KR102258965B1 - Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol - Google Patents

Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol Download PDF

Info

Publication number
KR102258965B1
KR102258965B1 KR1020200157087A KR20200157087A KR102258965B1 KR 102258965 B1 KR102258965 B1 KR 102258965B1 KR 1020200157087 A KR1020200157087 A KR 1020200157087A KR 20200157087 A KR20200157087 A KR 20200157087A KR 102258965 B1 KR102258965 B1 KR 102258965B1
Authority
KR
South Korea
Prior art keywords
attack type
packet
web
field information
type range
Prior art date
Application number
KR1020200157087A
Other languages
Korean (ko)
Inventor
김종민
정찬혁
한거남
Original Assignee
(주)시큐레이어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시큐레이어 filed Critical (주)시큐레이어
Priority to KR1020200157087A priority Critical patent/KR102258965B1/en
Application granted granted Critical
Publication of KR102258965B1 publication Critical patent/KR102258965B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed is a method of classifying a web attack type range based on content-type field information and method field information of an HTTP protocol. In other words, a method includes a step (a) in which a web attack type range analysis apparatus, when obtaining a packet corresponding to a web attack, refers to method field information of the packet to limit a web attack type of the packet to a first attack type range when the method field information is GET (i), and to limit the web attack type of the packet to a second attack type range when the method field information is POST (ii); and a step (b) in which the web attack type range analysis apparatus, when having the web attack type of the packet limited to the second attack type range, refers to content-type field information of the packet to limit the web attack type of the packet to one of a second_1 specific attack type range to a second_n specific attack type range as a specific attack type range included in the second attack type range. Therefore, the present invention is capable of calculating the same web attack type range classification result with respect to the same web attack.

Description

HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치 {METHOD AND DEVICE FOR CLASSIFYING RANGE OF WEB ATTACK TYPES BY USING INFORMATION ON METHOD FIELD OF HTTP PROTOCOL AND INFORMATION ON CONTENT-TYPE FIELD OF HTTP PROTOCOL}Method and device for classifying the range of web attack types using method field information and content-type field information of HTTP protocol FIELD OF HTTP PROTOCOL}

본 발명은 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for classifying a range of a web attack type using method field information and content-type field information of an HTTP protocol.

Ahnlab에서 발표한 2019년 3분기 사이버 공격 동향에 따르면, 전체 침해 사고 중 '웹 기반 공격'이 44%로 가장 높은 비중을 차지한다. 이는 대부분의 웹 서비스는 일반 클라이언트뿐만 아니라 해커(공격자)도 쉽게 접근할 수 있기 때문이며, 이러한 웹 공격을 탐지하거나 공격에 대응하기 위하여 방어자들은 IDS, IPS, WAF와 같은 웹 공격 방어 솔루션들을 사용한다.According to the cyber attack trends for the third quarter of 2019 published by Ahnlab, 'web-based attacks' accounted for 44% of all breaches. This is because most web services can be easily accessed by hackers (attackers) as well as general clients, and defenders use web attack defense solutions such as IDS, IPS, and WAF to detect or respond to such web attacks.

그러나, 상기 방어 솔루션들은 제조사별로 각자 독자적인 시그니처 베이스 룰을 이용하여 웹 공격을 탐지하고 공격 유형을 분류하기 때문에, 제조사 각각의 시그니처 베이스 룰이 어떻게 설정되었는지에 따라, 특정 웹 공격을 탐지하지 못하는 방어 솔루션이 있을 수 있으며, 필터링 키워드가 어떻게 설정되어 있는지에 따라 동일한 웹 공격을 서로 다른 공격 유형으로 분류할 수 있다.However, since the defense solutions detect web attacks and classify attack types using their own signature base rules for each manufacturer, defense solutions that cannot detect a specific web attack depending on how each manufacturer's signature base rule is set may exist, and the same web attack can be classified into different attack types depending on how the filtering keyword is set.

도 1은 서로 다른 웹 공격 유형 분류 기준을 가지고 있는 첫 번째 제조사의 시그니처 베이스 룰(110) 및 두 번째 제조사의 시그니처 베이스 룰(120)을 개략적으로 도시하고 있으며, 정상적으로 로그인을 처리하는 첫 번째 패킷(131), "||"를 이용한 command injection 공격에 해당하는 두 번째 패킷(132), 그리고 "cat"를 이용한 command injection에 해당하는 세 번째 패킷(133)을 개략적으로 도시한 것이다.1 schematically shows the signature base rule 110 of the first manufacturer and the signature base rule 120 of the second manufacturer, which have different web attack type classification criteria, the first packet ( 131), a second packet 132 corresponding to a command injection attack using “||”, and a third packet 133 corresponding to a command injection using “cat” are schematically shown.

도 1을 참조하면, 기존의 웹 공격 유형 분류 방식에서는, 첫 번째 패킷(131)의 경우, 첫 번째 및 두 번째 시그니처 베이스 룰(110 및 120) 모두 정상적인 패킷으로 분류하는데 성공하지만, 두 번째 패킷(132)의 경우, 첫 번째 및 두 번째 시그니처 베이스 룰(110 및 120) 모두 "||"를 이용한 command injection 공격 유형이 정의되어 있지 않으므로, 웹 공격을 탐지하는데 실패할뿐더러, 이후 해당 패킷의 웹 공격 유형을 분석할 때 참조할 수 있는 별도의 분류 기준 역시 마련하지 못하게 된다. 또한, 세 번째 패킷(133)의 경우, 첫 번째 시그니처 베이스 룰(110)은 "cat"를 이용한 command injection 방식이 포함되어 있기 때문에 웹 공격 유형을 command injection으로 분류하지만, 두 번째 시그니처 베이스 룰(120)에는 "cat"를 이용한 command injection 공격 유형이 정의되어 있지 않으므로, "../../../etc/passwd"을 기준으로 삼아 웹 공격 유형을 디렉토리 인덱싱 유형의 웹 공격으로 잘못 분류하는 문제가 발생할 수 있다.Referring to FIG. 1 , in the existing web attack type classification method, in the case of the first packet 131, both the first and second signature base rules 110 and 120 succeed in classifying them as normal packets, but the second packet ( 132), since the command injection attack type using "||" is not defined for both the first and second signature base rules 110 and 120, it not only fails to detect a web attack, but also fails to detect a web attack of the packet. It is also impossible to prepare a separate classification criterion that can be referenced when analyzing types. In addition, in the case of the third packet 133, the first signature base rule 110 classifies the web attack type as command injection because the command injection method using "cat" is included, but the second signature base rule 120 ) does not define a command injection attack type using "cat", so the problem of incorrectly classifying the web attack type as a directory indexing type web attack based on "../../../etc/passwd" may occur.

때문에, 상기 방어 솔루션들 각각에 의해 산출된 상기 공격 탐지 결과 및 상기 공격 유형 분류 결과의 정확성에 대한 의구심이 야기될 수 있으며, 공격 탐지 결과 및 공격 유형 분류 결과를 해석하는 데 혼란을 줄 수 있다.For this reason, doubts may arise about the accuracy of the attack detection result and the attack type classification result calculated by each of the defense solutions, and may cause confusion in interpreting the attack detection result and the attack type classification result.

이와 같은 문제는, 시그니처 베이스 룰을 이용하는 기존의 공격 유형 분류가 HTTP 프로토콜이 요청라인, header, body로 구성되어 있고 각각의 부분이 다른 성격을 띰에도 불구하고, 상기 각각의 부분의 성격을 무시한 채 단순히 시그니처 베이스 룰에 포함된 특정 키워드나 특정 정규 표현식이 존재하는지 여부만을 판단의 근거로 삼기 때문에 발생한다.Such a problem is that the existing attack type classification using the signature-based rule ignores the characteristics of each part, despite the fact that the HTTP protocol is composed of a request line, header, and body and each part has a different character. It simply occurs because the judgment is based only on whether a specific keyword or a specific regular expression included in the signature base rule exists.

하지만, 요청라인 및 header 중에는 User-Agent, Referrer, Content-Length 등 어떤 유형의 웹 공격에도 사용되지 않는 부분들이 포함될 수 있기 때문에, 각 부분의 성격을 고려하여 공격 유형을 분류한다면 보다 효율적인 해결책을 마련할 수 있을 것이다.However, since parts that are not used in any type of web attack such as User-Agent, Referrer, and Content-Length may be included in the request line and header, a more efficient solution is prepared if the attack type is classified in consideration of the characteristics of each part You can do it.

따라서, 공격 유형에 따라서 공격에 이용되는 데이터 유형이 달라진다는 점에 착안하여, 클라이언트가 서버로 전달하는 실질적이고 핵심적인 데이터에 대한 정보를 담고 있는 요청라인의 메쏘드 필드 정보를 참조하여 유저로부터 전달되는 데이터가 URL에 존재하는지, 혹은 body 에 존재하는지 파악하고, header의 content-type 필드 정보를 참조하여 패킷 데이터의 유형을 파악함으로써 웹 공격 유형을 분류하여 기존의 웹 공격 유형 분류 방식보다 정확하고, 모든 제조사별 방어 솔루션에서 동일한 웹 공격 유형 범위 분류가 가능한 방법을 제안한다.Therefore, paying attention to the fact that the type of data used for an attack varies according to the type of attack, it is transmitted from the user by referring to the method field information of the request line containing information about the actual and core data transmitted by the client to the server. It identifies whether data exists in the URL or in the body, and classifies the web attack type by identifying the type of packet data by referring to the content-type field information of the header, making it more accurate than the existing web attack type classification method. We propose a method capable of classifying the same range of web attack types in defense solutions for each manufacturer.

본 발명은 상술한 문제점을 모두 해결하는 것을 그 목적으로 한다.It is an object of the present invention to solve all of the above-described problems.

또한, 본 발명은 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하는 방법을 제안하는 것을 목적으로 한다.Another object of the present invention is to propose a method for classifying a web attack type using method field information and content-type field information of the HTTP protocol.

또한, 본 발명은 웹 공격 유형에 따라서 공격에 이용되는 데이터 유형이 달라진다는 점을 이용해 웹 공격 유형 범위를 분류하는 방법을 제안하는 것을 목적으로 한다.Another object of the present invention is to propose a method of classifying the range of a web attack type by taking advantage of the fact that the data type used for the attack varies according to the type of web attack.

또한, 본 발명은 제조사가 다르더라도 동일한 웹 공격에 대해서 동일한 웹 공격 유형 범위 분류 결과를 산출하는 방법을 제안하는 것을 목적으로 한다.Another object of the present invention is to propose a method of calculating the same web attack type range classification result for the same web attack even if the manufacturers are different.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.The characteristic configuration of the present invention for achieving the object of the present invention as described above and for realizing the characteristic effects of the present invention to be described later is as follows.

본 발명의 일 태양에 따르면, HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서, (a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및 (b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계를 포함하는 방법이 개시된다.According to an aspect of the present invention, in a method for classifying a web attack type range using method field information and content-type field information of an HTTP protocol, (a) a web attack type range analysis apparatus includes a packet corresponding to a web attack is obtained, referring to the method field information of the packet, (i) when the method field information is GET, limits the web attack type of the packet to the first attack type range, (ii) the method field information is in the case of POST, limiting the web attack type of the packet to a second attack type range; and (b) if the web attack type range analysis apparatus limits the web attack type of the packet to the second attack type range, it refers to the content-type field information of the packet to determine the web attack type of the packet. Disclosed is a method including limiting to any one of a 2_1 detailed attack type range to a 2_n detailed attack type range as a detailed attack type range included in a second attack type range.

일례로서, 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 메쏘드 필드 정보를 참조하여 상기 패킷 데이터에 포함된 파라미터를 찾기 위한 검색 대상 위치를 결정하는 방법이 개시된다.As an example, a method for determining, by the apparatus for analyzing a range of a web attack type, a search target location for finding a parameter included in the packet data with reference to method field information of the packet is disclosed.

일례로서, (c) 상기 웹 공격 유형 범위 분석 장치가, (i) 상기 패킷의 웹 공격 유형 범위를 상기 제1 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 URL로 결정하여 상기 패킷 데이터의 URL을 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하며, (ii) 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 body로 결정하여 상기 패킷 데이터의 body를 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하는 단계를 더 포함하는 방법이 개시된다.As an example, (c) when the web attack type range analysis device (i) limits the web attack type range of the packet to the first attack type range, determining the search target location as the URL of the packet data, When the parameter is searched for the URL of the packet data, the web attack type of the packet is specified with reference to the retrieved parameter, and (ii) the web attack type of the packet is limited to the second attack type range , determining the search target location as the body of the packet data, searching for the parameter targeting the body of the packet data, and specifying a web attack type of the packet by referring to the searched parameter. is initiated.

일례로서, 상기 (a) 단계에서, 상기 웹 공격 유형 범위 분석 장치는, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 제1 공격 유형 범위가 상기 메쏘드 필드 정보가 GET일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 제2 공격 유형 범위가 상기 메쏘드 필드 정보가 POST일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 방법이 개시된다.As an example, in the step (a), the web attack type range analysis device may (i) when the method field information is GET, the first attack type range is available when the method field information is GET. determining to include web attack types, and (ii) when the method field information is POST, determining that the second attack type range includes web attack types of available methods when the method field information is POST; is initiated.

일례로서, 상기 (a) 단계에서, 상기 웹 공격 유형 범위 분석 장치는, 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 경우, 상기 패킷의 웹 공격 유형을 제3 공격 유형 범위로 한정하고, 상기 제3 공격 유형 범위가 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 방법이 개시된다.As an example, in step (a), when the method field information is not GET and POST, in step (a), the web attack type of the packet is limited to a third attack type range, and the third Disclosed is a method for determining an attack type range to include web attack types of a method usable when the method field information is not GET and POST.

일례로서, 상기 (b) 단계에서, 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 content-type 필드 정보를 이용하여, 상기 패킷 데이터의 데이터 유형 - 상기 패킷 데이터의 상기 데이터 유형은, 상기 패킷 데이터의 body에 포함된 데이터의 형식을 의미함 - 을 파악하는 방법이 개시된다.As an example, in the step (b), the web attack type range analysis apparatus, using the content-type field information of the packet, the data type of the packet data - the data type of the packet data, is the packet data A method of identifying - meaning the format of the data included in the body of , is disclosed.

일례로서, 상기 웹 공격 유형 범위 분석 장치는, 상기 패킷 데이터의 데이터 유형 및 해당 데이터 유형의 패킷 데이터를 이용하는 웹 공격 유형들 중 상기 제2 공격 유형 범위에 포함된 특정 웹 공격 유형들을 참조하여, 상기 패킷의 웹 공격 유형을 상기 세부 공격 유형 범위로서 상기 특정 웹 공격 유형들로 한정하는 방법이 개시된다.As an example, the apparatus for analyzing the range of the web attack type refers to the data type of the packet data and specific web attack types included in the second attack type range among web attack types using the packet data of the corresponding data type. A method for limiting a web attack type of a packet to the specific web attack types as the detailed attack type range is disclosed.

일례로서, (d) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형이 상기 제1 공격 유형 범위와 상기 세부 공격 유형 범위 중 어느 쪽으로 분류되었는지 참조하고, 상기 패킷 데이터에 포함된 파라미터를 참조하여, 상기 패킷의 웹 공격 유형을, KISA(한국인터넷진흥원)에서 지정한 공식 웹 공격 유형들 - 상기 공식 웹 공격 유형들은, 버퍼 오버플로우, 포맷스트링, LDAP 인젝션, 운영체제 명령 실행, SQL 인젝션, SSI 인젝션, XPath 인젝션, 디렉터리 인덱싱, 정보 누출, 악성 콘텐트, 크로스사이트 스크립트, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 크로스사이트 리퀘스트 변조(CSRF), 세션 예측, 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 파일 업로드, 파일 다운로드, 관리자 페이지 노출, 경로 추적, 위치 공개, 데이터 평문 전송, 쿠키 변조 중 적어도 일부를 포함함 - 및 상기 공식 웹 공격 유형들에 포함되지 않은 비공식 웹 공격 유형들 - 상기 비공식 웹 공격 유형들은, XXE 인젝션을 포함함 - 중 하나로 분류하는 단계를 더 포함하는 방법이 개시된다.As an example, (d) the web attack type range analysis device refers to which of the first attack type range and the detailed attack type range the web attack type of the packet is classified, and determines the parameters included in the packet data. For reference, the official web attack types specified by KISA (Korea Internet & Security Agency) for the web attack type of the packet - The official web attack types are: buffer overflow, format string, LDAP injection, operating system command execution, SQL injection, SSI Injection, XPath Injection, Directory Indexing, Information Leakage, Malicious Content, Cross-Site Scripting, Weak String Strength, Insufficient Authentication, Weak Password Recovery, Cross-Site Request Forgery (CSRF), Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Includes at least some of session fixation, automation attack, process validation omission, file upload, file download, admin page exposure, path tracking, location disclosure, data plaintext transmission, cookie tampering - and not included in the above official web attack types Disclosed is a method further comprising classifying into one of informal web attack types, wherein the informal web attack types include XXE injection.

일례로서, 상기 패킷의 웹 공격 유형이, 상기 공식 웹 공격 유형들 및 상기 비공식 웹 공격 유형 중 어디에도 해당하지 않을 경우, 상기 웹 공격 유형 분석 장치가, 상기 패킷의 웹 공격 유형을 알려지지 않은 공격(Zero-Day)으로 분류하는 방법이 개시된다.As an example, when the web attack type of the packet does not correspond to any of the official web attack types and the unofficial web attack types, the web attack type analysis device determines the web attack type of the packet as an unknown attack (Zero). -Day) is disclosed.

본 발명의 다른 태양에 따르면, HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서, 인스트럭션들을 저장하는 하나 이상의 메모리; 및 상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, (I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하는 웹 공격 유형 범위 분석 장치가 개시된다.According to another aspect of the present invention, there is provided a web attack type range analysis apparatus for classifying a web attack type range using method field information and content-type field information of an HTTP protocol, comprising: one or more memories for storing instructions; and one or more processors configured to perform the instructions, wherein (I) when the processor obtains a packet corresponding to a web attack, referring to method field information of the packet, (i) the method field information is GET , limiting the web attack type of the packet to a first attack type range, and (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range Disclosed is a web attack type range analysis apparatus that performs a process of limiting to any one of a 2_1 detailed attack type range to a 2_n detailed attack type range as a detailed attack type range included in .

일례로서, 상기 프로세서가, 상기 패킷의 메쏘드 필드 정보를 참조하여 상기 패킷 데이터에 포함된 파라미터를 찾기 위한 검색 대상 위치를 결정하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, a web attack type range analysis apparatus is disclosed in which the processor determines a search target location for finding a parameter included in the packet data by referring to method field information of the packet.

일례로서, (III) 상기 프로세서가, (i) 상기 패킷의 웹 공격 유형 범위를 상기 제1 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 URL로 결정하여 상기 패킷 데이터의 URL을 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하며, (ii) 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 body로 결정하여 상기 패킷 데이터의 body를 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하는 프로세서를 더 포함하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, (III) the processor, (i) when the web attack type range of the packet is limited to the first attack type range, determines the search target location as the URL of the packet data to determine the URL of the packet data search the parameter for the target, specify the web attack type of the packet by referring to the retrieved parameter, and (ii) limit the web attack type of the packet to the second attack type range, the search target location is the body of the packet data, searches for the parameter targeting the body of the packet data, and further comprises a processor for specifying a web attack type of the packet with reference to the retrieved parameter. is initiated.

일례로서, 상기 (I) 프로세스에서, 상기 프로세서는, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 제1 공격 유형 범위가 상기 메쏘드 필드 정보가 GET일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 제2 공격 유형 범위가 상기 메쏘드 필드 정보가 POST일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, in the (I) process, the processor includes: (i) when the method field information is GET, the first attack type range includes web attack types of a method usable when the method field information is GET and (ii) when the method field information is POST, a web attack type range analysis device that determines that the second attack type range includes web attack types of available methods when the method field information is POST is initiated.

일례로서, 상기 (I) 프로세스에서, 상기 프로세서는, 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 경우, 상기 패킷의 웹 공격 유형을 제3 공격 유형 범위로 한정하고, 상기 제3 공격 유형 범위가 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, in the process (I), the processor is configured to, when the method field information is not GET and POST, limit the web attack type of the packet to a third attack type range, and the third attack type range is the A web attack type range analysis apparatus for determining to include web attack types of available methods when method field information is not GET and POST is disclosed.

일례로서, 상기 (II) 프로세스에서, 상기 프로세서가, 상기 패킷의 content-type 필드 정보를 이용하여, 상기 패킷 데이터의 데이터 유형 - 상기 패킷 데이터의 상기 데이터 유형은, 상기 패킷 데이터의 body에 포함된 데이터의 형식을 의미함 - 을 파악하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, in the process (II), the processor, by using the content-type field information of the packet, the data type of the packet data - the data type of the packet data, is included in the body of the packet data. A web attack type range analysis device that identifies - meaning the format of data is disclosed.

일례로서, 상기 프로세서는, 상기 패킷 데이터의 데이터 유형 및 해당 데이터 유형의 패킷 데이터를 이용하는 웹 공격 유형들 중 상기 제2 공격 유형 범위에 포함된 특정 웹 공격 유형들을 참조하여, 상기 패킷의 웹 공격 유형을 상기 세부 공격 유형 범위로서 상기 특정 웹 공격 유형들로 한정하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, the processor may be configured to refer to a specific web attack type included in the second attack type range among web attack types using a data type of the packet data and packet data of the corresponding data type, and the web attack type of the packet. A web attack type range analysis apparatus for limiting to the specific web attack types as the detailed attack type range is disclosed.

일례로서, (IV) 상기 프로세서가, 상기 패킷의 웹 공격 유형이 상기 제1 공격 유형 범위와 상기 세부 공격 유형 범위 중 어느 쪽으로 분류되었는지 참조하고, 상기 패킷 데이터에 포함된 파라미터를 참조하여, 상기 패킷의 웹 공격 유형을, KISA(한국인터넷진흥원)에서 지정한 공식 웹 공격 유형들 - 상기 공식 웹 공격 유형들은, 버퍼 오버플로우, 포맷스트링, LDAP 인젝션, 운영체제 명령 실행, SQL 인젝션, SSI 인젝션, XPath 인젝션, 디렉터리 인덱싱, 정보 누출, 악성 콘텐트, 크로스사이트 스크립트, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 크로스사이트 리퀘스트 변조(CSRF), 세션 예측, 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 파일 업로드, 파일 다운로드, 관리자 페이지 노출, 경로 추적, 위치 공개, 데이터 평문 전송, 쿠키 변조 중 적어도 일부를 포함함 - 및 상기 공식 웹 공격 유형들에 포함되지 않은 비공식 웹 공격 유형들 - 상기 비공식 웹 공격 유형들은, XXE 인젝션을 포함함 - 중 하나로 분류하는 프로세스를 더 포함하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, (IV) the processor, referring to which of the first attack type range and the detailed attack type range, the web attack type of the packet is classified, and referring to the parameter included in the packet data, Official web attack types specified by KISA (Korea Internet & Security Agency) - The official web attack types are buffer overflow, format string, LDAP injection, operating system command execution, SQL injection, SSI injection, XPath injection, Directory Indexing, Information Leakage, Malicious Content, Cross-Site Scripting, Weak String Strength, Insufficient Authentication, Weak Password Recovery, Cross-Site Request Forgery (CSRF), Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Lockout, Automation Attack , including at least some of process verification omission, file upload, file download, admin page exposure, path tracking, location disclosure, data plaintext transmission, cookie tampering - and unofficial web attack types not included in the above official web attack types - The unofficial web attack types, including XXE injection - A web attack type range analysis apparatus further comprising a process of classifying into one is disclosed.

일례로서, 상기 패킷의 웹 공격 유형이, 상기 공식 웹 공격 유형들 및 상기 비공식 웹 공격 유형 중 어디에도 해당하지 않을 경우, 상기 웹 공격 유형 분석 장치가, 상기 패킷의 웹 공격 유형을 알려지지 않은 공격(Zero-Day)으로 분류하는 웹 공격 유형 범위 분석 장치가 개시된다.As an example, when the web attack type of the packet does not correspond to any of the official web attack types and the unofficial web attack types, the web attack type analysis device determines the web attack type of the packet as an unknown attack (Zero). -Day), a web attack type range analysis device is disclosed.

본 발명은 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류할 수 있는 효과가 있다.The present invention is effective in classifying a web attack type using method field information and content-type field information of the HTTP protocol.

본 발명은 웹 공격 유형에 따라서 공격에 이용되는 데이터 유형이 달라진다는 점을 이용해 웹 공격 유형 범위를 분류할 수 있는 효과가 있다.The present invention has the effect of classifying the range of web attack types by using the fact that the data types used for the attack vary depending on the web attack type.

본 발명은 제조사가 다르더라도 동일한 웹 공격에 대해서 동일한 웹 공격 유형 범위 분류 결과를 산출할 수 있는 효과가 있다.The present invention has the effect of being able to calculate the same web attack type range classification result for the same web attack even if the manufacturers are different.

본 발명의 실시예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자(이하 “통상의 기술자”)에게 있어서는 발명적 작업이 이루어짐 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 서로 다른 웹 공격 유형 분류 기준을 가지고 있는 첫 번째 제조사의 시그니처 베이스 룰 및 두 번째 제조사의 시그니처 베이스 룰을 개략적으로 도시하고 있으며, 정상적으로 로그인을 처리하는 첫 번째 패킷, "||"를 이용한 command injection 공격에 해당하는 두 번째 패킷, 그리고 "cat"를 이용한 command injection에 해당하는 세 번째 패킷을 개략적으로 도시한 것이다.
도 2는 본 발명의 일 실시예에 따른 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하는 웹 공격 유형 범위 분류 장치를 개략적으로 도시한 것이고,
도 3은 본 발명의 일 실시예에 따른 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하는 방법을 개략적으로 도시한 것이며,
도 4는 본 발명의 일 실시예에 따른 예시용 패킷의 내용을 개략적으로 도시한 것이다.The accompanying drawings for use in the description of the embodiments of the present invention are only a part of the embodiments of the present invention, and for those of ordinary skill in the art to which the present invention pertains (hereinafter referred to as "those skilled in the art"), the invention Other drawings may be obtained based on these drawings without any work being done.
1 schematically shows the signature base rule of the first manufacturer and the signature base rule of the second manufacturer, which have different web attack type classification criteria, using the first packet "||" The second packet corresponding to the command injection attack and the third packet corresponding to the command injection using "cat" are schematically shown.
2 schematically shows a web attack type range classification apparatus for classifying web attack types using method field information and content-type field information of the HTTP protocol according to an embodiment of the present invention;
3 schematically illustrates a method for classifying a web attack type using method field information and content-type field information according to an embodiment of the present invention;
4 schematically shows the contents of a packet for example according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 통상의 기술자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The following detailed description of the present invention refers to the accompanying drawings, which show by way of illustration a specific embodiment in which the present invention may be practiced, in order to clarify the objects, technical solutions and advantages of the present invention. These embodiments are described in sufficient detail to enable those skilled in the art to practice the present invention.

또한, 본 발명의 상세한 설명 및 청구항들에 걸쳐, "포함하다"라는 단어 및 그것의 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다.Also, throughout this description and claims, the word "comprise" and variations thereof are not intended to exclude other technical features, additions, components or steps. Other objects, advantages and characteristics of the present invention will appear to a person skilled in the art, in part from this description, and in part from practice of the present invention. The following illustrations and drawings are provided by way of illustration and are not intended to limit the invention.

더욱이 본 발명은 본 명세서에 표시된 실시예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.Moreover, the invention encompasses all possible combinations of the embodiments indicated herein. It should be understood that the various embodiments of the present invention are different from each other, but need not be mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the present invention in relation to one embodiment. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description to be described below is not intended to be taken in a limiting sense, and the scope of the present invention, if appropriately described, is limited only by the appended claims, along with all ranges equivalent to those claimed by the claims. Like reference numerals in the drawings refer to the same or similar functions over several aspects.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art to which the present invention pertains can easily practice the present invention.

도 2는 본 발명의 일 실시예에 따른 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하는 웹 공격 유형 범위 분류 장치를 개략적으로 도시한 것으로, 도 2를 참조하면, 웹 공격 유형 범위 분류 장치(2000)는 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하기 위한 인스트럭션들이 저장된 메모리(2100)와 저장된 인스트럭션들에 따라 HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하기 위한 동작을 수행하는 프로세서(2200)를 포함할 수 있다.2 schematically shows a web attack type range classification apparatus for classifying web attack types using method field information and content-type field information of the HTTP protocol according to an embodiment of the present invention. Referring to FIG. 2 , The web attack type range classification apparatus 2000 includes a memory 2100 in which instructions for classifying a web attack type using method field information and content-type field information of the HTTP protocol are stored, and method field information of the HTTP protocol according to the stored instructions. and a processor 2200 that performs an operation for classifying a range of a web attack type using the content-type field information.

구체적으로, 웹 공격 유형 범위 분류 장치(2000)는 전형적인 컴퓨팅 장치(일례로, 컴퓨터 프로세서, 메모리, 스토리지, 입력 장치 및 출력 장치, 기타 기존의 컴퓨팅 장치의 구성요소들을 포함할 수 있는 장치; 라우터, 스위치 등과 같은 전자 통신 장치; 네트워크 부착 스토리지(NAS) 및 스토리지 영역 네트워크(SAN)와 같은 전자 정보 스토리지 시스템)와 컴퓨터 소프트웨어(즉, 컴퓨팅 장치로 하여금 특정의 방식으로 기능하게 하는 인스트럭션들)의 조합을 이용하여 원하는 시스템 성능을 달성하는 것일 수 있다.Specifically, the web attack type scope classification device 2000 is a typical computing device (eg, a device that may include a computer processor, memory, storage, input device and output device, other components of a conventional computing device; a router; electronic communication devices such as switches; electronic information storage systems such as network attached storage (NAS) and storage area networks (SANs)) and computer software (i.e., instructions that cause the computing device to function in a particular way). may be used to achieve the desired system performance.

또한, 컴퓨팅 장치의 프로세서는 MPU(Micro Processing Unit) 또는 CPU(Central Processing Unit), 캐쉬 메모리(Cache Memory), 데이터 버스(Data Bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 컴퓨팅 장치는 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.In addition, the processor of the computing device may include a hardware configuration such as a micro processing unit (MPU) or a central processing unit (CPU), a cache memory, and a data bus. In addition, the computing device may further include an operating system and a software configuration of an application for performing a specific purpose.

그러나, 컴퓨팅 장치가 본 발명을 실시하기 위한 미디엄, 프로세서 및 메모리가 통합된 형태인 integrated 프로세서를 포함하는 경우를 배제하는 것은 아니다.However, a case in which the computing device includes an integrated processor in which a medium, a processor, and a memory are integrated for implementing the present invention is not excluded.

이와 같이 구성된 본 발명의 일 실시예에 따른 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형을 분류하는 방법을 도 3을 참조하여 개략적으로 설명하면 다음과 같다.A method of classifying a web attack type using method field information and content-type field information according to an embodiment of the present invention configured as described above will be schematically described with reference to FIG. 3 as follows.

먼저, 웹 공격 유형 범위 분류 장치(2000)는, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조(S300)하여 상기 메쏘드 필드 정보가 GET이라면 상기 패킷의 웹 공격 유형이 제1 공격 유형 범위에 포함된다고 판단(S310)하고, 상기 메쏘드 필드 정보가 POST라면 상기 패킷의 웹 공격 유형이 제2 공격 유형 범위에 포함된다고 판단(S320)할 수 있다.First, when the web attack type range classification device 2000 obtains a packet corresponding to a web attack, referring to the method field information of the packet (S300), if the method field information is GET, the web attack type of the packet is the first It may be determined that the packet is included in the first attack type range (S310), and if the method field information is POST, it may be determined that the web attack type of the packet is included in the second attack type range (S320).

이때, 상기 메쏘드 필드 정보가 GET일 경우, 상기 제1 공격 유형 범위는, 상기 메쏘드 필드 정보가 GET일 때 사용 가능한 방식의 웹 공격 유형들을 포함하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 제2 공격 유형 범위는, 상기 메쏘드 필드 정보가 POST일 때 사용 가능한 방식의 웹 공격 유형들을 포함할 수 있다.In this case, when the method field information is GET, the first attack type range includes web attack types of available methods when the method field information is GET, and when the method field information is POST, the second attack type range The attack type range may include web attack types of available methods when the method field information is POST.

아울러, 도시되지는 않았지만, 웹 공격 유형 범위 분류 장치(2000)는 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 경우, 상기 패킷의 웹 공격 유형을 제3 공격 유형 범위로 한정하고, 상기 제3 공격 유형 범위가 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정할 수도 있다.In addition, although not shown, when the method field information is not GET and POST, the web attack type range classification apparatus 2000 limits the web attack type of the packet to a third attack type range, and the third attack type It may be determined that the scope includes web attack types of available methods when the method field information is not GET and POST.

구체적으로, 특정 패킷의 메쏘드 필드 정보가 GET이라면, 서버에 URL에 해당하는 리소스를 요구하는 형식의 웹 공격 유형은 상기 제1 공격 유형 범위에 포함될 수 있지만, 서버에 파일을 업로드하는 형식의 웹 공격 유형은 상기 제1 공격 유형 범위에 포함될 수 없다. 즉, 공식 웹 공격 유형 중 '파일 업로드'와 같이 서버에 파일을 업로드 하는 형식의 웹 공격 유형은 배제되고, '파일 다운로드'와 같이 URL의 파라미터를 변조하여 방문자에게 허용된 파일 외의 파일에 접근을 시도하는 형식의 웹 공격 유형은 상기 제1 공격 유형 범위에 포함될 수 있다.Specifically, if the method field information of a specific packet is GET, a web attack type of requesting a resource corresponding to a URL to the server may be included in the first attack type range, but a web attack of uploading a file to the server The type cannot be included in the first attack type range. That is, among the official web attack types, web attack types that upload files to the server such as 'file upload' are excluded, and URL parameters such as 'file download' are modulated to prevent visitors from accessing files other than the allowed files. The web attack type of the attempted type may be included in the range of the first attack type.

다음으로, 상기 패킷의 웹 공격 유형이 상기 제2 공격 유형 범위에 포함된다고 판단된 경우, 웹 공격 유형 범위 분류 장치(2000)는, 상기 패킷의 content-type 필드 정보를 참조(S321)하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 분류(S322)할 수 있다. 이때, 웹 공격 유형 범위 분류 장치(2000)는, 상기 패킷의 content-type 필드 정보를 이용하여 상기 패킷 데이터의 body 를 참조하여 데이터 유형을 파악한 후, 상기 제2 공격 유형 범위에 포함된 웹 공격 유형들 중 상기 데이터 유형의 데이터를 이용하는 특정 웹 공격 유형들을 상기 세부 공격 유형 범위에 포함시킬 수 있다.Next, when it is determined that the web attack type of the packet is included in the second attack type range, the web attack type range classification apparatus 2000 refers to the content-type field information of the packet (S321), The web attack type of the packet may be classified into any one of a 2_1 detailed attack type range to a 2_n detailed attack type range as a detailed attack type range included in the second attack type range ( S322 ). In this case, the web attack type range classification apparatus 2000 determines the data type by referring to the body of the packet data using the content-type field information of the packet, and then the web attack type included in the second attack type range. Among them, specific web attack types using data of the data type may be included in the detailed attack type range.

일례로, 도 4를 참조하면, 웹 공격 유형 범위 분류 장치(2000)는, 예시용 패킷(401)의 메쏘드 필드 정보가 POST이므로, 예시용 패킷(401)의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된다고 판단할 수 있다. 이때, 웹 공격 유형 범위 분류 장치(2000)는, 아래의 표 1에 포함되어 있는 웹 공격 유형들 중 사용되는 환경이 메쏘드 필드 유형이 POST 이어야 하는 웹 공격 유형들을 상기 제2 공격 유형 범위로서 추림으로써 예시용 패킷(401)의 웹 공격 유형 범위를 1차적으로 추릴 수 있다.For example, referring to FIG. 4 , the web attack type range classification apparatus 2000 determines the web attack type of the example packet 401 as the second attack type because the method field information of the example packet 401 is POST. can be considered to be within the scope. At this time, the web attack type range classification apparatus 2000 selects, as the second attack type range, web attack types in which the environment to be used has a method field type of POST among the web attack types included in Table 1 below. The web attack type range of the packet 401 for example may be extracted primarily.

취약점 종류Vulnerability type 데이터 유형data type 디렉토리 인덱싱directory indexing 파일 경로 (raw data)File path (raw data) SQL InjectionSQL Injection SQL 쿼리문 (raw data)SQL query statement (raw data) 파일 업로드file upload 파일 (file)file (file) XXE InjectionXXE Injection XML dataXML data 크로스 사이트 스크립팅cross site scripting 자바 스크립트javascript ...... ......

보다 자세하게는, URL 주소를 이용하는 디렉토리 인덱싱 및 파일 다운로드 등 메쏘드 필드 유형이 GET일 때 사용되는 웹 공격 유형들은 배제하고, 필드 유형이 POST일 때 body 에 포함된 데이터를 이용하는 웹 공격 유형들(일례로, SQL Injection, 파일 업로드, XXE Injection, 크로스 사이트 스크립트 등)을 상기 제2 공격 유형 범위로서 추림으로써 예시용 패킷(401)의 웹 공격 유형 범위를 1차적으로 추릴 수 있다.그리고, 예시용 패킷(401)의 웹 공격 유형이 상기 제2 공격 유형 범위에 포함된다고 판단되었으므로, 웹 공격 유형 범위 분류 장치(2000)는, 예시용 패킷(401)의 content-type 필드 정보를 참조하여, 예시용 패킷 데이터의 body 의 데이터 유형이 text/xml임을 파악할 수 있다. 이때, 웹 공격 유형 범위 분류 장치(2000)는, 표 1을 참조하여, 상기 제2 공격 유형 범위에 포함되는 웹 공격 유형들 중 상기 예시용 패킷 데이터의 body 의 데이터 유형을 사용하는 데이터 유형을 세부 공격 유형 범위로 추림으로써 예시용 패킷(401)의 웹 공격 유형 범위를 2차적으로 추릴 수 있다.In more detail, web attack types used when the method field type is GET, such as directory indexing and file download using URL addresses, are excluded, and web attack types using data included in body when the field type is POST (for example, , SQL Injection, file upload, XXE Injection, cross-site script, etc.) as the second attack type range, the web attack type range of the packet for example 401 can be extracted primarily. Since it is determined that the web attack type of 401) is included in the second attack type range, the web attack type range classification apparatus 2000 refers to the content-type field information of the packet 401 for example, and provides packet data for example. It can be seen that the data type of the body of ' is text/xml. In this case, the web attack type range classification apparatus 2000 details a data type using the data type of the body of the packet data for example among web attack types included in the second attack type range with reference to Table 1 By culling with the attack type range, the web attack type range of the packet for example 401 may be secondarily extracted.

보다 자세하게는, SQL 쿼리문 유형의 데이터를 이용하는 SQL Injection이나, 시스템 명령어를 이용하는 Command Injection, java script를 이용하는 크로스 사이트 스크립트 등 다른 유형의 데이터를 사용하는 웹 공격 유형들은 배제하고, text/xml 유형의 데이터를 사용하는 웹 공격 유형들(일례로, XXE 인젝션)을 세부 공격 유형 범위로 추림으로써 예시용 패킷(401)의 웹 공격 유형 범위를 2차적으로 추릴 수 있다.In more detail, web attack types that use other types of data such as SQL Injection using SQL query type data, Command Injection using system commands, and cross-site script using java script are excluded, and text/xml type The range of the web attack type of the packet for example 401 may be secondarily extracted by culling the web attack types (eg, XXE injection) using data as the detailed attack type range.

아울러, 웹 공격 유형 범위 분류 장치(2000)는, content-type을 참조하여 상기 패킷 데이터의 body 의 데이터가 파일형식인지 raw 데이터형식인지 등의 정보를 파악할 수 있으며, 파일형식이라면 압축 파일형식인지, pdf형식인지, raw 데이터형식이라면, json 형식인지, xml 형식인지 등의 정보 또한 파악할 수 있다.In addition, the web attack type range classification apparatus 2000 may identify information such as whether the data of the body of the packet data is a file format or a raw data format with reference to content-type, and if the file format is a compressed file format, If it is in pdf format or raw data format, information such as json format or xml format can also be identified.

보다 자세하게는, 패킷에 포함된 데이터 유형에 따라 content-type은 아래 표 2와 같은 정보를 가지고 있을 수 있으며, 웹 공격 유형 범위 분류 장치(2000)는 이를 참조하여 body 데이터의 형식에 대한 정보를 파악할 수 있다.In more detail, depending on the data type included in the packet, the content-type may have information as shown in Table 2 below, and the web attack type range classification apparatus 2000 refers to this to determine information on the format of body data. can

Content-typeContent-type 데이터 유형data type Application/jsonApplication/json Json 파일json file Application/mswordApplication/msword Microsoft word 파일Microsoft word file Application/pdfApplication/pdf PDF 파일PDF file Application/zipapplication/zip 압축 파일compressed file Image/jpegimage/jpeg JPEG 이미지jpeg image Multipart/formed-dataMultipart/formed-data 클라이언트가 업로드한 파일file uploaded by the client Text/csstext/css CSS(Cascading Style Sheets)Cascading Style Sheets (CSS) Text/javascriptText/javascript Java scriptJava script Text/xmlText/xml XML 문서XML document ...... ......

한편, 웹 공격 유형 범위 분류 장치(2000)는, 상기 패킷의 메쏘드 필드 정보를 참조하여 상기 패킷 데이터에 포함된 파라미터의 위치를 특정함으로써 파라미터를 찾기 위한 검색 대상 위치를 결정할 수 있다.이후, 웹 공격 유형 범위 분류 장치(2000)는, 상기 패킷의 웹 공격 유형 범위가 상기 제1 공격 유형 범위에 포함된다고 판단된 경우, URL을 상기 검색 대상 위치로 선정하여 URL을 대상으로 상기 파라미터를 검색하고, 상기 패킷의 웹 공격 유형 범위가 상기 제2 공격 유형 범위에 포함된다고 판단된 경우, body 를 상기 검색 대상 위치로 선정하여 body 를 대상으로 상기 파라미터를 검색할 수 있으며, 상기 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정할 수 있다.Meanwhile, the web attack type range classification apparatus 2000 may determine a search target location for finding a parameter by specifying a location of a parameter included in the packet data with reference to the method field information of the packet. When it is determined that the web attack type range of the packet is included in the first attack type range, the type range classification apparatus 2000 searches for the parameter by selecting a URL as the search target location and targeting the URL, and If it is determined that the range of the web attack type of the packet is included in the range of the second attack type, the parameter may be searched for the body by selecting the body as the search target location, and referring to the parameter, the web of the packet You can specify the type of attack.

이때, 웹 공격 유형 범위 분류 장치(2000)는, 상기 파라미터 및 시그니처 베이스 룰 등을 이용해 상기 패킷의 웹 공격 유형을 특정할 수 있지만, 이에 한정되지 않는다.In this case, the web attack type range classification apparatus 2000 may specify the web attack type of the packet using the parameter and the signature base rule, but is not limited thereto.

또한, 웹 공격 유형 범위 분류 장치(2000)는, 상기 파라미터와 함께 상기 패킷의 웹 공격 유형이 어느 유형 범위에 포함되었는지 참조하여, 상기 패킷의 웹 공격 유형을 특정할 수도 있다.Also, the web attack type range classification apparatus 2000 may specify the web attack type of the packet by referring to which type range the web attack type of the packet is included in together with the parameter.

이때, 상기 패킷의 웹 공격 유형은, KISA(한국인터넷진흥원)에서 지정한 공식 웹 공격 유형들 및 상기 공식 웹 공격 유형들에 포함되지 않은 비공식 웹 공격 유형들중 하나로 특정될 수 있으며, 상기 공식 웹 공격 유형들에는 버퍼 오버플로우, 포맷스트링, LDAP Injection, 운영체제 명령 실행, SQL Injection, SSI Injection, XPath Injection, 디렉터리 인덱싱, 정보 누출, 악성 콘텐트, 크로스사이트 스크립트, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 크로스사이트 리퀘스트 변조(CSRF), 세션 예측, 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 파일 업로드, 파일 다운로드, 관리자 페이지 노출, 경로 추적, 위치 공개, 데이터 평문 전송, 쿠키 변조 중 적어도 일부가 포함될 수 있고, 상기 비공식 웹 공격 유형들에는, XXE 인젝션 등이 포함될 수 있다.In this case, the web attack type of the packet may be specified as one of official web attack types designated by KISA (Korea Internet & Security Agency) and unofficial web attack types not included in the official web attack types, and the official web attack type Types include: Buffer Overflow, Format String, LDAP Injection, Operating System Command Execution, SQL Injection, SSI Injection, XPath Injection, Directory Indexing, Information Leakage, Malicious Content, Cross-Site Script, Weak String Strength, Insufficient Authentication, Weak Password Recovery , Cross-Site Request Forgery (CSRF), Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Fixation, Automation Attacks, Missing Process Validation, File Upload, File Download, Admin Page Exposure, Path Tracking, Location Disclosure, Data Plaintext Transmission , cookie tampering may be included, and the unofficial web attack types may include XXE injection and the like.

한편, 웹 공격 유형 범위 분류 장치(2000)는, 상기 패킷이 기존 솔루션으로 탐지하지 못한 공격(미 탐지: False Negative)을 포함하고 있다면, 메쏘드 필드 및 body 의 데이터 중 적어도 일부를 이용해 추려진 상기 패킷의 웹 공격 유형 범위를 이용해 상기 패킷의 웹 공격 유형을 유추하거나 분석을 위해 제공할 수 있으며, 상기 패킷의 웹 공격 유형이 상기 공식 웹 공격 유형들 및 상기 비공식 웹 공격 유형 중 어디에도 해당하지 않을 경우, 상기 패킷의 웹 공격 유형을 알려지지 않은 공격(Zero-Day)으로 분류할 수 있다.On the other hand, the web attack type range classification apparatus 2000, if the packet includes an attack (not detected: False Negative) that is not detected by the existing solution, the packet is extracted using at least a part of data of the method field and body. The web attack type of the packet can be inferred or provided for analysis using the web attack type range of the packet, and when the web attack type of the packet does not correspond to any of the official web attack types and the unofficial web attack types, The web attack type of the packet may be classified as an unknown attack (Zero-Day).

또한, 이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.In addition, the embodiments according to the present invention described above may be implemented in the form of program instructions that can be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, and the like alone or in combination. The program instructions recorded on the computer-readable recording medium may be specially designed and configured for the present invention, or may be known and used by those skilled in the computer software field. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks. media), and a hardware device specially configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform the processing according to the present invention, and vice versa.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.In the above, the present invention has been described with specific matters such as specific components and limited embodiments and drawings, but these are provided to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , those of ordinary skill in the art to which the present invention pertains can devise various modifications and variations from these descriptions.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the above-described embodiments, and not only the claims described below but also all modifications equivalently or equivalently to the claims described below belong to the scope of the spirit of the present invention. will do it

Claims (18)

HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서,
(a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및
(b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계;
를 포함하되,
상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 메쏘드 필드 정보를 참조하여 상기 패킷 데이터에 포함된 파라미터를 찾기 위한 검색 대상 위치를 결정하고,
(c) 상기 웹 공격 유형 범위 분석 장치가, (i) 상기 패킷의 웹 공격 유형 범위를 상기 제1 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 URL로 결정하여 상기 패킷 데이터의 URL을 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하며, (ii) 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 body 로 결정하여 상기 패킷 데이터의 body 를 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하는 단계;
를 더 포함하는 방법.In the method of classifying the range of web attack types using method field information and content-type field information of HTTP protocol,
(a) When the web attack type range analysis device obtains a packet corresponding to a web attack, referring to the method field information of the packet, (i) when the method field information is GET, the web attack type of the packet limiting to a first attack type range, (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and
(b) if the web attack type range analysis device limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, determines the web attack type of the packet as the second attack type range limiting the detailed attack type range included in the second attack type range to any one of the 2_1th detailed attack type range to the 2_nth detailed attack type range;
Including,
The web attack type range analysis device determines a search target location for finding a parameter included in the packet data with reference to the method field information of the packet,
(c) when the web attack type range analysis apparatus (i) limits the web attack type range of the packet to the first attack type range, determines the search target location as the URL of the packet data to determine the packet data search the parameter for the URL of , specify the web attack type of the packet by referring to the retrieved parameter, and (ii) limit the web attack type of the packet to the second attack type range. determining a target location as the body of the packet data, searching for the parameter based on the body of the packet data, and specifying a web attack type of the packet by referring to the retrieved parameter;
How to further include. 삭제delete 삭제delete HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서,
(a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및
(b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계;
를 포함하되,
상기 (a) 단계에서,
상기 웹 공격 유형 범위 분석 장치는, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 제1 공격 유형 범위가 상기 메쏘드 필드 정보가 GET일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 제2 공격 유형 범위가 상기 메쏘드 필드 정보가 POST일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 방법.In the method of classifying the range of web attack types using method field information and content-type field information of HTTP protocol,
(a) When the web attack type range analysis device obtains a packet corresponding to a web attack, referring to the method field information of the packet, (i) when the method field information is GET, the web attack type of the packet limiting to a first attack type range, (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and
(b) if the web attack type range analysis device limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, determines the web attack type of the packet as the second attack type range limiting the detailed attack type range included in the second attack type range to any one of the 2_1th detailed attack type range to the 2_nth detailed attack type range;
Including,
In step (a),
The web attack type range analysis device is, (i) when the method field information is GET, determines that the first attack type range includes web attack types of available methods when the method field information is GET, ( ii) When the method field information is POST, determining that the second attack type range includes web attack types of available methods when the method field information is POST. HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서,
(a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및
(b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계;
를 포함하되,
상기 (a) 단계에서,
상기 웹 공격 유형 범위 분석 장치는, 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 경우, 상기 패킷의 웹 공격 유형을 제3 공격 유형 범위로 한정하고, 상기 제3 공격 유형 범위가 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 방법.In the method of classifying the range of web attack types using method field information and content-type field information of HTTP protocol,
(a) When the web attack type range analysis device obtains a packet corresponding to a web attack, referring to the method field information of the packet, (i) when the method field information is GET, the web attack type of the packet limiting to a first attack type range, (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and
(b) if the web attack type range analysis device limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, determines the web attack type of the packet as the second attack type range limiting the detailed attack type range included in the second attack type range to any one of the 2_1th detailed attack type range to the 2_nth detailed attack type range;
Including,
In step (a),
The web attack type range analysis device is, when the method field information is not GET and POST, limits the web attack type of the packet to a third attack type range, and the third attack type range indicates that the method field information is GET and a method for determining to include types of web attacks in non-POST available methods. 삭제delete HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서,
(a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및
(b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계;
를 포함하되,
상기 (b) 단계에서,
상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 content-type 필드 정보를 이용하여, 상기 패킷 데이터의 데이터 유형 - 상기 패킷 데이터의 상기 데이터 유형은, 상기 패킷 데이터의 body 에 포함된 데이터의 형식을 의미함 - 을 파악하며,
상기 웹 공격 유형 범위 분석 장치는, 상기 패킷 데이터의 데이터 유형 및 해당 데이터 유형의 패킷 데이터를 이용하는 웹 공격 유형들 중 상기 제2 공격 유형 범위에 포함된 특정 웹 공격 유형들을 참조하여, 상기 패킷의 웹 공격 유형을 상기 세부 공격 유형 범위로서 상기 특정 웹 공격 유형들로 한정하는 방법.In the method of classifying the range of web attack types using method field information and content-type field information of HTTP protocol,
(a) When the web attack type range analysis device obtains a packet corresponding to a web attack, referring to the method field information of the packet, (i) when the method field information is GET, the web attack type of the packet limiting to a first attack type range, (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and
(b) if the web attack type range analysis device limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, determines the web attack type of the packet as the second attack type range limiting the detailed attack type range included in the second attack type range to any one of the 2_1th detailed attack type range to the 2_nth detailed attack type range;
Including,
In step (b),
The web attack type range analysis apparatus uses the content-type field information of the packet, and the data type of the packet data - The data type of the packet data means the type of data included in the body of the packet data. to understand -
The apparatus for analyzing the range of the web attack type refers to the data type of the packet data and specific web attack types included in the second attack type range among web attack types using the packet data of the corresponding data type, A method of limiting an attack type to the specific web attack types as the detailed attack type range. HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법에 있어서,
(a) 웹 공격 유형 범위 분석 장치가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, (i) 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, (ii) 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 단계; 및
(b) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 단계;
를 포함하되,
(d) 상기 웹 공격 유형 범위 분석 장치가, 상기 패킷의 웹 공격 유형이 상기 제1 공격 유형 범위와 상기 세부 공격 유형 범위 중 어느 쪽으로 분류되었는지 참조하고, 상기 패킷 데이터에 포함된 파라미터를 참조하여, 상기 패킷의 웹 공격 유형을, KISA(한국인터넷진흥원)에서 지정한 공식 웹 공격 유형들 - 상기 공식 웹 공격 유형들은, 버퍼 오버플로우, 포맷스트링, LDAP 인젝션, 운영체제 명령 실행, SQL 인젝션, SSI 인젝션, XPath 인젝션, 디렉터리 인덱싱, 정보 누출, 악성 콘텐트, 크로스사이트 스크립트, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 크로스사이트 리퀘스트 변조(CSRF), 세션 예측, 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 파일 업로드, 파일 다운로드, 관리자 페이지 노출, 경로 추적, 위치 공개, 데이터 평문 전송, 쿠키 변조 중 적어도 일부를 포함함 - 및 상기 공식 웹 공격 유형들에 포함되지 않은 비공식 웹 공격 유형들 - 상기 비공식 웹 공격 유형들은, XXE 인젝션을 포함함 - 중 하나로 분류하는 단계;
를 더 포함하는 방법.In the method of classifying the range of web attack types using method field information and content-type field information of HTTP protocol,
(a) When the web attack type range analysis device obtains a packet corresponding to a web attack, referring to the method field information of the packet, (i) when the method field information is GET, the web attack type of the packet limiting to a first attack type range, (ii) when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and
(b) if the web attack type range analysis device limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, determines the web attack type of the packet as the second attack type range limiting the detailed attack type range included in the second attack type range to any one of the 2_1th detailed attack type range to the 2_nth detailed attack type range;
Including,
(d) the web attack type range analysis device refers to which of the first attack type range and the detailed attack type range the web attack type of the packet is classified, and refers to the parameter included in the packet data; Official web attack types designated by KISA (Korea Internet & Security Agency) for the web attack type of the packet - The official web attack types are: Buffer Overflow, Format String, LDAP Injection, Operating System Command Execution, SQL Injection, SSI Injection, XPath Injection, directory indexing, information leak, malicious content, cross-site scripting, weak string strength, insufficient authentication, weak password recovery, cross-site request tampering (CSRF), session prediction, insufficient authorization, insufficient session expiration, session locking, including at least some of automated attacks, process validation omission, file upload, file download, admin page exposure, path tracking, location disclosure, data plaintext transmission, cookie tampering - and unofficial web attacks not included in the above official web attack types classifying as one of types, the informal web attack types including XXE injection;
How to further include. 제 8항에 있어서,
상기 패킷의 웹 공격 유형이, 상기 공식 웹 공격 유형들 및 상기 비공식 웹 공격 유형 중 어디에도 해당하지 않을 경우, 상기 웹 공격 유형 분석 장치가, 상기 패킷의 웹 공격 유형을 알려지지 않은 공격(Zero-Day)으로 분류하는 방법.The method of claim 8,
When the web attack type of the packet does not correspond to any of the official web attack types and the unofficial web attack types, the web attack type analysis device determines the web attack type of the packet as an unknown attack (Zero-Day) how to classify it as HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서,
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되,
(I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하되,
상기 프로세서가, 상기 패킷의 메쏘드 필드 정보를 참조하여 상기 패킷 데이터에 포함된 파라미터를 찾기 위한 검색 대상 위치를 결정하고,
(III) 상기 프로세서가, 상기 패킷의 웹 공격 유형 범위를 상기 제1 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 URL로 결정하여 상기 패킷 데이터의 URL을 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하며, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했을 경우, 상기 검색 대상 위치를 상기 패킷 데이터의 body 로 결정하여 상기 패킷 데이터의 body 를 대상으로 상기 파라미터를 검색하고, 상기 검색된 파라미터를 참조하여 상기 패킷의 웹 공격 유형을 특정하는 프로세서를 더 포함하는 웹 공격 유형 범위 분석 장치.A web attack type range analysis device for classifying a web attack type range using method field information and content-type field information of HTTP protocol,
one or more memories storing instructions; and
one or more processors configured to perform the instructions,
(I) When the processor obtains a packet corresponding to a web attack, referring to the method field information of the packet, when the method field information is GET, the web attack type of the packet is limited to the first attack type range and, when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range A process of limiting to any one of the 2_1 detailed attack type range to the 2_n detailed attack type range as the detailed attack type range included in the
The processor determines a search target position for finding a parameter included in the packet data with reference to the method field information of the packet,
(III) when the processor limits the range of the web attack type of the packet to the range of the first attack type, the search target location is determined as the URL of the packet data, and the parameter is set to the URL of the packet data search, specify the web attack type of the packet by referring to the retrieved parameter, and determine the search target location as the body of the packet data when the web attack type of the packet is limited to the second attack type range and a processor for retrieving the parameter from the body of the packet data and specifying a web attack type of the packet with reference to the retrieved parameter. 삭제delete 삭제delete HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서,
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되,
(I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하되,
상기 (I) 프로세스에서, 상기 프로세서는, 상기 메쏘드 필드 정보가 GET일 경우, 상기 제1 공격 유형 범위가 상기 메쏘드 필드 정보가 GET일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 제2 공격 유형 범위가 상기 메쏘드 필드 정보가 POST일 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 웹 공격 유형 범위 분석 장치.A web attack type range analysis device for classifying a web attack type range using method field information and content-type field information of HTTP protocol,
one or more memories storing instructions; and
one or more processors configured to perform the instructions,
(I) When the processor obtains a packet corresponding to a web attack, referring to the method field information of the packet, when the method field information is GET, the web attack type of the packet is limited to the first attack type range and, when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range A process of limiting to any one of the 2_1 detailed attack type range to the 2_n detailed attack type range as the detailed attack type range included in the
In the process (I), the processor determines that, when the method field information is GET, the first attack type range includes web attack types of available methods when the method field information is GET, When the field information is POST, the apparatus for analyzing a web attack type range determines that the second attack type range includes web attack types of available methods when the method field information is POST. HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서,
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되,
(I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하되,
상기 (I) 프로세스에서, 상기 프로세서는, 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 경우, 상기 패킷의 웹 공격 유형을 제3 공격 유형 범위로 한정하고, 상기 제3 공격 유형 범위가 상기 메쏘드 필드 정보가 GET 및 POST가 아닐 때 사용 가능한 방식의 웹 공격 유형들을 포함하도록 결정하는 웹 공격 유형 범위 분석 장치.A web attack type range analysis device for classifying a web attack type range using method field information and content-type field information of HTTP protocol,
one or more memories storing instructions; and
one or more processors configured to perform the instructions,
(I) When the processor obtains a packet corresponding to a web attack, referring to the method field information of the packet, when the method field information is GET, the web attack type of the packet is limited to the first attack type range and, when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range A process of limiting to any one of the 2_1 detailed attack type range to the 2_n detailed attack type range as the detailed attack type range included in the
In the process (I), when the method field information is not GET and POST, the processor limits the web attack type of the packet to a third attack type range, and the third attack type range is the method field information A web attack type range analysis device that determines to include web attack types of available methods when is not GET and POST. 삭제delete HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서,
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되,
(I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하되,
상기 (II) 프로세스에서, 상기 프로세서가, 상기 패킷의 content-type 필드 정보를 이용하여, 상기 패킷 데이터의 데이터 유형 - 상기 패킷 데이터의 상기 데이터 유형은, 상기 패킷 데이터의 body 에 포함된 데이터의 형식을 의미함 - 을 파악하며,
상기 프로세서는, 상기 패킷 데이터의 데이터 유형 및 해당 데이터 유형의 패킷 데이터를 이용하는 웹 공격 유형들 중 상기 제2 공격 유형 범위에 포함된 특정 웹 공격 유형들을 참조하여, 상기 패킷의 웹 공격 유형을 상기 세부 공격 유형 범위로서 상기 특정 웹 공격 유형들로 한정하는 웹 공격 유형 범위 분석 장치.A web attack type range analysis device for classifying a web attack type range using method field information and content-type field information of HTTP protocol,
one or more memories storing instructions; and
one or more processors configured to perform the instructions,
(I) When the processor obtains a packet corresponding to a web attack, referring to the method field information of the packet, when the method field information is GET, the web attack type of the packet is limited to the first attack type range and limiting the web attack type of the packet to a second attack type range when the method field information is POST; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range performing a process of limiting to any one of the 2_1 detailed attack type range to 2_n detailed attack type range
In the process (II), the processor, by using the content-type field information of the packet, the data type of the packet data - the data type of the packet data is a data type included in the body of the packet data means - to understand,
The processor is configured to refer to the specific web attack types included in the second attack type range among the data types of the packet data and the web attack types using the packet data of the corresponding data types to determine the detailed web attack type of the packet. A web attack type range analysis device that limits to the specific web attack types as an attack type range. HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 웹 공격 유형 범위 분석 장치에 있어서,
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되,
(I) 상기 프로세서가, 웹 공격에 해당하는 패킷을 획득하면, 상기 패킷의 메쏘드 필드 정보를 참조하여, 상기 메쏘드 필드 정보가 GET일 경우, 상기 패킷의 웹 공격 유형을 제1 공격 유형 범위로 한정하고, 상기 메쏘드 필드 정보가 POST일 경우, 상기 패킷의 웹 공격 유형을 제2 공격 유형 범위로 한정하는 프로세스; 및 (II) 상기 프로세서가, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위로 한정했다면, 상기 패킷의 content-type 필드 정보를 참조하여, 상기 패킷의 웹 공격 유형을 상기 제2 공격 유형 범위에 포함된 세부 공격 유형 범위로서 제2_1 세부 공격 유형 범위 내지 제2_n 세부 공격 유형 범위 중 어느 하나로 한정하는 프로세스를 수행하되,
(IV) 상기 프로세서가, 상기 패킷의 웹 공격 유형이 상기 제1 공격 유형 범위와 상기 세부 공격 유형 범위 중 어느 쪽으로 분류되었는지 참조하고, 상기 패킷 데이터에 포함된 파라미터를 참조하여, 상기 패킷의 웹 공격 유형을, KISA(한국인터넷진흥원)에서 지정한 공식 웹 공격 유형들 - 상기 공식 웹 공격 유형들은, 버퍼 오버플로우, 포맷스트링, LDAP 인젝션, 운영체제 명령 실행, SQL 인젝션, SSI 인젝션, XPath 인젝션, 디렉터리 인덱싱, 정보 누출, 악성 콘텐트, 크로스사이트 스크립트, 약한 문자열 강도, 불충분한 인증, 취약한 패스워드 복구, 크로스사이트 리퀘스트 변조(CSRF), 세션 예측, 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 파일 업로드, 파일 다운로드, 관리자 페이지 노출, 경로 추적, 위치 공개, 데이터 평문 전송, 쿠키 변조 중 적어도 일부를 포함함 - 및 상기 공식 웹 공격 유형들에 포함되지 않은 비공식 웹 공격 유형들 - 상기 비공식 웹 공격 유형들은, XXE 인젝션을 포함함 - 중 하나로 분류하는 프로세스를 더 포함하는 웹 공격 유형 범위 분석 장치.A web attack type range analysis device for classifying a web attack type range using method field information and content-type field information of HTTP protocol,
one or more memories storing instructions; and
one or more processors configured to perform the instructions,
(I) When the processor obtains a packet corresponding to a web attack, referring to the method field information of the packet, when the method field information is GET, the web attack type of the packet is limited to the first attack type range and, when the method field information is POST, limiting the web attack type of the packet to a second attack type range; and (II) if the processor limits the web attack type of the packet to the second attack type range, referring to the content-type field information of the packet, sets the web attack type of the packet to the second attack type range A process of limiting to any one of the 2_1 detailed attack type range to the 2_n detailed attack type range as the detailed attack type range included in the
(IV) the processor refers to which of the first attack type range and the detailed attack type range the web attack type of the packet is classified, and refers to the parameter included in the packet data, Official web attack types specified by KISA (Korea Internet & Security Agency) - The official web attack types are: buffer overflow, format string, LDAP injection, operating system command execution, SQL injection, SSI injection, XPath injection, directory indexing, Information leakage, malicious content, cross-site scripts, weak string strength, insufficient authentication, weak password recovery, cross-site request tampering (CSRF), session prediction, insufficient authorization, insufficient session expiration, session fixation, automation attacks, process validation including at least some of omission, file upload, file download, admin page exposure, path tracking, location disclosure, data plaintext transmission, cookie tampering - and unofficial web attack types not included in the above official web attack types - the unofficial Web attack types, including XXE injection - Web attack type range analysis apparatus further comprising a process of classifying into one. 제 17항에 있어서,
상기 패킷의 웹 공격 유형이, 상기 공식 웹 공격 유형들 및 상기 비공식 웹 공격 유형 중 어디에도 해당하지 않을 경우, 상기 웹 공격 유형 분석 장치가, 상기 패킷의 웹 공격 유형을 알려지지 않은 공격(Zero-Day)으로 분류하는 웹 공격 유형 범위 분석 장치.The method of claim 17,
When the web attack type of the packet does not correspond to any of the official web attack types and the unofficial web attack types, the web attack type analysis device determines the web attack type of the packet as an unknown attack (Zero-Day) Web attack type scope analysis device to classify as.
KR1020200157087A 2020-11-20 2020-11-20 Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol KR102258965B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200157087A KR102258965B1 (en) 2020-11-20 2020-11-20 Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200157087A KR102258965B1 (en) 2020-11-20 2020-11-20 Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol

Publications (1)

Publication Number Publication Date
KR102258965B1 true KR102258965B1 (en) 2021-06-02

Family

ID=76372723

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200157087A KR102258965B1 (en) 2020-11-20 2020-11-20 Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol

Country Status (1)

Country Link
KR (1) KR102258965B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297577A (en) * 2021-06-16 2021-08-24 深信服科技股份有限公司 Request processing method and device, electronic equipment and readable storage medium

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
한국과학기술정보연구원 기술문서 "DDoS 공격 유형별 분석보고서" (2015.12.)* *
한국인터넷진흥원 기술문서 "DDoS 공격대응 가이드" (2012.10.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297577A (en) * 2021-06-16 2021-08-24 深信服科技股份有限公司 Request processing method and device, electronic equipment and readable storage medium
CN113297577B (en) * 2021-06-16 2024-05-28 深信服科技股份有限公司 Request processing method and device, electronic equipment and readable storage medium

Similar Documents

Publication Publication Date Title
US10432644B2 (en) Access control system for enterprise cloud storage
CN112383546B (en) Method for processing network attack behavior, related equipment and storage medium
CN108156131B (en) Webshell detection method, electronic device and computer storage medium
CN110213227B (en) Network data flow detection method and device
US11212305B2 (en) Web application security methods and systems
CN109274637B (en) System and method for determining distributed denial of service attacks
US9055093B2 (en) Method, system and computer program product for detecting at least one of security threats and undesirable computer files
CN112468520B (en) Data detection method, device and equipment and readable storage medium
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
US11120154B2 (en) Large-scale authorization data collection and aggregation
CN108154029A (en) Intrusion detection method, electronic equipment and computer storage media
CN111628990A (en) Attack recognition method and device and server
KR101005866B1 (en) Method And A system of Advanced Web Log Preprocess Algorithm for Rule Based Web IDS System
US20210029154A1 (en) Automated security testing system and method
Zhang et al. An empirical study of web resource manipulation in real-world mobile applications
CN109145585A (en) There are the method and devices of weak passwurd for a kind of detection website
CN116451215A (en) Correlation analysis method and related equipment
RU2659482C1 (en) Protection of web applications with intelligent network screen with automatic application modeling
KR102258965B1 (en) Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol
RU2481633C2 (en) System and method for automatic investigation of safety incidents
US20220272116A1 (en) Systems and methods for network device discovery and vulnerability assessment
CN114760083A (en) Method and device for issuing attack detection file and storage medium
CN116668157A (en) API interface identification processing method, device and medium based on zero trust gateway log
JP2004310267A (en) Inspection equipment for web site
US11792209B2 (en) Robust learning of web traffic

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant