹로그 필터부; 상기 가시성 변환대상으로 선택된 로그 파일을 tcp.stream 통신으로 컨버팅한 PCAP 파일 형식으로 변환하는 기능을 수행하는 패킷 재생성장치의 파일변환부; 및
상기 변환된 PCAP 파일을 network Interface를 통하여 상기 보안처리장비에 packet 형태로 전송하는 기능을 수행하는 패킷 재생성장치의 전송부; 를 포함하는 것을 특징으로 하는 네트워크 보안 감시 시스템이 제공된다.
본 발명의 일 실시 예에 따른 네트워크 보안 감시시스템 및 방법에 의하면, -네트워크 서비스에 대한 트래픽 증가나 성능 저하를 최소화하면서, 접속된 HTTPS(SSL)을 확인 가능한 packet 형태로 보안처리장비에 전송하여 접속이벤트가 발생된 HTTPS에 대한 가시성 확보를 효율적으로 수행할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 감시시스템이 적용된 네트워크 구성의 일 예를 도시한 것이다.
도 2 는 본 발명의 일 실시 예에 따른 네트워크 보안 감시방법에 대한 순서도를 도시한 것이다.
도 3은 본 발명의 일 실시 예에 따라 패킷 재생성장치에서 변환된 PCAP 파일의 예를 도시한 것이다.
도 4는 본 발명의 일 실시 예에 따른 보안처리장비에서 모니터링 제어 방법에 대한 순서도를 도시한 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서 전체에서, "상에"라 함은 대상 부분의 위 또는 아래에 위치함을 의미하는 것이며, 반드시 중력 방향을 기준으로 상 측에 위치하는 것을 의미하는 것이 아니다.
이하 본 발명의 구현에 따른 네트워크 보안 감시시스템 및 방법에 대하여 상세하게 설명한다.
웹서버에는 불법 침입에 대해 탐지, 차단 및 웹서버의 운영상태에 대한 가시성 확보를 위하여 IDS등과 같은 보안처리장비가 설치된다.
일반적으로 보안처리장비는 SSL 통신 등과 같이 암호화로 전송된 TCP통신 패킷을 자체적으로 탐지할 수 없고, 이들을 복호화 장비 등을 통하여 복호화한 후에야 탐지가 가능하다.
이러한 복호화 장비 등은 트래픽 및 웹 성능 부하에 영향을 미치게 된다.
본 발명의 일 실시 예에 따른 네트워크 보안 감시시스템 및 방법은 위와 같은 보안처리장비의 복호화로 인한 네트워크 서비스 성능 저하를 방지하고, HTTPS(SSL) 형식의 데이터를 보안처리장비에서 탐지할 수 있는 packet 형태로 변환한 후, 이를 전송함으로써, HTTP/HTTPS에 대한 가시성을 확보할 수 있는 네트워크 보안 감시시스템 및 방법을 제공할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 감시시스템이 적용된 네트워크 구성의 일 예를 도시한 것이다.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 네트워크 보안 감시시스템은 무선 또는 유선 네트워크(150)와 상호 접속된 웹서버(10)에 패킷 재생성장치(120)가 접속된다.
또한, 웹서버(10)에는 가시성 확보를 위한 모니터링 또는 정책에 따른 세션 차단 등의 기능을 수행하는 보안처리장비(130)가 접속된다.
본 발명의 일 실시 예에 따르면, 웹서버(110)에는 로그파일 에이전트(125)가 설치된다.
도 1을 참조하면, 클라이언트가 네트워크(150)를 통하여 웹서버(110)에 SSL 등의 암호화 통신으로 접속하면, 웹서버(110)에서는 이를 복호화한 후, 클라이언트의 이벤트 요구에 따른 프로세스를 수행하게 된다.
로그파일 에이전트(125)는 웹서버(110)에 접속되는 복호화된 이벤트에 대하여 웹 로그(HTTP/HTTPS) 형식의 로그 파일을 생성하여 저장하고, 상기 로그 파일을 패킷 재생성장치(120)로 전달하는 기능을 수행한다.
또는 로그파일 에이전트(125)는 웹서버(110)에 접속되는 복호화된 이벤트에 대하여 웹 로그(HTTP/HTTPS) 형식의 로그 파일을 바로 패킷 재생성장치(120)로 전달하는 기능이 수행될 수도 있다. 본 발명의 일 실시 예에 따르면, 로그파일을 웹서버에 저장하거나, 또는 웹서버에 파일 저장을 하지 않고 Direct로 패킷 재생성 장치로 전송하는 방식을 채택할 수도 있다. 이런 경우 웹서버의 파일 생성에 대한 resource 를 사용하지 않음으로 웹서버의 성능 저하를 최소화할 수 있다.
본 발명에서 로그파일(logfile)은 운영 체제나 다른 소프트웨어가 실행 중에 발생하는 이벤트나 각기 다른 사용자의 통신 소프트웨어 간의 메시지를 기록한 파일로서, 웹 로그(HTTP/HTTPS)가 저장된 파일을 의미한다.
본 발명의 일 실시 예에 따른 패킷 재생성장치(120)는 웹서버(20) 내에 하나의 섹션으로 설치되거나, 또는 별도의 장비로 설치될 수 있다.
도 1을 참조하면, 패킷 재생성장치(120)는 웹로그 수집부(121), 웹로그 필터부(122), 파일변환부(123) 및 전송부(124)를 포함하며, 로그파일 에이전트(125)로부터 웹서버(20)에 접속되어 복호화된 웹 로그(HTTP/HTTPS) 형식의 log 파일을 전송받아서 보안처리장비가 인식할 수 있는 파일로 변환하여 보안처리장비(130)로 전송하는 기능을 수행한다.
본 발명의 일 실시 예에 따른 보안처리장비(130)는 IDS 또는 IPS가 적용될 수 있다.
본 발명의 일 실시 예에 따른 보안처리장비(130)는 네트워크(150)와 웹서버(110) 사이에서 in line으로 설치되어 침입망을 감시와 차단하는 기능(IPS), 을 수행하거나, Out-Of-Path로 설치되어 침입망을 탐지하거나(IDS), 또는 웹서버(110)에 접속되어 monitering 기능으로 수행될 수 있다.
본 발명의 일 실시 예에 따른 패킷 재생성장치(120)의 웹로그 수집부(121)에서는 로그파일 에이전트(125)에서 전송된 로그파일을 수신하여 메모리 상에서 처리 및 저장하는 기능이 수행된다.
본 발명의 일 실시 예에 따른 패킷 재생성장치(120)의 웹로그 필터부(122)에서는 웹로그 수집부(121)에 수신된 로그 파일의 포멧(format)을 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여, 설정된 웹로그 문자열이 포함된 로그 파일을 가시성 변환대상으로 선택하는 기능이 수행된다.
본 발명의 일 실시 예에 따른 패킷 재생성장치(120)의 파일변환부(123)에서는 가시성 변환대상으로 선택된 로그 파일을 보안처리장비(130)에서 인식할 수 있도록 tcp.stream 통신으로 컨버팅한 PCAP(packet capture) 파일 형식으로 변환하는 기능이 수행된다.
본 발명의 일 실시 예에 따른 패킷 재생성장치(120)의 전송부(124)에서는 변환된 PCAP 파일을 network Interface를 통하여 packet 형태로 전송하는 기능이 수행된다.
도 2 는 본 발명의 일 실시 예에 따른 네트워크 보안 감시방법에 대한 순서도를 도시한 것이다.
210단계에서 웹서버(110)에 접속이벤트가 발생되면, 220단계에서 웹서버(110)는 접속 이벤트에 대한 프로세스를 실행하기 위하여 복호화하여 접속이벤트에 대한 암호화 통신을 복호화 하는 단계가 수행된다.
230단계에서 로그파일 에이전트(125)는 상기 복호화된 접속이벤트에 대하여 HTTP/HTTPS 로그 파일을 생성하여 저장한다.
또는 본 발명의 또 다른 실시 예에서는 상기 복호화된 접속이벤트에 대하여 HTTP/HTTPS 로그 파일을 생성하여 저장하는 것은 웹서버(110) 자체에 탑재된 기능을 이용하여 수행될 수 있다.
2401단계에서 로그파일 에이전트(125)는 상기 로그 파일을 패킷 재생성장치(120)로 전송한다.
250단계에서 패킷 재생성장치(120)에서 상기 로그파일 에이전트(125)에서 전송된 로그파일을 수신하여 웹로그 수집부(121)에 저장한다.
260단계에서 웹로그 필터부(122)에서 상기 웹로그 수집부(121)에 수신된 로그 파일의 포멧(format)을 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여 가시성 변환대상인지를 판단하는 단계가 수행된다.
본 발명의 일 실시 예에 따른 설정된 웹로그 문자열은 PUT, GET, POST 중 어느 하나 이상이 포함될 수 있다.
260단계에서 웹로그 필터부(122)는 상기 웹로그 수집부(121)에 수신된 로그 파일의 포멧(format)을 검색하여 설정된 웹로그 문자열이 포함되어 있지 않으면, 프로세스를 종료한다.
260단계에서 웹로그 필터부(122)는 상기 웹로그 수집부(121)에 수신된 로그 파일의 포멧(format)을 검색하여 설정된 웹로그 문자열이 포함되어 있다고 판단되면, 웹로그 필터부(122)에서 설정된 웹로그 문자열이 포함된 로그 파일을 가시성 변환대상으로 선택하는 단계가 수행된다.
다음은 270단계에서 파일변환부(123)에서 상기 가시성 변환대상으로 선택된 로그 파일을 보안처리장비(130)에서 인식할 수 있도록 tcp.stream 통신으로 컨버팅한 PCAP(packet capture) 파일 형식으로 변환하는 단계9270 단계)가 수행된다.
도 3은 본 발명의 일 실시 예에 따라 패킷 재생성장치에서 변환된 PCAP 파일의 예를 도시한 것이다.
280단계에서는 전송부(124)에서 상기 변환된 PCAP 파일을 network Interface를 통하여 가시성 확보를 위한 보안처리장비(130)에 packet 형태로 전송하는 과정이 수행된다.
보안처리장비(130)에서는 상기 변환된 PCAP 파일을 수신하여 가시성 확보를 위한 모니터링을 수행한다.
도 4는 본 발명의 일 실시 예에 따른 보안처리장비에서 모니터링 제어 방법에 대한 순서도를 도시한 것이다.
도 4를 참조하면, 310단계에서 보안처리장비(130)에서 패킷 재생성 장치(120)로부터 전송된 packet 형태의 PCAP 파일을 수신하는 과정이 수행된다.
다음은 보안처리장비(130)에서 수신된 packet 형태의 PCAP 파일을 사용자 화면으로 display 하는 단계(320 단계)가 수행된다.
본 발명의 일 실시 예에 따른 보안처리장비(130)는 전송된 packet를 수신받아 이를 사용자 화면으로 출력하여 관리자에게 웹로그 패턴을 보여줄 수 있다.
330단계에서 보안처리장비(130)는 수신된 PCAP 파일의 웹로그를 분석하여 탐지대상인지를 판단한다.
탐지대상이 아닌 경우에는 331단계에서 종료된다.
330단계에서 탐지 대상은 침입 패턴을 포함하는 블랙리스트 패턴 또는 비정상 행위 패턴인 경우일 수 있다.
상기 330단계에서 블랙리스트 패턴으로 판단된 경우에는 351단계에서 경고메시지를 출력하거나, 해당 세션을 차단하는 단계가 수행된다.
본 발명의 일 실시 예에 따르면 보안처리장비(130)는, 블랙리스트 데이터에 등재된 알려진 침입 패턴이나, 악성패턴으로 학습되어 축적된 패턴, 시그니쳐 베이스의 정해진 공격 모델(해커들이 해킹을 전제로 사용되는 공통되고 비슷한 패턴을 의미함)과 일치하면 침입으로 간주하고 351단계에서 경고음과 함께 경고 메시지를 출력할 수 있다.
또는 보안처리장비(130)는 경고 메시지와 함께 해당 세션에 대해 차단하는 수단을 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 상기 330단계에서 보안처리장비(130)에서 비 정상 행위 패턴으로 판단된 경우에는 340단계에서 탐지 메시지를 출력한다.
본 발명의 일 실시 예에서 비정상행위 패턴은 비정상적으로 데이터량이 증가된 패턴, CPU를 사영하는 패턴, 정해진 모델을 벗어나는 패턴 등이 해당될 수 있다.
본 발명의 일 실시 예에 따른 비정상행위의 경우는 CPU를 사영하는 것에 대한 패턴 및 정해진 모델을 벗어나는 경우의 패턴일 수 있다.
본 발명의 일 실시 예에 따르면, 출력된 웹로그는 관리자가 바로 웹브라우저로 웹페이지의 확인이 가능하도록 하이퍼텍스트(hypertext)형식의 링크(link)로 구성될 수 있다.
관리자가 확인하여 악성 패턴으로 판단된 경우에는 해당 패킷 패턴 및 IP에 대하여 악성 패턴으로 분류하여 보안처리장비(130)에 입력한다.
본 발명의 일 실시 예에 따르면, 360단계에서 보안처리장비(130)에 이상 징후 IP가 접속한 페이지가 악성 패턴으로 입력된 경우는 370단계에서 해당 패킷을 블랙 리스트 데이터에 등록을 하며, 동시에 앞에서 서술한 351단계가 수행된다.
즉, 블랙리스트 등재 패턴인 경우 351단계에서 경고메시지를 출력하거나, 해당 세션을 차단하는 단계를 수행한다.
본 발명의 일 실시 예에 따른 네트워크 보안 감시방법에 의하면, 웹서버에서 복호화된 웹로그를 수집하여 보안처리장비가 인식할 수 있는 패턴으로 컨버팅을 하여 전달하는 구성을 포함함으로써, 보안처리장비로 인한 네트워크 서비스에 대한 성능저하를 최소화하면서 웹서버에 암호화 패킷으로 접속되는 https 통신과 일반적인 HTTP 통신에 대한 가시성을 효율적으로 확보할 수 있다.
이상 설명드린 본 발명의 일 실시 예에 따른 네트워크 보안 감시방법에 의하면, -네트워크 서비스에 트래픽이나 성능 저하에 대한 영향 없이 접속된 HTTPS(SSL)을 확인 가능한 packet 형태로 보안처리장비(130)에 전송하여 접속이벤트가 발생된 HTTPS에 대한 가시성 확보를 효율적으로 할 수 있다.
110: 웹서버
120: 패킷 재생성장치
121: 웹로그 수집부
122: 웹로그 필터부
123: 파일변환부
124: 전송부
125: 로그파일 에이전트
130: 보안처리장비
150: 네트워크

Claims (7)

  1. 네트워크 보안감시 시스템에 의한 HTTP/HTTPS에 대한 가시성을 확보할 수 있는 네트워크 보안 감시 방법에 있어서,
    상기 보안감시 시스템은,
    클라이언트가 네트워크를 통하여 SSL을 포함하는 암호화통신으로 접속하면 접속 이벤트에 대한 프로세스를 실행하기 위해 복호화 하는 기능을 포함하는 웹서버;
    상기 웹서버에는 복호화된 이벤트에 대하여 웹 로그 파일을 추출하는 로그파일 에이전트;가 더 설치되는 것을 특징으로 함
    상기 웹서버와 접속되어 상기 웹서버에 접속된 이벤트에 대하여 가시성 확보를 위한 감시와 제어를 수행하는 보안처리장비; 및,
    상기 웹서버와 보안처리장비에 접속되며, 상기 로그파일 에이전트로부터 상기 웹서버에서 복호화된 HTTP/HTTPS 웹 접속 로그 파일을 전송받아서 상기 보안처리장비가 인식할 수 있는 tcp stream 형식의 파일로 변환하여 상기 보안처리장비로 전송하는 기능을 수행하는 것을 포함하는 패킷 재생성장치; 를 포함하는 것을 특징으로 하며,
    상기 네트워크 보안 감시 방법은,
    상기 웹서버에 HTTP/HTTPS 형식의 접속 이벤트가 발생되는 단계;
    상기 웹서버에서 상기 접속 이벤트에 대한 프로세스를 실행하기 위하여 상기 접속 이벤트에 대한 암호화 패킷을 복호화함에 따라 상기 로그파일 에이전트가 상기 웹서버 접속이벤트에 대한 로그 파일을 패킷 재생성장치로 전송하는 단계;
    - 상기 로그파일 에이전트가 상기 패킷 재생성장치로 상기 로그파일을 전송하는 단계 전에 상기 로그파일 에이전트가 상기 복호화된 접속이벤트에 대한 로그파일을 생성하여 저장하는 단계를 더 포함하는 것을 특징으로 함 -;
    상기 패킷 재생성장치의 웹로그 수집부에서 상기 로그파일 에이전트로부터 전송된 로그파일을 수신하여 저장하는 단계;
    상기 패킷 재생성장치의 웹로그 필터부에서 상기 웹로그 수집부에 수신된 로그 파일의 포멧을 검색하여 설정된 웹로그 문자열이 포함되어 있는지를 판단하여 가시성 변환대상을 선택하는 단계;
    - 상기 설정된 웹로그 문자열은 PUT, GET 또는 POST 중 어느 하나 이상이 포함되는 것임,
    상기 패킷 재생성장치의 파일변환부에서 상기 가시성 변환대상으로 선택된 로그 파일을 상기 보안처리장비가 인식할 수 있는 tcp.stream 통신으로 컨버팅한 PCAP(packet capture) 파일 형식으로 변환하는 단계;
    상기 패킷 재생성장치의 전송부에서 상기 변환된 PCAP(packet capture) 파일을 network Interface를 통하여 상기 보안처리장비에 packet 형태로 전송하는 단계; 및
    상기 보안처리장비에서 상기 패킷 재생성 장치의 전송부로부터 전송된 packet 형태의 PCAP(packet capture) 파일을 수신하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 보안 감시 방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 보안처리장비에서 상기 패킷 재생성 장치의 전송부로부터 전송된 packet 형태의 PCAP 파일을 수신하는 단계;
    상기 보안처리장비에서 상기 수신된 PCAP 파일을 사용자 화면으로 display하고 웹로그를 분석하여 이상 징후 패턴인지를 판단하는 단계;
    - 여기서 비정상적인 패턴은 비정상적으로 데이터량이 증가된 패턴, CPU를 사용하는 패턴 및 정해진 모델을 벗어나는 패턴 중 어느 하나인 것을 의미함-
    상기 이상징후 패턴인 경우는 상기 웹로그에 대한 웹페이지를 display하는 단계;
    상기 웹로그에 대하여 악성패턴으로 분류하여 입력되는 단계; 및
    상기 악성패턴으로 분류된 웹로그 패턴 및 해당 IP를 블랙리스트 데이터에 등록하는 단계;
    를 더 포함하는 것을 특징으로 하는 네트워크 보안 감시 방법.


  5. 삭제
  6. 삭제
  7. 삭제
KR1020160099660A 2016-08-04 2016-08-04 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 KR101865690B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160099660A KR101865690B1 (ko) 2016-08-04 2016-08-04 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160099660A KR101865690B1 (ko) 2016-08-04 2016-08-04 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20180016685A KR20180016685A (ko) 2018-02-19
KR101865690B1 true KR101865690B1 (ko) 2018-06-12

Family

ID=61387613

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160099660A KR101865690B1 (ko) 2016-08-04 2016-08-04 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101865690B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102412873B1 (ko) 2021-09-16 2022-06-24 주식회사 이글루코퍼레이션 자산의 보안 감시 내역을 시간에 따라 시각적으로 표시하는 자산 운영 장치, 방법 및 프로그램
KR102449282B1 (ko) * 2022-05-04 2022-09-29 (주) 시큐러스 웹사이트 보안강화를 위한 사이트 복제 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101545687B1 (ko) * 2014-04-28 2015-08-20 주식회사 넷커스터마이즈 어플리케이션기반 패킷 분석 장치
KR101623068B1 (ko) * 2015-01-28 2016-05-20 한국인터넷진흥원 네트워크 트래픽 수집 및 분석 시스템
WO2016109005A2 (en) * 2014-10-21 2016-07-07 IronNet Cybersecurity, Inc. Cybersecurity system
KR20160087187A (ko) * 2015-01-13 2016-07-21 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100558658B1 (ko) 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101545687B1 (ko) * 2014-04-28 2015-08-20 주식회사 넷커스터마이즈 어플리케이션기반 패킷 분석 장치
WO2016109005A2 (en) * 2014-10-21 2016-07-07 IronNet Cybersecurity, Inc. Cybersecurity system
KR20160087187A (ko) * 2015-01-13 2016-07-21 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법
KR101623068B1 (ko) * 2015-01-28 2016-05-20 한국인터넷진흥원 네트워크 트래픽 수집 및 분석 시스템

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"SSL VISIBILITY APPLIANCE (가시성 어플라이언스) SV1800/SV2800/SV3800", BLUECOAT, {URL: http://www.dhitech.co.kr/partner_business/pdf/BlueCoat/BlueCoat_SSL%20Visibility%20Appliance_9.pdf} (2014.) *
간행물(2014) *

Also Published As

Publication number Publication date
KR20180016685A (ko) 2018-02-19

Similar Documents

Publication Publication Date Title
CN109845228B (zh) 用于实时检测网络黑客攻击的网络流量记录系统及方法
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
Kartaltepe et al. Social network-based botnet command-and-control: emerging threats and countermeasures
EP1330095A1 (en) Monitoring of data flow for enhancing network security
JP2017538376A (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
Carter et al. Intrusion prevention fundamentals
KR101865690B1 (ko) Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법
Ahmed et al. A Linux-based IDPS using Snort
Alnabulsi et al. Protecting code injection attacks in intelligent transportation system
Foroushani et al. Intrusion detection in encrypted accesses with SSH protocol to network public servers
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
Rai et al. Intrusion detection systems: A review
RU183015U1 (ru) Средство обнаружения вторжений
Tomar et al. Information theft through covert channel by exploiting HTTP post method
Kumar et al. Recent advances in intrusion detection systems: An analytical evaluation and comparative study
Caballero et al. Analysis of Network Protocols for Secure Communication
CN113726757B (zh) Https协议客户端的验证方法及装置
Parmar et al. Compromising cloud security and privacy by dos, ddos, and botnet and their countermeasures
Ussath et al. Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic
Mandujano et al. Outbound Intrusion Detection.
Marchette Network intrusion detection
Nurain et al. Security measures and intrusion detection systems for preventing and mitigating SSL renegotiation denial of service attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right