KR102280774B1 - Automated web firewall policy establishment apparatus and method through profiling log analysis - Google Patents

Automated web firewall policy establishment apparatus and method through profiling log analysis Download PDF

Info

Publication number
KR102280774B1
KR102280774B1 KR1020190176158A KR20190176158A KR102280774B1 KR 102280774 B1 KR102280774 B1 KR 102280774B1 KR 1020190176158 A KR1020190176158 A KR 1020190176158A KR 20190176158 A KR20190176158 A KR 20190176158A KR 102280774 B1 KR102280774 B1 KR 102280774B1
Authority
KR
South Korea
Prior art keywords
profile
request
url
detection
request url
Prior art date
Application number
KR1020190176158A
Other languages
Korean (ko)
Other versions
KR20210083656A (en
Inventor
김현목
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Priority to KR1020190176158A priority Critical patent/KR102280774B1/en
Publication of KR20210083656A publication Critical patent/KR20210083656A/en
Application granted granted Critical
Publication of KR102280774B1 publication Critical patent/KR102280774B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/9035Filtering based on additional data, e.g. user or group profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치 및 방법에 관한 것으로, 본 발명에 따른 방법은 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 수립한 프로파일 기반 보안 정책에 따라 탐지된 탐지 로그에서 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL을 분석하는 단계, 그리고 요청 URL 분석 결과에 기초하여 프로파일 기반 보안 정책에 대한 예외 규칙을 생성하는 단계를 포함한다. 본 발명에 의하면 초기 학습 프로파일 기반 보안 정책을 통한 탐지 로그를 통계적으로 분석하고, 탐지 유형별로 자동 분류하여 예외 규칙을 자동으로 수립하여 적용하거나, 정책 제안을 제공하여 관리자가 이를 적용할 수 있도록 도와줌으로써 URL 별 보안 정책 수립에 도움을 줄 수 있다.The present invention relates to an apparatus and method for establishing an automated web firewall policy through profiling log analysis. The method according to the present invention provides a profile-based security policy established by learning a normal request URL profile based on normal response data during a learning period. and analyzing a request URL that does not violate the profile attribute of the profile-based security policy from the detection log detected according to the method, and generating an exception rule for the profile-based security policy based on the result of analyzing the request URL. According to the present invention, by statistically analyzing the detection log through the initial learning profile-based security policy, automatically establishing and applying exception rules by automatically classifying each detection type, or providing policy suggestions to help the administrator to apply them. It can help to establish a security policy for each URL.

Figure R1020190176158
Figure R1020190176158

Description

프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치 및 방법{Automated web firewall policy establishment apparatus and method through profiling log analysis}Automated web firewall policy establishment apparatus and method through profiling log analysis}

본 발명은 자동화된 웹 방화벽 정책 수립 장치 및 방법에 관한 것으로, 보다 자세하게는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립을 할 수 있는 장치 및 방법에 관한 것이다.The present invention relates to an automated web firewall policy establishment apparatus and method, and more particularly, to an automated web firewall policy establishment apparatus and method through profiling log analysis.

기존의 웹 애플리케이션 방화벽(이하 '웹방화벽'이라 함)에서 운영상에 가장 어려운 문제는 개별 웹 사이트마다 발생하는 오인탐지(이하 '오탐'이라 함)에 대응하기 위해 보안 정책을 수정하고 예외 처리하는 것이다.The most difficult problem in operation of the existing web application firewall (hereinafter referred to as 'web firewall') is to modify the security policy and handle exceptions in order to respond to false positives that occur for each individual website (hereinafter referred to as 'false false positives'). .

웹방화벽은 다양한 공격 유형에 따른 탐지 패턴이 존재하고, 이에 위반되는 공격을 차단하도록 만들어져 있다. 그런데 개별 웹 페이지별로 사용 방식이 다르다. 그리고 때로는 반복적인 정상 행위를 공격으로 간주하여 탐지하거나, 차단하는 경우가 발생한다. 이를 해결하기 위해서 통상적으로 전문가에 의한 정책 수정 작업이 수차례 필요하며, 경우에 따라서 웹 페이지 자체의 수정 보완이 필요한 경우도 있다.Web firewalls have detection patterns according to various attack types, and are designed to block attacks that violate them. However, the usage method is different for each individual web page. And sometimes, repeated normal behavior is regarded as an attack and detected or blocked. In order to solve this problem, policy revision work by experts is usually required several times, and in some cases, the web page itself needs to be revised and supplemented.

가령 종래 기술인 "프로파일링 기반 웹 서비스 보안 시스템 및 그 방법(10-2005-0048558)"에서 학습을 하는 데이터는 요청에 대한 정상적 응답을 기반으로 하지만 비정상적 요청에 대한 응답이 발생할 때에도 해당 데이터를 학습할 수 있는 한계가 있다. For example, the data for learning in the prior art "Profiling-based web service security system and its method (10-2005-0048558)" is based on a normal response to a request, but even when a response to an abnormal request occurs, the data can be learned. There are limits to what can be done.

한국공개특허 제10-2005-0048558호(공개일자: 2005년 5월 24일)Korean Patent Publication No. 10-2005-0048558 (published date: May 24, 2005)

본 발명이 해결하고자 하는 기술적 과제는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치 및 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide an apparatus and method for establishing an automated web firewall policy through profiling log analysis.

상기한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 방법은, 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 수립한 프로파일 기반 보안 정책에 따라 탐지된 탐지 로그에서 상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL을 분석하는 단계, 그리고 상기 요청 URL 분석 결과에 기초하여 상기 프로파일 기반 보안 정책에 대한 예외 규칙을 생성하는 단계를 포함한다.In the method according to an embodiment of the present invention for solving the above technical problem, the profile from the detection log detected according to the profile-based security policy established by learning the normal request URL profile based on the normal response data during the learning period analyzing a request URL that does not violate a profile attribute of a base security policy, and generating an exception rule for the profile-based security policy based on a result of analyzing the request URL.

상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL은, 상기 탐지 로그에서 요청 URL의 파라미터 명과 파라미터 값이 상기 프로파일 기반 보안 정책의 프로파일 속성에 위반되지 않는 요청 URL 일 수 있다.The request URL that does not violate the profile attribute of the profile-based security policy may be a request URL in which the parameter name and parameter value of the request URL in the detection log do not violate the profile attribute of the profile-based security policy.

상기 분석하는 단계는, 상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 특수문자가 포함되어 있거나 구분자 없는 단일 파라미터가 포함되지 않은 요청 URL을 예외 처리 후보로 분류하여 소스 아이피(Source IP)별 탐지 비율을 구하는 단계, 그리고 상기 탐지 비율이 미리 정해진 기준 미만으로 탐지된 소스 아이피에 대해서 탐지 빈도가 미리 정해진 조건을 만족하는지 확인하는 단계를 더 포함할 수 있다.The analyzing step is to obtain a detection rate for each source IP by classifying a request URL that contains a special character or does not contain a single parameter without a delimiter as an exception processing candidate among the request URLs that do not violate the profile property. The method may further include checking whether a detection frequency satisfies a predetermined condition for a source IP whose detection rate is less than a predetermined criterion.

상기 탐지 비율은, 수학식 R = N / T 에 의해 구해질 수 있다.The detection ratio may be obtained by the equation R = N / T.

여기서, N은 예외 처리 후보 분류 요청 URL 중에서 해당 소스 아이피를 가지는 요청 URL 개수이고, T는 상기 탐지 로그에 포함된 전체 URL의 개수일 수 있다.Here, N may be the number of request URLs having a corresponding source IP among the exception processing candidate classification request URLs, and T may be the total number of URLs included in the detection log.

상기 탐지된 소스 아이피의 탐지 빈도가 미리 정해진 조건을 만족하지 않으면, 상기 추출된 요청 URL 중에서 상기 탐지된 소스 아이피를 가지는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성할 수 있다.If the detection frequency of the detected source IP does not satisfy a predetermined condition, an exception rule may be generated to process a request URL having the detected source IP from among the extracted request URLs as a normal request.

상기 탐지 빈도에 대한 미리 정해진 조건은 제1 탐지 빈도 기준 이상이거나 제2 탐지 빈도 기준 이상인 것으로 정해질 수 있다.The predetermined condition for the detection frequency may be determined to be equal to or greater than the first detection frequency criterion or greater than or equal to the second detection frequency criterion.

상기 제1 탐지 빈도 기준은 소스 아이피가 제1 시간동안 제1 기준 횟수로 탐지되는 것으로 정해지고, 상기 제2 탐지 빈도 기준은 제2 시간동안 제2 기준 횟수로 탐지되는 것으로 정해질 수 있다.The first detection frequency criterion may be determined as that the source IP is detected a first reference number of times during a first time period, and the second detection frequency criterion may be determined as a second reference number of detection times during a second time period.

상기 제1 시간은 상기 제2 시간보다 길게 정해지되, 상기 제2 탐지 빈도 기준이 상기 제1 탐지 빈도 기준보다 높게 설정될 수 있다.The first time period may be set longer than the second time period, and the second detection frequency criterion may be set higher than the first detection frequency criterion.

상기 추출된 요청 URL 중에서 특수문자가 포함되어 있지 않으면서 구분자 없는 단일 파라미터가 포함되어 있는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성할 수 있다.It is possible to create an exception rule for processing a request URL including a single parameter without a delimiter as a normal request without including special characters among the extracted request URLs.

상기 프로파일 기반 보안 정책은 URL 페이지별로 정해질 수 있다.The profile-based security policy may be determined for each URL page.

상기한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 시스템은, 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 수립한 프로파일 기반 보안 정책에 따라 탐지된 탐지 로그에서 상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL을 분석하는 분석부, 그리고 상기 요청 URL 분석 결과에 기초하여 상기 프로파일 기반 보안 정책에 대한 예외 규칙을 생성하는 예외 규칙 생성부를 포함한다.The system according to an embodiment of the present invention for solving the above technical problem, the profile from the detection log detected according to the profile-based security policy established by learning the normal request URL profile based on the normal response data during the learning period and an analysis unit that analyzes a request URL that does not violate a profile attribute of a base security policy, and an exception rule generator that generates an exception rule for the profile-based security policy based on a result of analyzing the request URL.

본 발명에 의하면 초기 학습 프로파일 기반 보안 정책을 통한 탐지 로그를 통계적으로 분석하고, 탐지 유형별로 자동 분류하여 예외 규칙을 자동으로 수립하여 적용하거나, 정책 제안을 제공하여 관리자가 이를 적용할 수 있도록 도와줌으로써 URL 별 보안 정책 수립에 도움을 줄 수 있다.According to the present invention, by statistically analyzing the detection log through the initial learning profile-based security policy, automatically establishing and applying exception rules by automatically classifying each detection type, or providing policy suggestions to help the administrator to apply them. It can help to establish a security policy for each URL.

도 1은 본 발명의 일 실시예에 따른 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법의 흐름도이다.1 is a configuration diagram of an automated web firewall policy establishment device through profiling log analysis according to an embodiment of the present invention.
2 is a flowchart of an automated web firewall policy establishment method through profiling log analysis according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art can easily implement them. However, the present invention may be embodied in various different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated.

또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, the terms “…unit” and “…module” described in the specification mean a unit that processes at least one function or operation, which may be implemented as hardware or software or a combination of hardware and software.

도 1은 본 발명의 일 실시예에 따른 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치의 구성도이다.1 is a block diagram of an automated web firewall policy establishment device through profiling log analysis according to an embodiment of the present invention.

도 1을 참고하면, 본 발명에 따른 장치(100)는 프로파일링 기반 보안 모듈(110)과 예외 규칙 생성 모듈(120)을 포함할 수 있다. 실시예에 따라 장치(100)는 예외 규칙 생성 모듈(120)만 포함할 수도 있다.Referring to FIG. 1 , an apparatus 100 according to the present invention may include a profiling-based security module 110 and an exception rule generation module 120 . According to an embodiment, the device 100 may include only the exception rule generating module 120 .

프로파일링 기반 보안 모듈(110)은 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 프로파일 기반 보안 정책을 수립할 수 있다. 보다 자세하게는 프로파일링 기반 보안 모듈(110)은 시그니처(signature) 기반 탐지 기법에 의해 탐지되지 않는 알려지지 않은 공격을 탐지할 수 있다. 이를 위해 프로파일링 기반 보안 모듈(110)은 미리 정해진 학습 기간(예컨대 웹 서비스 제공 초기 기간)에 클라이언트(Client)로부터 URL 요청에 대해서 웹 서비스 시스템(도시하지 않음)으로부터 제공되는 정상적인 웹 서비스 응답데이터를 분석하여, 정상적인 URL 요청에 대한 호스트, 경로, 파라미터 명, 파라미터 값 등을 포함하는 프로파일 데이터를 학습하고, 이를 기초로 요청 URL의 정상 여부 또는 비정상 여부를 탐지하는 프로파일 기반 보안 정책을 수립할 수 있다.The profiling-based security module 110 may establish a profile-based security policy by learning the normal request URL profile based on the normal response data during the learning period. In more detail, the profiling-based security module 110 may detect an unknown attack that is not detected by a signature-based detection technique. To this end, the profiling-based security module 110 receives normal web service response data provided from a web service system (not shown) in response to a URL request from a client during a predetermined learning period (eg, the initial period of web service provision). By analyzing, profile data including host, path, parameter name, parameter value, etc. for a normal URL request are learned, and a profile-based security policy can be established based on this to detect whether the request URL is normal or abnormal. .

프로파일 기반 보안 정책은 URL 페이지별로 정해질 수 있다.The profile-based security policy may be determined for each URL page.

프로파일링 기반 보안 모듈(110)은 프로파일 기반 보안 정책에 따라 비정상적 URL 요청에 대한 탐지 및/또는 차단을 수행할 수 있다. 그리고 프로파일링 기반 보안 모듈(110)은 프로파일 기반 보안 정책에 따라 탐지된 로그를 기록할 수 있다.The profiling-based security module 110 may detect and/or block an abnormal URL request according to a profile-based security policy. And the profiling-based security module 110 may record a log detected according to the profile-based security policy.

한편 프로파일링 기반 보안 모듈(110)은 탐지 로그를 분석하여 해당하는 URL 페이지가 업데이트된 것으로 판단되면, 해당 URL 페이지 업데이트 이후의 정상요청 URL 프로파일을 학습하여 프로파일 기반 보안 정책을 다시 수립할 수 있다.On the other hand, if the profiling-based security module 110 analyzes the detection log and determines that the corresponding URL page has been updated, the profile-based security policy can be reestablished by learning the normal requested URL profile after the corresponding URL page update.

예외 규칙 생성 모듈(120)은 프로파일링 기반 보안 모듈(110)로부터 프로파일 기반 보안 정책에 따라 탐지된 로그를 입력받아 분석하고, 분석 결과에 따른 예외 규칙을 생성할 수 있다.The exception rule creation module 120 may receive and analyze a log detected according to the profile-based security policy from the profiling-based security module 110 , and may generate an exception rule according to the analysis result.

예외 규칙 생성 모듈(120)은 파싱 전처리부(121), 분석부(123) 및 예외 규칙 생성부(125)를 포함할 수 있다.The exception rule generation module 120 may include a parsing preprocessor 121 , an analyzer 123 , and an exception rule generator 125 .

파싱 전처리부(121)는 프로파일링 기반 보안 모듈(110)에서 탐지된 로그에 대한 파싱을 수행한다. 파싱 전처리부(121)는 URL 페이지별(웹 페이지별) 요청 URL을 정규화하여 분석부(123)에서 URL에 포함된 파라미터 명, 파라미터 값 등을 추출하여 분석할 수 있도록 전처리할 수 있다.The parsing preprocessor 121 parses the log detected by the profiling-based security module 110 . The parsing preprocessor 121 may normalize the request URL for each URL page (per web page) and preprocess it so that the parsing unit 123 may extract and analyze the parameter name, parameter value, etc. included in the URL.

그리고 파싱 전처리부(121)는 프로파일링 기반 보안 모듈(110)에서 탐지된 로그에 대한 파싱을 수행한 결과, 해당 탐지 로그에 대응하는 URL 페이지가 업데이트 된 것으로 판단되면, 프로파일링 기반 보안 모듈(110)이 다시 해당 URL 페이지에 대한 정상요청 URL 프로파일을 학습하여 프로파일 기반 보안 정책을 다시 수립하게 할 수 있다.In addition, the parsing preprocessor 121 performs parsing on the log detected by the profiling-based security module 110, and when it is determined that the URL page corresponding to the detection log is updated, the profiling-based security module 110 ) learns the normal request URL profile for the corresponding URL page again, so that the profile-based security policy can be established again.

분석부(123)는 정상요청 URL 프로파일 기반 보안 정책에 따라 탐지된 요청 URL이 정상요청 URL 프로파일의 속성을 위반하는지 확인할 수 있다. 예를 들어 분석부(123)는 탐지된 요청 URL 로그에서 파라미터 명과 파라미터 값이 정상요청 URL 프로파일의 속성에 위반되는지 확인할 수 있다.The analyzer 123 may check whether the requested URL detected according to the normal request URL profile-based security policy violates the attribute of the normal request URL profile. For example, the analyzer 123 may check whether the parameter name and parameter value in the detected request URL log violate the properties of the normal request URL profile.

프로파일링 기반 보안 모듈(110)에서 탐지된 요청 URL의 파라미터 명, 파라미터 값 등이 정상요청 URL 프로파일의 속성에 위반될 경우, 프로파일링 기반 보안 모듈(110)이 해당 요청 URL을 정상적으로 탐지한 것으로 간주할 수 있다. 반면에 프로파일링 기반 보안 모듈(110)에서 탐지된 요청 URL의 파라미터 명, 파라미터 값 등이 정상요청 URL 프로파일의 속성에 위반되지 않을 경우, 분석부(123)는 프로파일링 기반 보안 모듈(110)이 해당 요청 URL을 오탐했을 가능성이 있는 것으로 판단하고 추가 분석을 수행할 수 있다.When the parameter name, parameter value, etc. of the request URL detected by the profiling-based security module 110 are in violation of the properties of the normal request URL profile, the profiling-based security module 110 is deemed to have detected the request URL normally can do. On the other hand, when the parameter name, parameter value, etc. of the request URL detected by the profiling-based security module 110 do not violate the properties of the normal request URL profile, the analysis unit 123 determines that the profiling-based security module 110 is We can determine that the request URL is likely a false positive and perform further analysis.

분석부(123)는 추출된 요청 URL 중에서 특수문자가 포함되어 있거나 구분자 없는 단일 파라미터가 포함되어 있지 않은 요청 URL을 예외 처리 후보로 분류하여 소스 아이피(Source IP)별 탐지 비율을 구할 수 있다.The analysis unit 123 may classify a request URL that contains a special character or does not include a single parameter without a separator among the extracted request URL as an exception processing candidate to obtain a detection rate for each source IP.

소스 아이피별 탐지 비율(R)은 아래 수학식에 의해 구할 수 있다.The detection rate (R) for each source IP can be obtained by the following equation.

[수학식 1][Equation 1]

R = N / TR = N/T

여기서, N은 예외 처리 후보 분류 URL 중에서 해당 소스 아이피를 가지는 요청 URL 개수이고, T는 탐지 로그에 포함된 전체 URL의 개수이다.Here, N is the number of request URLs having a corresponding source IP among the exception processing candidate classification URLs, and T is the number of total URLs included in the detection log.

탐지 비율이 미리 정해진 기준 이상인 소스 아이피를 가지는 요청 URL은 정상 탐지된 것으로 간주하여 예외 규칙 생성 대상에서 제외할 수 있다Request URLs with a source IP whose detection rate is greater than or equal to a predetermined standard are considered to be normally detected and excluded from the creation of exception rules.

분석부(123)는 탐지 비율이 미리 정해진 기준 미만으로 탐지된 소스 아이피에 대해서 탐지 빈도가 미리 정해진 조건을 만족하는지 확인할 수 있다.The analysis unit 123 may check whether a detection frequency satisfies a predetermined condition with respect to a source IP whose detection rate is less than a predetermined criterion.

탐지 빈도 기준은 하나로 정해지거나, 복수의 탐지 빈도 기준이 설정될 수도 있다. 가령 탐지 빈도 기준이 하나의 기준만 설정되거나, 2개 이상의 기준이 설정되는 것도 가능하다. 2개 이상의 탐지 빈도 기준이 설정될 경우, 제1 탐지 빈도 기준은 소스 아이피가 제1 시간동안 제1 기준 횟수로 탐지되는 것으로 정해지고, 제2 탐지 빈도 기준은 제2 시간동안 제2 기준 횟수로 탐지되는 것으로 정해질 수 있다. 이때 제1 시간은 제2 시간보다 길게 정해지되, 제2 탐지 빈도 기준이 제1 탐지 빈도 기준보다 높게 설정될 수 있다. 예컨대 제1 탐지 빈도 기준은 1분당 60회로 정하고, 제2 탐지 빈도 기준은 1초당 20회로 정할 수 있다.One detection frequency criterion may be set, or a plurality of detection frequency criteria may be set. For example, only one criterion for the detection frequency may be set, or two or more criteria may be set. When two or more detection frequency criteria are set, the first detection frequency criterion is determined that the source IP is detected the first reference number of times during the first time, and the second detection frequency criterion is the second reference number of times during the second time period. can be determined to be detected. In this case, the first time period may be set longer than the second time period, but the second detection frequency criterion may be set higher than the first detection frequency criterion. For example, the first detection frequency reference may be set to 60 times per minute, and the second detection frequency reference may be set to 20 times per second.

예외 규칙 생성부(125)는 탐지된 소스 아이피의 탐지 빈도가 미리 정해진 조건을 만족하지 않으면, 추출된 요청 URL 중에서 탐지된 소스 아이피를 가지는 요청 URL이 오탐된 것으로 간주하고, 해당 요청 URL을 정상요청으로 처리하도록 하는 탐지 예외 규칙을 생성할 수 있다.If the detection frequency of the detected source IP does not satisfy a predetermined condition, the exception rule generator 125 considers that a request URL having the detected source IP among the extracted request URLs is false, and returns the request URL as a normal request. You can create a detection exception rule to handle with .

예외 규칙 생성부(125)는 추출된 요청 URL 중에서 특수문자가 포함되어 있지 않으면서 구분자 없는 단일 파라미터가 포함되어 있는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성할 수도 있다.The exception rule generator 125 may generate an exception rule for processing a request URL including a single parameter without a delimiter as a normal request without including special characters among the extracted request URLs.

예외 규칙 생성부(125)는 탐지된 소스 아이피를 가지는 해당 요청 URL 자체, 또는 해당 요청 URL의 파라미터 명이나 파라미터 값에 대해서 탐지하지 않도록 예외 규칙을 생성할 수 있다.The exception rule generator 125 may generate an exception rule not to detect the corresponding request URL itself having the detected source IP, or the parameter name or parameter value of the corresponding request URL.

실시예에 따라서 예외 규칙 생성부(125)에서 생성된 예외 규칙을 바로 프로파일링 기반 보안 모듈(110)의 보안 정책에 바로 적용시킬 수 있다. 또는 예외 규칙을 출력해서 운용자로부터 적용 여부를 선택받은 후 적용되게 할 수도 있다.According to an embodiment, the exception rule generated by the exception rule generator 125 may be directly applied to the security policy of the profiling-based security module 110 . Alternatively, the exception rule may be output and applied after receiving a selection from the operator whether to apply or not.

도 2는 본 발명의 일 실시예에 따른 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법의 흐름도이다.2 is a flowchart of an automated web firewall policy establishment method through profiling log analysis according to an embodiment of the present invention.

도 1 및 도 2를 참고하면, 먼저 파싱 전처리부(121)는 프로파일링 기반 보안 모듈(110)에서 탐지된 로그에 대한 파싱을 수행한다(S210). 단계(S210)에서 파싱 전처리부(121)는 URL 페이지별(웹 페이지별) 요청 URL을 정규화하고, 요청 URL에 포함된 파라미터 명, 파라미터 값 등을 추출하여 분석할 수 있도록 전처리할 수 있다.1 and 2 , first, the parsing preprocessor 121 parses the log detected by the profiling-based security module 110 ( S210 ). In step S210, the parsing preprocessor 121 may normalize the request URL for each URL page (per web page), extract the parameter name, the parameter value, etc. included in the request URL, and pre-process it so that it can be analyzed.

다음으로 파싱 전처리부(121)는 프로파일링 기반 보안 모듈(110)에서 탐지된 탐지 로그에 대한 파싱을 수행한 결과, 해당 탐지 로그에 대응하는 URL 페이지가 업데이트 된 것으로 판단되면(S220-Y), 프로파일링 기반 보안 모듈(110)이 다시 해당 URL 페이지에 대한 정상요청 URL 프로파일 학습을 수행하여 프로파일 기반 보안 정책을 다시 수립하도록 할 수 있다(S230).Next, as a result of parsing the detection log detected by the profiling-based security module 110, the parsing preprocessor 121 determines that the URL page corresponding to the detection log is updated (S220-Y), The profiling-based security module 110 may again re-establish a profile-based security policy by performing normal request URL profile learning for the corresponding URL page (S230).

URL 페이지가 업데이트되지 않은 것으로 판단되면(S220-N), 분석부(123)는 정상요청 URL 프로파일 기반 보안 정책에 따라 탐지된 요청 URL이 정상요청 URL 프로파일의 속성을 위반하는지 확인할 수 있다(S240).If it is determined that the URL page is not updated (S220-N), the analysis unit 123 may check whether the requested URL detected according to the normal request URL profile-based security policy violates the attribute of the normal request URL profile (S240) .

요청 URL이 정상요청 URL 프로파일의 속성을 위반한 경우(S240-Y), 분석부(123)는 해당 요청 URL은 정상적으로 탐지된 것으로 간주하고 예외 처리 대상으로 추출하지 않을 수 있다.If the request URL violates the attribute of the normal request URL profile (S240-Y), the analysis unit 123 may consider that the request URL is normally detected and may not extract it as an exception processing target.

한편 분석부(123)는 요청 URL이 정상요청 URL 프로파일의 속성을 위반하지 않는 경우(S240-N), 분석부(123)는 요청 URL에 특수 문자가 포함되어 있는 지(S251) 및/또는 요청 URL에 구분자 없는 단일 파라미터가 포함되어 있는지를 확인할 수 있다(S253).On the other hand, the analysis unit 123 determines whether the request URL does not violate the attribute of the normal request URL profile (S240-N), the analysis unit 123 determines whether the request URL contains special characters (S251) and/or the request It can be checked whether a single parameter without a separator is included in the URL (S253).

요청 URL에 특수 문자가 포함되어 있지 않으면서(S251-N), 요청 URL에 구분자 없는 단일 파라미터가 포함되어 있으면(S253-Y), 예외 규칙 생성부(125)는 해당 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성할 수 있다(S260).If the request URL does not contain special characters (S251-N) and the request URL includes a single parameter without a separator (S253-Y), the exception rule generator 125 processes the request URL as a normal request. It is possible to create an exception rule to do so (S260).

한편 요청 URL에 특수 문자가 포함되어 있거나 구분자 없는 단일 파라미터가 포함되지 않은 경우(S251-Y, S253-N), 분석부(123)는 해당 URL을 예외 처리 후보로 분류하여 소스 아이피(Source IP)별 탐지 비율을 구할 수 있다(S255). 단계(S255)에서 소스 아이피별 탐지 비율(R)은 위 수학식 1에 의해 구할 수 있다.On the other hand, if the request URL contains special characters or does not include a single parameter without a delimiter (S251-Y, S253-N), the analysis unit 123 classifies the URL as a candidate for exception handling and selects the source IP. A star detection rate can be obtained (S255). In step S255, the detection rate R for each source IP can be obtained by Equation 1 above.

탐지 비율이 미리 정해진 기준 이상인 소스 아이피를 가지는 요청 URL은 정상 탐지된 것으로 간주하여 예외 규칙 생성 대상에서 제외할 수 있다(S255-Y).A request URL having a source IP whose detection rate is greater than or equal to a predetermined criterion may be regarded as normally detected and excluded from the exception rule creation target (S255-Y).

단계(S255)에서 소스 아이피 탐지 비율 기준은 0.5 등으로 미리 정해질 수 있다.In step S255, the source IP detection rate criterion may be predetermined as 0.5 or the like.

분석부(123)는 탐지 비율이 미리 정해진 기준 미만으로 탐지된 소스 아이피에 대해서 탐지 빈도가 미리 정해진 조건을 만족하는지 확인할 수 있다(S257).The analysis unit 123 may check whether a detection frequency satisfies a predetermined condition for a source IP whose detection rate is less than a predetermined criterion (S257).

탐지 빈도가 미리 정해진 기준 이상인 소스 아이피를 가지는 요청 URL은 정상 탐지된 것으로 간주하여 예외 규칙 생성 대상에서 제외할 수 있다(S257-Y).A request URL having a source IP whose detection frequency is equal to or greater than a predetermined criterion may be regarded as normally detected and excluded from the exception rule creation target (S257-Y).

반대로 분석부(123)에서 탐지 빈도가 미리 정해진 기준 미만인 소스 아이피를 가지는 요청 URL은 오탐된 것으로 간주하여 예외 규칙 생성 대상에 포함할 수 있다(S257-N).Conversely, the request URL having a source IP whose detection frequency is less than a predetermined criterion by the analysis unit 123 may be regarded as a false positive and may be included in the exception rule generation target (S257-N).

단계(S257)에서 소스 아이피의 탐지 빈도가 제1 탐지 빈도 기준 이상이거나(S2571-Y), 제2 탐지 빈도 기준 이상이면(S2573-Y), 앞서 설명한 것과 같이 해당 소스 아이피를 가지는 요청 URL은 정상 탐지된 것으로 간주하여 예외 규칙 생성 대상에서 제외할 수 있다(S257-Y).In step S257, if the detection frequency of the source IP is equal to or greater than the first detection frequency criterion (S2571-Y) or greater than or equal to the second detection frequency criterion (S2573-Y), as described above, the request URL having the corresponding source IP is normal. It may be regarded as detected and excluded from the exception rule creation target (S257-Y).

반면에 소스 아이피의 탐지 빈도가 제1 탐지 빈도 기준 미만이면서(S2571-N), 제2 탐지 빈도 기준 미만이면(S2573-N), 예외 규칙 생성부(125)는 해당 소스 아이피를 가지는 요청 URL은 오탐된 것으로 간주하여 예외 규칙을 생성할 수 있다(S260).On the other hand, when the detection frequency of the source IP is less than the first detection frequency criterion (S2571-N) and less than the second detection frequency criterion (S2573-N), the exception rule generator 125 determines that the request URL having the corresponding source IP is An exception rule may be generated by considering it to be a false positive (S260).

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented by a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the apparatus, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA). array), a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and carry out program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited drawings, those skilled in the art may apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

Claims (15)

삭제delete 삭제delete 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 수립한 프로파일 기반 보안 정책에 따라 탐지된 비정상적 요청 URL에 대한 탐지 로그에서 상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL을 분석하는 단계, 그리고
상기 요청 URL 분석 결과에 기초하여 상기 프로파일 기반 보안 정책에 대한 예외 규칙 - 상기 예외 규칙은 상기 프로파일 기반 보안 정책에 의해 오탐된 요청 URL을 정상요청 URL로 처리하도록 하는 것임 - 을 생성하는 단계를 포함하고,
상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL은, 상기 탐지 로그에서 요청 URL의 파라미터 명과 파라미터 값이 상기 프로파일 기반 보안 정책의 프로파일 속성에 위반되지 않는 요청 URL 이며,
상기 분석하는 단계는,
상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 특수문자가 포함되어 있거나 구분자 없는 단일 파라미터가 포함되지 않은 요청 URL을 예외 처리 후보로 분류하여 소스 아이피(Source IP)별 탐지 비율을 구하는 단계, 그리고
상기 탐지 비율이 미리 정해진 기준 미만으로 탐지된 소스 아이피에 대해서 탐지 빈도가 미리 정해진 조건을 만족하는지 확인하는 단계를 더 포함하고,
상기 탐지 비율은,
수학식 R = N / T 에 의해 구해지며,
여기서, N은 예외 처리 후보 분류 요청 URL 중에서 해당 소스 아이피를 가지는 요청 URL 개수이고, T는 상기 탐지 로그에 포함된 전체 URL의 개수인 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법.Analyze the request URL that does not violate the profile attribute of the profile-based security policy in the detection log for the abnormal request URL detected according to the profile-based security policy established by learning the normal request URL profile based on the normal response data during the learning period step, and
and generating an exception rule for the profile-based security policy based on the analysis result of the request URL, wherein the exception rule is to process a request URL falsely detected by the profile-based security policy as a normal request URL, and ,
The request URL that does not violate the profile attribute of the profile-based security policy is a request URL in which the parameter name and parameter value of the request URL in the detection log do not violate the profile attribute of the profile-based security policy,
The analyzing step is
Classifying a request URL that contains a special character or does not include a single parameter without a separator among request URLs that does not violate the profile attribute as an exception processing candidate to obtain a detection rate for each source IP, and
The method further comprises the step of confirming whether the detection frequency satisfies a predetermined condition for a source IP whose detection rate is less than a predetermined criterion,
The detection rate is
It is obtained by the formula R = N / T,
Here, N is the number of request URLs having a corresponding source IP among the exception processing candidate classification request URLs, and T is the number of total URLs included in the detection log. An automated web firewall policy establishment method through profiling log analysis. 제 3 항에서,
상기 탐지된 소스 아이피의 탐지 빈도가 미리 정해진 조건을 만족하지 않으면, 상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 상기 탐지된 소스 아이피를 가지는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성하는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법.In claim 3,
If the detection frequency of the detected source IP does not satisfy a predetermined condition, profiling generating an exception rule for processing a request URL having the detected source IP as a normal request among request URLs that do not violate the profile attribute Automated web firewall policy establishment method through log analysis. 제 4 항에서,
상기 탐지 빈도에 대한 미리 정해진 조건은 제1 탐지 빈도 기준 이상이거나 제2 탐지 빈도 기준 이상인 것으로 정해지고,
상기 제1 탐지 빈도 기준은 소스 아이피가 제1 시간동안 제1 기준 횟수로 탐지되는 것으로 정해지고, 상기 제2 탐지 빈도 기준은 제2 시간동안 제2 기준 횟수로 탐지되는 것으로 정해지며,
상기 제1 시간은 상기 제2 시간보다 길게 정해지되, 상기 제2 탐지 빈도 기준이 상기 제1 탐지 빈도 기준보다 높게 설정되는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법.In claim 4,
The predetermined condition for the detection frequency is determined to be equal to or greater than a first detection frequency criterion or greater than or equal to a second detection frequency criterion;
The first detection frequency criterion is determined that the source IP is detected a first reference number of times during a first time, and the second detection frequency criterion is determined that the source IP is detected a second reference number of times during a second time period;
The first time is set longer than the second time, and the second detection frequency criterion is set higher than the first detection frequency criterion. An automated web firewall policy establishment method through profiling log analysis. 제 3 항에서,
상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 특수문자가 포함되어 있지 않으면서 구분자 없는 단일 파라미터가 포함되어 있는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성하는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법.In claim 3,
Automated web firewall through profiling log analysis that creates an exception rule to treat a request URL that does not contain special characters and contains a single parameter without a delimiter as a normal request among request URLs that do not violate the profile properties How to make a policy. 제 3 항에서,
상기 프로파일 기반 보안 정책은 URL 페이지별로 정해지는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 방법.In claim 3,
The profile-based security policy is an automated web firewall policy establishment method through profiling log analysis determined for each URL page. 컴퓨터에 상기 제3항 내지 제7항 중 어느 한 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium in which a program for executing the method of any one of claims 3 to 7 is recorded on a computer. 삭제delete 삭제delete 학습 기간에 정상적인 응답데이터를 기반으로 정상요청 URL 프로파일을 학습하여 수립한 프로파일 기반 보안 정책에 따라 탐지된 비정상적 URL 요청에 대한 탐지 로그에서 상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL을 분석하는 분석부, 그리고
상기 요청 URL 분석 결과에 기초하여 상기 프로파일 기반 보안 정책에 대한 예외 규칙 - 상기 예외 규칙은 상기 프로파일 기반 보안 정책에 의해 오탐된 요청 URL을 정상요청 URL로 처리하도록 하는 것임 - 을 생성하는 예외 규칙 생성부를 포함하고,
상기 프로파일 기반 보안 정책의 프로파일 속성을 위반하지 않는 요청 URL은, 상기 탐지 로그에서 요청 URL의 파라미터 명과 파라미터 값이 상기 프로파일 기반 보안 정책의 프로파일 속성에 위반되지 않는 요청 URL 이며,
상기 분석부는, 상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 특수문자가 포함되어 있거나 구분자 없는 단일 파라미터가 포함되지 않은 요청 URL을 예외 처리 후보로 분류하여 소스 아이피(Source IP)별 탐지 비율을 구하고, 상기 탐지 비율이 미리 정해진 기준 미만으로 탐지된 소스 아이피에 대해서 탐지 빈도가 미리 정해진 조건을 만족하는지 확인하며,
상기 탐지 비율은, 수학식 R = N / T 에 의해 구해지며,
여기서, N은 예외 처리 후보 분류 요청 URL 중에서 해당 소스 아이피를 가지는 요청 URL 개수이고, T는 상기 탐지 로그에 포함된 전체 URL의 개수인 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치.Analyze the request URL that does not violate the profile attribute of the profile-based security policy in the detection log for the abnormal URL request detected according to the profile-based security policy established by learning the normal request URL profile based on the normal response data during the learning period analysis unit, and
An exception rule generating unit for generating an exception rule for the profile-based security policy based on the result of analyzing the request URL - the exception rule is to process a request URL falsely detected by the profile-based security policy as a normal request URL including,
The request URL that does not violate the profile attribute of the profile-based security policy is a request URL in which the parameter name and parameter value of the request URL in the detection log do not violate the profile attribute of the profile-based security policy,
The analysis unit obtains a detection rate for each source IP by classifying a request URL that contains a special character or does not contain a single parameter without a separator among request URLs that does not violate the profile attribute as an exception processing candidate, Checking whether the detection frequency satisfies a predetermined condition for a source IP whose detection rate is less than a predetermined criterion,
The detection ratio is obtained by the formula R = N / T,
Here, N is the number of request URLs having a corresponding source IP among the exception processing candidate classification request URLs, and T is the number of total URLs included in the detection log. An automated web firewall policy establishment device through profiling log analysis. 제 11 항에서,
상기 탐지된 소스 아이피의 탐지 빈도가 미리 정해진 조건을 만족하지 않으면, 상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 상기 탐지된 소스 아이피를 가지는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성하는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치.In claim 11,
If the detection frequency of the detected source IP does not satisfy a predetermined condition, profiling generating an exception rule for processing a request URL having the detected source IP as a normal request among request URLs that do not violate the profile attribute Automated web firewall policy establishment device through log analysis. 제 12 항에서,
상기 탐지 빈도에 대한 미리 정해진 조건은 제1 탐지 빈도 기준 이상이거나 제2 탐지 빈도 기준 이상인 것으로 정해지고,
상기 제1 탐지 빈도 기준은 소스 아이피가 제1 시간동안 제1 기준 횟수로 탐지되는 것으로 정해지고, 상기 제2 탐지 빈도 기준은 제2 시간동안 제2 기준 횟수로 탐지되는 것으로 정해지며,
상기 제1 시간은 상기 제2 시간보다 길게 정해지되, 상기 제2 탐지 빈도 기준이 상기 제1 탐지 빈도 기준보다 높게 설정되는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치.In claim 12,
The predetermined condition for the detection frequency is determined to be equal to or greater than a first detection frequency criterion or greater than or equal to a second detection frequency criterion;
The first detection frequency criterion is determined that the source IP is detected a first reference number of times during a first time, and the second detection frequency criterion is determined that the source IP is detected a second reference number of times during a second time period;
The first time is set longer than the second time, and the second detection frequency criterion is set higher than the first detection frequency criterion. An automated web firewall policy establishment apparatus through profiling log analysis. 제 11 항에서,
상기 프로파일 속성을 위반하지 않는 요청 URL 중에서 특수문자가 포함되어 있지 않으면서 구분자 없는 단일 파라미터가 포함되어 있는 요청 URL을 정상요청으로 처리하도록 하는 예외 규칙을 생성하는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치.In claim 11,
Automated web firewall through profiling log analysis that creates an exception rule to treat a request URL that does not contain special characters and contains a single parameter without a delimiter as a normal request among request URLs that do not violate the profile properties policy making device. 제 11 항에서,
상기 프로파일 기반 보안 정책은 URL 페이지별로 정해지는 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치.In claim 11,
The profile-based security policy is an automated web firewall policy establishment device through profiling log analysis determined for each URL page.
KR1020190176158A 2019-12-27 2019-12-27 Automated web firewall policy establishment apparatus and method through profiling log analysis KR102280774B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190176158A KR102280774B1 (en) 2019-12-27 2019-12-27 Automated web firewall policy establishment apparatus and method through profiling log analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190176158A KR102280774B1 (en) 2019-12-27 2019-12-27 Automated web firewall policy establishment apparatus and method through profiling log analysis

Publications (2)

Publication Number Publication Date
KR20210083656A KR20210083656A (en) 2021-07-07
KR102280774B1 true KR102280774B1 (en) 2021-07-22

Family

ID=76861971

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190176158A KR102280774B1 (en) 2019-12-27 2019-12-27 Automated web firewall policy establishment apparatus and method through profiling log analysis

Country Status (1)

Country Link
KR (1) KR102280774B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100761886B1 (en) * 2007-05-29 2007-09-28 주식회사 엘앤디시스템 System and method of securing web application

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695489B1 (en) 2005-04-12 2007-03-14 (주)모니터랩 Web service preservation system based on profiling and method the same
KR20090044202A (en) * 2007-10-31 2009-05-07 주식회사 이븐스타 System and method for processing security for webservices detecting evasion attack by roundabout way or parameter alteration

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100761886B1 (en) * 2007-05-29 2007-09-28 주식회사 엘앤디시스템 System and method of securing web application

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence

Also Published As

Publication number Publication date
KR20210083656A (en) 2021-07-07

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
KR101966514B1 (en) Apparatus, method and computer program for malware detection of software defined network
US9781144B1 (en) Determining duplicate objects for malware analysis using environmental/context information
EP3205072B1 (en) Differential dependency tracking for attack forensics
US9680848B2 (en) Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis
Christodorescu et al. Mining specifications of malicious behavior
CN109586282B (en) Power grid unknown threat detection system and method
CN107547490B (en) Scanner identification method, device and system
JP6491356B2 (en) Classification method, classification device, and classification program
KR101645019B1 (en) Rule description language for software vulnerability detection
JP2016099857A (en) Fraudulent program handling system and fraudulent program handling method
KR102280774B1 (en) Automated web firewall policy establishment apparatus and method through profiling log analysis
CN109492403B (en) Vulnerability detection method and device
KR102040371B1 (en) Apparatus and method for analyzing network attack pattern
KR102382889B1 (en) Method and system for detecting web shell using process information
CN110659478B (en) Method for detecting malicious files preventing analysis in isolated environment
KR20210025885A (en) Apparatus for minimal permission analysis of applications in software defined network and the method thereof
JP6666475B2 (en) Analysis apparatus, analysis method and analysis program
CN112948829B (en) File searching and killing method, system, equipment and storage medium
KR102299640B1 (en) Method and system for similarity analysis among kernel system calls using fuzz testing
JP2024502973A (en) Executable file unpacking system and method for static analysis of malicious code
KR102040929B1 (en) Apparatus and method for the detection of drive-by download using unusual behavior monitoring
WO2020161780A1 (en) Action plan estimation device, action plan estimation method, and computer-readable recording medium
KR101934381B1 (en) Method for detecting hacking tool, and user terminal and server for performing the same
KR20210147570A (en) Apparatus for recognizing malware through process mining

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)