KR102351122B1 - 매크로 이상 접속 탐지 장치 및 방법 - Google Patents

매크로 이상 접속 탐지 장치 및 방법 Download PDF

Info

Publication number
KR102351122B1
KR102351122B1 KR1020200050962A KR20200050962A KR102351122B1 KR 102351122 B1 KR102351122 B1 KR 102351122B1 KR 1020200050962 A KR1020200050962 A KR 1020200050962A KR 20200050962 A KR20200050962 A KR 20200050962A KR 102351122 B1 KR102351122 B1 KR 102351122B1
Authority
KR
South Korea
Prior art keywords
macro
access
policy
abnormal
access request
Prior art date
Application number
KR1020200050962A
Other languages
English (en)
Other versions
KR20210132494A (ko
Inventor
이재훈
Original Assignee
주식회사 웰컨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 웰컨 filed Critical 주식회사 웰컨
Priority to KR1020200050962A priority Critical patent/KR102351122B1/ko
Publication of KR20210132494A publication Critical patent/KR20210132494A/ko
Application granted granted Critical
Publication of KR102351122B1 publication Critical patent/KR102351122B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

본 발명은 매크로 이상 접속 탐지 장치 및 방법에 관한 것으로, 본 발명에 따른 방법은 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지하는 단계 - 제1 정책은 접속 요청에서 추출된 HTTP 헤더값들에 기초하여 매크로 이상 접속을 탐지하도록 미리 설정되어 있음 - ; 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지하는 단계 - 제2 정책은 매크로 이상 접속과 관련된 발신자 아이피 주소 및 유저-에이전트 코드값을 포함하는 리스트에 기초하여 매크로 이상 접속을 탐지하도록 설정되어 있음 - ; 제1 정책 및 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 사람에 의한 접속 요청 여부를 인증하기 위한 사람 인증 페이지를 사용자 단말에 제공하는 단계; 사람에 의한 접속 요청으로 인증된 경우, 대상 네트워크 시스템에 대한 사용자 단말의 접속을 허용하는 단계; 대상 네트워크 시스템에 접속한 사용자 단말의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지하는 단계; 그리고 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 리스트에 업데이트하는 단계; 를 포함한다.

Description

매크로 이상 접속 탐지 장치 및 방법{Macro Anomaly Connection Detection Apparatus and Method}
본 발명은 매크로 이상 접속 탐지 장치 및 방법에 관한 것이다.
[이 발명을 지원한 연구개발사업]
[과제번호]  D191987 
[부처명] 경기도
[과제관리(전문)기관명] (재)경기도경제과학진흥원
[연구사업명] 2019년 경기도 기술개발사업
[연구과제명] 딥러닝을 활용한 생산자동화 PLC 장애 탐지기술 개발
[기여율] 1/1 
[과제수행기관명] (주)웰컨
[연구기간] 2019.09.01 ~ 2020.11.30
네트워크 시스템 보안에서 최근 주목하는 것은 악성 봇(Bot) 차단이다. 봇이란 여러 작업을 반복하는 매크로(Macro) 프로그램을 의미한다. 매크로 프로그램을 통해 단순한 작업을 무한 반복할 수 있다. 그런데 검색엔진, 가격정책 서비스 등 정상 서비스를 위해 운영하는 정상 봇 외에 계정탈취, 디도스 공격, 웹 스크래핑, 데이터 탈취를 위한 악성 봇에 의한 공격도 심각한 상황으로 인터넷 환경에서 다양한 피해를 발생시키는 주범으로 악의적인 용도에 많이 사용되고 있다. 이로 인해 매크로 프로그램을 통한 보호 대상 네트워크 시스템에 이상 접속하는 것을 탐지하고 차단하는 기술에 대한 관심이 커지고 있다.
한국공개특허 제10-2011-0119915호(공개일자: 2011년11월03일) 한국등록특허 제10-1816045호(등록일자: 2018년01월02일)
따라서 본 발명이 해결하고자 하는 기술적 과제는 매크로 이상 접속 탐지 장치 및 방법을 제공하는 것이다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 매크로 이상 접속 탐지 방법은 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지하는 단계 - 상기 제1 정책은 접속 요청에서 추출된 HTTP 헤더값들에 기초하여 매크로 이상 접속을 탐지하도록 미리 설정되어 있음 - ; 상기 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지하는 단계 - 상기 제2 정책은 매크로 이상 접속과 관련된 발신자 아이피 주소 및 유저-에이전트(user-agent) 코드값을 포함하는 리스트에 기초하여 매크로 이상 접속을 탐지하도록 설정되어 있음 - ; 상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 사람에 의한 접속 요청 여부를 인증하기 위한 사람 인증 페이지를 사용자 단말에 제공하는 단계; 사람에 의한 접속 요청으로 인증된 경우, 상기 대상 네트워크 시스템에 대한 사용자 단말의 접속을 허용하는 단계; 상기 대상 네트워크 시스템에 접속한 사용자 단말의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지하는 단계; 그리고 상기 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 상기 리스트에 업데이트하는 단계; 를 포함한다.
상기 제1 정책은, 상기 접속 요청에서 추출된 HTTP 헤더값에 유저-에이전트 코드값이 포함되어 있지 않거나 유저-에이전트 코드값에 미리 정해진 문자열이 포함된 경우 매크로 이상 접속으로 탐지하는 것으로 설정될 수 있다.
상기 제2 정책은, 상기 접속 요청이 상기 리스트에 포함된 발신자 아이피 주소 및 유저-에이전트 코드값 중 적어도 하나를 포함하는 경우 매크로 이상 접속으로 탐지하는 것으로 설정될 수 있다.
상기 제3 정책은, 매크로 이상 접속 행위 패턴으로 미리 정의된 복수의 룰셋(rule set)에 기초하여 상기 대상 네트워크 시스템에 접속한 사용자 단말의 접속 행위 로그를 분석하여 매크로 이상 접속 행위를 탐지하는 것으로 설정될 수 있다.
상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지된 접속 요청 또는 상기 사람 인증 페이지에서 사람에 의한 접속 요청으로 인증되지 않은 접속 요청을 차단할 수 있다.
컴퓨터에 상기 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함할 수 있다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 매크로 이상 접속 탐지 장치는, 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지하는 제1 탐지부; 상기 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지하는 제2 탐지부; 상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 사람에 의한 접속 요청 여부를 인증하기 위한 사람 인증 페이지를 사용자 단말에 제공하고, 사람에 의한 접속 요청으로 인증된 경우, 상기 대상 네트워크 시스템에 대한 사용자 단말의 접속을 허용하는 제어부; 그리고 상기 대상 네트워크 시스템에 접속한 사용자 단말의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지하는 제3 탐지부; 를 포함하고, 상기 제어부는 상기 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 상기 리스트에 업데이트한다.
본 발명에 의하면 매크로 이상 접속을 실시간으로 탐지하여 차단할 수 있으며, 다양하게 변화하는 매크로 이상 접속 행위를 행위 기반 룰셋으로 탐지하여 이상 접속 탐지 리스트에 주기적으로 업데이트하여 반영함으로써 매크로 이상 접속을 정확하게 차단하여 탐지할 수 있는 장점이 있다. 또한 대량접속 발생 시 접속자의 정확한 산정을 위해 매크로 접속을 제외한 사람의 접속만 구분할 수 있는 장점이 있다.
도 1은 본 발명에 따른 매크로 이상 접속 탐지 장치를 설명하기 위해 제공되는 블록도이다.
도 2는 본 발명에 따른 매크로 이상 접속 탐지 장치의 구성을 자세히 나타낸 블록도이다.
도 3은 본 발명에 따른 매크로 이상 접속 탐지 시스템의 동작을 설명하기 위한 흐름도이다.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 1은 본 발명에 따른 매크로 이상 접속 탐지 장치를 설명하기 위해 제공되는 블록도이다.
도 1을 참고하면, 본 발명에 따른 매크로 이상 접속 탐지 장치(이하 '이상 접속 탐지 장치'라 함)(100)는 사용자 단말(200a, 200b, 200c, …, 200n)과 대상 네트워크 시스템(300) 간의 접속을 관리할 수 있다.
이상 접속 탐지 장치(100)는 통신망(10)을 통해 사용자 단말(200a, 200b, 200c, …, 200n) 및 대상 네트워크 시스템(300)과 연결되어 각종 정보 및 데이터를 교환할 수 있다.
통신망(10)은 구내 정보 통신망(Local Area Network, LAN), 도시권 통신망(Metropolitan Area Network, MAN), 광역 통신망(Wide Area Network, WAN), 인터넷(internet), 3G(generation), 4G(generation) 이동통신망, 와이파이(Wi-Fi), WIBRO(Wireless Broadband Internet) 또는 LTE(Long Term Evolution) 등을 포함하는 각종 데이터 통신망을 포함할 수 있고, 유선과 무선을 가리지 않으며 어떠한 통신 방식을 사용하더라도 상관없다.
사용자 단말(200a, 200b, 200c, …, 200n)은 대상 네트워크 시스템(300)에서 제공하는 서비스를 이용하기 위해 사용되는 정보 통신 단말로서, 데스크탑 컴퓨터(Desktop Computer), 노트북 컴퓨터(Notebook Computer), 스마트폰(Smart Phone), 태블릿(Tablet) PC, 개인 휴대 정보 단말기(Personal Digital Assistant, PDA)나 웹 패드(Web Pad) 등과 같이 메모리 수단을 구비하고 마이크로프로세서를 탑재하여 연산 능력을 갖춘 정보 통신 단말로 구현될 수 있다.
대상 네트워크 시스템(300)은 이상 접속 탐지 장치(100)를 통한 사용자 단말(200a, 200b, 200c, …, 200n)의 접속 요청을 처리하고, 접속된 사용자 단말(200a, 200b, 200c, …, 200n)에서 요청하는 서비스를 제공할 수 있다. 예컨대 대상 네트워크 시스템(300)은 사용자 단말(200a, 200b, 200c, …, 200n)에서 요청하는 페이지(page)를 제공할 수 있다. 여기서 페이지는 텍스트, 이미지, 소리, 동영상이나 다른 멀티미디어 파일의 위치에 대한 내용과 명세를 하이퍼텍스트 생성 언어(HTML)로 주석을 붙인 파일인 웹 페이지일 수 있다.
대상 네트워크 시스템(300)은 사용자 단말(200a, 200b, 200c, …, 200n)로부터 요청에 따른 페이지를 제공하는 기능을 수행한다. 대상 네트워크 시스템(300)은 하나의 물리적인 서버 장치(도시하지 않음)에 하나 이상의 웹 어플리케이션이 구축된 형태일 수도 있다.
이상 접속 탐지 장치(100)는 관리 대상으로 등록된 대상 네트워크 시스템(300)에 대한 사용자 단말(200a, 200b, 200c, …, 200n)의 매크로 이상 접속 여부를 탐지할 수 있다. 그리고 이상 접속 탐지 장치(100)는 매크로 이상 접속으로 탐지된 접속 요청은 차단할 수 있다.
도 2는 본 발명에 따른 매크로 이상 접속 탐지 장치의 구성을 자세히 나타낸 블록도이다.
도 2를 참고하면, 이상 접속 탐지 장치(100)는 제1 탐지부(110), 제2 탐지부(120), 제어부(130), 저장부(140) 및 제3 탐지부(150)를 포함할 수 있다.
제1 탐지부(110)는 대상 네트워크 시스템(300)에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지할 수 있다.
제1 정책은 접속 요청에서 추출된 HTTP 헤더값들에 기초하여 매크로 이상 접속을 탐지하도록 미리 설정되어 있을 수 있다. 구체적으로 제1 탐지부(110)는 사용자 단말(200a, 200b, 200c, …, 200n)의 HTTP 프로토콜 접속 시 HTTP 접속 요청에 포함된 HTTP 헤더값들을 추출하고, 추출된 HTTP 헤더값에 유저-에이전트 코드값이 포함되어 있지 않거나 유저-에이전트 코드값에 미리 정해진 문자열이 포함된 경우 매크로 이상 접속으로 탐지하는 것으로 설정되어 있을 수 있다.
예를 들어 "CompSpyBot"라는 문자열이 유저-에이전트 코드값에 포함된 경우 악성 봇에 의한 매크로 이상 접속인 것으로 판단하는 정책이 제1 정책에 미리 설정되어 있다고 가정하면, 제1 탐지부(110)는 "User-Agent: Mozilla/5.0 (Windows Nt10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"에 대해서는 정상 접속으로 판단하고, "User-Agent: Mozilla/5.0 (compatible; CompSpyBot/1.0; +http://www.compspy.com/spider.html)"에 대해서는 매크로 이상 접속으로 판단하여 차단할 수 있다.
제2 탐지부(120)는 대상 네트워크 시스템(300)에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지할 수 있다.
제2 정책은 매크로 이상 접속과 관련된 발신자 아이피(IP) 주소 및 유저-에이전트(user-agent) 코드값을 포함하는 리스트에 기초하여 매크로 이상 접속을 탐지하도록 설정되어 있을 수 있다. 매크로 이상 접속 탐지 대상에 해당하는 발신자 아이피 주소와 유저-에이전트 코드값들로 이루어진 리스트가 데이터베이스화될 수 있다. 구체적으로 제2 탐지부(120)는 사용자 단말(200a, 200b, 200c, …, 200n)의 접속 요청이 데이터베이스화된 리스트에 포함된 발신자 아이피 주소 및 유저-에이전트 코드값 중 적어도 하나를 포함하는 경우 매크로 이상 접속으로 탐지할 수 있다.
제어부(130)는 이상 접속 탐지 장치(100)의 전체적인 동작을 제어할 수 있다. 제어부(130)는, 제1 정책 및 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 해당 접속 요청을 전송한 사용자 단말(200a, 200b, 200c, …, 200n)에 사람 인증 페이지를 제공할 수 있다.
여기서 사람 인증 페이지는 캡차(CAPTCHA)(Completely Automated Public Turing test to tell Computers and Humans Apart) 인증 기술이 적용된 페이지일 수 있다. 예컨대 사이트 방문자가 사람이라는 것을 증명하기 위해 컴퓨터 프로그램이나 로봇이 읽을 수 없고 사람만이 판독할 수 있는 구부러진 단어ㆍ문자를 생성하여 화면에 표시하고 사용자로부터 입력받거나, "나는 로봇이 아닙니다" 등의 문구를 사용자로부터 선택받는 방식으로 사람과 로봇을 구분하는 캡차 인증 기술이 적용될 수 있다.
제어부(130)는 사람에 의한 접속 요청으로 인증된 경우, 대상 네트워크 시스템(300)에 대한 사용자 단말(200a, 200b, 200c, …, 200n)의 접속을 허용할 수 있다. 그리고 제어부(130)는 대상 네트워크 시스템(300)에 접속한 사용자 단말(200a, 200b, 200c, …, 200n)의 접속 행위 로그를 수집하여 저장부(140)에 저장할 수 있다.
제3 탐지부(150)는 대상 네트워크 시스템(300)에 접속한 사용자 단말(200a, 200b, 200c, …, 200n)의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지할 수 있다.
제3 정책은 매크로 이상 접속 행위 패턴으로 미리 정의된 복수의 룰셋(rule set)에 기초하여 대상 네트워크 시스템(300)에 접속한 사용자 단말(200a, 200b, 200c, …, 200n)의 접속 행위 로그를 분석하여 매크로 이상 접속 행위를 탐지할 수 있다.
예컨대 동일 접속자가 미리 정해진 시간(예컨대 1초)마다 접속행위를 반복하는 경우, 동일 접속자가 이전 접속과 페이지 이동 패턴의 유사도가 미리 정해진 비율(예컨대 80%) 이상 유사한 경우, 동일 접속자가 동일 페이지만 접속하는 경우 등을 매크로 이상 접속 행위 패턴으로 정의한 룰셋을 마련해둘 수 있다. 그리고 제3 탐지부(150)는 저장부(140)에 저장된 접속 행위 로그에 미리 정의된 룰셋을 적용하여 매크로 이상 접속 행위로 탐지해낼 수 있다.
저장부(140)는 이상 접속 탐지 장치(100)의 동작과 관련된 각종 정보 및 데이터를 저장하고, 제1 탐지부(110), 제2 탐지부(120), 제어부(130) 및 제3 탐지부(150) 등에 제공할 수 있다.
제어부(130)는 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 제2 정책의 리스트에 주기적으로 업데이트할 수 있다.
제어부(130)는 제1 정책 및 제2 정책에 의해 매크로 이상 접속으로 탐지된 접속 요청 또는 사람 인증 페이지에서 사람에 의한 접속 요청으로 인증되지 않은 접속 요청을 차단할 수 있다.
제어부(130)는 접속 요청을 차단하는 경우 사용자 단말(200a, 200b, 200c, …, 200n)에 접속 불가 코드를 포함하는 화면을 전달할 수 있다. 그리고 제어부(130)는 접속 차단 또는 정상 접속 이력을 저장부(140)에 저장할 수 있다. 접속 이력은 접속 시간, 접속 아이피, 접속 지역, 접속 페이지 및 접속 불가 코드 등에 대한 정보를 포함할 수 있다.
도 3은 본 발명에 따른 매크로 이상 접속 탐지 시스템의 동작을 설명하기 위한 흐름도이다.
도 1 내지 도 3을 참고하면, 먼저 이상 접속 탐지 장치(100)는 대상 네트워크 시스템(300)에 대한 매크로 이상 접속이나 접속 행위를 탐지하기 위한 제1 정책 내지 제3 정책이 설정될 수 있다(S305).
이후 사용자 단말(200a, 200b, 200c, …, 200n)로부터 접속 요청이 수신되면(S310), 이상 접속 탐지 장치(100)는 해당 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지할 수 있다(S315).
제1 정책에 기초하여 해당 접속 요청이 매크로 이상 접속으로 탐지되면(S315-Y), 이상 접속 탐지 장치(100)는 접속 요청을 차단하고 해당 접속 요청을 한 사용자 단말(200a, 200b, 200c, …, 200n)에 접속 거부 코드를 전달할 수 있다(S355). 단계(S355)에서 이상 접속 탐지 장치(100)는 접속 차단 이력을 저장할 수 있다.
한편 제1 정책에 기초하여 해당 접속 요청이 매크로 이상 접속으로 탐지되지 않으면(S315-N), 이상 접속 탐지 장치(100)는 해당 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지할 수 있다(S320).
제2 정책에 기초하여 해당 접속 요청이 매크로 이상 접속으로 탐지되면(S320-Y), 이상 접속 탐지 장치(100)는 접속 요청을 차단하고 해당 접속 요청을 한 사용자 단말(200a, 200b, 200c, …, 200n)에 접속 거부 코드를 전달할 수 있다(S355). 단계(S355)에서 이상 접속 탐지 장치(100)는 접속 차단 이력을 저장할 수 있다.
한편 제2 정책에 기초하여 해당 접속 요청이 매크로 이상 접속으로 탐지되지 않으면(S320-N), 이상 접속 탐지 장치(100)는 해당 접속 요청을 전송한 사용자 단말(200a, 200b, 200c, …, 200n)에 사람 인증 페이지를 전달할 수 있다(S325).
사람에 의한 접속 요청으로 인증된 경우(S330-Y), 이상 접속 탐지 장치(100)는 대상 네트워크 시스템(300)에 대한 해당 사용자 단말(200a, 200b, 200c, …, 200n)의 접속을 허용할 수 있다(S335). 단계(S335)에서 이상 접속 탐지 장치(100)는 접속 허용 이력을 저장할 수 있다.
이후 이상 접속 탐지 장치(100)는 대상 네트워크 시스템(300)에 접속한 사용자 단말(200a, 200b, 200c, …, 200n)의 접속 행위 로그를 수집하여 저장할 수 있다(S340).
반면 사람에 의한 접속 요청으로 인증되지 않은 경우(S330-N), 이상 접속 탐지 장치(100)는 접속 요청을 차단하고 해당 접속 요청을 한 사용자 단말(200a, 200b, 200c, …, 200n)에 접속 거부 코드를 전달할 수 있다(S355). 단계(S355)에서 이상 접속 탐지 장치(100)는 접속 차단 이력을 저장할 수 있다.
한편 이상 접속 탐지 장치(100)는 대상 네트워크 시스템(300)에 접속한 사용자 단말(200a, 200b, 200c, …, 200n)의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지할 수 있다(S345). 단계(S345)에서 매크로 이상 접속 행위 탐지는 수집된 접속 행위 로그에 제3 정책을 적용하여 이루어질 수 있다.
그리고 이상 접속 탐지 장치(100)는 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 제2 정책의 리스트에 업데이트할 수 있다(S350). 단계(S345)와 단계(S350)는 미리 정해진 주기마다 수행되거나 실시간으로 수행될 수도 있다.
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 앞서 설명한 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (7)

  1. 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지하는 단계 - 상기 제1 정책은 접속 요청에서 추출된 HTTP 헤더값들에 기초하여 매크로 이상 접속을 탐지하도록 미리 설정되어 있음 - ;
    상기 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지하는 단계 - 상기 제2 정책은 매크로 이상 접속과 관련된 발신자 아이피 주소 및 유저-에이전트(user-agent) 코드값을 포함하는 리스트에 기초하여 매크로 이상 접속을 탐지하도록 설정되어 있음 - ;
    상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 사람에 의한 접속 요청 여부를 인증하기 위한 사람 인증 페이지를 사용자 단말에 제공하는 단계;
    사람에 의한 접속 요청으로 인증된 경우, 상기 대상 네트워크 시스템에 대한 사용자 단말의 접속을 허용하는 단계;
    상기 대상 네트워크 시스템에 접속한 사용자 단말의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지하는 단계; 그리고
    상기 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 상기 리스트에 업데이트하는 단계;
    를 포함하고,
    상기 제3 정책은,
    매크로 이상 접속 행위 패턴으로 미리 정의된 복수의 룰셋(rule set)에 기초하여 상기 대상 네트워크 시스템에 접속한 사용자 단말의 접속 행위 로그를 분석하여 매크로 이상 접속 행위를 탐지하는 것으로 설정되어 있고,
    상기 복수의 룰셋은,
    동일 접속자가 미리 정해진 시간마다 접속행위를 반복하는 경우, 동일 접속자가 이전 접속과 페이지 이동 패턴의 유사도가 미리 정해진 비율 이상 유사한 경우 및 동일 접속자가 동일 페이지만 접속하는 경우 중 적어도 하나를 매크로 이상 접속 행위 패턴으로 정의한 룰셋을 포함하는 매크로 이상 접속 탐지 방법.
  2. 제 1 항에서,
    상기 제1 정책은,
    상기 접속 요청에서 추출된 HTTP 헤더값에 유저-에이전트 코드값이 포함되어 있지 않거나 유저-에이전트 코드값에 미리 정해진 문자열이 포함된 경우 매크로 이상 접속으로 탐지하는 것으로 설정되어 있고,
    상기 제2 정책은,
    상기 접속 요청이 상기 리스트에 포함된 발신자 아이피 주소 및 유저-에이전트 코드값 중 적어도 하나를 포함하는 경우 매크로 이상 접속으로 탐지하는 것으로 설정되어 있는 매크로 이상 접속 탐지 방법.
  3. 제 1 항에서,
    상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지된 접속 요청 또는 상기 사람 인증 페이지에서 사람에 의한 접속 요청으로 인증되지 않은 접속 요청을 차단하는 매크로 이상 접속 탐지 방법.
  4. 컴퓨터에 청구항 제1항 내지 제3항 중 어느 한 항에 기재된 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  5. 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제1 정책에 기초하여 탐지하는 제1 탐지부 - 상기 제1 정책은 접속 요청에서 추출된 HTTP 헤더값들에 기초하여 매크로 이상 접속을 탐지하도록 미리 설정되어 있음 - ;
    상기 대상 네트워크 시스템에 대한 접속 요청의 매크로 이상 접속 여부를 제2 정책에 기초하여 탐지하는 제2 탐지부 - 상기 제2 정책은 매크로 이상 접속과 관련된 발신자 아이피 주소 및 유저-에이전트(user-agent) 코드값을 포함하는 리스트에 기초하여 매크로 이상 접속을 탐지하도록 설정되어 있음 - ;
    상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지되지 않은 경우, 사람에 의한 접속 요청 여부를 인증하기 위한 사람 인증 페이지를 사용자 단말에 제공하고, 사람에 의한 접속 요청으로 인증된 경우, 상기 대상 네트워크 시스템에 대한 사용자 단말의 접속을 허용하는 제어부; 그리고
    상기 대상 네트워크 시스템에 접속한 사용자 단말의 매크로 이상 접속 행위를 제3 정책에 기초하여 탐지하는 제3 탐지부;
    를 포함하고,
    상기 제어부는 상기 제3 정책에 기초하여 탐지된 매크로 이상 접속 행위에 대응하는 발신자 아이피 주소와 유저-에이전트 코드값을 상기 리스트에 업데이트하며,
    상기 제3 정책은,
    매크로 이상 접속 행위 패턴으로 미리 정의된 복수의 룰셋(rule set)에 기초하여 상기 대상 네트워크 시스템에 접속한 사용자 단말의 접속 행위 로그를 분석하여 매크로 이상 접속 행위를 탐지하는 것으로 설정되어 있고,
    상기 복수의 룰셋은,
    동일 접속자가 미리 정해진 시간마다 접속행위를 반복하는 경우, 동일 접속자가 이전 접속과 페이지 이동 패턴의 유사도가 미리 정해진 비율 이상 유사한 경우 및 동일 접속자가 동일 페이지만 접속하는 경우 중 적어도 하나를 매크로 이상 접속 행위 패턴으로 정의한 룰셋을 포함하는 매크로 이상 접속 탐지 장치.
  6. 제 5 항에서,
    상기 제1 정책은,
    상기 접속 요청에서 추출된 HTTP 헤더값에 유저-에이전트 코드값이 포함되어 있지 않거나 유저-에이전트 코드값에 미리 정해진 문자열이 포함된 경우 매크로 이상 접속으로 탐지하는 것으로 설정되어 있고,
    상기 제2 정책은,
    상기 접속 요청이 상기 리스트에 포함된 발신자 아이피 주소 및 유저-에이전트 코드값 중 적어도 하나를 포함하는 경우 매크로 이상 접속으로 탐지하는 것으로 설정되어 있는 매크로 이상 접속 탐지 장치.
  7. 제 5 항에서,
    상기 제1 정책 및 상기 제2 정책에 의해 매크로 이상 접속으로 탐지된 접속 요청 또는 상기 사람 인증 페이지에서 사람에 의한 접속 요청으로 인증되지 않은 접속 요청을 차단하는 매크로 이상 접속 탐지 장치.
KR1020200050962A 2020-04-27 2020-04-27 매크로 이상 접속 탐지 장치 및 방법 KR102351122B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200050962A KR102351122B1 (ko) 2020-04-27 2020-04-27 매크로 이상 접속 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200050962A KR102351122B1 (ko) 2020-04-27 2020-04-27 매크로 이상 접속 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20210132494A KR20210132494A (ko) 2021-11-04
KR102351122B1 true KR102351122B1 (ko) 2022-01-13

Family

ID=78521855

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200050962A KR102351122B1 (ko) 2020-04-27 2020-04-27 매크로 이상 접속 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102351122B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471126B (zh) * 2023-06-20 2023-09-15 江苏苏宁银行股份有限公司 识别异常ip的数据处理方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101606088B1 (ko) * 2014-12-29 2016-04-04 주식회사 시큐아이 악성 코드 탐지 방법 및 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110059963A (ko) * 2009-11-30 2011-06-08 삼성에스디에스 주식회사 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템
KR101109669B1 (ko) 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
KR101280910B1 (ko) * 2011-12-15 2013-07-02 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
KR101816045B1 (ko) 2016-11-29 2018-01-08 주식회사 엔에스에이치씨 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101606088B1 (ko) * 2014-12-29 2016-04-04 주식회사 시큐아이 악성 코드 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR20210132494A (ko) 2021-11-04

Similar Documents

Publication Publication Date Title
Hu et al. A survey of intrusion detection on industrial control systems
JP6290659B2 (ja) アクセス管理方法およびアクセス管理システム
EP2823431B1 (en) Validation associated with a form
CA3041871A1 (en) System and method for monitoring security attack chains
JP2012527691A (ja) アプリケーションレベルセキュリティのためのシステムおよび方法
KR20110043628A (ko) 자율적 보안 보호 기능을 구비한 데이터 인지 시스템 및 방법
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
KR102351122B1 (ko) 매크로 이상 접속 탐지 장치 및 방법
US20240089260A1 (en) System and method for graduated deny list
JP6506384B2 (ja) サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム
Kaushik et al. A novel intrusion detection system for internet of things devices and data
Kumar et al. Detection and prevention of profile cloning in online social networks
Shah et al. Intelligent risk management framework for BYOD
Magare et al. Security and privacy issues in smart city: Threats and their countermeasures
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
US9723017B1 (en) Method, apparatus and computer program product for detecting risky communications
Hatzivasilis et al. Artificial intelligence-driven composition and security validation of an internet of things ecosystem
Ugur Manipulator: A novel collusion attack on trust management systems in social IoT
Din et al. Challenges in IoT Technology Adoption into Information System Security Management of Smart Cities: A Review
JP6506451B2 (ja) サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム
KR102654026B1 (ko) Pc 원격 제어, 관리 시스템 및 방법
Kambhampaty Detecting insider and masquerade attacks by identifying malicious user behavior and evaluating trust in cloud computing and IoT devices
Prabu et al. An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment
Malviya et al. Improving security by predicting anomaly user through web mining: a review
Padilha França et al. An overview of internet of things security from a modern perspective

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant