KR102366846B1 - 데이터유출 탐지 보안 시스템 및 방법 - Google Patents

데이터유출 탐지 보안 시스템 및 방법 Download PDF

Info

Publication number
KR102366846B1
KR102366846B1 KR1020200096696A KR20200096696A KR102366846B1 KR 102366846 B1 KR102366846 B1 KR 102366846B1 KR 1020200096696 A KR1020200096696 A KR 1020200096696A KR 20200096696 A KR20200096696 A KR 20200096696A KR 102366846 B1 KR102366846 B1 KR 102366846B1
Authority
KR
South Korea
Prior art keywords
response
value
request
size
data leakage
Prior art date
Application number
KR1020200096696A
Other languages
English (en)
Other versions
KR20220016592A (ko
Inventor
신승민
Original Assignee
신승민
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 신승민 filed Critical 신승민
Priority to KR1020200096696A priority Critical patent/KR102366846B1/ko
Publication of KR20220016592A publication Critical patent/KR20220016592A/ko
Application granted granted Critical
Publication of KR102366846B1 publication Critical patent/KR102366846B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Cardiology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 웹 브라우저의 요청에 대한 웹 서버의 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지하는 데이터유출 탐지 보안 시스템 및 방법에 관한 것이다.

Description

데이터유출 탐지 보안 시스템 및 방법 {SECURITY SYSTEM FOR DETECTING DATA BREACH AND METHOD THEREOF}
본 발명은 보안 기술에 관한 것으로, 보다 상세하게는 웹 브라우저의 요청에 대한 웹 서버의 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지하는 보안 시스템 및 방법에 관한 것이다.
일반적으로 웹 브라우저의 요청에 대하여 웹 서버는 여러 가지 응답 값을 반환한다.
이렇게 웹 서버로부터 브라우저로 반환되는 응답 값에 해당하는 데이터는 정상일 수도 있지만, 공격자에 의하여 중요한 데이터 즉, 개인정보, 고객정보, 회사의 기밀 정보, 프로그램 소스 등이 포함될 수 있다. 하지만 현재 웹 서버의 로그 분석은 정상과 중요 데이터유출과 같은 비정상 데이터를 확인할 수 없다는 문제점이 있다.
또한, 기존 접근 방식은 응답 값을 모두 남겨서 해킹을 탐지하는 방식이지만, 이는 방대한 로그를 남기므로 실질적으로 해킹 탐지를 진행하기 어려운 면이 있다.
본 발명의 배경기술은 대한민국 등록 특허 제10-1896267호이다.
본 발명은 웹 브라우저의 요청에 대한 웹 서버의 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지하는 보안 시스템 및 방법을 제공한다.
본 발명은 데이터유출 탐지를 위해 웹 서버의 응답 값 저장 조건 설정에 따라 효율적으로 웹 서버의 응답 값을 저장하고 분석하여 해킹으로 인한 데이터유출을 탐지하는 보안 시스템 및 방법을 제공한다.
본 발명은 응답본문을 분석하여 해킹으로 인한 데이터유출을 방지하는 데이터유출 탐지 보안 시스템 및 방법을 제공한다.
본 발명은 요청사이즈 또는 응답사이즈를 분석하여 데이터유출이 의심되는 응답 값을 수집하는 데이터유출 탐지 보안 시스템 및 방법을 제공한다.
본 발명의 일 측면에 따르면, 데이터유출 탐지 보안 시스템을 제공한다.
본 발명의 일 실시예에 따른 데이터유출 탐지 보안 시스템은 웹 브라우저의 요청에 대해 웹 서버의 응답 값 중 필요한 정보 만을 선택하여 저장할 수 있도록 설정하는 설정부, 상기 설정부의 설정에 따라 상기 웹 서버의 응답 값을 탐지하고 수집하는 탐지부, 상기 웹 서버의 응답 값을 취합하여 저장하는 저장부 및 상기 브라우저의 요청 값과 웹 서버의 응답 값을 분석하여 이상 값을 산출하는 분석부를 포함할 수 있다.
본 발명의 다른 일 측면에 따르면, 데이터유출 탐지 보안 방법 및 이를 실행하는 컴퓨터 프로그램이 기록된 컴퓨터가 판독 가능한 기록매체를 제공한다.
본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 방법 및 이를 실행하는 컴퓨터 프로그램이 저장된 기록매체는 웹 브라우저의 요청에 따른 웹 서버의 응답이 설정된 조건에 부합하는지 판단하는 단계, 상기 웹 서버의 응답 값을 수집하는 단계 및 상기 응답 값을 분석하여 데이터유출을 탐지하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 데이터유출 탐지 보안 시스템 및 방법은 웹 브라우저의 요청에 대한 웹 서버의 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지할 수 있다.
본 발명의 일 실시 예에 따르면, 데이터유출 탐지 보안 시스템 및 방법은 설정된 조건에 따라 효율적으로 웹 서버의 응답 값을 탐지하고 수집할 수 있다.
본 발명의 일 실시 예에 따르면, 데이터유출 탐지 보안 시스템 및 방법은 응답본문을 분석하여 해킹으로 인한 데이터유출을 방지할 수 있다.
본 발명의 일 실시 예에 따르면, 데이터유출 탐지 보안 시스템 및 방법은 요청사이즈 또는 응답사이즈를 분석하여 데이터유출이 의심되는 응답 값을 수집할 수 있다.
도 1 내지 도 3은 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 시스템을 설명하기 위한 도면들.
도4 및 도 5는 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 방법을 설명한 도면들.
도 6은 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 시스템의 예시.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서 및 청구항에서 사용되는 단수 표현은, 달리 언급하지 않는 한 일반적으로 "하나 이상"을 의미하는 것으로 해석되어야 한다.
이하, 본 발명의 바람직한 실시 예를 첨부도면을 참조하여 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어, 동일하거나 대응하는 구성 요소는 동일한 도면번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1 내지 도 3은 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 시스템을 설명하기 위한 도면들이다.
도 1을 참조하면, 데이터유출 탐지 보안 시스템(10)은 정상적인 통신을 제외하고 정상적인 범위를 벗어나는 요청과 응답에 대해서만 선별적으로 응답 값을 수집하고 분석하여 데이터유출에 대해 효과적인 탐지를 한다.
데이터유출 탐지 보안 시스템(10)은 사용자의 웹 브라우저와 웹 서버가 상호 통신하는 과정의 정보를 분석하여 데이터유출을 감지하고 차단한다. 데이터유출 탐지 보안 시스템(10)은 웹 브라우저의 요청(Request)에 대해 발생하는 웹 서버의 응답(Response)을 분석한다. 데이터유출 탐지 보안 시스템(10)은 웹 브라우저의 요청(Request)에 대해서도 분석할 수 있다. 예를 들면, 데이터유출 탐지 보안 시스템(10)은 요청이 OWASP TOP 10(https://owasp.org)에서 정의한 유형의 공격인지 판단하여 해당 요청에 대해 응답 값을 수집한다. OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 웹 애플리케이션의 취약점 중 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 10가지 공격 유형을 분류하고 선정하여 지속적으로 OWASP TOP 10을 발표한다. OWASP TOP 10은 구축 시스템의 환경에 따라 내부적으로 설계하여 개별 환경에 좀 더 적합하게 사용할 수 있다.
데이터유출 탐지 보안 시스템(10)은 외부 평판(Reputation) 데이터베이스를 참조하여 악성 IP 주소를 탐지하고, 응답 값을 수집한다. 외부 평판(Reputation) 데이터베이스는 IP 주소의 평판을 분석하여 악성 IP 주소 정보를 제공할 수 있다. 예를 들면, 데이터유출 탐지 보안 시스템(10)은 요청 IP 주소가 외부 평판 데이터베이스에서 악성 IP 주소 정보라면, 해당 요청에 대하여 응답 값을 수집한다.
데이터유출 탐지 보안 시스템(10)은 외부 평판 데이터베이스를 참조하여, 내부 평판 데이터베이스를 구성할 수 있다. 각 필드마다 포함하고 있는 정보는 상이하므로 각 필드마다 유의해야 하는 악성 코드나 IP 주소가 다른 경우도 있다. 내부 평판 데이터베이스는 직접적으로 해당 사이트에 공격시도가 있었거나 데이터유출 사례가 있는 코드나 IP 주소를 외부 평판 데이터베이스와는 별개로 구성할 수 있다. 데이터유출 탐지 보안 시스템(10)은 알려진 외부 평판 데이터베이스의 정보와 내부적으로 누적된 정보를 관리하고 있는 내부 평판 데이터베이스를 이용해 악성 코드나 IP 주소를 차단할 수 있다. 또한 데이터유출 탐지 보안 시스템(10)은 데이터유출로 판단되는 악성 코드나 IP 주소를 내부 평판 데이터베이스에 누적하여 지속적으로 관리한다.
데이터유출 탐지 보안 시스템(10)은 비정상적이라고 판단되는 여러 가지 조건을 설정하고, 조건에 부합하는 접속에 대한 응답 값을 수집한다.
데이터유출 탐지 보안 시스템(10)은 수집한 응답 값을 저장하고 데이터유출 여부를 분석한다. 데이터유출 탐지 보안 시스템(10)은 데이터유출로 판단되는 경우 해당 접속 사이트 또는 접속 요청을 차단할 수 있다.
도 2를 참조하면, 데이터유출 탐지 보안 시스템(10)은 설정부(100), 탐지부(200), 저장부(300), 분석부(400) 및 수행부(500)를 포함한다.
수행부(500)는 도 6을 참조하면, 탐지부(200)의 위치와 기능에 따라 탐지부(200)에 포함될 수 있다.
설정부(100)는 웹 브라우저의 요청에 대해 웹 서버의 응답 중 필요한 정보 만을 선택하여 저장할 수 있도록 설정한다.
설정부(100)는 웹 브라우저의 요청에 대한 웹 서버의 응답 중에서 응답 값으로 요청자의 IP 주소(Request IP Address), 사용자 에이전트(User-Agent), 메소드(Method), URL의 호스트(Host), URL의 경로(Path), URL의 쿼리(Query), 요청본문(Post-Body), 요청사이즈(Request-Size), 웹 서버의 응답본문(Response-Body), 응답사이즈(Reponse-Size), 응답상태코드(Reponse-Status) 중 하나 이상을 포함한다.
설정부(100)는 데이터 분석을 효과적으로 하기 위하여 웹 브라우저의 요청(Request)과 웹 서버의 응답(Response)을 응답 값으로 함께 포함할 수 있다. 여기서 웹 브라우저는 일반적인 IE, Edge, Chrome, Firefox, Safari, Opera 등 뿐만 아니라 해커가 사용하는 파이썬(Python)과 같은 다양한 프로그래밍 언어를 통칭해서 사용한다.
도 3을 참조하면, 설정부(100)는 응답 값을 수집하는 조건을 다양하게 설정할 수 있다.
설정부(100)는 응답 값을 수집하는 조건을 설정하여 선택적으로 응답 값을 수집할 수 있거나, 조건을 설정하지 않고 모든 상황의 응답 값을 수집할 수 있다.
설정부(100)는 특정 요청 IP 주소를 대상으로 하여 특정 요청 IP 주소에 해당하는 경우 응답 값을 수집하도록 설정할 수 있다.
설정부(100)는 URL의 호스트를 설정하여 특정 호스트의 요청에 대한 응답 값을 수집할 수 있다.
설정부(100)는 URL의 경로, 쿼리 등 특정 값을 설정하여 선택적으로 응답 값을 수집할 수 있다.
설정부(100)는 응답본문의 내용 중 특정 단어를 포함하거나 정규표현식을 이용한 특정 문자 패턴을 포함하는 경우 응답 값을 수집하도록 설정할 수 있다.
설정부(100)는 특정 단어, 문자, 문장 또는 정규 표현식 등을 포함하는 경우에 응답 값을 수집하도록 설정할 수 있다.
설정부(100)는 요청사이즈 또는 응답사이즈가 특정 크기 이상인 경우에만 응답 값을 수집하도록 설정할 수 있다. 설정부(100)는 메소드가 POST이고 요청본문(Post-Body)이 있다면, 요청사이즈를 요청본문의 크기로 계산하고, 그 외에는 URL의 쿼리 크기로 계산할 수 있다.
예를 들면, 설정부(100)는 요청사이즈가 64KB 이상이면 응답 값을 수집하도록 설정할 수 있다.
설정부(100)는 응답상태코드에 따라 응답 값을 수집하도록 설정할 수 있다. 예를 들면, 응답상태코드가 정상 응답을 의미하는 200인 경우만 포함하거나, 오류를 의미하는 403, 404나 또는 400, 500번대와 같이 특정 대역 전체를 포함하도록 설정할 수 있다.
설정부(100)는 단일 조건에 의해 응답 값을 수집하도록 설정할 수 있고, 하나 이상의 조건들을 조합하여 응답 값을 수집하도록 설정할 수 있다. 예를 들면, 설정부(100)는 특정 요청 IP 주소와 응답상태코드가 200인 경우 응답 값을 수집하도록 설정할 수 있다. 설정부(100)는 특정 URL의 경로와 응답사이즈가 1MB 이상이면 응답 값을 수집하도록 설정할 수 있다.
설정부(100)는 응답 값의 모든 정보를 저장하거나, 각 항목별로 세부 조건을 조합하여 저장하도록 설정할 수 있다. 설정부(100)는 조건을 설정하여 응답 값이 과도하게 저장되는 것을 방지하므로 데이터유출 탐지 보안 시스템(10)의 효율적인 데이터유출 탐지를 제공할 수 있다. 데이터유출 탐지 보안 시스템(10)이 모든 응답 값을 저장하는 경우 응답본문을 분석하기 위한 시스템의 증설이 필요하며 비용 증가 뿐만 아니라 분석 업무의 증가 등으로 이어질 수 있다. 왜냐하면 웹 브라우저의 요청에 의한 응답 값 중 특히 응답본문은 요청에 비해 수배에서 수십 또는 수백 배 이상으로 대용량일 수 있기 때문이다.
또한 설정부(100)는 응답본문을 저장하기 전 응답본문을 분석하여 HTML 태그, JSON 태그, XML 태그 등을 제거하고 저장할 수 있도록 설정할 수 있다. 또한, 탐지된 단어, 문자, 문장 또는 정규 표현식 등의 전후를 중심으로 128KB, 256KB, 1MB 등 특정 영역만 저장할 수도 있다.
데이터유출 탐지 보안 시스템(10)은 설정부(100)를 통해 공격받는 호스트 주소를 설정하거나, 특정 URL 상의 경로, 특정 URL 상의 쿼리를 설정함으로, 분석해야 하는 데이터 양을 줄이고 분석 시간을 절감할 수 있다. 설정부(100)가 특정 URL 상의 경로 또는 쿼리에 대해 정확한 전체 경로와 쿼리를 특정하는 이유는 SQL 인젝션, 크로스 사이트 스크립팅(XSS, Cross Site Scripting) 등의 해킹 공격이 모든 경로와 쿼리에서 발생하지 않기 때문이다. 해커의 요청에 대한 웹 서버의 응답 중에는 정적 페이지에서는 응답 값에 개인 정보, 고객 정보, 기업비밀 정보 등은 포함되지 않는다. 즉 해커의 요청에 대한 동적페이지의 응답본문을 중심으로 데이터가 유출될 수 있다.
다시 도 2를 참조하면, 탐지부(200)는 설정부(100)의 설정에 따라 웹 브라우저의 요청에 대한 웹 서버의 응답 값을 탐지하고 수집한다. 탐지부(200)는 설정부(100)의 설정이 없더라도 기본적으로 웹 브라우저의 요청 값이 대해, 외부 평판 데이터베이스의 정보를 참조하여 응답 값을 수집할 수 있다. 자세히 설명하면, 탐지부(200)는 외부 평판 데이터베이스를 이용하여 요청을 하는 기기의 접속 IP 주소가 악성 IP 주소로 탐지되는 경우에도 해당 요청에 대한 응답 값을 수집할 수 있다. 탐지부(200)는 외부 평판 데이터베이스를 참조하여, 내부 평판 데이터베이스를 구성할 수 있다. 각 필드마다 포함하고 있는 정보는 상이하므로 각 필드마다 유의해야 하는 악성 코드나 IP 주소가 다른 경우도 있다. 내부 평판 데이터베이스는 직접적으로 해당 사이트에 공격시도가 있었거나 데이터유출 사례가 있는 코드나 IP 주소를 외부 평판 데이터베이스와는 별개로 구성할 수 있다. 탐지부(200)는 알려진 외부 평판 데이터베이스의 정보와 내부적으로 누적된 정보를 관리하고 있는 내부 평판 데이터베이스를 이용해 악성 코드나 IP 주소를 차단할 수 있다. 또한 데이터유출 탐지 보안 시스템(10)은 데이터유출로 판단되는 악성 코드나 IP 주소를 내부 평판 데이터베이스에 누적하여 지속적으로 관리한다.
또한, 탐지부(200)는 OWASP TOP 10이 정의한 악성 유형 코드가 탐지되면 해당 요청에 대한 응답 값을 수집할 수 있다.
탐지부(200)는 탐지된 응답 값 중 설정부(100)에 설정된 단어, 문자, 문장 또는 정규 표현식 등이 응답본문에서 탐지되면 데이터유출로 판별한다.
탐지부(200)는 응답본문을 분석할 때 응답상태코드와 조합하여 분석 대상을 선별할 수 있다.
응답상태코드는 웹 브라우저의 요청에 대해 웹 서버가 반환하는 값으로, 다양한 응답상태코드를 반환한다. 요청에 대한 응답상태코드는 5가지 그룹으로 나뉘고, 정보 응답은 100번대, 성공 응답은 200번대, 리다이렉션 응답은 300번대, 클라이언트 오류 응답은 400번대, 서버 오류 응답은 500번대 그룹으로 규정하고 있다.
웹 서버는 악의적인 요청에도 에러없이 성공 응답을 할 수 있고, 탐지부(200)는 설정 조건에 의해 웹 서버가200번의 성공 응답상태코드를 생성하면 해당 응답 값은 데이터유출의 가능성이 있는 것으로 판단하여 응답본문을 분석할 수 있다. 예를 들면, SQL 인젝션의 경우, 공격 형태에 따라 성공하게 되면, 응답본문에는 데이터베이스 종류, 데이터베이스 버전, 데이터베이스 이름, 테이블 이름 또는 사용자의 계정 정보 등이 포함될 수 있다. 이렇게 탐지부(200)는 성공 응답상태코드(200번)이면 응답 값을 탐지하여 수집할 수 있다.
또는 디렉토리 리스팅 공격의 경우, “users”“Parent Directory” ”Index of” 와 같은 문자가 응답본문에 포함되므로, 탐지부(200)는 응답본문을 분석하여 데이터유출 가능성을 파악할 수 있다.
탐지부(200)는 데이터유출 판단 뿐만 아니라 유출 가능성이 높은 응답 값을 탐지하고 수집한다. 응답상태코드가 500번대는 웹 서버 에러 응답이지만, 웹 서버는 에러 메시지를 발송하면서 웹 서버의 중요 정보인 웹 서버의 버전, 실행 경로 등을 포함할 수 있다. 일반적인 보안 시스템은 가급적 불필요한 정보가 표시되지 않도록 웹 서버의 설정에 주의를 기울여야 하지만 그렇지 못한 경우도 있다. 탐지부(200)는 응답상태코드가 200번 뿐만 아니라 에러에 대한 응답상태코드인 500번대의 응답본문도 분석하여 혹시 에러 응답 메시지에 웹 서버의 정보가 포함되더라도 탐지하고 차단할 수 있다.
탐지부(200)는 별도의 기기로 복수 개를 두어 응답 값을 탐지하고 수집할 수 있다.
탐지부(200)는 수집된 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지하고, 데이터유출이 의심되면 해당 요청에 대해 차단할 것을 수행부(500)에 요청할 수 있다.
저장부(300)는 탐지부(200)가 탐지하고 수집한 응답 값을 저장한다. 저장부(300)는 탐지부(200)가 물리적으로 복수의 기기에서 응답 값을 탐지하는 경우, 각각의 탐지부(200)에서 탐지한 응답 값을 수신하여 취합하고 저장 관리할 수 있다. 예를 들면, 저장부(300)는 수신한 또는 취합한 응답 값을 데이터베이스, 인덱스 서버 또는 NoSQL 등의 저장 장치에 저장하고 관리할 수 있다.
분석부(400)는 저장부(300)에 저장된 응답 값을 분석하여 유의미한 변화 값에 기초하여 이상 값을 산출한다. 분석부(400)는 이상 값에 포함되는 데이터유출 가능성이 높은 응답 값을 탐지할 수 있도록 설정부(100)에 조건을 설정할 수 있다.
데이터유출 탐지 보안 시스템(10)이 모든 응답본문을 분석하는 것은 시스템의 성능적인 문제가 발생할 수 있고, 많은 분석 시간도 요구된다. 분석부(400)는 효율적인 분석을 위해 요청사이즈 또는 응답사이즈를 분석하여 중요 데이터유출을 탐지할 수 있다.
분석부(400)는 요청사이즈를 분석하여 이상 값을 탐지할 수 있다. 일반적으로 요청사이즈는 메소드가 POST인 경우, 요청본문(Post-Body)의 크기를 의미한다. 자세히 설명하면, 분석부(400)는 요청 값의 메소드가 POST이고, 요청본문(Post-Body)이 있는 경우에는 요청본문(Post-Body)의 크기를 요청사이즈로 계산한다. 분석부(400)는 요청 값의 메소드가 POST이지만 요청본문(Post-Body)이 없는 경우에는 URL의 쿼리 크기를 요청사이즈로 계산한다. 또한 분석부(400)는 메소드가 POST 이외의 경우에는, URL의 쿼리 크기를 요청사이즈로 계산한다. 메소드는 각 요청에 대하여 하나만 존재하므로, 요청사이즈는 하나의 값을 갖게 되고, 분석부(400)는 요청사이즈를 데이터유출 탐지 분석에 이용할 수 있다.
분석부(400)는 요청사이즈의 통계적인 값을 이용해 설정부(100)에 응답본문 분석이 필요한 요청사이즈를 제공할 수 있다. 분석부(400)는 메소드 전체를 대상으로 통계적 분석을 할 수 있다. 또는 분석부(400)는 메소드 별로 분류하여 통계적 분석을 할 수 있다.
분석부(400)는 전체 요청사이즈를 최대값, 평균값, 최소값, 이탈 값(Outlier)으로 분석하고, 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 설정부(100)에 이상 값을 설정할 수 있다. 분석부(400)는 이상 값을 최대값 이상과 이탈 값을 포함하고, 최소값 이하를 더 포함하여 정할 수도 있다. 탐지부(200)는 요청사이즈가 이상 값에 해당되면, 응답 값을 수집하고 응답본문을 분석하여 데이터유출을 탐지한다. 또는 분석부(400)는 URL 경로를 기준으로 요청사이즈를 분석할 수 있다. 자세히 설명하면, 분석부(400)는 URL 경로를 기준으로 요청사이즈를 분석하여 최대값, 평균값, 최소값, 이탈 값을 산출하여 이상 값을 정할 수 있다. 분석부(400)는 URL 경로 별로 산출된 요청사이즈가 이상 값에 해당하면, 응답 값을 수집하도록 설정부(100)에 값을 제안하고 설정할 수 있다. 예를 들면, 분석부(400)는 URL 경로 별로 응답 값에 대한 데이터를 누적하여 URL 경로 별 요청사이즈를 분석하고 이상 값을 산출한다. 분석부(400)는 URL 경로 별로 산출된 요청사이즈의 이상 값에 따라 응답 값을 수집하도록 설정할 수 있다.
분석부(400)는 URL 경로 별로 요청사이즈를 분석하여 68% 이상, 95% 이상 또는 99.7% 이상으로 구분할 수 있다(68-95-99.7 규칙).
분석부(400)는 요청사이즈가 95% 또는 99.7% 이상에 속하면 탐지부(200)가 응답 값을 수집하고 응답본문을 분석하도록 설정할 수 있다. 예를 들면, 분석부(400)는 한달치의 통계적 데이터로 각 URL 경로 별 요청사이즈를 분석한다. 분석부(400)는 신규 URL 경로의 요청사이즈가 95%
이상이거나 또는 99.7% 이상이라면, 탐지부(200)가 해당 URL 경로의 응답 값을 수집하고, 분석하여 데이터유출 여부를 확인하도록 설정할 수 있다.
분석부(400)는 응답사이즈를 분석하여 이상 값을 탐지할 수 있다. 분석부(400)는 응답사이즈의 통계적인 값을 이용해 설정부(100)에 응답본문 분석이 필요한 응답사이즈를 제공할 수 있다.
분석부(400)는 전체 응답사이즈를 최대값, 평균값, 최소값, 이탈 값(Outlier)으로 분석하고, 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 설정부(100)에 이상 값을 설정할 수 있다. 분석부(400)는 이상 값을 최대값 이상과 이탈 값을 포함하고, 최소값 이하를 더 포함하여 정할 수도 있다. 탐지부(200)는 응답사이즈가 이상 값에 해당되면, 응답 값을 수집하고 응답본문을 분석하여 데이터유출을 탐지한다. 또는 분석부(400)는 URL 경로를 기준으로 응답사이즈를 분석할 수 있다. 자세히 설명하면, 분석부(400)는 URL 경로를 기준으로 응답사이즈를 분석하여 최대값, 평균값, 최소값, 이탈 값을 산출하여 이상 값을 정할 수 있다. 분석부(400)는 URL 경로 별로 산출된 응답사이즈가 이상 값에 해당하면 응답 값을 수집하도록 설정부(100)에 값을 제안하고 설정할 수 있다. 예를 들면, 분석부(400)는 URL 경로 별로 응답 값에 대한 데이터를 누적하여 URL 경로 별 응답사이즈를 분석하고 이상 값을 산출한다. 분석부(400)는 URL 경로 별로 산출된 응답사이즈의 이상 값에 따라 응답 값을 수집하도록 설정할 수 있다.
분석부(400)는 URL 경로 별로 응답사이즈를 분석하여 68% 이상, 95% 이상 또는 99.7% 이상으로 구분할 수 있다.
분석부(400)는 응답사이즈가 95% 또는 99.7% 이상에 속하면 탐지부(200)가 응답 값을 수집하고 응답본문을 분석하도록 설정할 수 있다. 예를 들면, 분석부(400)는 한달치의 통계적 데이터로 각 URL 경로 별 응답사이즈를 분석한다. 분석부(400)는 신규 URL 경로의 응답사이즈가 95% 이상이거나 또는 99.7% 이상이라면, 탐지부(200)가 해당 URL 경로의 응답 값을 수집하고, 분석하여 데이터유출 여부를 확인하도록 설정할 수 있다.
분석부(400)의 응답사이즈 분석은 URL 경로만으로 수행할 수도 있고, URL 쿼리를 포함하여 수행할 수도 있다.
분석부(400)는 통계 데이터의 오류를 줄이기 위해 서비스 거부 공격(DoS)에서 발생한 URL 경로 등은 제외시킬 수 있다.
분석부(400)는 요청사이즈 또는 응답사이즈에 대한 이상 값을 탐지하기 위에 앞서 서술한 방법 외에 머신 러닝 또는 딥 러닝과 같은 인공지능(AI) 기법을 이용할 수도 있다.
분석부(400)는 요청사이즈 또는 응답사이즈 분석 외에도 응답 값을 분석하여 이상 값을 탐지할 수 있다. 예를 들면, 메소드(Method)인 CONNECT, DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT, TRACE 중 일반적으로 잘 사용하지 않는 메소드로 DELETE, PUT 등의 요청이 있을 때 응답본문을 분석하여 응답 값 수집을 설정할 수 있다.
수행부(500)는 탐지부(200)에서 데이터유출이 탐지되면 해당 경로에 대한 차단 요청을 수신한다. 수행부(500)는 차단 요청에 따라 공격 방지 시스템이 데이터유출을 차단하도록 실행 명령을 수행한다. 수행부(500)는 공격 방지 시스템마다 제조사가 상이하고, 명령어 수행 방법이 다르기 때문에 각 제조사에서 제공하는 API를 이용하거나, 해당 시스템의 아이디와 비밀번호를 사용하여 자동 로그인하는 방법으로 차단 명령을 실행할 수 있다.
도4 및 도 5는 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 방법을 설명한 도면들이다. 이하 설명하는 각 과정은 데이터유출 탐지 보안 시스템을 구성하는 각 기능부가 수행하는 과정이나, 본 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 데이터유출 탐지 보안 시스템으로 통칭하도록 한다.
도 4를 참조하면, 데이터유출 탐지 보안 시스템(10)은 설정된 조건에 따라 응답 값을 수집하고 분석하여, 데이터유출로 판단되는 경우 해당 악성 IP주소에 대하여 차단 명령을 수행한다.
단계 S410에서 데이터유출 탐지 보안 시스템(10)은 웹 브라우저의 요청에 따른 웹 서버의 응답이 설정된 조건에 부합하는지 여부를 판단한다.
단계 S420에서 데이터유출 탐지 보안 시스템(10)은 설정된 조건에 부합하는 경우 웹 브라우저의 요청에 따른 웹 서버의 응답들을 응답 값으로 수집한다. 응답 값은 요청자의 IP 주소, 사용자 에이전트, 메소드, URL의 호스트, URL의 경로, URL의 쿼리, 요청본문, 요청사이즈, 웹 서버의 응답본문, 응답사이즈, 응답상태코드 중 하나 이상을 포함한다.
단계 S430에서 데이터유출 탐지 보안 시스템(10)은 수집된 응답 값을 저장한다. 예를 들면, 데이터유출 탐지 보안 시스템(10)은 수집한 또는 취합한 응답 값을 데이터베이스, 인덱스 서버 또는 NoSQL 등의 저장 장치에 저장하고 관리할 수 있다.
단계 S440에서 데이터유출 탐지 보안 시스템(10)은 수집된 응답 값을 분석하여 해킹으로 인한 데이터유출을 탐지한다. 데이터유출 탐지 보안 시스템(10)은 특정 단어, 문자, 문장 또는 정규 표현식 등이 응답본문에서 탐지되면 데이터유출로 판별할 수 있다.
단계 S450에서 데이터유출 탐지 보안 시스템(10)은 데이터유출이라고 판별한 경우 공격 방지 시스템에 해당 사이트에 대한 차단명령을 전송하고, 차단 명령이 수행되도록 하여 데이터유출을 방지한다. 예를 들면, 데이터유출 탐지 보안 시스템(10)은 공격 방지 시스템마다 제조사가 상이하고, 명령어 수행 방법이 다르기 때문에 각 제조사에서 제공하는 API를 이용하거나, 해당 시스템의 아이디와 비밀번호를 사용하여 자동 로그인하는 방법으로 차단 명령을 실행할 수 있다.
단계 S470에서 데이터유출 탐지 보안 시스템(10)은 요청사이즈 또는 응답사이즈를 분석하여 통계적으로 유의미한 요청사이즈 또는 응답사이즈를 추출할 수 있다. 예를 들면, 데이터유출 탐지 보안 시스템(10)은 전체 요청사이즈 또는 응답사이즈를 분석하여 최대값, 평균값, 최소값, 이탈 값으로 산출할 수 있다. 데이터유출 탐지 보안 시스템(10)은 요청사이즈 또는 응답사이즈가 최대값 또는 최소값을 넘거나 이탈 값에 해당되면 이상 값으로 판단하고, 응답본문을 분석하여 데이터유출을 탐지하도록 조건 설정을 할 수 있다. 또는 데이터유출 탐지 보안 시스템(10)은 요청사이즈 또는 응답사이즈를 분석하여 요청사이즈 또는 응답사이즈가 95% 이상에 속하거나 또는99.7% 이상에 속하면 응답 값을 수집하고 응답본문을 분석하도록 설정할 수 있다. 데이터유출 탐지 시스템(10)는 이상 값의 범위를 각 필드의 상황에 따라 조정하여 설정할 수 있다.
또한 데이터유출 탐지 보안 시스템(10)은 URL 경로별로 요청사이즈 또는 응답사이즈를 분석하여, 요청사이즈 또는 응답사이즈의 이상 값을 URL 경로별로 설정할 수 있다.
데이터유출 탐지 보안 시스템(10)은 웹 브라우저와 웹 서버 간 통신이 발생할 때마다 해당 과정을 수동 또는 자동 수행되어 데이터유출을 탐지할 수 있다.
도 5를 참조하면, 데이터유출 탐지 보안 시스템(10)이 데이터유출을 탐지하는 방법의 예시이다.
단계 S510에서 데이터유출 탐지 보안 시스템(10)은 평판 데이터베이스와 OWASP TOP 10의 정보를 기반으로 요청자의 IP 주소, 사용자 에이전트, 쿼리 또는 요청본문 등을 검사한다.
데이터유출 탐지 보안 시스템(10)은 평판 데이터베이스를 외부 평판 데이터베이스 및 내부 평판 데이터베이스 중 하나 이상을 포함한다. 데이터유출 탐지 보안 시스템(10)은 직접적으로 해당 사이트에 공격시도가 있었거나 데이터유출 사례가 있는 악성 IP 주소, 사용자 에이전트, 쿼리 또는 요청본문 등의 정보를 내부 평판 데이터베이스로 구성하여 외부 평판 데이터베이스와는 별개로 운영, 관리할 수 있다. 탐지부(200)는 알려진 외부 평판 데이터베이스의 정보와 내부적으로 누적된 정보를 관리하고 있는 내부 평판 데이터베이스를 이용해 악성 IP 주소, 사용자 에이전트, 쿼리 또는 요청본문 등을 차단할 수 있다. 또한 데이터유출 탐지 보안 시스템(10)은 데이터유출로 판단되는 IP 주소, 사용자 에이전트, 쿼리 또는 요청본문 등을 내부 평판 데이터베이스에 누적하여 지속적으로 관리한다.
또한 데이터유출 탐지 보안 시스템(10)은 OWASP TOP 10에서 정의한 악성 유형 코드가 쿼리, 사용자 에이전트 또는 요청본문 등에 포함되어 있는지 검사한다.
단계 S520에서 데이터유출 탐지 보안 시스템(10)은 요청자의 정보가 악성 IP 주소, 사용자 에이전트, 쿼리 또는 요청본문을 포함하면 단계 S540으로 이동하여 응답 값을 수집하고 저장한다.
단계 S530에서 데이터유출 탐지 보안 시스템(10)은 악성 코드 또는 악성 IP 주소가 아닌 경우 설정 조건을 확인한다. 예를 들어, 응답상태코드에 따라 응답 값을 수집하도록 설정되어 있다면, 데이터유출 탐지 보안 시스템(10)은 응답상태코드를 확인한다. 데이터유출 탐지 보안 시스템(10)은 응답상태코드가 200번인 경우 웹 서버가 응답한 응답 값을 수집한다. 이때 데이터유출 탐지 보안 시스템(10)은 200번 이외에 오류에 관한 응답에 해당하는 400번대 및 500번대에 대해서도 응답 값을 수집할 수 있다. 특히 응답상태코드가 500번대는 서버 오류 응답에 관한 것으로 오류 메시지를 웹 브라우저로 응답할 때 웹 서버의 정보가 노출될 수도 있기 때문에 응답 값을 수집하고 분석할 필요가 있다.
단계 S540에서 데이터유출 탐지 보안 시스템(10)은 설정된 조건에 따라 응답 값을 수집하고 저장한다.
단계 S550에서 데이터유출 탐지 보안 시스템(10)은 요청사이즈, 응답사이즈, 요청 경로, 쿼리, 사용자 에이전트 중 어느 하나 이상을 분석할 수 있다. 데이터유출 탐지 보안 시스템(10)은 통계적인 방법을 이용해 요청사이즈, 응답사이즈 또는 요청 경로와 쿼리의 유의미한 변화 값을 산출할 수 있다. 데이터유출 탐지 보안 시스템(10)은 분석 정보를 저장하고 관리할 수 있다.
단계 S560에서 데이터유출 탐지 보안 시스템(10)은 산출된 유의미한 변화 값을 기반으로 이상 값 또는 유출 가능성이 높은 범위에 해당하는 응답본문을 분석한다.
단계 S570에서 데이터유출 탐지 보안 시스템(10)은 응답본문을 분석하여 데이터유출을 판단한다.
단계 S580에서 데이터유출 탐지 보안 시스템(10)은 데이터유출이라고 판단한 경우 공격 보안 시스템에 해당 사이트에 대한 차단 명령을 수행한다.
본 발명의 다른 실시 예에 따른 데이터유출 탐지 보안 시스템(10)은 단계 S520에서 악성 코드나 악성 IP 주소를 탐지하는 경우 단계 S580으로 이동하여 바로 차단 명령을 실행한 후 단계 S540의 응답 값을 수집하고 분석할 수 있다.
도 6은 본 발명의 일 실시 예에 따른 데이터유출 탐지 보안 시스템의 예시이다.
도 6을 참조하면, 데이터유출 탐지 보안 시스템(10)은 응답 값을 탐지하고 수집하는 탐지부(200)를 별도의 클라이언트로 하나 이상으로 구성할 수 있다. 데이터유출 탐지 보안 시스템(10)은 탐지부(200)가 하나 이상인 경우 각 탐지부(200)가 탐지하고 수집한 응답 값을 모두 취합하여 저장하고 관리한다. 또는 데이터유출 탐지 보안 시스템(10)은 웹 서버 상에 탐지부(200)를 구성할 수도 있다.
데이터유출 탐지 보안 시스템(10)은 시스템 운영의 목적에 따라 해당 하드웨어의 리소스 사용량(CPU, Memory, HDD 등)을 고려하여 유연하게 구성할 수 있다. 데이터유출 탐지 보안 시스템(10)은 대용량의 로그를 저장하고 분석하므로 클라우드 시스템을 이용하여 구현 가능하다.
데이터유출 탐지 보안 시스템(10)은 탐지부(200)를 도6과 같이 별도 구성되는 경우 설정부(100)의 값을 탐지부(200)와 공유하여 최신의 설정 값을 유지하도록 구성한다.
상술한 데이터유출 탐지 보안 방법은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시 예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시 예 들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
10: 데이터유출 탐지 보안 시스템
100: 설정부
200: 탐지부
300: 저장부
400: 분석부
500: 수행부

Claims (7)

  1. 웹 서버의 응답을 분석하는 데이터유출 탐지 보안 시스템에 있어서,
    웹 브라우저의 요청에 대해 웹 서버의 응답 중 필요한 정보 만을 선택하여 응답 값을 저장하도록 설정하는 설정부;
    상기 설정부의 설정에 따라 상기 응답 값을 수집하고 탐지하는 탐지부;
    상기 응답 값을 취합하여 저장하는 저장부; 및
    상기 응답 값을 분석하여 이상 값을 산출하는 분석부를 포함하되,
    데이터유출 가능성이 탐지되면 유출 경로에 대한 차단 요청을 수신하고, 차단 명령을 수행하는 수행부를 더 포함하고,
    상기 응답 값은
    요청자의 IP 주소(Request IP Address), 사용자 에이전트(User-Agent), 메소드(Method), URL의 호스트(Host), URL의 경로(Path), URL의 쿼리(Query), 요청본문(Post-Body), 요청사이즈(Request-Size), 웹 서버의 응답본문(Response-Body), 응답사이즈(Reponse-Size), 응답상태코드(Reponse-Status) 중 하나 이상을 포함하고,
    상기 설정부는
    IP 주소, 사용자 에이전트, 메소드, 호스트, 경로, 쿼리, 요청본문, 요청사이즈, 응답본문 내 단어, 문자, 문장 또는 정규 표현식, 응답사이즈, 응답상태코드 중 하나 이상 설정하여 상기 응답 값 수집 조건을 정하고,
    상기 응답본문은 저장 조건을 설정하고,
    상기 저장 조건은 모두 저장, 태그를 제외하고 저장, 특정 영역만 저장하는 조건 중 어느 하나 이상을 포함하고,
    상기 요청사이즈는
    메소드가 POST이고, 요청본문이 있으면 요청본문의 크기로 정하고,
    요청본문이 없거나 메소드가 POST가 아니면 URL의 쿼리 크기로 정하고,
    상기 탐지부는
    수집된 상기 응답 값을 분석하여 데이터유출 가능성을 탐지하고.
    상기 분석부는
    상기 요청사이즈를 최대, 평균, 최소, 이탈 값으로 분석하여 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 최소 값 이하를 이상 값으로 더 판단하고,
    상기 요청사이즈의 이상 값을 URL의 경로별로 더 산출하고,
    상기 응답사이즈를 최대, 평균, 최소, 이탈 값으로 분석하여 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 최소 값 이하를 이상 값으로 더 판단하고
    상기 응답사이즈의 이상 값을 URL의 경로별로 더 산출하고,
    산출된 상기 이상 값을 설정부에 전달하여 설정하거나 제안하고
    상기 이상 값을 탐지하여 데이터유출을 판단하는
    데이터유출 탐지 보안 시스템.
  2. 삭제
  3. 삭제
  4. 데이터유출 탐지 보안 시스템의 데이터유출 탐지 보안 방법에 있어서,
    웹 브라우저의 요청에 따른 웹 서버의 응답이 설정된 조건에 부합하는지 판단하는 단계;
    상기 조건에 따라 응답 값을 수집하는 단계;
    상기 응답 값을 분석하여 데이터유출을 탐지하는 단계; 및
    상기 응답 값의 수집 조건을 설정하는 단계를 포함하고,
    상기 데이터유출 가능성이 탐지되면 유출 경로에 대한 차단 요청을 수신하고, 차단 명령을 수행하는 단계를 더 포함하고,
    상기 응답 값은
    요청자의 IP 주소(Request IP Address), 사용자 에이전트(User-Agent), 메소드(Method), URL의 호스트(Host), URL의 경로(Path), URL의 쿼리(Query), 요청본문(Post-Body), 요청사이즈(Request-Size), 웹 서버의 응답본문(Response-Body), 응답사이즈(Reponse-Size), 응답상태코드(Reponse-Status) 중 하나 이상을 포함하고,
    상기 응답 값의 수집 조건을 설정하는 단계는
    IP 주소, 사용자 에이전트, 메소드, 호스트, 경로, 쿼리, 요청본문, 요청사이즈, 응답본문 내 단어, 문자, 문장 또는 정규 표현식, 응답사이즈, 응답상태코드 중 하나 이상 설정하여 상기 응답 값 수집 조건을 정하고,
    상기 응답본문의 저장 조건을 설정하고,
    상기 저장 조건은 모두 저장, 태그를 제외하고 저장, 특정 영역만 저장하는 조건 중 어느 하나 이상을 포함하고,
    상기 요청사이즈는
    메소드가 POST이고, 요청본문이 있으면 요청본문의 크기로 정하고,
    요청본문이 없거나 메소드가 POST가 아니면 URL의 쿼리 크기로 정하고,
    상기 응답 값을 분석하여 데이터유출을 탐지하는 단계는
    상기 요청사이즈를 최대, 평균, 최소, 이탈 값으로 분석하여 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 최소 값 이하를 이상 값으로 더 판단하고,
    상기 요청사이즈의 이상 값을 URL의 경로별로 더 산출하고,
    상기 응답사이즈를 최대, 평균, 최소, 이탈 값으로 분석하여 최대값보다 크거나 이탈 값에 속하면 이상 값으로 판단하고, 최소 값 이하를 이상 값으로 더 판단하고
    상기 응답사이즈의 이상 값을 URL의 경로별로 더 산출하고,
    산출된 상기 이상 값을 설정부에 전달하여 설정하거나 제안하고
    상기 이상 값을 탐지하여 데이터유출을 판단하는
    는 데이터유출 탐지 보안 방법.
  5. 삭제
  6. 삭제
  7. 제4항의 데이터유출 탐지 보안 방법을 실행하는 컴퓨터가 판독 가능한 기록매체에 기록된 컴퓨터 프로그램.

KR1020200096696A 2020-08-03 2020-08-03 데이터유출 탐지 보안 시스템 및 방법 KR102366846B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200096696A KR102366846B1 (ko) 2020-08-03 2020-08-03 데이터유출 탐지 보안 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200096696A KR102366846B1 (ko) 2020-08-03 2020-08-03 데이터유출 탐지 보안 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220016592A KR20220016592A (ko) 2022-02-10
KR102366846B1 true KR102366846B1 (ko) 2022-02-23

Family

ID=80253779

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200096696A KR102366846B1 (ko) 2020-08-03 2020-08-03 데이터유출 탐지 보안 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102366846B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101557455B1 (ko) * 2015-04-21 2015-10-07 숭실대학교산학협력단 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070072835A (ko) * 2007-05-21 2007-07-06 이상훈 실시간 웹로그 수집을 통한 웹해킹 대응 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101557455B1 (ko) * 2015-04-21 2015-10-07 숭실대학교산학협력단 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법

Also Published As

Publication number Publication date
KR20220016592A (ko) 2022-02-10

Similar Documents

Publication Publication Date Title
US11171925B2 (en) Evaluating and modifying countermeasures based on aggregate transaction status
US10721245B2 (en) Method and device for automatically verifying security event
US10581908B2 (en) Identifying phishing websites using DOM characteristics
US9311476B2 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
Siadati et al. Detecting structurally anomalous logins within enterprise networks
US11962611B2 (en) Cyber security system and method using intelligent agents
US20160065600A1 (en) Apparatus and method for automatically detecting malicious link
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
Yen et al. Browser fingerprinting from coarse traffic summaries: Techniques and implications
US11481478B2 (en) Anomalous user session detector
KR20190010956A (ko) 지능형 보안로그 분석방법
CN110868418A (zh) 一种威胁情报生成方法、装置
JP6691240B2 (ja) 判定装置、判定方法、および、判定プログラム
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
KR102366846B1 (ko) 데이터유출 탐지 보안 시스템 및 방법
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
KR101935261B1 (ko) 위험 자산 알림 시스템 및 이의 동작 방법
Varshney et al. Detecting spying and fraud browser extensions: Short paper
KR102018348B1 (ko) 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
Shackleford Using analytics to predict future attacks and breaches
CN114531307B (zh) 主动防御网关的api模型构建与防御方法及系统
US11968218B2 (en) Systems and methods for contextually securing remote function calls
US20240095350A1 (en) Threat management system for identifying and performing actions on cybersecurity top threats
Lima et al. A Taxonomy for Tsunami Security Scanner Plugins
Singh et al. A clustering based intrusion detection system for storage area network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right