KR102092411B1 - Realtime Web Attack Detection Method - Google Patents
Realtime Web Attack Detection Method Download PDFInfo
- Publication number
- KR102092411B1 KR102092411B1 KR1020170143703A KR20170143703A KR102092411B1 KR 102092411 B1 KR102092411 B1 KR 102092411B1 KR 1020170143703 A KR1020170143703 A KR 1020170143703A KR 20170143703 A KR20170143703 A KR 20170143703A KR 102092411 B1 KR102092411 B1 KR 102092411B1
- Authority
- KR
- South Korea
- Prior art keywords
- unit
- source code
- change
- code
- real
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.
본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.The present invention relates to a method for detecting a web attack in real time. More specifically, the present invention relates to a method of detecting whether a webpage is falsified by downloading a webpage at a predetermined time interval and comparing the downloaded data values.
A real-time web attack detection system according to an embodiment of the present invention includes a registration unit that registers a web page that requires monitoring as a management target web page; A receiving unit repeatedly receiving the source code of the webpage to be managed by the client; An integrity verification unit that detects whether the source code has been changed through integrity verification between the received source codes; An extraction unit that compares the content of the first source code that has passed the integrity verification unit and the integrity of the source code and detects a change in the second source code by comparing the contents of the second source code; And it may be a real-time web attack prevention system including a change code storage unit for storing the change.
Description
본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.The present invention relates to a method for detecting a web attack in real time. More specifically, the present invention relates to a method for detecting whether a web page is falsified by downloading a web page at a predetermined time interval and comparing the downloaded data value.
이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The content described in this section merely provides background information for an embodiment of the present invention and does not constitute a prior art.
웹 페이지의 변조는 사용자에게 원본과 다른 내용을 보이도록 할 수 있다. 즉, 이미지나 플래시 파일과 같은 콘텐츠의 HTML 삽입 코드를 변경함으로써 사용자에게 보이는 콘텐츠를 전혀 다른 내용으로 교체하거나 추가 또는 삭제하는 방법 또는 사용자에게 주기적으로 특정 스펨 메시지 또는 광고를 보여주거나 인터넷 검색 결과에 나타난 하이퍼링크들은 변경하는 결과를 초래할 수 있다. 하이퍼링크의 변형으로 사용자를 피싱사이트로 유도할 경우 웹 페이지 변조는 또다른 문제를 낳을 수 있다. 이어지는 공격으로는 웹 페이지에 입력 폼 구문을 수정하는 악의적인 코드들을 심어 사용자가 입력한 정보를 가로채는 것이 있을 수 있다.Modification of the web page may cause the user to display content different from the original. That is, by changing the HTML embed code for content such as images or flash files, how to replace, add, or delete content that is visible to the user, or to periodically show a specific spam message or advertisement to the user or appear in Internet search results. Hyperlinks can result in changes. Web page tampering can create another problem if a user is redirected to a phishing site through the modification of a hyperlink. A subsequent attack could involve intercepting information entered by a user by planting malicious code that modifies the input form syntax on a web page.
또한 웹페이지 변조를 통해 저장된 데이터를 탈취, 네트워크의 패킷을 도청하는 스니핑, 권한을 도용하여 패킷을 가로채는 스푸핑등이 문제가 되고 있다. 웹페이지에 대한 중요성이 날로 커지고 있어 이러한 웹공격에 대한 방어 역시 중요해지고 있다.In addition, it is a problem to steal stored data through web page tampering, sniffing to intercept packets on the network, and spoofing to intercept packets by stealing authority. The importance of web pages is growing day by day, and defense against these web attacks is also becoming important.
종래의 웹변조 프로그램은 웹 서버마다 변조 탐지 프로그램을 설치해야 하므로, 시스템이 복잡해지는 문제가 있다. 또한, 웹 변조 탐지프로그램을 직접 공격하여 해킹할 경우 위변조 여부를 탐지할 수 없다. 현재 웹변조 악성코드 중 알려진 형태는 미리 저장된 코드내용과 변조내용을 비교하여 탐지가 가능하나, 알려지지 않은 악성코드를 통한 공격인 소위 제로데이 공격은 탐지하기 어려운 문제점이 있다.In the conventional web modulation program, a tamper detection program must be installed for each web server, and thus there is a problem that the system is complicated. Also, when hacking by directly attacking the web tamper detection program, it is impossible to detect forgery or alteration. Currently, known forms of web-modulated malicious code can be detected by comparing the contents of pre-stored code and tampering, but it is difficult to detect so-called zero-day attacks, which are attacks through unknown malicious codes.
따라서 본 발명은 이러한 문제점을 해결하고자 웹공격으로부터 안전하며, 알려지지 않은 형태의 웹변조 행위를 실시간으로 탐지, 경보하여 웹페이지 관제인력이 적시에 대응할 수 있도록 하는 방법을 제공하는 것을 목적으로 한다.Accordingly, an object of the present invention is to provide a method that enables a webpage control personnel to respond in a timely manner by detecting and alerting in real time an unknown form of web forgery, which is safe from web attacks to solve this problem.
본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.A real-time web attack detection system according to an embodiment of the present invention includes a registration unit that registers a web page that requires monitoring as a management target web page; A receiving unit repeatedly receiving the source code of the webpage to be managed by the client; An integrity verification unit that detects whether the source code has been changed through integrity verification between the received source codes; An extraction unit that compares the contents of the first source code that has passed the integrity verification unit and the integrity of the source code and detects a change in the second source code by comparing the contents of the second source code; And it may be a real-time web attack prevention system including a change code storage unit for storing the change.
또한, 무결성 검증부는, 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the integrity verification unit may be a real-time web attack detection system that performs integrity verification by comparing lengths between source codes.
본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 무결성 검증부는, 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 것일 수 있다.In a real-time web attack detection system according to another embodiment of the present invention, the integrity verification unit may extract a hash value for each source code, and perform integrity verification by comparing the extracted hash values.
본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 소스코드는 CRC 부호를 포함하고, 무결성 검증부는, CRC 부호의 검증을 수행하기 위해 동일한 CRC 부호를 생성하고, 생성된 CRC 부호와 CRC 부호를 포함한 소스코드를 비교하는 것일 수 있다.In a real-time web attack detection system according to another embodiment of the present invention, the source code includes a CRC code, and the integrity verification unit generates the same CRC code to perform verification of the CRC code, and the generated CRC code and It may be to compare source codes including CRC codes.
또한, 정탐정보와 오탐정보를 저장하는 탐지정보 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a detection information storage unit for storing spy information and false positive information.
또한, 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a tamper determination unit to determine whether the change portion is malicious code by comparing the change portion with the detection information and the false detection information.
또한, 탐지정보 저장부는, 변조 판단부로부터 결과데이터를 전송받아 정탐정보와 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.Further, the detection information storage unit may be a real-time web attack detection system characterized by receiving result data from a modulation determination unit and reflecting it in spy information and false positive information.
또한, 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, it may be a real-time web attack detection system further comprising a log storage unit for storing an event log that detects a change in a webpage to be managed.
또한, 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및 In addition, a log display unit for displaying the event log stored in the log storage unit; And
웹페이지 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.It may be a real-time web attack detection system further comprising a change code display for displaying the web page changes.
또한, 변경 표시부는, 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the change display unit may be a real-time web attack detection system characterized by displaying the similarity between the change portion and the source code included in the false positive information.
또한, 변경 표시부는, 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the change display unit may be a real-time web attack detection system characterized by displaying the similarity between the change portion and the malicious code.
또한, 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및 측정된 지연시간을 표시하는 지연시간 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.In addition, the delay time measurement unit for repeatedly measuring the delay time of the management target web page; And it may be a real-time web attack detection system further comprises a delay time display for displaying the measured delay time.
본 발명의 일실시예에 따르면, 웹변조 공격을 자동으로 탐지하고 소스코드의 변조부분을 관리자에게 알려 조치를 취할 수 있도록 한다. 또한 웹 접속지연시간을 자동으로 확인하여 디도스 공격에 대한 탐지와 대응이 가능하도록 한다.According to one embodiment of the present invention, it is possible to automatically detect a web forgery attack and notify the administrator of the tampering part of the source code so that action can be taken. In addition, the web access delay time is automatically checked to enable detection and response to DDoS attacks.
도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.
도 2는 본 발명에 따른 일실시예로, Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.1 is a block diagram showing the operation of the web attack detection system according to an embodiment of the present invention.
2 is a conceptual diagram illustrating comparing lines of a web page through Ratcliff's pattern-matching algorithm as an embodiment according to the present invention.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 토대로 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail based on exemplary drawings. It should be noted that in adding reference numerals to the components of each drawing, the same components have the same reference numerals as possible even though they are displayed on different drawings. In addition, in describing the present invention, when it is determined that detailed descriptions of related well-known configurations or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함” 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부”, “…기” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part “includes” a certain component, it means that the component may further include other components, not to exclude other components, unless otherwise stated. Also, “… Wealth ”,“… Term ”means a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software.
도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.1 is a block diagram showing the operation of the web attack detection system according to an embodiment of the present invention.
도 2는 본 발명에 따른 일실시예로, 추출부(400)에서 Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.2 is a conceptual diagram illustrating comparing lines of a web page through a pattern-matching algorithm of Ratcliff in the
본 발명에 따른 실시간 웹공격 탐지 시스템의 일 실시예는, 등록부(100), 수신부(200), 무결성 검증부(300), 추출부(400), 탐지정보 저장부(500), 변조 판단부(600), 변경코드 저장부(710), 로그 저장부(720), 변경코드 표시부(810), 로그 표시부(820), 지연시간 측정부, 지연시간 표시부 및 전원부를 포함할 수 있다.An embodiment of the real-time web attack detection system according to the present invention includes a
등록부(100)는 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록할 수 있다. 등록된 관리대상 웹페이지에 대하여 웹변조와 지연시간을 모니터링 할 수 있다. 관리대상 웹페이지는 등록부(100)에서 추가, 삭제 또는 그 밖의 관리들을 할 수 있다.The
수신부(200)는 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신할 수 있다. 관리자는 도 1과 같이 수신간격 x를 임의로 지정할 수 있다. 수신간격을 x라고 하면, 수신부(200)는 t 시점과 t+x 시점의 소스코드를 연속적으로 다운받는다. 수신간격을 1분 이내의 짧은 간격으로 설정하면 공격에 대한 신속한 탐지능력을 가질 수 있다.The
무결성 검증부(300)는 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지한다. 도 1과 같이, 수신부(200)에서 다운받은 소스코드(t)와 소스코드(t+x)를 비교 할 수 있다. 무결성 검증부(300)의 일 실시예로는, 소스코드 간 길이를 비교하여 무결성을 검증하는 것이 있을 수 있다. 소스코드에 악성코드를 삽입하는 등의 변조가 일어나면 소스코드의 길이가 변하는 점을 이용한 것이다. 소스코드 길이비교를 통한 무결성 검증은 다른 무결성 검증 방법보다 간편하고 빠를 수 있다.The
무결성 검증부(300)의 또 다른 일 실시예로, 수신된 소스코드에 대하여 각각 해시값을 추출하여 소스코드 변경여부를 탐지하는 것일 수 있다. 해시값을 추출하기 위해 검증된 해시함수들을 사용할 수 있다. 검증된 해시함수는 MD5, SHA계열 고속해시함수 일 수 있다. 해시함수를 통해 도출된 소스코드의 해시값을 비교하여 소스코드의 변경여부를 빠르게 판단할 수 있다. 수신된 소스코드들의 해시값이 같으면 변조가 되지 않은 것으로 볼 수 있다. 반면 소스코드의 해시값이 다른 소스코드들의 해시값과 다르다면 해당 소스코드가 변경된 것으로 볼 수 있다. 해시함수를 이용한 경우 다른 무결성 검증 방법 보다 웹변조를 놓칠 확률이 낮출 수 있다. 도 1에서, t 시점에서 수신된 소스코드인 소스코드(t)가 악성변조 되지 않은 소스코드이고, t+x 시점에서 수신된 소스코드(t+x)의 해시값이 소스코드(t)의 해시값과 같다면, 소스코드(t+x)는 악성변조 되지 않았다고 볼 수 있다. As another embodiment of the
무결성 검증부(300)의 또 다른 일 실시예로는, 웹페이지 작성 시 소스코드에 CRC(Cyclic Redundancy Check) 부호를 포함시키고, 무결성 검증부(300)에서 CRC 부호를 생성하고, 생성된 CRC 부호와 소스코드에 포함된 CRC 부호를 비교하여 소스코드의 검증을 수행하는 것일 수 있다. CRC는 강력하면서도 하드웨어로 구축하기 쉽다.As another embodiment of the
추출부(400)는 무결성 검증부(300)에서 변경이 탐지된 경우에 변경부분을 찾는다. 추출부(400)는 소스코드 중 변경이 되지 않은 제1소스코드와 탐지부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾을 수 있다. 변경부분을 발견하기 위해 Ratcliff/Obershelp pattern-matching 알고리즘을 사용하여 두 웹페이지를 라인별로 비교할 수 있다. Ratcliff/Obershelp pattern-matching 알고리즘은 두 개 문자열의 유사성을 비교하여, 재귀적으로 가장 긴 문자열을 기준으로 좌우의 틀린 문자열을 찾아가는 알고리즘이다. 우선 제1소스코드와 제2소스코드의 동일라인을 찾고, 그 후 동일하지 않은 추가, 삭제, 수정라인을 식별한다. 식별된 제2소스코드의 변경부분은 변조 판단부(600)로 전송될 수 있다.When the change is detected by the
탐지정보 저장부(500)는 정탐(True Positive)정보와 오탐(False Positive)정보를 저장할 수 있다. 탐지정보 저장부(500)의 자료를 근거로 변조 판단부(600)에서 웹페이지의 변경이 악의적인지의 여부를 판단한다. 정탐정보와 오탐정보는 신뢰할 수 있는 외부 분석기관에서 제공하는 악성코드 자료를 이용할 수 있다. 신뢰할 수 있는 기관들은 KISA, VirusTotal, Zone-H 등이 있을 수 있다.The detection
변조 판단부(600)는 변경부분을 정탐정보 및 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단할 수 있다. 정탐정보와 오탐정보는 탐지정보 저장부(500)에서 불러올 수 있다. 또한 변조 판단부(600)는 탐지정보 저장부(500)에 상기 결과데이터를 전송하여 상기 정탐정보와 상기 오탐정보에 반영시키는 것을 특징으로 할 수 있다.The
변경코드 저장부(710)는 관리대상 웹페이지의 변경이 생긴 경우, 즉, 제2소스코드가 발생한 경우 해당 웹페이지 소스코드의 변경부분을 저장 할 수 있다. 로그 저장부(720)는 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장할 수 있다. 변경코드 저장부(710)와 로그 저장부(720)에 저장된 소스코드의 변경부분과 이벤트 로그 분석을 통해 사후적으로 공격의 원인을 조사하고 추적 할 수 있다. The change
로그 표시부(820)은 로그 저장부(720)에 저장된 이벤트 로그를 표시할 수 있다. 변경 코드 표시부는 소스코드 저장부에 웹페이지의 변경부분을 표시할 수 있다. 로그 표시부(820)과 변경코드 표시부(810)는 관리자가 실시간으로 웹페이지 변조여부를 탐지할 수 있게 한다. 관리자가 용이하게 변경 전 사항을 파악하기 위해서, 변경된 제2소스코드 뿐 아니라 변경 전의 제1소스코드를 변경코드 저장부(710)에 저장한 후 변경코드 표시부(810)에 표시하게 할 수 있다.The
변경코드 표시부(810)는 변경 부분과 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 할 수 있다. 변경 부분이 오탐정보에 포함된 소스코드와 유사도가 높으면, 관리자는 웹페이지의 변경이 정상적인 변경일 가능성이 높다고 판단할 수 있다.The change
또한, 변경코드 표시부(810)는 변경 부분과 악성코드 간 유사도를 표시 하는 것을 특징으로 할 수 있다. 변경 부분과 악성코드 간 유사도가 높으면, 관리자는 웹페이지의 변경이 악의적일 가능성이 높다고 판단할 수 있다.In addition, the change
소스코드 간의 유사도 비교 역시 Ratcliff/Obershelp pattern-matching 알고리즘을 응용해 이루어질 수 있다.Similarity comparison between source codes can also be done by applying the Ratcliff / Obershelp pattern-matching algorithm.
지연시간 측정부는 관리대상 웹페이지의 지연시간을 반복적으로 측정할 수 있다. 지연시간표시부는 측정된 지연시간을 표시할 수 있다. 지연시간을 측정하고 표시하여 웹페이지 관리자는 웹페이지에 대한 디도스 공격을 탐지하여 대응할 수 있다. 지연시간 표시부, 로그 표시부(820) 및 변경코드 표시부(810)는 그래프, 팝업 등의 시각적인 방식을 이용한 것일 수 있다. 또한 지연시간 표시부와 변경코드 표시부(810)는 시각 및 청각적인 알람을 생성하는 방식이 적용될 수 있다. 알람은 유해도에 따라 알람의 색깔, 알람 소리의 종류, 알람 소리의 크기 등을 구별해서 생성할 수 있다.The delay time measurement unit may repeatedly measure the delay time of the webpage to be managed. The delay time display unit may display the measured delay time. By measuring and displaying the latency, web page managers can detect and respond to DDoS attacks on web pages. The delay time display unit, the
전원공급부는 실시간 웹공격 탐지 시스템에 전원을 공급하는 기능을 수행한다. 전원공급부는 배터리와 같은 1차 전지, 충전식 배터리와 같은 2차 전지, 상용전원과 연결되는 직류 전원 공급 장치 등에서 적어도 하나 이상이 선택되어 구비될 수 있다. 보다 바람직하게는, 시스템에 필요한 특정 전압의 전원을 공급하는 직류 전원 공급 장치일 수 있다.The power supply unit functions to supply power to a real-time web attack detection system. The power supply unit may include at least one selected from a primary battery such as a battery, a secondary battery such as a rechargeable battery, and a DC power supply connected to commercial power. More preferably, it may be a DC power supply that supplies power at a specific voltage required for the system.
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical spirit of the present embodiment, and those skilled in the art to which this embodiment belongs may be able to make various modifications and variations without departing from the essential characteristics of the present embodiment. Therefore, the present embodiments are not intended to limit the technical spirit of the present embodiment, but to explain, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of the present embodiment should be interpreted by the claims below, and all technical spirits within the equivalent range should be interpreted as being included in the scope of the present embodiment.
등록부(100) 수신부(200)
무결성 검증부(300) 추출부(400)
탐지정보 저장부(500) 변조 판단부(600)
변경코드 저장부(710) 로그 저장부(720)
변경코드 표시부(810) 로그 표시부(820)
Detection
Change
Change
Claims (12)
모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부;
상기 관리대상 웹페이지의 소스코드를 클라이언트로부터 반복적으로 수신하는 수신부;
수신된 상기 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부;
상기 소스코드 중 상기 무결성 검증부를 통과한 제1소스코드와 상기 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 상기 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및
상기 변경부분을 저장하는 변경코드 저장부;
정탐정보와 오탐정보를 저장하는 탐지정보 저장부;
상기 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부;
상기 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및
측정된 지연시간을 표시하는 지연시간 표시부를 포함하고,
상기 탐지정보 저장부는,
상기 변조 판단부로부터 결과데이터를 전송받아 상기 정탐정보와 상기 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.In the real-time web attack detection system,
A registration unit that registers a web page requiring monitoring as a management target web page;
A receiving unit repeatedly receiving the source code of the management target web page from a client;
An integrity verification unit that detects whether the source code has been changed through the integrity verification between the received source codes;
An extraction unit comparing the first source code that has passed the integrity verification unit and the content of the second source code in which the change has been detected by the integrity verification unit to find and extract a change portion of the second source code; And
A change code storage unit for storing the change portion;
A detection information storage unit for storing positive and false positive information;
A tampering determining unit comparing the modified part with the positive information and the false positive information to determine whether the changed part is malicious code;
A delay time measurement unit for repeatedly measuring the delay time of the webpage to be managed; And
Delay time display unit for displaying the measured delay time,
The detection information storage unit,
A real-time web attack detection system characterized by receiving result data from the modulation determination unit and reflecting the information on the spies and the false positives.
상기 무결성 검증부는,
상기 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템.According to claim 1,
The integrity verification unit,
A real-time web attack detection system that performs integrity verification by comparing lengths between the source codes.
상기 무결성 검증부는,
상기 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 실시간 웹공격 탐지 시스템.According to claim 1,
The integrity verification unit,
A real-time web attack detection system that extracts each hash value for the source code and performs integrity verification through comparison of the extracted hash values.
상기 소스코드는 CRC 부호를 포함하고,
상기 무결성 검증부는,
상기 CRC 부호의 검증을 수행하는 실시간 웹공격 탐지 시스템.According to claim 1,
The source code includes a CRC code,
The integrity verification unit,
A real-time web attack detection system that performs verification of the CRC code.
상기 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템.According to claim 1,
A real-time web attack detection system further comprising a log storage unit that stores an event log that detects a change in the management target web page.
상기 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및
상기 웹페이지 상기 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템.The method of claim 8,
A log display unit displaying the event log stored in the log storage unit; And
A real-time web attack detection system further comprising a change code display for displaying the change portion of the web page.
상기 변경코드 표시부는,
상기 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.The method of claim 9,
The change code display unit,
Real-time web attack detection system characterized in that it displays the similarity between the source code included in the change portion and the false positive information.
상기 변경코드 표시부는,
상기 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.The method of claim 9,
The change code display unit,
Real-time web attack detection system, characterized in that to display the similarity between the change and the malicious code.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170143703A KR102092411B1 (en) | 2017-10-31 | 2017-10-31 | Realtime Web Attack Detection Method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170143703A KR102092411B1 (en) | 2017-10-31 | 2017-10-31 | Realtime Web Attack Detection Method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190048606A KR20190048606A (en) | 2019-05-09 |
KR102092411B1 true KR102092411B1 (en) | 2020-03-23 |
Family
ID=66546353
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170143703A KR102092411B1 (en) | 2017-10-31 | 2017-10-31 | Realtime Web Attack Detection Method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102092411B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102202108B1 (en) * | 2020-04-08 | 2021-01-12 | 주식회사 한국정보보호경영연구소 | System and method to automatically diagnose vulnerabilities in cloud infrastructure assets |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100912794B1 (en) * | 2008-11-18 | 2009-08-18 | 주식회사 나우콤 | Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search |
US20110185421A1 (en) * | 2010-01-26 | 2011-07-28 | Silver Tail Systems, Inc. | System and method for network security including detection of man-in-the-browser attacks |
KR101291782B1 (en) * | 2013-01-28 | 2013-07-31 | 인포섹(주) | Webshell detection and corresponding system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130116418A (en) * | 2012-03-15 | 2013-10-24 | 주식회사 코닉글로리 | Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol |
-
2017
- 2017-10-31 KR KR1020170143703A patent/KR102092411B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100912794B1 (en) * | 2008-11-18 | 2009-08-18 | 주식회사 나우콤 | Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search |
US20110185421A1 (en) * | 2010-01-26 | 2011-07-28 | Silver Tail Systems, Inc. | System and method for network security including detection of man-in-the-browser attacks |
KR101291782B1 (en) * | 2013-01-28 | 2013-07-31 | 인포섹(주) | Webshell detection and corresponding system |
Also Published As
Publication number | Publication date |
---|---|
KR20190048606A (en) | 2019-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
CA2946695C (en) | Fraud detection network system and fraud detection method | |
CN102110198B (en) | Anti-counterfeiting method for web page | |
KR101497742B1 (en) | System and method for authentication, data transfer, and protection against phising | |
US6567917B1 (en) | Method and system for providing tamper-resistant executable software | |
US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
CA2840992C (en) | Syntactical fingerprinting | |
US20160119344A1 (en) | System and method for web application security | |
CN102111267A (en) | Website safety protection method based on digital signature and system adopting same | |
CN112003838B (en) | Network threat detection method, device, electronic device and storage medium | |
KR100912794B1 (en) | Web hacking management system and manegement method thereof for real time web server hacking analysis and homepage hacking search | |
KR102271545B1 (en) | Systems and Methods for Domain Generation Algorithm (DGA) Malware Detection | |
KR20080044145A (en) | Anomaly detection system and method of web application attacks using web log correlation | |
US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
Iskandar et al. | Web based testing application security system using semantic comparison method | |
KR102159399B1 (en) | Device for monitoring web server and analysing malicious code | |
JP5656266B2 (en) | Blacklist extraction apparatus, extraction method and extraction program | |
CN105791250B (en) | Application program detection method and device | |
KR101372906B1 (en) | Method and system to prevent malware code | |
KR102092411B1 (en) | Realtime Web Attack Detection Method | |
KR101464736B1 (en) | Security Assurance Management System and Web Page Monitoring Method | |
Chhajed et al. | Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
KR101725670B1 (en) | System and method for malware detection and prevention by checking a web server | |
CN109218332B (en) | Monitoring method for embedded point type phishing website |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |