KR102446674B1 - 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 - Google Patents
정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 Download PDFInfo
- Publication number
- KR102446674B1 KR102446674B1 KR1020210176095A KR20210176095A KR102446674B1 KR 102446674 B1 KR102446674 B1 KR 102446674B1 KR 1020210176095 A KR1020210176095 A KR 1020210176095A KR 20210176095 A KR20210176095 A KR 20210176095A KR 102446674 B1 KR102446674 B1 KR 102446674B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- web
- information
- security device
- comparison
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
본 발명은 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법에 관한 것으로, 더욱 상세하게는 사용자 단말과 인터넷 서버와 DB 간의 통신 패킷을 확인해서 DB 정보의 실제 사용자를 확인하는 보안 방법에 관한 것으로, 보안장치가 클라이언트와 인터넷 서버 간에 통신하는 웹패킷과, 상기 인터넷 서버와 DB서버 간에 통신하는 DB패킷을 각각 스니핑해서 취득하는 스니핑 단계; 상기 보안장치가 웹패킷과 DB패킷의 구성정보를 비교해서 동일성 여부를 판단하는 패킷 비교 단계; 상기 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷과 DB패킷의 최초 입력지점이 동일한 것으로 판정하는 최초 입력지점 확인 단계;를 포함한다.
Description
본 발명은 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법에 관한 것으로, 더욱 상세하게는 사용자 단말과 인터넷 서버와 DB 간의 통신 패킷을 확인해서 DB 정보의 실제 사용자를 확인하는 보안 방법에 관한 것이다.
현재 인터넷(internet) 기술의 비약적인 발전으로 인해 산업구조가 재편되고, 업무효율의 향상을 이끌어내는 긍정적인 측면이 존재하고 있으나, 그 이면에는 인터넷의 익명성을 악용하여 개인정보 또는 기타 보안정보 등을 무단으로 취득하거나, 보안서버 및 DB에 침입하는 등, 다양한 범죄 및 인신공격과 같은 사이버 테러가 일어나는 부정적인 측면도 함께 존재하는 실정이다.
물론 이와 같은 문제점을 해결하기 위해 비인가된 사용자의 접근 여부를 체크해서 이를 차단하거나 역추적해서 제재를 가하는 다양한 보안 기술들이 개발되었으나 프록시 또는 다수의 IP를 거쳐 다단계로 접근하는 네트워크 통신 기술들이 발전하면서 무단 접근한 사용자를 정확히 역추적할 수 없는 한계가 있었다.
더욱이 종래 보안 기술은 특정 정보(이하 '데이터정보')로의 접근 여부를 해당 서버의 접속 이력에서 IP와 ID를 확인하고, 확인된 IP와 ID의 불법성 여부를 판단하는 방법이므로, 데이터정보에 접근한 도용 ID와 변조된 IP가 정상적인 경우에는 외관상 데이터정보로의 접근이 정상인 것으로 판단하고 인가하는 보안상의 허점이 있었다.
따라서 데이터정보에 접근한 정보 사용자를 정확히 파악해서 무단 여부를 판단하고 이후 신뢰할 수 있는 보안 절차를 개발할 수 있도록 하는 보안 기술이 시급히 요구되었다.
선행기술문헌 1. 특허공개번호 제0-2013-0121710호(2013.11.06 공개)
이에 본 발명은 상기의 문제를 해소하기 위한 것으로, 인터넷 서버에 접속해서 데이터정보 조회를 위해 DB에 접근한 정보 사용자를 추적하기 위한 네트워크 패킷 기반의 보안 방법의 제공을 해결하고자 하는 과제로 한다.
상기의 과제를 달성하기 위하여 본 발명은,
보안장치가, 정보 사용자의 클라이언트와 인터넷 서버 간에 통신하는 웹패킷과, 상기 인터넷 서버와 DB서버 간에 통신하는 DB패킷을 각각 스니핑해서 취득하는 스니핑 단계;
상기 보안장치가, 상기 웹패킷과 DB패킷을 비교하기 전에 웹패킷과 DB패킷 각각의 식별값에 대응하는 매칭정보를 검색하여 매칭정보의 저장 횟수인 누적치를 확인하는 단계와, 상기 누적치가 기준치를 초과하면 웹패킷과 DB패킷의 동일성이 있는 것으로 판단하여 패킷 비교 단계를 종료하고 하기 최초 입력지점 확인 단계를 시행하는 단계와, 상기 보안장치가 웹패킷과 DB패킷 각각에 구성된 정보 사용자의 개인정보를 웹 테이블과 DB 테이블 각각의 형식에 따라 개인정보에 관한 필드명별 서브데이터로 분류하는 단계와, 상기 보안장치가 웹 테이블의 필드명별 서브데이터와 DB 테이블의 필드명별 서브데이터를 비교해서 개인정보에 관한 필드명별 서브데이터의 동일성 여부를 판단하는 단계로 구성되되, 상기 동일성 여부는 서브데이터의 텍스트의 개수를 비교해서 확인하고, 상기 웹 테이블과 DB 테이블에 각각 구성된 동일한 서브데이터가 기준개수 이상 동일한 필드명으로 나열되면 보안장치가 해당 웹패킷과 DB패킷은 동일성이 있는 것으로 판단하는 패킷 비교 단계;
상기 패킷 비교 단계에서 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷의 식별값과 DB패킷의 식별값을 캐싱해서 매칭정보로 저장하는 캐싱 단계; 및
상기 패킷 비교 단계에서 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷의 식별값과 DB패킷의 식별값을 캐싱해서 매칭정보로 저장하는 캐싱 단계; 및
상기 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷과 DB패킷 각각에 구성된 개인정보의 최초 입력지점이 동일한 것으로 판정하는 최초 입력지점 확인 단계;
를 포함하는 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법이다.
상기의 본 발명은, 인터넷 서버에 접속해서 DB의 데이터정보에 접근한 정보 사용자를 네트워크의 패킷 비교를 통해 확인하므로, 실제로 데이터정보에 접근한 정보 사용자를 네트워크에서 정확히 추적해 확인할 수 있고, 웹페이지를 구성하는 프레임과 테이블 단위로 데이터정보를 DB와 인터넷 서버 간 패킷과 비교하므로 비교 대상의 상호 매칭률을 높여서 정보 사용자 추적의 신뢰도를 높일 수 있다.
도 1은 본 발명에 따른 보안장치의 일실시 예가 구성된 통신 네트워크를 도시한 블록도이고,
도 2는 상기 통신 네트워크에 구성된 보안장치의 보안 프로세스를 개념적으로 도시한 도면이고,
도 3은 본 발명에 따른 보안 방법의 일실시 예를 도시한 플로차트이고,
도 4 내지 도 6은 본 발명에 따른 보안 방법에 따라 웹패킷과 DB패킷의 구성정보를 비교하는 예시를 보인 도면이다.
도 2는 상기 통신 네트워크에 구성된 보안장치의 보안 프로세스를 개념적으로 도시한 도면이고,
도 3은 본 발명에 따른 보안 방법의 일실시 예를 도시한 플로차트이고,
도 4 내지 도 6은 본 발명에 따른 보안 방법에 따라 웹패킷과 DB패킷의 구성정보를 비교하는 예시를 보인 도면이다.
실시 예들에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 “…부”, “…모듈” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 또한, 명세서에 기재된 "구성정보"는 정보 사용자의 개인정보를 의미한다.
아래에서는 첨부한 도면을 참고하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 보안장치의 일실시 예가 구성된 통신 네트워크를 도시한 블록도이고, 도 2는 상기 통신 네트워크에 구성된 보안장치의 보안 프로세스를 개념적으로 도시한 도면이다.
도 1과 도 2를 참조하면, 본 발명에 따른 보안 방법은 정보 사용자인 클라이언트(C)와 인터넷 서버(IS; Internet Server) 및 DB 간 통신 네트워크에서 통신 데이터정보를 패킷 형태로 취득해 확인하는 보안장치(10)에 의해 실행된다. 여기서 보안장치(10)는 DB와 인터넷 서버(IS) 간의 통신 데이터정보인 DB패킷과, 클라이언트(C)와 인터넷 서버(IS) 간의 통신 데이터정보인 웹패킷을 서로 비교해서 DB패킷과 웹패킷의 동일성 여부를 확인하고, 상기 DB에 접근한 정보 사용자를 동일성 여부 확인 결과에 따라 추적한다.
보안장치(10)를 참고해 설명하면, DB와 인터넷 서버(IS), 인터넷 서버(IS)와 클라이언트(C) 간 통신라인에 각각 탭 장치(TAB)를 설치하고, 스니핑 모듈(13)은 탭 장치(TAB)를 통해 웹패킷과 DB패킷을 각각 실시간으로 취득한다.
여기서, 인터넷 서버(IS)를 구성하는 웹서버(WEB-SERVER)와 와스서버(WAS; Web Application Server)의 노드 구성에 따라 보안장치(10)의 스니핑 대상 통신라인 구간을 달리한다. 일 예를 들어 설명하면, 인터넷 서버(IS)의 구성인 웹서버(WEB-SERVER)와 와스서버(WAS; Web Application Server)가 통합 구성으로 되어서 하나의 노드를 이룬다면, 웹패킷의 스니핑 대상 통신라인 구간은 클라이언트(C)와 웹서버 간의 통신라인이고, DB패킷의 스니핑 대상 통신라인 구간은 와스서버(WAS)와 DB 간의 통신라인이다. 반면, 인터넷 서버(IS)의 구성인 웹서버와 와스서버(WAS)가 상이한 노드를 이룬다면, 웹패킷의 스니핑 대상 통신라인 구간은 웹서버와 와스서버(WAS) 간의 통신라인이고, DB패킷의 스니핑 대상 통신라인 구간은 와스서버(WAS)와 DB 간의 통신라인이다. 이하에서는 웹서버와 와스서버(WAS)가 통합 구성되어 하나의 노드를 이루는 인터넷 서버(IS)를 예시로 설명한다. 그러나 본 발명에 따른 보안 방법이 적용되는 인터넷 통신 체계는 이에 한정하지 않으며 웹서버와 와스서버(WAS)가 서로 상이한 노드를 이루는 인터넷 통신 체계에도 적용될 수 있음은 당연하다.
계속해서, 본 발명에 따른 보안장치(10)의 비교모듈(14)은 스니핑 모듈(13)에 의해 취득된 웹패킷과 DB패킷을 비교해서 동일성 여부를 판단하고, 그 결과를 저장부(11)에 저장한다. 또한, 보안장치(10)의 사용자 추적모듈(15)은 웹패킷과 DB패킷의 동일성이 확인되면, 상기 웹패킷과 DB패킷 각각의 구성정보 중 개인정보의 최초 입력지점이 동일한 것으로 판정한다. 결국, 보안장치(10)는 DB에 접근해서 데이터를 확인한 사용자의 클라이언트(C)가 무엇인지 확인할 수 있다.
이와 더불어 보안장치(10)에 구성된 검색모듈(12)은 비교모듈(14)의 패킷 비교를 위한 기초 정보를 저장부(11)에서 검색해서, 비교모듈(14)의 패킷 비교에 대한 정밀성을 높이도록 한다.
이상의 보안장치(10)는 도 2와 같이 각각의 통신라인에서 취득한 웹패킷과 DB패킷의 데이터 분석과 비교를 통해 해당 패킷 간의 일치 여부를 판단하고, 상기 일치 여부 판단 결과에 따라 IP가 '10.10.10.3'인 인터넷 서버(IS)를 통해 IP가 '10.10.10.4'인 DB의 데이터정보에 접근한 클라이언트(C)의 IP(10.10.10.1, 10.10.10.2)가 무엇인지를 정확히 추적할 수 있다.
도 3은 본 발명에 따른 보안 방법의 일실시 예를 도시한 플로차트이고, 도 4 내지 도 6은 본 발명에 따른 보안 방법에 따라 웹패킷과 DB패킷의 구성정보를 비교하는 예시를 보인 도면이다.
1과 도 3 내지 도 6을 참조하면, 본 발명에 따른 보안 방법은, 보안장치(10)가 클라이언트(C)와 인터넷 서버(IS) 간에 통신하는 웹패킷과, 상기 인터넷 서버와 DB서버 간에 통신하는 DB패킷을 각각 스니핑해서 취득하는 스니핑 단계(S10); 보안장치(10)가 웹패킷과 DB패킷 각각의 구성정보 중 개인정보를 비교해서 동일성 여부를 판단하는 패킷 비교 단계(S20); 상기 웹패킷과 DB패킷의 동일성이 확인되면, 보안장치(10)가 웹패킷과 DB패킷 각각의 구성정보 중 개인정보의 최초 입력지점이 동일한 것으로 판정하는 입력지점 확인 단계(S40);를 포함한다.
스니핑 단계(S10)에서, 보안장치(10)의 스니핑 모듈(13)이 클라이언트(C)와 인터넷 서버(IS) 간의 통신라인에 탭 장치를 설치해서 웹페킷을 스니핑하여 취득하고, 인터넷 서버(IS)와 DB 간의 통신라인에 탭 장치를 설치해서 DB패킷을 스니핑하여 취득한다. 스니핑 모듈(13)의 패킷 스니핑 기술은 이미 공지의 기술이므로 패킷 스니핑을 위한 구체적인 기술 수단과 프로세싱 관련 설명은 생략한다. 참고로, 인터넷 서버(IS)는 수많은 DB와 클라이언트(C) 사이에서 특정 DB의 데이터를 특정 클라이언트(C)에 전달하므로, 스니핑 모듈(13)은 패킷을 선택적으로 취득하는 것이 바람직하다.
패킷 비교 단계(S20)는 보안장치(10)의 비교모듈(14)이 웹패킷의 구성정보를 웹 테이블 형식으로 확인하는 제1단계(S23)와, 비교모듈(14)이 DB패킷의 구성정보를 DB 테이블 형식으로 확인하는 제2단계(S24)와, 비교모듈(14)이 웹 테이블과 DB 테이블을 비교해서 구성정보 중 개인정보의 동일성 여부를 판단하는 제3단계(S25)로 진행된다.
우선, 비교모듈(14)은 스니핑 모듈(13)에 의해 취득된 웹패킷과 DB패킷에서, 클라이언트(C)가 접속한 인터넷 서버(IS)의 IP와 DB에 접속한 인터넷 서버(IS)의 IP가 동일한 웹패킷과 DB패킷을 대상으로 서로 비교한다. 즉, 클라이언트(C)와 인터넷 서버(IS) 간의 웹패킷 통신구간에서는 인터넷 서버(IS)가 타깃이고, 인터넷 서버(IS)와 DB 간의 DB패킷 통신구간에서는 인터넷 서버(IS)가 소스이므로, 웹패킷의 타깃 IP와 DB패킷의 소스 IP가 서로 동일한 패킷을 서로 비교하는 것이다.
IP 동일 여부 확인을 통해 비교 대상 패킷을 우선 걸러내고, 도 4와 같이 웹패킷의 구성정보를 웹 테이블 형식으로 확인한다. 패킷에 구성된 데이터는 일반적으로 SQL 기반의 테이블 형식으로 정리된다. 일반적으로 비교모듈(14)은 구성정보를 로우(ROW) 단위로 분류하고, 상기 구성정보의 서브데이터를 콜롬(COLUMN) 단위로 분류한다. 결국, 본 실시 예에서 웹패킷의 구성정보는 'NO'의 필드명에 따라 구분되고, 각 구성정보의 서브데이터는 'Name', 'Jumin', 'Area', 'Etc'의 필드명으로 분류되어 정리된다.
웹패킷의 구성정보에 대한 웹 테이블 형식과 같이 비교모듈(14)은 DB패킷의 구성정보를 DB 테이블 형식으로 확인한다. DB패킷의 DB 테이블 형식은 웹패킷의 웹 테이블 형식과 사실상 동일하므로, 이에 대한 중복 설명은 생략한다. 참고로, 본 실시 예에서 DB 테이블 형식에서 DB패킷의 구성정보의 서브데이터는 'Name', 'Jumin', 'Area'의 필드명으로 분류되어 정리된다.
계속해서, 웹패킷의 구성정보와 DB패킷의 구성정보의 서브데이터가 각각 테이블 형식에 맞춰 분류되면, 비교모듈(14)이 웹 테이블과 DB 테이블을 비교해서 구성정보 중 개인정보의 동일성 여부를 판단한다. 웹패킷의 구성정보와 DB패킷의 구성정보 간의 비교는 구성정보 단위로 이루어지며, 따라서, 도 6과 같이 웹패킷과 DB패킷에서 'No'가 "1", "2", "3"의 구성정보만이 서로 동일한 것으로 판단할 수 있다.
웹패킷과 DB패킷에 대한 비교모듈(14)의 동일성 여부 판단 방법에 대해 좀 더 구체적으로 설명하면, 제3단계(S25)에서 웹 테이블과 DB 테이블에 각각 구성된 구성정보 중 개인정보에서 동일한 서브데이터가 기준개수 이상 동일한 필드명으로 나열되면, 보안장치(10)의 비교모듈(14)이 해당 구성정보를 동일한 것으로 판단한다. 도 4 및 도 5와 같이 웹패킷과 DB패킷의 필드명이 'Area'로 동일하나, 콜롬에 다른 서브데이터가 구성될 수 있다. 하지만, 동일한 웹패킷과 DB패킷 각각의 테이블에서 동일한 서브데이터가 'No', 'Name', 'Jumin'의 필드명으로 기준개수 이상 동일하게 나열되므로, 비교모듈(14)은 상기 웹패킷과 DB패킷의 동일성을 인정한다.
서브데이터의 동일성 여부는 비교모듈(14)이 문자열을 비교해 확인한다. 주지된 바와 같이, 웹패킷은 DB패킷을 기반으로 생성되기에 구성정보별 서보데이터를 문자열 기준으로 비교한다. 즉, 서브데이터의 텍스트와 텍스트 개수가 동일하면 웹패킷의 서브데이터와 DB패킷의 서브데이터는 각각 동일한 것으로 판단하는 것이다. 단, 웹패킷이 화면에 출력하기 위함이 목적인 관계로 DB패킷의 서브데이터가 변조되어 웹패킷과 다르게 될 가능성이 있다. 따라서 각 패킷의 서브데이터 비교 시 문자열 길이가 동일할 경우 마스킹(***) 되어 있는 부분은 제외하고 비교한다. 또한, 서브데이터의 문자열 인코딩이 상이할 경우, 지정된 형식의 인코딩으로 통일시켜 비교한다. 본 실시 예에서는 일반적으로 UTF-8 형태로 변환한 뒤에 비교한다. 또한, 웹패킷 내 구성정보의 속성이 화면에 표시하지 않은 대상(ex. xml, hidden)일 경우 비교대상에서 제외한다.
한편, 웹패킷은 1건 이상의 DB조회 결과값(1건 이상의 DB패킷)을 기반으로 구성된다. 따라서 웹패킷과 DB패킷을 비교해 서로 부합함이 확인되면, 상기 웹패킷과 다른 잔여 DB패킷 간의 추가 비교를 속행한다. 즉, 상기 웹패킷의 데이터들 중 일부가 처음 DB패킷에서 확인되었으므로 남은 데이터들의 확인을 위해 다른 잔여 DB패킷과 비교하는 것이다.
입력지점 확인 단계(S40)는, 보안장치(10)의 비교모듈(14)에 의해 상기 웹패킷과 DB패킷의 동일성이 확인되면, 사용자 추적모듈(15)이 웹패킷과 DB패킷 각각의 구성정보 중 개인정보의 최초 입력지점이 동일한 것으로 판정한다.
본 발명에 따른 보안장치(10)는 패킷 비교 단계(S20)에서 웹패킷과 DB패킷의 동일성이 확인되면, 보안장치의 비교모듈(13)이 웹패킷의 식별값과 DB패킷의 식별값을 캐싱해서 매칭정보로 저장부(11)에 저장하는 캐싱 단계(S30)를 더 포함한다. 정보 사용자가 웹페이지 조회를 동시에 수행하면, 인터넷 서버(IS)는 하나 이상의 DB를 검색해야 하므로, 보안장치(10)가 취득하는 웹패킷과 DB패킷의 비교대상은 기하급수적으로 증가하게 된다. 따라서 웹패킷과 DB패킷의 비교를 위한 처리 부하를 줄이기 위해서 이전에 진행했었던 웹패킷과 DB패킷의 비교 결과 정보를 저장부(11)에 누적 저장하고, 후속으로 이루어지는 픽셀 간의 동일성 여부 확인 시 참고한다. 즉, 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷이 서로 동일한 것으로 판정되면 비교모듈(13)은 해당 웹패킷과 DB패킷의 정보를 매칭정보로 해서 저장부(11)에 저장하는 것이다. 본 실시 예에서 저장부(11)에 저장되는 웹패킷과 DB패킷의 정보는 각각 웹패킷의 식별값과 DB패킷의 식별값이다. 여기서 웹패킷의 식별값은 해당 웹페이지의 URI(Uniform Resource Identifier)일 수 있고, DB패킷의 식별값은 해당 웹페이지의 전체 또는 일부를 이루는 구성정보에 대한 SQL명령문일 수 있다.
상기 매칭정보의 저장부(11) 저장 이외에도 캐싱 단계(S30)에서 보안장치(10)는, 패킷 비교 단계(S20)에서 웹패킷과 DB패킷의 상이함이 확인되면, 보안장치(10)가 웹패킷의 식별값과 DB패킷의 식별값을 캐싱해서 비매칭정보로 저장부(11)에 저장한다. 즉, 보안장치(10)는 웹패킷과 DB패킷의 일치 여부를 확인해서 패킷 간의 동일성이 확인되면 해당 웹패킹과 DB패킹 각각의 식별값을 하나의 셋으로 하여 매칭정보로 저장함은 물론, 패킷 간의 동일성이 미확인되어도 해당 웹패킹과 DB패킹 각각의 식별값을 하나의 셋으로 하여 비매칭정보로 저장할 수 있는 것이다. 상기 매칭정보와 비매칭정보의 대상이 된 패킹 식별값의 셋은 누적 형태로 저장되므로, 비교모듈(13)은 매칭정보와 비매칭정보 각각의 저장 횟수를 카운팅할 수 있다.
이후, 패킷 비교 단계(S20)에서 비교모듈(13)은 스니핑 단계(S10)에서 새로 취득된 웹패킷과 DB패킷을 확인하고, 해당 패킷을 서로 비교하기 이전에 패킷 각각의 식별값을 검색모듈(12)을 통해 저장부(11)에서 검색한다. 검색 결과 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷 각각의 식별값이 매칭정보에서 하나의 셋(set)을 이루는 웹패킷 및 DB패킷 각각의 식별값과 일치하면 비교모듈(13)이 해당 매칭정보의 누적치를 확인하는 캐싱 확인 단계(S21)를 더 포함한다. 확인 결과 매칭정보의 누적치가 기준치를 초과하면 해당 웹패킷과 DB패킷의 비교는 유효한 것으로 판단하고 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷을 서로 비교하는 제1단계(S23)를 속행한다. 그러나 매칭정보의 누적치가 기준치 이하이면 해당 웹패킷과 DB패킷의 비교는 실익이 없는 것으로 판단하고 패킷 비교를 종료하거나, 보안 관리자의 선택에 따라 비교 여부를 결정해 후속 과정을 진행한다. 이외에도 상기 매칭정보의 누적치가 기준치를 초과하면 해당 웹패킷과 DB패킷 간의 추가 비교 없이 웹패킷과 DB패킷은 동일한 것으로 단정할 수 있다.
한편, 캐싱 확인 단계(S21)에서 비교모듈(13)은 새로 취득된 웹패킷과 DB패킷을 확인하고 해당 패킷을 서로 비교하기 이전에 패킷 각각의 식별값을 검색모듈(12)을 통해 저장부(11)에서 검색한다. 검색 결과 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷 각각의 식별값이 비매칭정보에서 하나의 셋을 이루는 웹패킷 및 DB패킷 각각의 식별값과 일치하면 비교모듈(13)은 해당 비매칭정보의 누적치를 확인한다. 확인 결과 매칭정보의 누적치가 기준치를 초과하면 해당 웹패킷과 DB패킷의 비교는 무효한 것으로 판단하고 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷의 후속 비교를 종료한다. 이외에도 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷 각각의 식별값이 저장부(11)에서 검색되지 않으면, 해당 웹패킷과 DB패킷에 대한 비교 이력이 없으므로 후속 비교를 종료하거나, 새로운 패킷 간의 비교를 위해 제1단계를 속행한다.
결국, 비교모듈(13)은 스니핑 단계(S10)에서 취득된 웹패킷과 DB패킷을 각각 분석해서 동일성 여부를 판단하지 않고도 저장부(11)에 저장 및 관리되는 과거 비교 이력을 이용해서 웹패킷과 DB패킷의 동일성 여부를 판단할 수 있으므로, 동일성 여부를 확인해야 하는 웹패킷과 DB패킷의 개수를 줄일 수 있고, DB에 접근한 사용자를 보다 신속하게 추적해서 확인할 수 있다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
Claims (8)
- 보안장치가, 정보 사용자의 클라이언트와 인터넷 서버 간에 통신하는 웹패킷과, 상기 인터넷 서버와 DB서버 간에 통신하는 DB패킷을 각각 스니핑해서 취득하는 스니핑 단계;
상기 보안장치가, 상기 웹패킷과 DB패킷을 비교하기 전에 웹패킷과 DB패킷 각각의 식별값에 대응하는 매칭정보를 검색하여 매칭정보의 저장 횟수인 누적치를 확인하는 단계와, 상기 누적치가 기준치를 초과하면 웹패킷과 DB패킷의 동일성이 있는 것으로 판단하여 패킷 비교 단계를 종료하고 하기 최초 입력지점 확인 단계를 시행하는 단계와, 상기 보안장치가 웹패킷과 DB패킷 각각에 구성된 정보 사용자의 개인정보를 웹 테이블과 DB 테이블 각각의 형식에 따라 개인정보에 관한 필드명별 서브데이터로 분류하는 단계와, 상기 보안장치가 웹 테이블의 필드명별 서브데이터와 DB 테이블의 필드명별 서브데이터를 비교해서 개인정보에 관한 필드명별 서브데이터의 동일성 여부를 판단하는 단계로 구성되되, 상기 동일성 여부는 서브데이터의 텍스트의 개수를 비교해서 확인하고, 상기 웹 테이블과 DB 테이블에 각각 구성된 동일한 서브데이터가 기준개수 이상 동일한 필드명으로 나열되면 보안장치가 해당 웹패킷과 DB패킷은 동일성이 있는 것으로 판단하는 패킷 비교 단계;
상기 패킷 비교 단계에서 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷의 식별값과 DB패킷의 식별값을 캐싱해서 매칭정보로 저장하는 캐싱 단계; 및
상기 웹패킷과 DB패킷의 동일성이 확인되면, 상기 보안장치가 웹패킷과 DB패킷 각각에 구성된 개인정보의 최초 입력지점이 동일한 것으로 판정하는 최초 입력지점 확인 단계;
를 포함하는 것을 특징으로 하는 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법. - 삭제
- 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,
상기 서브데이터의 텍스트 개수가 동일하면, 마스킹 부분의 문자 비교는 제외하는 것을 특징으로 하는 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법. - 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210176095A KR102446674B1 (ko) | 2021-12-09 | 2021-12-09 | 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210176095A KR102446674B1 (ko) | 2021-12-09 | 2021-12-09 | 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102446674B1 true KR102446674B1 (ko) | 2022-09-26 |
Family
ID=83452514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210176095A KR102446674B1 (ko) | 2021-12-09 | 2021-12-09 | 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102446674B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100820306B1 (ko) * | 2007-07-16 | 2008-04-08 | 주식회사 피앤피시큐어 | 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법 |
| KR20130121710A (ko) | 2012-04-27 | 2013-11-06 | 주식회사 위즈디엔에스코리아 | 정보 사용 기록 생성 시스템 및 방법 |
| KR101395830B1 (ko) * | 2014-01-13 | 2014-05-16 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법 |
| KR20190006022A (ko) * | 2016-05-27 | 2019-01-16 | 사이섹 아이스 월 오와이 | 컴퓨터 네트워크의 트래픽 로깅 |
-
2021
- 2021-12-09 KR KR1020210176095A patent/KR102446674B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100820306B1 (ko) * | 2007-07-16 | 2008-04-08 | 주식회사 피앤피시큐어 | 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법 |
| KR20130121710A (ko) | 2012-04-27 | 2013-11-06 | 주식회사 위즈디엔에스코리아 | 정보 사용 기록 생성 시스템 및 방법 |
| KR101395830B1 (ko) * | 2014-01-13 | 2014-05-16 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법 |
| KR20190006022A (ko) * | 2016-05-27 | 2019-01-16 | 사이섹 아이스 월 오와이 | 컴퓨터 네트워크의 트래픽 로깅 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| JP4358188B2 (ja) | インターネット検索エンジンにおける無効クリック検出装置 | |
| EP2244418B1 (en) | Database security monitoring method, device and system | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US20040267749A1 (en) | Resource name interface for managing policy resources | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| US11768898B2 (en) | Optimizing scraping requests through browsing profiles | |
| CN104954345A (zh) | 基于对象分析的攻击识别方法及装置 | |
| CN113961930A (zh) | Sql注入漏洞检测方法、装置及电子设备 | |
| CN111770097B (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
| KR102446674B1 (ko) | 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 | |
| KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
| US10313127B1 (en) | Method and system for detecting and alerting users of device fingerprinting attempts | |
| Ruzhi et al. | A database security gateway to the detection of SQL attacks | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN114500122A (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| KR102258965B1 (ko) | HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치 | |
| KR100619179B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
| US7912965B2 (en) | System and method for anomalous directory client activity detection | |
| CN109450866B (zh) | 一种基于大数据分析的撞库预警方法 | |
| TWI750252B (zh) | 記錄網站存取日誌的方法和裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| X091 | Application refused [patent] | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |