KR20010078887A - 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법 - Google Patents

웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법 Download PDF

Info

Publication number
KR20010078887A
KR20010078887A KR1020010027537A KR20010027537A KR20010078887A KR 20010078887 A KR20010078887 A KR 20010078887A KR 1020010027537 A KR1020010027537 A KR 1020010027537A KR 20010027537 A KR20010027537 A KR 20010027537A KR 20010078887 A KR20010078887 A KR 20010078887A
Authority
KR
South Korea
Prior art keywords
agent
information
accessor
web server
web
Prior art date
Application number
KR1020010027537A
Other languages
English (en)
Other versions
KR100615470B1 (ko
Inventor
김완수
Original Assignee
정지후
(주)아이디에스테크날러지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정지후, (주)아이디에스테크날러지 filed Critical 정지후
Priority to KR1020010027537A priority Critical patent/KR100615470B1/ko
Publication of KR20010078887A publication Critical patent/KR20010078887A/ko
Priority to CN01812210A priority patent/CN1440530A/zh
Priority to US10/312,894 priority patent/US20030172155A1/en
Priority to JP2002588402A priority patent/JP2004520654A/ja
Priority to PCT/KR2001/002150 priority patent/WO2002091213A1/en
Application granted granted Critical
Publication of KR100615470B1 publication Critical patent/KR100615470B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 인터넷 상의 보안 분야 중 웹을 이용한 해킹에 대한 증거자료 확보와 그 추적 및 인증을 위한 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증 시스템에 관한 것이다.
더욱 상세하게는 웹 서버 또는 웹 서버와 다른 위치의 서버에 웹 에이전트 서버와 데이터베이스 시스템을 위치시키고 에이전트로부터 받은 데이터와 불법 침입자(Cracker)가 서버로 접속하며 발생되는 HTTP 헤더를 비교하여 불법 침입자의 원래 위치를 파악하고 원래 위치를 추적하며, 게시판, 자료실, 채팅등 인터넷 상에서 사용자의 정보를 인증 및 근거 자료로 사용하는 곳에 자신의 정보를 은닉한 사용자가 접속 못하도록 하는 웹 에이전트를 이용한 불법 침입자의 추적 및 접근자 인증 시스템에 관한 것이다.

Description

웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증 시스템과 그 방법{Cracker tracing and certification System Using for Web Agent and method thereof }
본 발명은 통신매체를 이용한 통신 상의 보안분야에 관한 기술로서 세부적으로 인터넷 상의 불법 침입자의 증거자료 확보와 추적, 게시판, 자료실, 채팅등 인터넷 상에서 사용자의 정보를 인증 및 근거 자료로 사용하는 곳에 자신의 정보를 은닉한 사용자가 접속 못하도록 하는 인증 시스템에 관한 것이다.
종래의 불법 침입자를 차단하고, 침입을 탐지하는 기술로는 불법 침입자의 침입을 알려주는 침입탐지시스템(IDS)이나 불법 침입자의 접근을 막아주는 방화벽(Firewall)시스템 등의 보안시스템이 있다. 방화벽과 침입탐지 시스템은 공통적으로 네트워크 상의 패킷을 분석한 정보를 바탕으로 수행되므로 웹을 통해 자기 정보를 은닉하여 들어오는 불법 침입자의 원천적인 위치가 아닌 하이퍼 텍스트 전송 프로토콜 (이하 HTTP라고 부름;HyPerText Transfer Protocol)의 정보만을 파악 할 수 있다.
또한, 현재 모든 웹 서버의 접근기록도 HTTP의 정보를 추출하여 사용하므로 프락시 서버나 중간경유지를 이용하여 접근하면 불법 침입자의 원천위치 정보가 아닌 프락시 서버나 중간 경유지의 위치 정보가 웹 서버에 남게 된다. 이러한 정보를 이용하여 불법 침입자를 추적하면 중간경유지나 프락시 서버까지의 위치밖에 알 수 없으며, 비록 중간 경유지를 알았다고 하더라도 추적에는 많은 비용과 시간이 소요된다.
게시판이나 자료실등 웹 상에서 사용자의 정보를 근거 자료로 사용하는 곳에서 불법적인 내용이나 글을 올리는 사람들은 자기 정보를 은닉하는 습성이 있으며, 자기정보를 프락시 서버를 이용해 은닉하여 글을 게재하거나 자료를 올린다면 HTTP의 정보가 기록되므로 사용자의 원천 위치를 알 수 없다. 아울러 웹 상의 채팅시스템에서도 다른 프락시 주소를 반복하여 하나의 채팅방에 계속 다른 접근자로 위장하여 들어가게 될 수 도 있는 문제점이 생긴다.
따라서 본 발명은 이러한 문제점 해결을 위해 사용자의 화면에 보여지는 웹페이지내에 에이전트(Agent)를 탑재하여 사용자가 모르게 에이전트 서버에 사용자의 정보를 전송하며, 전송된 정보와 사용자 접근시 발생되는 HTTP 헤더 정보를 비교하여 불법 침입자의 위치 정보와 중간 경유지를 탐지하고 추적할 수 있고 이러한 원리를 이용하는 인증 시스템에 대한 것이다.
본 발명의 시스템은 접근자의 웹브라우져에 자동 다운로드 되는 기능을 가진 자바 애플릿을 이용하여 에이전트를 만들고, 에이전트 내에 소켓을 이용한 통신의 원리를 첨가하여 에이전트 서버 내에 접근자의 정보를 전달한다. 이러한 에이전트로부터 받은 접근자 정보와 불법 침입자의 웹서버 접근으로부터 발생되는 HTTP 헤더의 정보를 비교하여 자신의 위치를 은닉한 불법침입자의 원천 위치를 파악하여 추적할 수 있고, 중간경로의 위치를 파악할 수 있다. 또한 에이전트로부터 받은 정보를 자료실, 게시판에 사용하여 부정한 글이나 자료를 올린 사용자의 추적자료로 사용할 수 있으며, 중간 경유지를 이용하여 자기정보를 은닉하는 사람은 사용하지 못하도록 할 수 있다. 아울러, 웹 기반 채팅에서 채팅에 접근 할 수 없는 사용자가 프락시 주소를 반복하여 하나의 채팅방에 계속 다른 접근자로 위장하여 들어갈 수 있는 문제점을 에이전트의 정보를 이용하여 접근자의 원천 위치를 파악 할 수 있으므로 상기의 문제점을 명쾌하게 해결할 수 있다.
도 1은 웹 에이전트를 이용한 불법 침입자 추적 및 인증시스템의 흐름도.
도 2는 에이전트가 포함된 웹 페이지로 자동 연결하는 웹 페이지 소스.
도 3은 에이전트가 포함된 웹 페이지 소스.
도 4는 도 3의 내용이 실행되어 실제 접근자의 화면에 나타나는 페이지 예시도.
도 5는 웹 페이지 내에 포함된 에이전트 소스.
도 6은 웹 서버 접근자의 접근 증거 자료를 저장하는 데이터 저장 흐름도.
도 7은 웹 서버 접근자의 접근 정보를 나타내는 웹 페이지.
도 8은 에이전트로부터 전달된 접근자 컴퓨터 정보
도 9는 접근자의 위치정보
도 10은 에이전트로부터 얻은 접근자 위치 정보와 HTTP 헤더로부터 얻은 접근자 위치정보.
도 11은 프록시를 이용해 웹 서버에 접근한 리스트를 보여주는 웹페이지.
도 12는 Apache 웹서버의 접속 로그
도 13은 Apache 웹서버의 에러 로그
도 14는 Internet Explorer의 LAN 설정을 이용해 프록시 서버를 사용하도록 하는 그림.
도 15는 프록시 서버를 통해 게시판에 글을 쓸 때 글쓴곳의 기록이 프록시 서버의 주소로 남는 모습을 보여주는 예시도.
도 16은 에이전트와 HTTP 헤더로부터 얻은 접근자 위치 정보와 사용자 입력값을 이용해 사용자를 인증해 주는 흐름도
<도면의 주요부분에 대한 부호의 설명>
1 : 불법 침입자의 웹 서버 접근, 인증
2 : 에러로그 기록
3 : 에이전트를 에러 페이지에 삽입
4 : 에이전트로 부터의 불법 침입자 정보
5 : 에이전트 정보를 이용한 불법 침입자 추적
본원 명세서에 있어서, 양호한 실시예 뿐만 아니라, 추가의 목적 및 효과들은 첨부한 도면을 참조하여 이하의 발명의 상세한 설명 및 실시예의 설명을 통해서보다 명확히 이해할 수 있을 것이다.
본 발명은 웹 서버의 페이지 내에 에이전트를 탑재하여, 웹서버 접근자의 위치를 나타내는 위치 표시 수단과, 상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 수단과, 자신의 정보를 은닉하여 상기 웹 서버에 접근하는 불법 침입자를 찾아내는 탐지 수단으로 이루어진 웹 에이전트를 이용한 불법 침입자 추적 시스템에 대한 것이다. 여기서, 상기 에이전트는 웹 서버 접근자의 정보를 에이전트 서버로 보낼 수 있는 프로그램을 포함하고, 또한, 상기 비교 수단으로부터 프록시 서버 사용 리스트를 획득하는 것을 더 포함할 수 있고, 자신의 정보를 은닉하여 웹 서버에 접근하는 접근자를 차단하는 웹 서버를 더 포함할 수도 있다. 다른 실시예로서는 비교 수단의 결과를 사용하는 해커 유인 수단을 더 포함하여 구성할 수도 있다.
상기에서 위치 표시 수단은 인터넷 주소로서 표시된 수단이 하나의 예가 될 수 있다. 또한, 상기에서 비교수단은 HTTP 헤더에 포함되어 있는 접근자의 인터넷 주소 및 호스트 이름과 에이전트로 부터 전송된 접근자의 인터넷 주소 및 호스트 이름을 비교하는 수단을 의미한다.
상기 탐지 수단은 연속적으로 웹서버의 에러 페이지를 유발시키며, 웹 서버의 취약점을 분석하는 접근자는 데이터베이스에 기록된 에러로그를 바탕으로 일정 시간 연속적인 에러를 발생시킨 인터넷 어드레스를 검색하고, 이렇게 검색된 인터넷 주소의 웹서버 접근 URL을 이용하여 웹서버의 어떤 취약점을 공격하려 했는지 탐지하는 수단을 의미한다.
본 발명의 또 다른 예는 웹 서버의 페이지 내에 에이전트를 탑재하여, 웹 서버 접근자의 위치를 나타내는 위치 표시 수단과, 상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 수단과, 상기 비교 수단의 비교 결과를 이용하여 접근자에게 인증을 부여하는 인증 수단으로 이루어진 웹 에이전트를 이용한 접근자 인증 시스템으로 구성할 수 있다. 여기서, 상기 인증 수단은 접근자의 정보를 이용하여 접근 하고자 하는 컴퓨터 시스템에 접근이 가능한지 가능하지 않은지를 판단하는 것이다. 또한, 상기 비교 수단으로부터 얻은 결과는 자료실과 게시판, 대화방에서 사용자의 정보를 인증 자료로 사용할 수 있다.
구체적으로 도면을 사용하여 설명하면 다음과 같다.
도 1을 참조하면, 시스템의 구성은 도 1의 1과 같이 해킹을 시도하는 불법 침입자가 프락시 서버(Proxy Server)나 우회 경로 또는 일반적인 경로를 통해 웹 서버에 접근하게 된다. 불법 침입자는 웹기반의 취약점을 알아내기 위해 크랙 프로그램이나 취약성 분석 또는 임의의 특정 문자를 웹 브라우져의 주소입력 부분에 첨가하게된다. 이때 에러가 발생되게 되며, 이러한 에러 정보를 도 1의 2와 같이 데이터 베이스에 저장한다. 에러 정보 저장은 웹서버의 에러로그와 무관하게 해킹을 시도하는 불법침입자의 HTTP 헤더를 분석하여 저장하게 된다.
다음 절차로는 도1의 3과 같이 에러로그 페이지를 불법침입자에게 보여주고, 이때 에이전트를 에러 출력 페이지에 포함하여 자동으로 불법침입자의 웹 브라우져로 다운로드 된다. 다운로드 된 에이전트는 도 1의 4와 같이 접근자 정보를 에이전트 서버에 보낸다. 이러한 정보는 기존에 웹 서버에 접근할 때 데이터 베이스에 저장되었던 HTTP 정보와 비교하게 되고, 도 6의 비교 루틴과 같이 에이전트에게 받은 정보 중에 아이피와 호스트 주소를 웹페이지 접근시 발생된 HTTP내의 아이피와 호스트 정보와 비교한다. 비교 값이 틀리다면 프록시나 중간 경유지를 경유하여 자신의 위치를 숨기고 접근한 것이므로 이러한 접근자들을 블랙리스트로 기록한다. 상기 정보를 이용해 기존 웹 서버와 침입탐지 시스템, 방화벽이 웹을 이용한 불법 침입자의 원천 위치 파악을 감지하지 못하는 문제점을 해결하고 불법침입자의 원천 위치를 도 1의 5와 같이 추적 할 수 있는 것이다.
보다 구체적으로 구성을 살펴보면 상기의 목적을 달성하기 위하여 첫째, 웹서버의 에러 페이지 부분을 수정하게 된다. 이러한 이유는 웹서버의 해킹을 위해 웹 서버의 취약점을 분석하는 과정 중 에러를 유발하거나 웹 페이지에 연동되는 PHP(Personal Home Page), CGI(Common Gateway Interface), ASP(Active Server Page), JSP(Java Server Page) 등의 취약점과 버그를 이용하기 위해 접근 위치에 옵션을 추가할 때 에러를 발생하기 때문이다. 대표적인 웹서버인 IIS와 Apache가 있으며, IIS 서버의 에러페이지 설정 경로는 인터넷 정보 서비스 중 웹 사이트의 등록 정보에 사용자 정의 오류를 수정하여 에러 페이지의 디렉토리를 설정해 주면 된다.
Apache Server 의 경우 /apache/htdocs/conf/ 경로 밑의 httpd.conf에서 에러페이지에 대한 경로 설정을 해주면 되고, 다른 모든 웹 서버의 경우도 에러페이지 환경 설정을 첨가해 주면 된다. 또는 인증 시스템이나 게시판 자료실등에 사용하고자 한다면 인증 페이지나 게시판, 자료실의 첫 페이지에 에이전트를 삽입하면 된다. 에러페이지의 형태는 도 2의 에러페이지 형태로 모든 에러에 대한 에러페이지가 대치되고, 에러페이지의 제목은 도 2처럼 자신의 에러페이지 번호를 타이틀로 설정하고, 접근 위치 정보를 에이전트 서버의 에러 페이지 파일로 전달한다.
도 2를 참조하여 설명하면, 도 2의 HTML 에러페이지는 도 2의 3번 설명부분처럼 자바 스크립트 명령어에 의해 자동으로 연결되고 도 3의 페이지로 연결되고 자바 애플릿(Java Applet)으로 만들어진 에이전트가 탑재된 도 3의 JSP 에러페이지는 불법 침입자의 컴퓨터로 전송된다.
도 3의 자바 애플릿으로 만들어진 에이전트는 불법침입자의 컴퓨터로 자동으로 다운로드 되고, 소켓을 열어 자신의 위치를 에이전트 서버로 전송한 후 바로 사라진다. 에러페이지에 포함된 에이전트가 웹 서버 접근자에게 자동으로 다운로드 되는 이유는 자바 애플릿이 접근자의 컴퓨터로 다운로드되어 웹 브라우져의 JVM에 위해 자동으로 실행되는 속성 때문이며, 에이전트가 바로 사라지는 이유는 에이전트 자체의 프로그램을 다운로드된 컴퓨터의 위치 정보를 에이전트 서버로 보낸 후 바로 프로세스(Process)가 종료되도록 프로그램 했기 때문이다.
여기서, 불법 침입자의 웹 브라우져로 다운로드 된 에이전트는 웹 브라우져의 화면상에 보이는 에러페이지에 포함되어 외부로 아무 행동이나 내용이 도 4와 같이 에러 내용만 출력될 뿐 사용자에게 보이지 않으므로 불법 침입자는 에이전트를 인지하지 못한다. 웹 서버 접근자가 에러를 유발시키면 에러 페이지가 웹 브라우져에 나타나게 되는데, 이때 에이전트에 의해 접근자의 인터넷 주소와 호스트 이름이 에이전트 서버로 전송되게 된다. 에이전트 서버는 에이전트로부터 전송된 데이터와 함께 HTTP 헤더로부터 얻은 접근자 인터넷 주소, 호스트이름을 데이터 베이스에 기록하게 된다.
이때, 도 6의 비교 루틴과 같이 에이전트로부터 받은 아이피와 호스트 이름, HTTP 헤더로부터 얻은 접근자의 아이피와 호스트이름을 비교하여 틀리다면 웹 서버로 접근한 사용자는 자신의 위치를 은닉하고 접근한 사용자로 판명한다. 자신의 정보를 은닉하고 접근한 사용자는 블랙리스트로 데이터 베이스에 저장되어 도 10과 같이 관리자에게 보여지게 된다.
여기서, 인터넷 주소가 위치 표시의 수단이 되며, HTTP 헤더에 포함되어 있는 접근자의 인터넷 주소와 호스트 이름 과 자바 애플릿으로 작성된 에이전트로 부터 전송된 접근자의 인터넷 주소와 호스트이름이 비교수단이 되어, 두 값을 JSP 서버단의 자바(JAVA) 프로그램에서 비교하여 동일하면 중간 경유지와 프록시 서버의 경유를 하지 않은 접근자로 판단하고, 틀리다면 중간경유지나 프록시 서버를 경유하여 웹서버에 접근한 것으로 판단하여 비교수단을 이룬다.
또한 연속적으로 웹서버의 에러 페이지를 유발시키며, 웹 서버의 취약점을 분석하는 접근자는 데이터베이스에 기록된 에러 로그를 바탕으로 일정 시간 연속적인 에러를 발생시킨 인터넷 어드레스를 검색하고, 이렇게 검색된 인터넷 주소의 웹서버 접근 URL을 이용하여 웹서버의 어떤 취약점을 공격하려 했는지 판단할 수 있으며, 이러한 접근자의 위치를 파악하기 위해 웹서버 접근시 발생한 HTTP 정보를 이용하여 접근자의 운영체제정보와 웹브라우져 정보를 도 9와 같이 추출 할수 있고에이전트로 부터 에이전트 서버로 전달된 인터넷 주소를 토대로 WHOIS 서비스를 통해 접근자의 인터넷 주소가 어디어 위치하고있는지를 도 10과 같이 파악 할 수있다.
웹 서버에 에러를 유발시키는 모든 접근자는 연속되는 에러 번호와 접속일 접속시간, 접근자 아이피, 접근자 호스트 이름, 에러번호, 접근 위치, URL 옵션, 접근 자의 웹 브라우져, 접근자의 운영체제 정보가 데이터베이스에 기록되어 관리자에 의해 도 7과 같이 보여지게 된다. 이때 모든 페이지에 에이전트를 탑재하지 않은 이유는 서비스되고 있는 웹서버의 각 페이지를 변형시키지 않으며, 웹 서버의 성능에 부하를 절감하고, 정상적인 접근자가 아닌 불법 접근자의 위치와 접근 위치만이 추적에 필요한 자료이기 때문이다. 에러 정보는 현재 웹 서버의 어떠한 취약점을 많이 공격하였으며, 어느 파일과 디렉토리를 많이 접근하였는가에 대한 정보를 제공한다.
에러 페이지에 포함된 에이전트는 도 5와 같이 소켓을 이용하여 에이전트 서버와 통신하게 된다. 에이전트는 접근자의 인터넷 주소와 호스트 이름을 JAVA로 만들어진 에이전트 서버에 전송하며, 전송된 데이터는 JDBC를 통해 JDBC 드라이버를 지원하는 데이터베이스로 보내지게 된다. 연속적으로 웹서버의 에러 페이지를 유발시키며, 웹 서버의 취약점을 분석하는 접근자는 HTTP 헤더로부터 얻은 웹 브라우져 정보와 운영체제 정보, 에이전트로부터 얻은 인터넷 주소와 호스트 이름을 통해 해킹의 증거자료와 추적 자료가 되어 도 8과 도 9와 같이 관리자에게 보여지게 된다.
본 발명은 예시 및 설명의 목적을 위해 개시하고 있지만, 전술한 실시예의형태로 제한하고자 하는 것은 아니다. 당업자라면 다수의 변형 및 수정이 가능함을 이해할 수 있을 것이다. 본 발명은 전술한 양호한 실시예에 대하여 본 발명의 최상의 원리를 설명하기 위해 선택 및 개시하고 있지만, 당업자라면 본원 발명의 기술적 사상 및 범위를 이탈함이 없이 다양한 변형 및 수정이 가능함을 이해할 수 있을 것이다.
본 발명은 웹을 이용해 해킹을 시도하려는 불법 침입자의 원천 위치를 파악하기 위하여 에이전트를 불법 침입자가 모르게 웹 페이지에 삽입하였다. 에이전트 서버는 에이전트로부터 전송된 접근자 정보와 웹페이지를 접근할 때 발생되는 HTTP 정보를 통해 접근자의 위치를 비교하여, 자신의 위치를 은닉하여 웹서버에 접근하는 불법 침입자의 원천 위치를 파악하고, 웹 서버의 접근 기록이 아닌 도 7과 도 10의 접근 기록을 통해 해킹 증거자료를 확보할 수 있다. 또한 침입탐지 시스템과 방화벽, 웹서버가 도 12와 도 13과 같이 중간경유지로 은닉된 불법 침입자의 위치를 파악하지 못하는 문제점을 본 발명에서 제안한 에이전트의 정보와 HTTP의 정보 비교를 통해 도 10과 같이 해결하였다. 도 13의 웹서버 자체 에러 로그 기록을 보면 프록시 서버의 주소가 기록되었음을 볼 수 있고, 도 10의 "IP" 기록을 보면 에이전트로 부터 전달된 접근자의 원천 위치가 기록되어 있음을 확인 할 수 있다. 도 7의 접근기록은 각 웹 서버에 의존하지 않고 본 개발 시스템을 통해 기록된 접근기록이다.
많은 프록시 서버들이 사용되고 있지만 어는 프록시 서버가 얼마나 사용되고있는지는 알 수 있다. 이러한 문제점을 본 개발 시스템을 통해 도 11과 같이 프록시 서버 리스트만을 획득 함으로써 해결하였다. 도 11과 같이 획득된 프록시 서버 리스트를 통해 어떤 프록시가 사용되고 있으며, 많이 사용되고 있는 프록시 서버는 무엇인지가 파악된다.
아울러, 여러 홈페이지에 접속하여 게시판이나 방명록, 자료실에 불미스런 글이나 자료를 올릴 때, 자신의 인터넷 주소를 감추고 프록시 서버의 인터넷 주소 주소로 올릴 수 있다. 이와 같은 예로, 도 14와 같이 웹 브라우져내에 프록시 서버를 통해 웹서버와 접근하도록 환경 설정을 한다면 도 15와 같이 게시판의 "글쓴곳"의 기록과 도 12의 웹서버 접근 기록은 프록시 서버의 주소를 기록하게 된다. 이러한 기록을 토대로 웹 서버 관리자는 자신의 웹 서버 로그기록으로는 알 수 없는 인터넷 주소를 사용하는 사람이 자료나 글을 올렸기 때문에 더 이상의 정보는 알아내기 힘들다. 도 14와 같이 일본의 인터넷을 프록시 서버를 이용했다면 설령 프록시 서버나 중간 경유지의 관리자 협조하에 접근기록을 추적한다고 해도 많은 시간과 비용이 소요된다.
인터넷의 대화방 중에는 방 관리자에 의해 인터넷 주소가 금지 당하면 대화를 할 수 없는 기능이 대부분 포함되어 있으며, 대화방 사용자가 프록시 서버를 설정하여 금지된 인터넷 주소를 위장한다면 다시 대화가 가능하다. 이와 같이 프록시 서버를 설정하여 자신의 인터넷 주소가 아닌 프록시 서버의 인터넷 주소를 사용하므로써 금지된 대화방으로 다시 들어 갈 수 있다. 뿐만아니라 인터넷상에 공개된 많은 프록시 서버를 찾아서 대화방에 자신의 인터넷 주소가 금지될 때마다 하나씩이용한다면 계속 대화방 사용이 가능하다. 이처럼 인터넷상의 대화방 중에 중간 경유지를 이용해 자신의 위치를 은닉하여 계속적으로 접근하는 사용자를 본 개발 시스템의 도 16의 인증절차처럼 에이전트와 프록시 위치의 상이한 위치 정보의 특성을 이용하여 인증한다면 접근을 막을 수 있다.

Claims (10)

  1. 웹 서버의 페이지 내에 에이전트를 탑재하여,
    웹서버 접근자의 위치를 나타내는 위치 표시 수단과,
    상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 수단과,
    자신의 정보를 은닉하여 상기 웹 서버에 접근하는 불법 침입자를 찾아내는 탐지 수단으로 이루어진 웹 에이전트를 이용한 불법 침입자 추적 시스템.
  2. 제 1항에 있어서,
    상기 에이전트는 웹 서버 접근자의 정보를 에이전트 서버로 보낼 수 있는 프로그램을 포함하는 웹 에이전트를 이용한 불법 침입자 추적 시스템.
  3. 제 1항에 있어서,
    상기 비교 수단으로부터 프록시 서버 사용 리스트를 획득하는 것을 더 포함하는 웹 에이전트를 이용한 불법 침입자 추적 시스템.
  4. 제 3항에 있어서,
    자신의 정보를 은닉하여 웹 서버에 접근하는 접근자를 차단하는 웹서버를 더 포함하는 웹 에이전트를 이용한 불법 침입자 추적 시스템.
  5. 제 3항에 있어서,
    상기 비교 수단의 결과를 사용하는 해커 유인 수단을 더 포함하는 웹에이전트를 이용한 불법 침입자 추적 시스템.
  6. 웹 서버의 페이지 내에 에이전트를 탑재하여,
    웹서버 접근자의 위치를 나타내는 위치 표시 단계와,
    상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 단계와,
    자신의 정보를 은닉하여 상기 웹 서버에 접근하는 불법 침입자를 찾아내는 탐지 단계로 이루어진 웹 에이전트를 이용한 불법 침입자 추적 방법.
  7. 웹 서버의 페이지 내에 에이전트를 탑재하여,
    웹서버 접근자의 위치를 나타내는 위치 표시 수단과,
    상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 수단과,
    상기 비교 수단의 비교 결과를 이용하여 접근자에게 인증을 부여하는 인증수단으로 이루어진 웹 에이전트를 이용한 접근자 인증 시스템.
  8. 제 6항에 있어서,
    상기 인증 수단은 접근자의 정보를 이용하여 접근 하고자 하는 컴퓨터 시스템에 접근이 가능한지 가능하지 않은지를 판단하는 것인 웹 에이전트를 이용한 접근자 인증 시스템.
  9. 제 6항에 있어서,
    상기 비교 수단으로부터 얻은 결과는 자료실과 게시판, 대화방에서 사용자의 정보를 인증 자료로 사용할 수 있는 것인 웹 에이전트를 이용한 접근자 인증 시스템.
  10. 웹 서버의 페이지 내에 에이전트를 탑재하여,
    웹서버 접근자의 위치를 나타내는 위치 표시 단계와,
    상기 위치 표시 수단에서의 위치와 상기 웹 서버에 접근할 때 발생되는 HTTP 정보로부터 얻은 접근자의 정보를 비교하는 비교 단계와,
    상기 비교 수단의 비교 결과를 이용하여 접근자에게 인증을 부여하는 인증단계로 이루어진 웹 에이전트를 이용한 접근자 인증 방법.
KR1020010027537A 2001-05-09 2001-05-09 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법 KR100615470B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020010027537A KR100615470B1 (ko) 2001-05-09 2001-05-09 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
CN01812210A CN1440530A (zh) 2001-05-09 2001-12-12 黑客跟踪系统和方法,以及验证系统和使用此系统的方法
US10/312,894 US20030172155A1 (en) 2001-05-09 2001-12-12 Cracker tracing system and method, and authentification system and method of using the same
JP2002588402A JP2004520654A (ja) 2001-05-09 2001-12-12 クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法
PCT/KR2001/002150 WO2002091213A1 (en) 2001-05-09 2001-12-12 Cracker tracing system and method, and authentification system and method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010027537A KR100615470B1 (ko) 2001-05-09 2001-05-09 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20010078887A true KR20010078887A (ko) 2001-08-22
KR100615470B1 KR100615470B1 (ko) 2006-08-25

Family

ID=19709684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010027537A KR100615470B1 (ko) 2001-05-09 2001-05-09 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법

Country Status (5)

Country Link
US (1) US20030172155A1 (ko)
JP (1) JP2004520654A (ko)
KR (1) KR100615470B1 (ko)
CN (1) CN1440530A (ko)
WO (1) WO2002091213A1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR20030033713A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 방어 및 공격모드 자동 설정시스템과 그설정방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100608210B1 (ko) * 2004-02-25 2006-08-08 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR100667304B1 (ko) * 2004-09-03 2007-01-10 인터리젠 주식회사 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6836801B1 (en) * 2000-10-12 2004-12-28 Hewlett-Packard Development Company, L.P. System and method for tracking the use of a web tool by a web user by using broken image tracking
CN1650598A (zh) * 2002-03-18 2005-08-03 松下电器产业株式会社 Ddns服务器、ddns客户终端和ddns系统以及万维网服务器终端、其网络系统和访问控制方法
US20070011744A1 (en) * 2005-07-11 2007-01-11 Cox Communications Methods and systems for providing security from malicious software
US8601159B2 (en) * 2005-09-27 2013-12-03 Microsoft Corporation Distributing and arbitrating media access control addresses on ethernet network
US8176568B2 (en) 2005-12-30 2012-05-08 International Business Machines Corporation Tracing traitor coalitions and preventing piracy of digital content in a broadcast encryption system
CN101014047A (zh) * 2007-02-06 2007-08-08 华为技术有限公司 一种定位多媒体子系统网络攻击来源的方法、装置及防攻击系统
KR100960111B1 (ko) * 2008-07-30 2010-05-27 한국전자통신연구원 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
CN104301302B (zh) * 2014-09-12 2017-09-19 深信服网络科技(深圳)有限公司 越权攻击检测方法及装置
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
CN110858173B (zh) * 2018-08-23 2024-05-28 北京搜狗科技发展有限公司 一种数据处理方法、装置和用于数据处理的装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6300863B1 (en) * 1994-11-15 2001-10-09 Absolute Software Corporation Method and apparatus to monitor and locate an electronic device using a secured intelligent agent via a global network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
JP3165366B2 (ja) * 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5805801A (en) * 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
US6119165A (en) * 1997-11-17 2000-09-12 Trend Micro, Inc. Controlled distribution of application programs in a computer network
KR20000002671A (ko) * 1998-06-22 2000-01-15 이동우 시큐리티시스템을이용한소프트웨어의불법사용감시방법및그시스템
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6735702B1 (en) * 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US6442696B1 (en) * 1999-10-05 2002-08-27 Authoriszor, Inc. System and method for extensible positive client identification
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR100369414B1 (ko) * 2000-10-25 2003-01-29 박지규 트로이형 감시프로그램이 기록된 기록매체 및 트로이형감시프로그램을 이용한 인터넷 온라인 감시 및 인증 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR20030033713A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 방어 및 공격모드 자동 설정시스템과 그설정방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100608210B1 (ko) * 2004-02-25 2006-08-08 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR100667304B1 (ko) * 2004-09-03 2007-01-10 인터리젠 주식회사 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버

Also Published As

Publication number Publication date
CN1440530A (zh) 2003-09-03
JP2004520654A (ja) 2004-07-08
KR100615470B1 (ko) 2006-08-25
WO2002091213A1 (en) 2002-11-14
US20030172155A1 (en) 2003-09-11

Similar Documents

Publication Publication Date Title
KR100615470B1 (ko) 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
US6907533B2 (en) System and method for computer security using multiple cages
JP5254656B2 (ja) ドライブバイ・ファーミングに対するリファラーチェックを介したクライアント側の保護
US9501639B2 (en) Methods, systems, and media for baiting inside attackers
US8601586B1 (en) Method and system for detecting web application vulnerabilities
US20020162017A1 (en) System and method for analyzing logfiles
US6981155B1 (en) System and method for computer security
US9055093B2 (en) Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US7461402B1 (en) System and method for preventing detection of a selected process running on a computer
US7117532B1 (en) System and method for generating fictitious content for a computer
US20070220605A1 (en) Identifying unauthorized access to a network resource
US20050188215A1 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
Giani et al. Data exfiltration and covert channels
Adida Beamauth: two-factor web authentication with a bookmark
CN105939326A (zh) 处理报文的方法及装置
CN111770104A (zh) web漏洞检测方法、系统、终端、计算机可读存储介质
Kaur et al. Browser fingerprinting as user tracking technology
KR100577829B1 (ko) 웹 접속자 위치 추적 시스템 및 그 추적 방법
Jayasekara Security operations & incident management: Case study analysis
KR20240031897A (ko) 피싱 공격 방지 방법, 이를 수행하는 기록매체 및 장치
KR20050003555A (ko) 전자적 침해에 대한 웹 서버 보안 방법
CN115865473A (zh) 反向代理钓鱼攻击防御方法、装置、设备及介质
Ismail Alarm aggregation architecture for identifying one way XSS attacks
Flick FYRM Associates matt. flick@ fyrmassociates. com
Barish Windows Forensics: A Case Study, Part One

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee