KR102134898B1 - System and method for providing integrated security service for web server based on cloud - Google Patents
System and method for providing integrated security service for web server based on cloud Download PDFInfo
- Publication number
- KR102134898B1 KR102134898B1 KR1020190127698A KR20190127698A KR102134898B1 KR 102134898 B1 KR102134898 B1 KR 102134898B1 KR 1020190127698 A KR1020190127698 A KR 1020190127698A KR 20190127698 A KR20190127698 A KR 20190127698A KR 102134898 B1 KR102134898 B1 KR 102134898B1
- Authority
- KR
- South Korea
- Prior art keywords
- service
- web
- web server
- type selection
- selection information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 보안 서비스 제공 시스템 및 방법에 관한 것으로, 특히 클라우드 기반 통합 웹서버 보안 서비스 제공 시스템 및 방법에 관한 것이다.The present invention relates to a security service providing system and method, and more particularly, to a cloud-based integrated web server security service providing system and method.
대부분의 기업들은 백오피스를 방화벽으로 차단하거나 분리된 망을 통해 내부 서비스를 운영함으로써, 보안을 유지하고 있다.Most companies maintain security by blocking the back office with a firewall or operating internal services through a separate network.
고객 서비스를 위한 웹서버는 외부에 개방될 수밖에 없고, 이에 따른 웹서버의 보안취약점 또는 웹어플리케이션의 보안취약점은 해커의 공격 대상이 될 수 있다.The web server for customer service has to be opened to the outside, and thus the security vulnerability of the web server or the security vulnerability of the web application can be a target for hackers.
최근 클라우드 기업 가입자간 물리 저장소(자원)를 공유하는 클라우드 서비스가 확대되고 있고, 그에 따른 데이터 유출, 불충분한 ID 인증 정보 및 접근 권한 관리, 안전하지 않은 인터페이스 및 API, 시스템 취약점, 계정 하이재킹, 악의적 내부자, APT(Advanced Persistent Threats), 데이터 손실, 불충분한 실사, 클라우드 서비스 오용 및 악용, DoS(Denial of service), 공유 기술 취약점 등의 새로운 보안 위협이 등장하고 있다.Recently, cloud services sharing physical storage (resources) among cloud enterprise subscribers are expanding, resulting in data leakage, insufficient ID authentication information and access management, unsafe interfaces and APIs, system vulnerabilities, account hijacking, and malicious insiders New security threats are emerging, including Advanced Persistent Threats (APTs), data loss, insufficient due diligence, misuse and exploitation of cloud services, denial of service (DoS), and shared technology vulnerabilities.
이에 따라, 고객 서비스를 위해 개방할 수밖에 없는 웹 서버의 보안 위협을 탐지하고 차단할 수 있는 기술이 요구된다.Accordingly, there is a need for a technology capable of detecting and blocking security threats of a web server that must be opened for customer service.
본 발명이 이루고자 하는 기술적 과제는 고객 서비스를 위해 개방할 수밖에 없는 웹 서버의 보안 위협을 탐지하고 차단할 수 있는 클라우드 기반 통합 웹서버 보안서비스 제공 시스템 및 방법을 제공하는 것이다.The technical problem to be achieved by the present invention is to provide a system and method for providing a cloud-based integrated web server security service capable of detecting and blocking security threats of a web server that must be opened for customer service.
한 실시예에 따르면, 클라우드 기반 통합 웹서버 보안 서비스를 제공하는 시스템이 제공된다. 상기 웹서버 보안 서비스 제공 시스템은 웹서버를 관리하는 사용자 단말로부터 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신하는 입력부, 복수의 웹서버 보안 서비스 중 상기 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 제공하는 보안 서비스 제공부, 그리고 상기 웹서버 보안 서비스의 사용량 및 상기 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 상기 과금 내역을 상기 사용자 단말에게 송신하는 과금부를 포함하고, 상기 서비스 제공부는, 상기 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지하는 악성코드 탐지 모듈, 상기 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 상기 웹서버의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지하는 웰쉘 탐지 모듈, 상기 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지하는 홈페이지 위변조 탐지 모듈, 및 상기 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 상기 웹서버의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지하는 웹방화벽 모듈을 포함한다.According to one embodiment, a system for providing a cloud-based integrated web server security service is provided. The web server security service providing system includes an input unit for receiving service type selection information and charging type selection information from a user terminal managing a web server, and a web server security service corresponding to the service type selection information among a plurality of web server security services. A security service providing unit provided, and a billing unit for calculating a billing history based on usage of the web server security service and the billing type selection information, and transmitting the billing history to the user terminal, wherein the service provider includes: When the service type selection information is a malicious code detection service, a malicious code detection module for real-time monitoring of a web page provided by the web server to detect malicious code, and when the service type selection information is a web shell detection service, the web Well-shell detection module that detects a web shell by real-time monitoring a preset folder of a server, and if the service type selection information is a homepage forgery detection service, monitors forgery of the homepage by real-time monitoring the content of the webpage provided by the web server Homepage forgery detection module for detecting, and a web firewall module for detecting a web attack by monitoring HTTP protocol traffic of the web server when the service type selection information is a security vulnerability detection service.
상기 악성코드 탐지 모듈은, 미리 학습된 기계학습 모델을 이용하여 상기 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지할 수 있다.The malicious code detection module may detect a malicious code distribution site or a destination URL included in the web page using a machine learning model previously learned.
상기 웹서버 보안 서비스 제공 시스템은 상기 악성코드 탐지 모듈, 웰쉘 탐지 모듈, 홈페이지 위변조 탐지 모듈, 웹방화벽 모듈로부터 모니터링 결과를 수신하고, 상기 모니터링 결과에 반하여 탐지 결과 내역을 생성하며, 상기 탐지 결과 내역을 상기 사용자 단말에게 송신하는 알림부를 더 포함할 수 있다.The web server security service providing system receives monitoring results from the malicious code detection module, well shell detection module, homepage forgery detection module, and web firewall module, generates detection result details against the monitoring results, and records the detection result details It may further include a notification unit for transmitting to the user terminal.
한 실시예에 따르면, 클라우드 기반 통합 웹서버 보안 서비스를 제공하는 방법이 제공된다. 상기 웹서버 보안 서비스 제공 방법은 웹서버를 관리하는 사용자 단말로부터 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신하는 단계, 복수의 웹서버 보안 서비스 중 상기 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 제공하는 단계, 그리고 상기 웹서버 보안 서비스의 사용량 및 상기 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 상기 과금 내역을 상기 사용자 단말에게 송신하는 단계를 포함하고, 상기 웹서버 보안 서비스를 제공하는 단계는, 상기 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지하는 단계, 상기 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 상기 웹서버의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지하는 단계, 상기 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지하는 단계, 및 상기 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 상기 웹서버의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지하는 단계를 포함한다.According to one embodiment, a method of providing a cloud-based integrated web server security service is provided. The web server security service providing method includes receiving service type selection information and charging type selection information from a user terminal managing a web server, and providing a web server security service corresponding to the service type selection information among a plurality of web server security services. Providing, and calculating a billing history based on the usage amount of the web server security service and the billing type selection information, and transmitting the billing history to the user terminal, and providing the web server security service Step, if the service type selection information is a malicious code detection service, detecting the malicious code by monitoring the web page provided by the web server in real time, if the service type selection information is a web shell detection service, the web Detecting a web shell by real-time monitoring a predetermined folder of a server in real time, and when the service type selection information is a homepage forgery detection service, monitors forgery of the homepage by real-time monitoring the content of the webpage provided by the web server. And detecting the web attack by monitoring the HTTP protocol traffic of the web server when the service type selection information is a security vulnerability detection service.
상기 악성코드를 탐지하는 단계는, 미리 학습된 기계학습 모델을 이용하여 상기 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지할 수 있다.In the step of detecting the malicious code, the URL of the malicious code distribution or stoppage included in the web page may be detected using a machine learning model previously learned.
악성코드 탐지, 웹쉘 탐지, 홈페이지 위변조 탐지, 웹취약점 탐지 등 웹서버에 대한 통합 웹보안이 가능하다.Integrated web security for web servers such as malicious code detection, web shell detection, homepage forgery detection, and web vulnerability detection is possible.
또한, 예산 부족으로 다양한 보안 장비 및 솔루션을 통한 보안 관리가 어려운 중소기업에게 맞춤형 종합 웹보안 서비스를 제공할 수 있다.In addition, it is possible to provide a customized comprehensive web security service to SMEs that are difficult to manage through various security equipment and solutions due to lack of budget.
도 1은 한 실시예에 따른 웹서버 보안 서비스 제공 시스템의 블록도이다.
도 2는 한 실시예에 따른 웹서버 보안 서비스 제공 시스템의 보안 서비스 제공부의 블록도이다.
도 3 내지 도 7은 한 실시예에 따른 웹쉘 탐지 방법을 설명하기 위한 도면이다.
도 8 및 도 9는 한 실시예에 따른 웹서버 보안 서비스 제공 방법의 흐름도이다.1 is a block diagram of a web server security service providing system according to an embodiment.
2 is a block diagram of a security service providing unit of a web server security service providing system according to an embodiment.
3 to 7 are diagrams for explaining a web shell detection method according to an embodiment.
8 and 9 are flowcharts of a method for providing a web server security service according to an embodiment.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art to which the present invention pertains may easily practice. However, the present invention can be implemented in many different forms and is not limited to the embodiments described herein. In addition, in order to clearly describe the present invention in the drawings, parts irrelevant to the description are omitted, and like reference numerals are assigned to similar parts throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part “includes” a certain component, it means that the component may further include other components, not to exclude other components, unless otherwise specified.
도 1은 한 실시예에 따른 웹서버 보안 서비스 제공 시스템의 블록도이다. 도 2는 한 실시예에 따른 웹서버 보안 서비스 제공 시스템의 보안 서비스 제공부의 블록도이다. 도 3 내지 도 7은 한 실시예에 따른 웹쉘 탐지 방법을 설명하기 위한 도면이다.1 is a block diagram of a web server security service providing system according to an embodiment. 2 is a block diagram of a security service providing unit of a web server security service providing system according to an embodiment. 3 to 7 are diagrams for explaining a web shell detection method according to an embodiment.
도 1을 참조하면, 한 실시예에 따른 웹서버 보안 서비스 제공 시스템은 입력부(110), 보안 서비스 제공부(120), 과금부(130), 알림부(140), 저장부(150), 및 통신부(160)를 포함한다.1, the web server security service providing system according to an embodiment includes an
입력부(110)는 사용자 단말(10)로부터 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신한다. 입력부(110)는 웹서버(30)를 관리하는 가입자의 사용자 단말(10)로부터 온라인 회원가입 정보인 가입자 약관 동의 정보, 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신할 수 있다. 서비스 유형 선택 정보는 한 실시예로서, 악성코드 탐지 서비스, 웹쉘 탐지 서비스, 홈페이지 위변조 탐지 서비스, 보안취약점 탐지 서비스 중 적어도 하나를 포함할 수 있다. 과금 유형 선택 정보는 주별 사용량에 따른 과금, 월별 사용량에 따른 과금, 서비스 선택 항목 개수에 따른 과금 중 적어도 하나를 포함할 수 있다. 사용자 단말(10)은 한 실시예로서, 이동 통신 단말기, 데스크톱 컴퓨터, 노트북 컴퓨터, 워크스테이션, 팜톱(palmtop) 컴퓨터, 개인 휴대 정보 단말기(Personal Digital Assistant, PDA), 웹 패드 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기일 수 있다.The
보안 서비스 제공부(120)는 복수의 웹서버 보안 서비스 중 사용자 단말(10)로부터 수신한 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 가입자에게 제공한다. The security
도 2를 참조하면, 보안 서비스 제공부(120)는 한 실시예로서, 악성코드 탐지 모듈(121), 웰쉘 탐지 모듈(122), 홈페이지 위변조 탐지 모듈(123), 및 웹방화벽 모듈(124)을 포함할 수 있다.Referring to FIG. 2, the security
악성코드 탐지 모듈(121)은 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 웹서버(30)에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지한다. 악성코드 탐지 모듈(121)은 한 실시예로서, 미리 학습된 기계학습 모델을 이용하여 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지할 수 있다. 악성코드 탐지 모듈(121)은 한 실시예로서, 미리 학습된 기계학습 모델을 이용하여 바이러스, 웜(Worm), 트로이 목마(Trojan), 하이브리드와 이국적인 형태, 랜섬웨어(Ransomware), 파일리스(Fileless) 악성코드, 애드웨어(Adware), 스파이웨어(Spyware) 등의 악성코드를 탐지할 수 있다. 악성코드 탐지 모듈(121)은 악성코드에 대한 정적 분석(Static Analysis) 및 동적 분석(Dynamic Analysis)을 수행하여 악성코드 특성 정보를 추출할 수 있고, 악성코드 특성 정보를 이용하여 기계학습 모델을 학습할 수 있다. 악성코드 탐지 모듈(121)은 악성코드의 유형, 수집방법, Exploit 유형, 전파방법, 생성방법, 실행방법 등 메타 속성정보를 기계학습 모델의 입력 변수로 하여 악성코드 유포지 또는 경유지 URL을 탐지할 수 있다.The malicious
악성코드 탐지 모듈(121)은 한 실시예로서, PE 모듈 기반의 악성코드를 탐지할 수 있다. 악성코드 탐지 모듈(121)은 한 실시예로서, 웹서버(30)를 통해 실시간으로 인/아웃(In/Out) 전송되는 http 프로토콜의 페이로드(payload)를 모니터링하고 침입 유형을 탐지할 수 있다.The malicious
웰쉘 탐지 모듈(122)은 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 웹서버(30)의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지한다. 웰쉘 탐지 모듈(122)은 한 실시예로서, HTML, Java Script 등 파일 단위의 웹쉘을 탐지할 수 있다. 웰쉘 탐지 모듈(122)은 한 실시예로서, PHP, JSP, ASP 등의 스크립트 언어를 탐지할 수 있다. 웰쉘 탐지 모듈(122)은 한 실시예로서, 미리 학습된 기계학습 모델을 이용하여 웹쉘을 탐지할 수 있다.When the service type selection information is a web shell detection service, the well
도 3을 참조하면, 웰쉘 탐지 모듈(122)은 한 실시예로서, 퍼지 해시(Fuzzy Hash) 알고리즘을 이용하여 원본 파일과 웹쉘 샘플들의 유사도를 산출하고, 각 샘플의 유사도에 기반하여 웹쉘을 검출할 수 있다.Referring to FIG. 3, the
도 4를 참조하면, 웰쉘 탐지 모듈(122)은 한 실시예로서, POSIX, RE2 패턴 정규표현식 패턴 탐지 엔진을 이용하여 웹쉘을 검출할 수 있다. 웰쉘 탐지 모듈(122)은 한 실시예로서, YARA 모듈을 포함할 수 있다.Referring to FIG. 4, the well
도 5를 참조하면, 웰쉘 탐지 모듈(122)은 한 실시예로서, 기 발견된 웹쉘의 경우 해당 파일에 대한 해시값 비교를 통해 웹쉘을 검출할 수 있다.Referring to FIG. 5, the
도 6을 참조하면, 웰쉘 탐지 모듈(122)은 한 실시예로서, 정상 소스코드 외에 인코딩, 압축, 난독화 등 비정상 소스코드를 탐지할 수 있다. 웰쉘 탐지 모듈(122)은 한 실시예로서, Base64, VbScript, XOR, Gzip, Zend 등이 적용된 소스코드를 탐지할 수 있다.Referring to FIG. 6, the well-
도 7을 참조하면, 웰쉘 탐지 모듈(122)은 한 실시예로서, 국내 정보공유 분석기관의 C-TAS 서버로부터 수집된 악성코드 URL 해시정보를 이용하여 웹쉘을 탐지할 수 있다.Referring to FIG. 7, the well-
홈페이지 위변조 탐지 모듈(123)은 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 웹서버(30)에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지한다. 홈페이지 위변조 탐지 모듈(123)은 한 실시예로서, 콘텐츠의 태그 시그니처를 이용하여 홈페이지의 위변조 여부를 탐지할 수 있다. 홈페이지 위변조 탐지 모듈(123)은 한 실시예로서, 가입자 등록 서비스 URL 단위의 홈페이지 위변조를 탐지할 수 있다. 홈페이지 위변조 탐지 모듈(123)은 한 실시예로서, 홈페이지 고정 텍스트 또는 가변 텍스트에 기반하여 홈페이지 위변조를 탐지할 수 있다.When the service type selection information is the homepage forgery detection service, the homepage
웹방화벽 모듈(124)은 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 웹서버(30)의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지한다. 웹방화벽 모듈(124)은 한 실시예로서, 저장부(150)에 저장된 공격패턴을 포함하는 공통 Rule을 이용하여 웹서버(30)로 들어오는 HTTP 프로토콜 트래픽을 검사하고, 공격으로 판단된 패킷을 차단할 수 있다.The
과금부(130)는 웹서버 보안 서비스의 사용량 및 사용자 단말(10)로부터 수신한(또는 가입자가 선택한) 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 산출된 과금 내역을 사용자 단말(10)에게 송신한다.The
알림부(140)는 악성코드 탐지 모듈(121), 웰쉘 탐지 모듈(122), 홈페이지 위변조 탐지 모듈(123), 웹방화벽 모듈(124)로부터 모니터링 결과를 수신하고, 모니터링 결과에 반하여 탐지 결과 내역을 생성하며, 탐지 결과 내역을 사용자 단말(10)에게 송신한다. 알림부(140)는 한 실시예로서, 악성코드 탐지 모듈(121), 웰쉘 탐지 모듈(122), 홈페이지 위변조 탐지 모듈(123), 웹방화벽 모듈(124)에 의한 탐지 및 차단 내역을 생성하고, 탐지 및 차단 내역을 사용자 단말(10)에게 송신할 수 있다. 알림부(140)는 한 실시예로서, 악성코드 탐지 모듈(121), 웰쉘 탐지 모듈(122), 홈페이지 위변조 탐지 모듈(123), 웹방화벽 모듈(124)에 의해 악성코드, 웹쉘, 홈페이지 위변조, 웹 공격이 탐지되면, 사용자 단말(10)에게 알림메시지를 송신할 수 있다.The
저장부(150)는 한 실시예로서, 사용자 단말(10)로부터 수신한 온라인 회원가입 정보인 가입자 약관 동의 정보, 서비스 유형 선택 정보 및 과금 유형 선택 정보를 저장할 수 있다. 저장부(150)는 한 실시예로서, 패턴 시그니처, 파일 해시, 퍼지 해시, 악성코드 URL 정보를 저장할 수 있다.As an embodiment, the
통신부(160)는 사용자 단말(10) 및 웹서버(30)와 데이터를 송수신할 수 있고, 과금부(130)의 명령에 따라 사용자 단말(10)에게 과금 내역을 송신할 수 있으며, 알림부(140)의 명령에 따라 사용자 단말(10)에게 탐지 결과 내역, 탐지 및 차단 내역, 알림메시지를 송신할 수 있다.The
도 8 및 도 9는 한 실시예에 따른 웹서버 보안 서비스 제공 방법의 흐름도이다.8 and 9 are flowcharts of a method for providing a web server security service according to an embodiment.
도 8 및 도 9를 참조하면, 한 실시예에 따른 웹서버 보안 서비스 제공 방법은 웹서버를 관리하는 사용자 단말로부터 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신하는 단계(S100), 복수의 웹서버 보안 서비스 중 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 제공하는 단계(S200), 그리고 웹서버 보안 서비스의 사용량 및 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 과금 내역을 사용자 단말에게 송신하는 단계(S300)를 포함하고, 웹서버 보안 서비스를 제공하는 단계(S200)는, 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 웹서버에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지하는 단계(S210), 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 웹서버의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지하는 단계(S220), 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 웹서버에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지하는 단계(S230), 및 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 웹서버의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지하는 단계(S240)를 포함한다.8 and 9, a method for providing a web server security service according to an embodiment includes receiving service type selection information and charging type selection information from a user terminal managing a web server (S100), a plurality of web servers Providing a web server security service corresponding to the service type selection information among the security services (S200), and calculating a billing history based on the usage and billing type selection information of the web server security service, and transmitting the billing history to the user terminal Step (S300), and providing a web server security service (S200), when the service type selection information is a malicious code detection service, detects malicious code by monitoring the web page provided by the web server in real time Step (S210), if the service type selection information is a web shell detection service, detecting a web shell by monitoring a preset folder of a web server in real time (S220), if the service type selection information is a homepage forgery detection service, the web Step of detecting the forgery of the homepage by real-time monitoring the content of the web page provided by the server (S230), and, if the service type selection information is a security vulnerability detection service, by monitoring the HTTP protocol traffic of the web server And detecting a web attack (S240).
악성코드를 탐지하는 단계(S210)는, 미리 학습된 기계학습 모델을 이용하여 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지할 수 있다.In the step of detecting the malicious code (S210 ), the URL of the malicious code distribution or stoppage included in the web page may be detected using a machine learning model that has been previously learned.
사용자 단말로부터 서비스 유형 선택 정보 및 과금 유형 선택 정보를 수신하는 단계(S100), 웹서버 보안 서비스를 제공하는 단계(S200), 악성코드를 탐지하는 단계(S210), 웹쉘을 탐지하는 단계(S220), 홈페이지의 위변조 여부를 탐지하는 단계(S230), 웹 공격을 탐지하는 단계(S240), 과금 내역을 사용자 단말에게 송신하는 단계(S300)는 위에서 설명한 입력부(110), 보안 서비스 제공부(120), 과금부(130), 알림부(140), 저장부(150), 및 통신부(160)의 동작 내용과 동일하므로, 상세한 설명은 생략한다.Receiving service type selection information and charging type selection information from a user terminal (S100), providing a web server security service (S200), detecting a malicious code (S210), and detecting a web shell (S220) , The step of detecting the forgery of the homepage (S230), the step of detecting a web attack (S240), and the step of transmitting the billing details to the user terminal (S300) are the
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
Claims (5)
웹서버를 관리하는 사용자 단말로부터 가입자 약관 동의 정보, 서비스 유형 선택 정보, 및 과금 유형 선택 정보를 수신하는 입력부,
복수의 웹서버 보안 서비스 중 상기 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 제공하는 보안 서비스 제공부, 그리고
상기 웹서버 보안 서비스의 사용량 및 상기 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 상기 과금 내역을 상기 사용자 단말에게 송신하는 과금부
를 포함하고,
상기 보안 서비스 제공부는,
상기 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지하는 악성코드 탐지 모듈,
상기 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 상기 웹서버의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지하는 웰쉘 탐지 모듈,
상기 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지하는 홈페이지 위변조 탐지 모듈, 및
상기 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 상기 웹서버의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지하는 웹방화벽 모듈을 포함하고,
상기 악성코드 탐지 모듈, 웰쉘 탐지 모듈, 홈페이지 위변조 탐지 모듈, 웹방화벽 모듈을 통해 악성코드, 웹쉘, 홈페이지 위변조, 웹 공격이 탐지되면, 상기 사용자 단말에게 알림메시지를 송신하는 알림부, 및
상기 가입자 약관 동의 정보, 서비스 유형 선택 정보, 및 과금 유형 선택 정보, 파일 해시, 퍼지 해시, 및 악성코드 URL 정보를 저장하는 저장부를 더 포함하며,
상기 과금 유형 선택 정보는 주별 사용량에 따른 과금, 월별 사용량에 따른 과금, 및 서비스 선택 항목 개수에 따른 과금을 포함하며,
상기 웰쉘 탐지 모듈은,
퍼지 해시(Fuzzy Hash) 알고리즘을 이용하여 원본 파일과 웹쉘 샘플들의 유사도를 산출하고, 각 샘플의 유사도에 기반하여 웹쉘을 탐지하며, 기 발견된 웹쉘의 경우 해시값 비교를 통해 웹쉘을 탐지하며, 정보공유 분석기관의 서버로부터 수집된 악성코드 URL 해시정보를 이용하여 웹쉘을 탐지하며,
상기 홈페이지 위변조 탐지 모듈은,
콘텐츠의 태그 시그니처를 이용하여 홈페이지의 위변조 여부를 탐지하며, 가입자 등록 서비스 URL 단위의 홈페이지 위변조를 탐지하며, 홈페이지 고정 텍스트 또는 가변 텍스트에 기반하여 홈페이지 위변조를 탐지하는, 웹서버 보안 서비스 제공 시스템.A system that provides a cloud-based integrated web server security service,
Input unit for receiving subscriber agreement agreement information, service type selection information, and billing type selection information from a user terminal managing a web server,
A security service providing unit that provides a web server security service corresponding to the service type selection information among a plurality of web server security services, and
A billing unit that calculates billing details based on the usage of the web server security service and the billing type selection information, and transmits the billing details to the user terminal
Including,
The security service providing unit,
When the service type selection information is a malicious code detection service, a malicious code detection module that detects malicious code by real-time monitoring a web page provided by the web server,
When the service type selection information is a web shell detection service, a well shell detection module that detects a web shell by real-time monitoring a preset folder of the web server,
When the service type selection information is a homepage forgery detection service, a homepage forgery detection module for real-time monitoring of the content of the webpage provided by the web server to detect whether the homepage is forged, and
If the service type selection information is a security vulnerability detection service, and includes a web firewall module for detecting a web attack by monitoring the HTTP protocol traffic of the web server,
When the malicious code detection module, well shell detection module, homepage forgery detection module, web firewall module detects malicious code, webshell, homepage forgery, web attack, a notification unit to send a notification message to the user terminal, and
Further comprising a storage unit for storing the subscriber agreement information, service type selection information, and billing type selection information, file hash, fuzzy hash, and malware URL information,
The billing type selection information includes billing according to weekly usage, billing according to monthly usage, and billing according to the number of service selection items,
The well shell detection module,
The fuzzy hash algorithm is used to calculate the similarity between the original file and the webshell samples, detect the webshell based on the similarity of each sample, and in the case of the previously found webshell, detect the webshell through hash value comparison and information Detects the web shell using the hash information of the malicious code URL collected from the server of the shared analysis institution,
The homepage forgery detection module,
A web server security service providing system that detects the forgery of the homepage using the tag signature of the content, detects the forgery of the homepage in the URL of the subscriber registration service, and detects the forgery of the homepage based on the fixed text or variable text of the homepage.
상기 악성코드 탐지 모듈은,
미리 학습된 기계학습 모델을 이용하여 상기 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지하는, 웹서버 보안 서비스 제공 시스템.In claim 1,
The malicious code detection module,
A web server security service providing system that detects a malicious code distribution site or a destination URL included in the web page using a pre-trained machine learning model.
상기 알림부는,
상기 악성코드 탐지 모듈, 웰쉘 탐지 모듈, 홈페이지 위변조 탐지 모듈, 웹방화벽 모듈로부터 모니터링 결과를 수신하고, 상기 모니터링 결과에 반하여 탐지 결과 내역을 생성하며, 상기 탐지 결과 내역을 상기 사용자 단말에게 송신하는, 웹서버 보안 서비스 제공 시스템.In claim 1,
The notification unit,
Web that receives monitoring results from the malicious code detection module, well shell detection module, homepage forgery detection module, and web firewall module, generates detection result details against the monitoring results, and transmits the detection result details to the user terminal. Server security service providing system.
웹서버를 관리하는 사용자 단말로부터 가입자 약관 동의 정보, 서비스 유형 선택 정보, 및 과금 유형 선택 정보를 수신하는 단계,
복수의 웹서버 보안 서비스 중 상기 서비스 유형 선택 정보에 대응하는 웹서버 보안 서비스를 제공하는 단계, 그리고
상기 웹서버 보안 서비스의 사용량 및 상기 과금 유형 선택 정보에 기반하여 과금 내역을 산출하고, 상기 과금 내역을 상기 사용자 단말에게 송신하는 단계
를 포함하고,
상기 웹서버 보안 서비스를 제공하는 단계는,
상기 서비스 유형 선택 정보가 악성코드 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지를 실시간 모니터링하여 악성코드를 탐지하는 단계,
상기 서비스 유형 선택 정보가 웹쉘 탐지 서비스인 경우, 상기 웹서버의 미리 설정된 지정폴더를 실시간 모니터링하여 웹쉘을 탐지하는 단계,
상기 서비스 유형 선택 정보가 홈페이지 위변조 탐지 서비스인 경우, 상기 웹서버에 의해 제공되는 웹페이지의 콘텐츠를 실시간 모니터링하여 홈페이지의 위변조 여부를 탐지하는 단계, 및
상기 서비스 유형 선택 정보가 보안취약점 탐지 서비스인 경우, 상기 웹서버의 HTTP 프로토콜(Protocol) 트래픽을 모니터링하여 웹 공격을 탐지하는 단계를 포함하고,
상기 과금 유형 선택 정보는 주별 사용량에 따른 과금, 월별 사용량에 따른 과금, 및 서비스 선택 항목 개수에 따른 과금을 포함하고,
상기 웹쉘을 탐지하는 단계는, 퍼지 해시(Fuzzy Hash) 알고리즘을 이용하여 원본 파일과 웹쉘 샘플들의 유사도를 산출하고, 각 샘플의 유사도에 기반하여 웹쉘을 탐지하며, 기 발견된 웹쉘의 경우 해시값 비교를 통해 웹쉘을 탐지하며, 정보공유 분석기관의 서버로부터 수집된 악성코드 URL 해시정보를 이용하여 웹쉘을 탐지하며,
상기 홈페이지의 위변조 여부를 탐지하는 단계는, 콘텐츠의 태그 시그니처를 이용하여 홈페이지의 위변조 여부를 탐지하며, 가입자 등록 서비스 URL 단위의 홈페이지 위변조를 탐지하며, 홈페이지 고정 텍스트 또는 가변 텍스트에 기반하여 홈페이지 위변조를 탐지하는, 웹서버 보안 서비스 제공 방법.As a method of providing a cloud-based integrated web server security service,
Receiving subscriber agreement agreement information, service type selection information, and billing type selection information from a user terminal managing a web server,
Providing a web server security service corresponding to the service type selection information among a plurality of web server security services, and
Calculating a billing history based on the usage amount of the web server security service and the billing type selection information, and transmitting the billing history to the user terminal
Including,
Providing the web server security service,
If the service type selection information is a malicious code detection service, detecting the malicious code by monitoring the web page provided by the web server in real time,
When the service type selection information is a web shell detection service, detecting a web shell by monitoring a preset folder of the web server in real time,
If the service type selection information is a homepage forgery detection service, detecting the forgery of the homepage by real-time monitoring the content of the webpage provided by the web server, and
When the service type selection information is a security vulnerability detection service, comprising: detecting a web attack by monitoring HTTP protocol traffic of the web server,
The billing type selection information includes billing according to weekly usage, billing according to monthly usage, and billing according to the number of service selection items,
In the detecting of the web shell, a fuzzy hash algorithm is used to calculate the similarity between the original file and the web shell samples, detect the web shell based on the similarity of each sample, and compare the hash values in the case of the previously found web shell To detect the web shell, and to detect the web shell using the malicious code URL hash information collected from the server of the information sharing analysis institution,
The step of detecting the forgery of the homepage detects the forgery of the homepage using the tag signature of the content, detects the forgery of the homepage in the unit of the subscriber registration service URL, and the forgery of the homepage based on the fixed text or variable text of the homepage. How to detect and provide web server security services.
상기 악성코드를 탐지하는 단계는,
미리 학습된 기계학습 모델을 이용하여 상기 웹페이지 내에 포함된 악성코드 유포지 또는 경유지 URL을 탐지하는, 웹서버 보안 서비스 제공 방법.
In claim 4,
The step of detecting the malicious code,
A method for providing a web server security service using a pre-trained machine learning model to detect a malicious code distribution site or a destination URL included in the web page.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190127698A KR102134898B1 (en) | 2019-10-15 | 2019-10-15 | System and method for providing integrated security service for web server based on cloud |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190127698A KR102134898B1 (en) | 2019-10-15 | 2019-10-15 | System and method for providing integrated security service for web server based on cloud |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102134898B1 true KR102134898B1 (en) | 2020-07-17 |
Family
ID=71832305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190127698A KR102134898B1 (en) | 2019-10-15 | 2019-10-15 | System and method for providing integrated security service for web server based on cloud |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102134898B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102339351B1 (en) * | 2021-03-10 | 2021-12-14 | 김국영 | Apparatus for auto searching Google hacking vulnerability and method thereof |
KR102517196B1 (en) * | 2022-08-24 | 2023-04-03 | 주식회사 엔터프라이즈블록체인 | Eletronic device for providing curriculum vitae creation and management service and method thereof |
KR102555468B1 (en) * | 2022-09-15 | 2023-07-17 | 주식회사 에프원시큐리티 | Artificial intelligence web shell detection system and method therefor |
KR20240013494A (en) | 2022-07-22 | 2024-01-30 | 한전케이디엔주식회사 | A method and apparatus for security control signature management using artificial intelligence and block chain |
KR102702108B1 (en) | 2023-12-18 | 2024-09-04 | 에스지에이솔루션즈 주식회사 | Method, apparatus and computer-readable medium for recommending rule of intrusion prevention system through scan result of security vulnerability |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120072120A (en) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | Method and apparatus for diagnosis of malicious file, method and apparatus for monitoring malicious file |
-
2019
- 2019-10-15 KR KR1020190127698A patent/KR102134898B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120072120A (en) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | Method and apparatus for diagnosis of malicious file, method and apparatus for monitoring malicious file |
Non-Patent Citations (1)
Title |
---|
IT 조선 온라인 신문, "시큐아이, 클라우드 전용 통합 보안 서비스 ‘클라우드맥스’ 선봬", (2019.04.26.) * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102339351B1 (en) * | 2021-03-10 | 2021-12-14 | 김국영 | Apparatus for auto searching Google hacking vulnerability and method thereof |
KR20240013494A (en) | 2022-07-22 | 2024-01-30 | 한전케이디엔주식회사 | A method and apparatus for security control signature management using artificial intelligence and block chain |
KR102517196B1 (en) * | 2022-08-24 | 2023-04-03 | 주식회사 엔터프라이즈블록체인 | Eletronic device for providing curriculum vitae creation and management service and method thereof |
WO2024043613A1 (en) * | 2022-08-24 | 2024-02-29 | 주식회사 엔터프라이즈블록체인 | Server device for providing curriculum vitae generation and management service, and operating method thereof |
KR102555468B1 (en) * | 2022-09-15 | 2023-07-17 | 주식회사 에프원시큐리티 | Artificial intelligence web shell detection system and method therefor |
KR102702108B1 (en) | 2023-12-18 | 2024-09-04 | 에스지에이솔루션즈 주식회사 | Method, apparatus and computer-readable medium for recommending rule of intrusion prevention system through scan result of security vulnerability |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102134898B1 (en) | System and method for providing integrated security service for web server based on cloud | |
US11068588B2 (en) | Detecting irregularities on a device | |
CN110620753B (en) | System and method for countering attacks on a user's computing device | |
CN102106114B (en) | Distributed security provisioning method and its system | |
US8286239B1 (en) | Identifying and managing web risks | |
US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
RU2680736C1 (en) | Malware files in network traffic detection server and method | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US11374946B2 (en) | Inline malware detection | |
Kuzuno et al. | Signature generation for sensitive information leakage in android applications | |
Bakour et al. | A deep camouflage: evaluating android’s anti-malware systems robustness against hybridization of obfuscation techniques with injection attacks | |
Heino et al. | Study of methods for endpoint aware inspection in a next generation firewall | |
Dixit et al. | An effective intrusion detection system in cloud computing environment | |
Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
Moon et al. | Intelligent security model of smart phone based on human behavior in mobile cloud computing | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Amar et al. | Weighted LSTM for intrusion detection and data mining to prevent attacks | |
Kshetri et al. | algoXSSF: Detection and analysis of cross-site request forgery (XSRF) and cross-site scripting (XSS) attacks via Machine learning algorithms | |
WO2021015941A1 (en) | Inline malware detection | |
Singh | Detecting and prevention cross–site scripting techniques | |
Biswas et al. | Forecasting problems in cybersecurity: applying econometric techniques to measure IT risk | |
Sorge | IT Security measures and their relation to data protection | |
Sreelatha et al. | Extended Equilibrium-Based Transfer Learning for Improved Security in Cloud Environment | |
KR102574384B1 (en) | Distributed endpoint security method using blockchain technology and device thereof | |
KR102690914B1 (en) | Network security system and network security method using the system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |