KR102092411B1 - Realtime Web Attack Detection Method - Google Patents

Realtime Web Attack Detection Method Download PDF

Info

Publication number
KR102092411B1
KR102092411B1 KR1020170143703A KR20170143703A KR102092411B1 KR 102092411 B1 KR102092411 B1 KR 102092411B1 KR 1020170143703 A KR1020170143703 A KR 1020170143703A KR 20170143703 A KR20170143703 A KR 20170143703A KR 102092411 B1 KR102092411 B1 KR 102092411B1
Authority
KR
South Korea
Prior art keywords
unit
source code
change
code
real
Prior art date
Application number
KR1020170143703A
Other languages
Korean (ko)
Other versions
KR20190048606A (en
Inventor
박휘랑
조영호
Original Assignee
대한민국
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 대한민국 filed Critical 대한민국
Priority to KR1020170143703A priority Critical patent/KR102092411B1/en
Publication of KR20190048606A publication Critical patent/KR20190048606A/en
Application granted granted Critical
Publication of KR102092411B1 publication Critical patent/KR102092411B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.
본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.The present invention relates to a method for detecting a web attack in real time. More specifically, the present invention relates to a method of detecting whether a webpage is falsified by downloading a webpage at a predetermined time interval and comparing the downloaded data values.
A real-time web attack detection system according to an embodiment of the present invention includes a registration unit that registers a web page that requires monitoring as a management target web page; A receiving unit repeatedly receiving the source code of the webpage to be managed by the client; An integrity verification unit that detects whether the source code has been changed through integrity verification between the received source codes; An extraction unit that compares the content of the first source code that has passed the integrity verification unit and the integrity of the source code and detects a change in the second source code by comparing the contents of the second source code; And it may be a real-time web attack prevention system including a change code storage unit for storing the change.

Description

실시간 웹공격 탐지방법 {Realtime Web Attack Detection Method}Real-time web attack detection method

본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.The present invention relates to a method for detecting a web attack in real time. More specifically, the present invention relates to a method for detecting whether a web page is falsified by downloading a web page at a predetermined time interval and comparing the downloaded data value.

이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The content described in this section merely provides background information for an embodiment of the present invention and does not constitute a prior art.

웹 페이지의 변조는 사용자에게 원본과 다른 내용을 보이도록 할 수 있다. 즉, 이미지나 플래시 파일과 같은 콘텐츠의 HTML 삽입 코드를 변경함으로써 사용자에게 보이는 콘텐츠를 전혀 다른 내용으로 교체하거나 추가 또는 삭제하는 방법 또는 사용자에게 주기적으로 특정 스펨 메시지 또는 광고를 보여주거나 인터넷 검색 결과에 나타난 하이퍼링크들은 변경하는 결과를 초래할 수 있다. 하이퍼링크의 변형으로 사용자를 피싱사이트로 유도할 경우 웹 페이지 변조는 또다른 문제를 낳을 수 있다. 이어지는 공격으로는 웹 페이지에 입력 폼 구문을 수정하는 악의적인 코드들을 심어 사용자가 입력한 정보를 가로채는 것이 있을 수 있다.Modification of the web page may cause the user to display content different from the original. That is, by changing the HTML embed code for content such as images or flash files, how to replace, add, or delete content that is visible to the user, or to periodically show a specific spam message or advertisement to the user or appear in Internet search results. Hyperlinks can result in changes. Web page tampering can create another problem if a user is redirected to a phishing site through the modification of a hyperlink. A subsequent attack could involve intercepting information entered by a user by planting malicious code that modifies the input form syntax on a web page.

또한 웹페이지 변조를 통해 저장된 데이터를 탈취, 네트워크의 패킷을 도청하는 스니핑, 권한을 도용하여 패킷을 가로채는 스푸핑등이 문제가 되고 있다. 웹페이지에 대한 중요성이 날로 커지고 있어 이러한 웹공격에 대한 방어 역시 중요해지고 있다.In addition, it is a problem to steal stored data through web page tampering, sniffing to intercept packets on the network, and spoofing to intercept packets by stealing authority. The importance of web pages is growing day by day, and defense against these web attacks is also becoming important.

종래의 웹변조 프로그램은 웹 서버마다 변조 탐지 프로그램을 설치해야 하므로, 시스템이 복잡해지는 문제가 있다. 또한, 웹 변조 탐지프로그램을 직접 공격하여 해킹할 경우 위변조 여부를 탐지할 수 없다. 현재 웹변조 악성코드 중 알려진 형태는 미리 저장된 코드내용과 변조내용을 비교하여 탐지가 가능하나, 알려지지 않은 악성코드를 통한 공격인 소위 제로데이 공격은 탐지하기 어려운 문제점이 있다.In the conventional web modulation program, a tamper detection program must be installed for each web server, and thus there is a problem that the system is complicated. Also, when hacking by directly attacking the web tamper detection program, it is impossible to detect forgery or alteration. Currently, known forms of web-modulated malicious code can be detected by comparing the contents of pre-stored code and tampering, but it is difficult to detect so-called zero-day attacks, which are attacks through unknown malicious codes.

따라서 본 발명은 이러한 문제점을 해결하고자 웹공격으로부터 안전하며, 알려지지 않은 형태의 웹변조 행위를 실시간으로 탐지, 경보하여 웹페이지 관제인력이 적시에 대응할 수 있도록 하는 방법을 제공하는 것을 목적으로 한다.Accordingly, an object of the present invention is to provide a method that enables a webpage control personnel to respond in a timely manner by detecting and alerting in real time an unknown form of web forgery, which is safe from web attacks to solve this problem.

본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.A real-time web attack detection system according to an embodiment of the present invention includes a registration unit that registers a web page that requires monitoring as a management target web page; A receiving unit repeatedly receiving the source code of the webpage to be managed by the client; An integrity verification unit that detects whether the source code has been changed through integrity verification between the received source codes; An extraction unit that compares the contents of the first source code that has passed the integrity verification unit and the integrity of the source code and detects a change in the second source code by comparing the contents of the second source code; And it may be a real-time web attack prevention system including a change code storage unit for storing the change.

또한, 무결성 검증부는, 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the integrity verification unit may be a real-time web attack detection system that performs integrity verification by comparing lengths between source codes.

본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 무결성 검증부는, 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 것일 수 있다.In a real-time web attack detection system according to another embodiment of the present invention, the integrity verification unit may extract a hash value for each source code, and perform integrity verification by comparing the extracted hash values.

본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 소스코드는 CRC 부호를 포함하고, 무결성 검증부는, CRC 부호의 검증을 수행하기 위해 동일한 CRC 부호를 생성하고, 생성된 CRC 부호와 CRC 부호를 포함한 소스코드를 비교하는 것일 수 있다.In a real-time web attack detection system according to another embodiment of the present invention, the source code includes a CRC code, and the integrity verification unit generates the same CRC code to perform verification of the CRC code, and the generated CRC code and It may be to compare source codes including CRC codes.

또한, 정탐정보와 오탐정보를 저장하는 탐지정보 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a detection information storage unit for storing spy information and false positive information.

또한, 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a tamper determination unit to determine whether the change portion is malicious code by comparing the change portion with the detection information and the false detection information.

또한, 탐지정보 저장부는, 변조 판단부로부터 결과데이터를 전송받아 정탐정보와 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.Further, the detection information storage unit may be a real-time web attack detection system characterized by receiving result data from a modulation determination unit and reflecting it in spy information and false positive information.

또한, 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a log storage unit for storing an event log that detects a change in a webpage to be managed.

또한, 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및 In addition, a log display unit for displaying the event log stored in the log storage unit; And

웹페이지 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.It may be a real-time web attack detection system further comprising a change code display for displaying the web page changes.

또한, 변경 표시부는, 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the change display unit may be a real-time web attack detection system characterized by displaying the similarity between the change portion and the source code included in the false positive information.

또한, 변경 표시부는, 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the change display unit may be a real-time web attack detection system characterized by displaying the similarity between the change portion and the malicious code.

또한, 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및 측정된 지연시간을 표시하는 지연시간 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the delay time measurement unit for repeatedly measuring the delay time of the management target web page; And it may be a real-time web attack detection system further comprises a delay time display for displaying the measured delay time.

본 발명의 일실시예에 따르면, 웹변조 공격을 자동으로 탐지하고 소스코드의 변조부분을 관리자에게 알려 조치를 취할 수 있도록 한다. 또한 웹 접속지연시간을 자동으로 확인하여 디도스 공격에 대한 탐지와 대응이 가능하도록 한다.According to one embodiment of the present invention, it is possible to automatically detect a web forgery attack and notify the administrator of the tampering part of the source code so that action can be taken. In addition, the web access delay time is automatically checked to enable detection and response to DDoS attacks.

도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.
도 2는 본 발명에 따른 일실시예로, Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.1 is a block diagram showing the operation of the web attack detection system according to an embodiment of the present invention.
2 is a conceptual diagram illustrating comparing lines of a web page through Ratcliff's pattern-matching algorithm as an embodiment according to the present invention.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 토대로 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail based on exemplary drawings. It should be noted that in adding reference numerals to the components of each drawing, the same components have the same reference numerals as possible even though they are displayed on different drawings. In addition, in describing the present invention, when it is determined that detailed descriptions of related well-known configurations or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함” 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부”, “…기” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part “includes” a certain component, it means that the component may further include other components, not to exclude other components, unless otherwise stated. Also, “… Wealth ”,“… Term ”means a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software.

도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.1 is a block diagram showing the operation of the web attack detection system according to an embodiment of the present invention.

도 2는 본 발명에 따른 일실시예로, 추출부(400)에서 Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.2 is a conceptual diagram illustrating comparing lines of a web page through a pattern-matching algorithm of Ratcliff in the extractor 400, according to an embodiment of the present invention.

본 발명에 따른 실시간 웹공격 탐지 시스템의 일 실시예는, 등록부(100), 수신부(200), 무결성 검증부(300), 추출부(400), 탐지정보 저장부(500), 변조 판단부(600), 변경코드 저장부(710), 로그 저장부(720), 변경코드 표시부(810), 로그 표시부(820), 지연시간 측정부, 지연시간 표시부 및 전원부를 포함할 수 있다.An embodiment of the real-time web attack detection system according to the present invention includes a registration unit 100, a reception unit 200, an integrity verification unit 300, an extraction unit 400, a detection information storage unit 500, and a modulation determination unit ( 600), a change code storage unit 710, a log storage unit 720, a change code display unit 810, a log display unit 820, a delay time measurement unit, a delay time display unit and a power supply unit.

등록부(100)는 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록할 수 있다. 등록된 관리대상 웹페이지에 대하여 웹변조와 지연시간을 모니터링 할 수 있다. 관리대상 웹페이지는 등록부(100)에서 추가, 삭제 또는 그 밖의 관리들을 할 수 있다.The registration unit 100 may register a web page that requires monitoring as a management target web page. Web modulation and delay time can be monitored for registered management target web pages. The management target web page can be added, deleted, or other managed in the registration unit 100.

수신부(200)는 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신할 수 있다. 관리자는 도 1과 같이 수신간격 x를 임의로 지정할 수 있다. 수신간격을 x라고 하면, 수신부(200)는 t 시점과 t+x 시점의 소스코드를 연속적으로 다운받는다. 수신간격을 1분 이내의 짧은 간격으로 설정하면 공격에 대한 신속한 탐지능력을 가질 수 있다.The receiving unit 200 may repeatedly receive the source code of the webpage to be managed by the client. As shown in FIG. 1, the administrator may arbitrarily designate the reception interval x. If the reception interval is x, the receiving unit 200 continuously downloads the source code at time t and time t + x. If you set the reception interval to a short interval within 1 minute, you can have the ability to quickly detect attacks.

무결성 검증부(300)는 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지한다. 도 1과 같이, 수신부(200)에서 다운받은 소스코드(t)와 소스코드(t+x)를 비교 할 수 있다. 무결성 검증부(300)의 일 실시예로는, 소스코드 간 길이를 비교하여 무결성을 검증하는 것이 있을 수 있다. 소스코드에 악성코드를 삽입하는 등의 변조가 일어나면 소스코드의 길이가 변하는 점을 이용한 것이다. 소스코드 길이비교를 통한 무결성 검증은 다른 무결성 검증 방법보다 간편하고 빠를 수 있다.The integrity verification unit 300 detects whether the source code has been changed through integrity verification between the received source codes. As shown in FIG. 1, the source code t downloaded from the receiver 200 and the source code t + x may be compared. An embodiment of the integrity verification unit 300 may include verifying the integrity by comparing the lengths between source codes. It is the point that the length of the source code is changed when modulation such as inserting malicious code into the source code occurs. Integrity verification through source code length comparison can be simpler and faster than other integrity verification methods.

무결성 검증부(300)의 또 다른 일 실시예로, 수신된 소스코드에 대하여 각각 해시값을 추출하여 소스코드 변경여부를 탐지하는 것일 수 있다. 해시값을 추출하기 위해 검증된 해시함수들을 사용할 수 있다. 검증된 해시함수는 MD5, SHA계열 고속해시함수 일 수 있다. 해시함수를 통해 도출된 소스코드의 해시값을 비교하여 소스코드의 변경여부를 빠르게 판단할 수 있다. 수신된 소스코드들의 해시값이 같으면 변조가 되지 않은 것으로 볼 수 있다. 반면 소스코드의 해시값이 다른 소스코드들의 해시값과 다르다면 해당 소스코드가 변경된 것으로 볼 수 있다. 해시함수를 이용한 경우 다른 무결성 검증 방법 보다 웹변조를 놓칠 확률이 낮출 수 있다. 도 1에서, t 시점에서 수신된 소스코드인 소스코드(t)가 악성변조 되지 않은 소스코드이고, t+x 시점에서 수신된 소스코드(t+x)의 해시값이 소스코드(t)의 해시값과 같다면, 소스코드(t+x)는 악성변조 되지 않았다고 볼 수 있다. As another embodiment of the integrity verification unit 300, it may be to detect whether the source code is changed by extracting a hash value for each received source code. Validated hash functions can be used to extract the hash value. The verified hash function may be a MD5, SHA-based fast hash function. The hash value of the source code derived through the hash function can be compared to quickly determine whether the source code has been changed. If the hash values of the received source codes are the same, it can be considered that the modulation has not been performed. On the other hand, if the hash value of the source code is different from that of other source codes, it can be considered that the corresponding source code has been changed. In the case of using a hash function, the probability of missing web modulation may be lower than other integrity verification methods. In FIG. 1, the source code (t), which is the source code received at time t, is a source code that is not malformed, and the hash value of the source code (t + x) received at time t + x is the source code (t). If it is equal to the hash value, it can be considered that the source code (t + x) has not been tampered with.

무결성 검증부(300)의 또 다른 일 실시예로는, 웹페이지 작성 시 소스코드에 CRC(Cyclic Redundancy Check) 부호를 포함시키고, 무결성 검증부(300)에서 CRC 부호를 생성하고, 생성된 CRC 부호와 소스코드에 포함된 CRC 부호를 비교하여 소스코드의 검증을 수행하는 것일 수 있다. CRC는 강력하면서도 하드웨어로 구축하기 쉽다.As another embodiment of the integrity verification unit 300, when creating a web page, the source code includes a CRC (Cyclic Redundancy Check) code, the integrity verification unit 300 generates a CRC code, and the generated CRC code It may be to verify the source code by comparing the CRC code included in the source code with. CRC is powerful and easy to build with hardware.

추출부(400)는 무결성 검증부(300)에서 변경이 탐지된 경우에 변경부분을 찾는다. 추출부(400)는 소스코드 중 변경이 되지 않은 제1소스코드와 탐지부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾을 수 있다. 변경부분을 발견하기 위해 Ratcliff/Obershelp pattern-matching 알고리즘을 사용하여 두 웹페이지를 라인별로 비교할 수 있다. Ratcliff/Obershelp pattern-matching 알고리즘은 두 개 문자열의 유사성을 비교하여, 재귀적으로 가장 긴 문자열을 기준으로 좌우의 틀린 문자열을 찾아가는 알고리즘이다. 우선 제1소스코드와 제2소스코드의 동일라인을 찾고, 그 후 동일하지 않은 추가, 삭제, 수정라인을 식별한다. 식별된 제2소스코드의 변경부분은 변조 판단부(600)로 전송될 수 있다.When the change is detected by the integrity verification unit 300, the extraction unit 400 finds the change. The extracting unit 400 may find a change portion of the second source code by comparing the content of the first source code that has not been changed among the source code and the second source code where the change is detected by the detection unit. You can compare two web pages line by line using the Ratcliff / Obershelp pattern-matching algorithm to detect changes. The Ratcliff / Obershelp pattern-matching algorithm compares the similarity between two strings and recursively searches for left and right wrong strings based on the longest string. First, the same lines of the first source code and the second source code are searched, and then additional, delete, and modify lines that are not identical are identified. The changed part of the identified second source code may be transmitted to the modulation determining unit 600.

탐지정보 저장부(500)는 정탐(True Positive)정보와 오탐(False Positive)정보를 저장할 수 있다. 탐지정보 저장부(500)의 자료를 근거로 변조 판단부(600)에서 웹페이지의 변경이 악의적인지의 여부를 판단한다. 정탐정보와 오탐정보는 신뢰할 수 있는 외부 분석기관에서 제공하는 악성코드 자료를 이용할 수 있다. 신뢰할 수 있는 기관들은 KISA, VirusTotal, Zone-H 등이 있을 수 있다.The detection information storage unit 500 may store true positive information and false positive information. Based on the data of the detection information storage unit 500, the tamper determination unit 600 determines whether the change of the web page is malicious. The spy information and false positive information can use malicious code data provided by a reliable external analysis agency. Trusted organizations may include KISA, VirusTotal, and Zone-H.

변조 판단부(600)는 변경부분을 정탐정보 및 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단할 수 있다. 정탐정보와 오탐정보는 탐지정보 저장부(500)에서 불러올 수 있다. 또한 변조 판단부(600)는 탐지정보 저장부(500)에 상기 결과데이터를 전송하여 상기 정탐정보와 상기 오탐정보에 반영시키는 것을 특징으로 할 수 있다.The tamper determination unit 600 may compare the changed part with the detection information and false positive information to determine whether the changed part is malicious code. The spying information and the false positive information may be retrieved from the detection information storage unit 500. In addition, the modulation determination unit 600 may be characterized in that by transmitting the result data to the detection information storage unit 500 to reflect the false positive information and the false positive information.

변경코드 저장부(710)는 관리대상 웹페이지의 변경이 생긴 경우, 즉, 제2소스코드가 발생한 경우 해당 웹페이지 소스코드의 변경부분을 저장 할 수 있다. 로그 저장부(720)는 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장할 수 있다. 변경코드 저장부(710)와 로그 저장부(720)에 저장된 소스코드의 변경부분과 이벤트 로그 분석을 통해 사후적으로 공격의 원인을 조사하고 추적 할 수 있다. The change code storage unit 710 may store a change part of the source code of the corresponding web page when the management target web page is changed, that is, when the second source code occurs. The log storage unit 720 may store an event log that detects a change in a webpage to be managed. Through the analysis of the change part of the source code and the event log stored in the change code storage unit 710 and the log storage unit 720, the cause of the attack can be investigated and traced.

로그 표시부(820)은 로그 저장부(720)에 저장된 이벤트 로그를 표시할 수 있다. 변경 코드 표시부는 소스코드 저장부에 웹페이지의 변경부분을 표시할 수 있다. 로그 표시부(820)과 변경코드 표시부(810)는 관리자가 실시간으로 웹페이지 변조여부를 탐지할 수 있게 한다. 관리자가 용이하게 변경 전 사항을 파악하기 위해서, 변경된 제2소스코드 뿐 아니라 변경 전의 제1소스코드를 변경코드 저장부(710)에 저장한 후 변경코드 표시부(810)에 표시하게 할 수 있다.The log display unit 820 may display an event log stored in the log storage unit 720. The change code display unit may display the change portion of the web page in the source code storage unit. The log display unit 820 and the change code display unit 810 enable an administrator to detect whether a web page has been tampered with in real time. In order for the administrator to easily grasp the pre-change information, the changed first source code as well as the changed second source code may be stored in the change code storage unit 710 and then displayed on the change code display unit 810.

변경코드 표시부(810)는 변경 부분과 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 할 수 있다. 변경 부분이 오탐정보에 포함된 소스코드와 유사도가 높으면, 관리자는 웹페이지의 변경이 정상적인 변경일 가능성이 높다고 판단할 수 있다.The change code display unit 810 may be characterized by displaying the similarity between the change portion and the source code included in the false positive information. If the change portion has a high degree of similarity to the source code included in the false positive information, the administrator may determine that the change of the web page is likely to be a normal change.

또한, 변경코드 표시부(810)는 변경 부분과 악성코드 간 유사도를 표시 하는 것을 특징으로 할 수 있다. 변경 부분과 악성코드 간 유사도가 높으면, 관리자는 웹페이지의 변경이 악의적일 가능성이 높다고 판단할 수 있다.In addition, the change code display unit 810 may be characterized by displaying the similarity between the change portion and the malicious code. If the similarity between the change part and the malicious code is high, the administrator can determine that the change of the web page is likely to be malicious.

소스코드 간의 유사도 비교 역시 Ratcliff/Obershelp pattern-matching 알고리즘을 응용해 이루어질 수 있다.Similarity comparison between source codes can also be done by applying the Ratcliff / Obershelp pattern-matching algorithm.

지연시간 측정부는 관리대상 웹페이지의 지연시간을 반복적으로 측정할 수 있다. 지연시간표시부는 측정된 지연시간을 표시할 수 있다. 지연시간을 측정하고 표시하여 웹페이지 관리자는 웹페이지에 대한 디도스 공격을 탐지하여 대응할 수 있다. 지연시간 표시부, 로그 표시부(820) 및 변경코드 표시부(810)는 그래프, 팝업 등의 시각적인 방식을 이용한 것일 수 있다. 또한 지연시간 표시부와 변경코드 표시부(810)는 시각 및 청각적인 알람을 생성하는 방식이 적용될 수 있다. 알람은 유해도에 따라 알람의 색깔, 알람 소리의 종류, 알람 소리의 크기 등을 구별해서 생성할 수 있다.The delay time measurement unit may repeatedly measure the delay time of the webpage to be managed. The delay time display unit may display the measured delay time. By measuring and displaying the latency, web page managers can detect and respond to DDoS attacks on web pages. The delay time display unit, the log display unit 820, and the change code display unit 810 may be those using visual methods such as graphs and pop-ups. In addition, a method of generating a visual and audible alarm may be applied to the delay time display unit and the change code display unit 810. The alarm can be generated by distinguishing the color of the alarm, the type of the alarm sound, and the size of the alarm sound according to the degree of harmfulness.

전원공급부는 실시간 웹공격 탐지 시스템에 전원을 공급하는 기능을 수행한다. 전원공급부는 배터리와 같은 1차 전지, 충전식 배터리와 같은 2차 전지, 상용전원과 연결되는 직류 전원 공급 장치 등에서 적어도 하나 이상이 선택되어 구비될 수 있다. 보다 바람직하게는, 시스템에 필요한 특정 전압의 전원을 공급하는 직류 전원 공급 장치일 수 있다.The power supply unit functions to supply power to a real-time web attack detection system. The power supply unit may include at least one selected from a primary battery such as a battery, a secondary battery such as a rechargeable battery, and a DC power supply connected to commercial power. More preferably, it may be a DC power supply that supplies power at a specific voltage required for the system.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical spirit of the present embodiment, and those skilled in the art to which this embodiment belongs may be able to make various modifications and variations without departing from the essential characteristics of the present embodiment. Therefore, the present embodiments are not intended to limit the technical spirit of the present embodiment, but to explain, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of the present embodiment should be interpreted by the claims below, and all technical spirits within the equivalent range should be interpreted as being included in the scope of the present embodiment.

등록부(100) 수신부(200)
무결성 검증부(300) 추출부(400)
탐지정보 저장부(500) 변조 판단부(600)
변경코드 저장부(710) 로그 저장부(720)
변경코드 표시부(810) 로그 표시부(820)Register 100, Receiver 200
Integrity verification unit 300 Extraction unit 400
Detection information storage unit 500, modulation determination unit 600
Change code storage unit 710 Log storage unit 720
Change code display unit 810 Log display unit 820

Claims (12)

실시간 웹공격 탐지 시스템에 있어서,
모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부;
상기 관리대상 웹페이지의 소스코드를 클라이언트로부터 반복적으로 수신하는 수신부;
수신된 상기 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부;
상기 소스코드 중 상기 무결성 검증부를 통과한 제1소스코드와 상기 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 상기 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및
상기 변경부분을 저장하는 변경코드 저장부;
정탐정보와 오탐정보를 저장하는 탐지정보 저장부;
상기 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부;
상기 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및
측정된 지연시간을 표시하는 지연시간 표시부를 포함하고,
상기 탐지정보 저장부는,
상기 변조 판단부로부터 결과데이터를 전송받아 상기 정탐정보와 상기 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.In the real-time web attack detection system,
A registration unit that registers a web page requiring monitoring as a management target web page;
A receiving unit repeatedly receiving the source code of the management target web page from a client;
An integrity verification unit that detects whether the source code has been changed through the integrity verification between the received source codes;
An extraction unit comparing the first source code that has passed the integrity verification unit and the content of the second source code in which the change has been detected by the integrity verification unit to find and extract a change portion of the second source code; And
A change code storage unit for storing the change portion;
A detection information storage unit for storing positive and false positive information;
A tampering determining unit comparing the modified part with the positive information and the false positive information to determine whether the changed part is malicious code;
A delay time measurement unit for repeatedly measuring the delay time of the webpage to be managed; And
Delay time display unit for displaying the measured delay time,
The detection information storage unit,
A real-time web attack detection system characterized by receiving result data from the modulation determination unit and reflecting the information on the spies and the false positives. 제1항에 있어서,
상기 무결성 검증부는,
상기 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템.According to claim 1,
The integrity verification unit,
A real-time web attack detection system that performs integrity verification by comparing lengths between the source codes. 제1항에 있어서,
상기 무결성 검증부는,
상기 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 실시간 웹공격 탐지 시스템.According to claim 1,
The integrity verification unit,
A real-time web attack detection system that extracts each hash value for the source code and performs integrity verification through comparison of the extracted hash values. 제1항에 있어서,
상기 소스코드는 CRC 부호를 포함하고,
상기 무결성 검증부는,
상기 CRC 부호의 검증을 수행하는 실시간 웹공격 탐지 시스템.According to claim 1,
The source code includes a CRC code,
The integrity verification unit,
A real-time web attack detection system that performs verification of the CRC code. 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템.According to claim 1,
A real-time web attack detection system further comprising a log storage unit that stores an event log that detects a change in the management target web page. 제8항에 있어서,
상기 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및
상기 웹페이지 상기 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템.The method of claim 8,
A log display unit displaying the event log stored in the log storage unit; And
A real-time web attack detection system further comprising a change code display for displaying the change portion of the web page. 제9항에 있어서,
상기 변경코드 표시부는,
상기 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.The method of claim 9,
The change code display unit,
Real-time web attack detection system characterized in that it displays the similarity between the source code included in the change portion and the false positive information. 제9항에 있어서,
상기 변경코드 표시부는,
상기 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.The method of claim 9,
The change code display unit,
Real-time web attack detection system, characterized in that to display the similarity between the change and the malicious code. 삭제delete
KR1020170143703A 2017-10-31 2017-10-31 Realtime Web Attack Detection Method KR102092411B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170143703A KR102092411B1 (en) 2017-10-31 2017-10-31 Realtime Web Attack Detection Method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170143703A KR102092411B1 (en) 2017-10-31 2017-10-31 Realtime Web Attack Detection Method

Publications (2)

Publication Number Publication Date
KR20190048606A KR20190048606A (en) 2019-05-09
KR102092411B1 true KR102092411B1 (en) 2020-03-23

Family

ID=66546353

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170143703A KR102092411B1 (en) 2017-10-31 2017-10-31 Realtime Web Attack Detection Method

Country Status (1)

Country Link
KR (1) KR102092411B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102202108B1 (en) * 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 System and method to automatically diagnose vulnerabilities in cloud infrastructure assets

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (en) * 2008-11-18 2009-08-18 주식회사 나우콤 Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search
US20110185421A1 (en) * 2010-01-26 2011-07-28 Silver Tail Systems, Inc. System and method for network security including detection of man-in-the-browser attacks
KR101291782B1 (en) * 2013-01-28 2013-07-31 인포섹(주) Webshell detection and corresponding system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130116418A (en) * 2012-03-15 2013-10-24 주식회사 코닉글로리 Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (en) * 2008-11-18 2009-08-18 주식회사 나우콤 Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search
US20110185421A1 (en) * 2010-01-26 2011-07-28 Silver Tail Systems, Inc. System and method for network security including detection of man-in-the-browser attacks
KR101291782B1 (en) * 2013-01-28 2013-07-31 인포섹(주) Webshell detection and corresponding system

Also Published As

Publication number Publication date
KR20190048606A (en) 2019-05-09

Similar Documents

Publication Publication Date Title
US10904286B1 (en) Detection of phishing attacks using similarity analysis
CA2946695C (en) Fraud detection network system and fraud detection method
CN102110198B (en) Anti-counterfeiting method for web page
KR101497742B1 (en) System and method for authentication, data transfer, and protection against phising
US6567917B1 (en) Method and system for providing tamper-resistant executable software
US8024804B2 (en) Correlation engine for detecting network attacks and detection method
CA2840992C (en) Syntactical fingerprinting
US20160119344A1 (en) System and method for web application security
CN102111267A (en) Website safety protection method based on digital signature and system adopting same
CN112003838B (en) Network threat detection method, device, electronic device and storage medium
KR100912794B1 (en) Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search
KR102271545B1 (en) Systems and Methods for Domain Generation Algorithm (DGA) Malware Detection
KR20080044145A (en) Anomaly detection system and method of web application attacks using web log correlation
US20160134658A1 (en) Unauthorized access detecting system and unauthorized access detecting method
Iskandar et al. Web based testing application security system using semantic comparison method
KR102159399B1 (en) Device for monitoring web server and analysing malicious code
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
CN105791250B (en) Application program detection method and device
KR101372906B1 (en) Method and system to prevent malware code
KR102092411B1 (en) Realtime Web Attack Detection Method
KR101464736B1 (en) Security Assurance Management System and Web Page Monitoring Method
Chhajed et al. Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR101725670B1 (en) System and method for malware detection and prevention by checking a web server
CN109218332B (en) Monitoring method for embedded point type phishing website

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant