KR20050003555A - 전자적 침해에 대한 웹 서버 보안 방법 - Google Patents

전자적 침해에 대한 웹 서버 보안 방법 Download PDF

Info

Publication number
KR20050003555A
KR20050003555A KR1020030042458A KR20030042458A KR20050003555A KR 20050003555 A KR20050003555 A KR 20050003555A KR 1020030042458 A KR1020030042458 A KR 1020030042458A KR 20030042458 A KR20030042458 A KR 20030042458A KR 20050003555 A KR20050003555 A KR 20050003555A
Authority
KR
South Korea
Prior art keywords
web
attack
address
web server
accessor
Prior art date
Application number
KR1020030042458A
Other languages
English (en)
Inventor
양성현
오희수
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020030042458A priority Critical patent/KR20050003555A/ko
Publication of KR20050003555A publication Critical patent/KR20050003555A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 기존의 침입탐지시스템(IDS)을 웹 서버 환경에 특화시켜 적용시켜 공격의 탐지, 차단 및 경고를 수행하는 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 웹 서버가 접속자로부터 공격으로 판단되는 웹 접속 요청을 받아 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 1 단계; 상기 웹 서버가 상기 웹 접속 요청에 따라 획득되는 상기 접속자의 정보를 저장 관리하는 제 2 단계; 상기 접속자의 웹 접속 요청에 대한 응답으로 전달할 에러/경고 메시지를 생성하는 제 3 단계; 및 상기 접속자의 웹 브라우저에서 상기 에러/경고 메시지를 볼 수 있도록 생성된 상기 웹 접속 요청에 대한 응답 메시지를 전달하는 제 4 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 웹 보안 서비스 등에 이용됨.

Description

전자적 침해에 대한 웹 서버 보안 방법{Method for Protecting Web server from hacking}
본 발명은 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 악의적인 공격자가 웹 서버에 대한 전자적 침해(hacking)을 시도할 경우 이를 탐지하여 공격을 차단하고, 또한 공격자의 아이피(IP : Internet Protocol) 주소를 기록하여 실시간 혹은 사후 역추적을 하기 위한 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
즉, 본 발명은, 전자적 침해 공격이 웹서버의 서비스에 웹브라우저를 이용하여 접근하는 방식으로 많이 이루어지며 또한 프록시(proxy)를 이용하여 추적을 피하고 있는 경향을 띠고 있는데, 이러한 환경을 전제로 하여 침입 탐지와 방어를 수행하고, 또한 프록시(proxy)를 통한 접근에 대해서도 원천 공격자의 IP 주소(address)를 추적하는 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
종래의 다양한 보안 제품들이 공격에 대한 탐지와 추적 기능을 가지고 있지만, 공격자가 프록시(proxy)를 경유해서 공격을 시도할 경우에 프록시(proxy) 뒷단의 원천 공격지 추적을 자동화하기는 매우 어려운 문제점이 있었다.
기존의 기술로서는, 공격의 경로가 되는 위치에 적절한 네트워크 보안 에이전트(agent)를 설치하여 각 경로별 역추적을 시도하는 방안이 제시되었으나, 전세계적으로 널리 분포된 네트워크에서 침해 경로가 될 가능성이 있는 모든 네트워크의 경로에 에이전트(agent)를 설치할 수 없으므로 현실성이 없었다.
또한, 공격받는 위치에서 최종단 프록시(proxy)를 탐지하고, 해당 프록시(proxy) 서버에서 다시 접속 경로를 추적하는 방식을 이용할 수 있지만 이는 프록시(proxy) 서버에 물리적 접근 권한을 가지고 로그 자료를 별도로 분석해야 하므로, 실시간으로 자동화할 수 없다는 문제점이 있었으며, 다만, 이러한 방식은 사후 범죄 수사의 방안으로 이용할 수 있었다. 즉, 일반적인 인터넷 네트워크 구성상 프록시(proxy)를 거쳐서 접속해 오는 공격자의 IP 주소(address)를 실시간으로 추적하는 것은 불가능하다는 문제점이 있었다.
다시 한 번 종래기술의 문제점을 살펴보면 다음과 같다.
기존의 다양한 보안 제품들이 각종 전자적 침해로부터 네트워크와 호스트 등 정상 서비스를 보호하고 있었다. 방화벽이나 침입탐지 시스템 등이 대표적인 제품이다.
그러나, 정상적인 서비스를 위해 서비스 포트는 연결을 허용해야 하며, 최근 상당히 많은 인터넷 기반 서비스가 웹 기반으로 이루어지고 있고 이에 따라 웹 서버 기반 서비스가 접속을 허용하는 경우가 많으며, 따라서 웹 서버 기반 서비스에 대한 전자적 침해, 즉 웹 해킹(web hacking)이 증가하고 있는 추세이다.
그렇지만, 공격자가 프록시(proxy)를 이용하여 자신의 네트워크 상의 위치를 숨기고 공격을 했을 경우, 네트워크 역추적에 의한 실시간 공격 위치 파악은 매우 어렵다는 문제점이 있었다. 기존의 기술로서는, 공격의 경로가 되는 위치에 적절한네트워크 보안 에이전트(agent)를 설치하여 각 경로별 역추적을 시도하는 방안이 제시되었으나, 전세계적으로 널리 분포된 네트워크에서 침해 경로가 될 가능성이 있는 모든 네트워크의 경로에 에이전트(agent)를 설치할 수 없으므로 현실성이 없었다.
또한, 공격받는 위치에서 최종단 프록시(proxy)를 탐지하고, 해당 프록시의 서버에서 다시 접속 경로를 추적할 수도 있지만 이를 위해서는 프록시 서버(proxy server)에 대한 접근 권한을 가지고 있어야 하며, 로그를 면밀히 검토해야 하므로 이는 실시간으로 자동화할 수 없고 사후 범죄 수사의 방안으로 이용할 수 있는 방안이라는 한계점이 있었다. 즉, 일반적인 인터넷 네트워크 구성상 프록시(proxy)를 거쳐서 접속해 오는 공격자의 IP 주소(address)를 실시간으로 추적하는 것은 불가능하다.
또한, 공격을 탐지하는 기존의 기술로는 침입탐지시스템(IDS : Intrusion Detection System)가 있으며, 이는 네트워크(network) 기반 IDS와 호스트(host) 기반 IDS 제품이 있다. 양 제품의 시스템 적용 환경과 기능의 차이가 있으나, 기본적으로 공격의 패턴을 규칙화하여 가지고 있는 상태에서 외부에서 접근하는 네트워크 패킷에 공격 패턴이 나타날 경우 공격으로 탐지하는 기능을 침입탐지 시스템의 주요 기능으로 가지고 있다.
기존의 IDS는 소극적으로는 탐지에만 그치며, 적극적으로는 방화벽과 연동하여 해당 공격을 차단하는 기능을 가지고 있는 경우도 있다. 그러나, 네트워크 기반의 다양한 공격에 있어서 공격자에게 적절한 경고 메시지를 줄 수 있는 방안이 없으며, 적극적인 공격으로 판단하기 힘든 포트 스캐닝 등에 대해서는 적극적인 차단을 일반적으로 수행하지 않는 문제점이 있었다.
정리하면, 종래의 전자적 침해 대비 보안 기술은 다양한 방법으로 개발되어 적용되고 있으며, 대표적인 보안 장치로 방화벽과 침입 탐지 시스템이 있다. 또한 부가적인 보안 장비가 없는 경우에도 서비스를 제공하는 호스트의 보안 설정을 통해 침해 가능성이 있는 서비스를 차단하기도 한다. 예를 들자면, 최근 대부분의 서비스가 웹 기반으로 이루어지기 때문에 웹 서버 기반의 서비스를 제외한 다른 서비스 포트를 호스트 또는 방화벽에서 차단하는 경우가 많다. 그러나, 이러한 경우에도 웹 서버 자체의 취약점이나 웹 응용 프로그램(application)의 취약점을 공격할 수 있으며, 최근 웹 서비스를 공격하는 전자적 침해(web hacking)가 증가하고 있다는 문제점이 있었다.
종래의 침입탐지시스템(IDS)의 경우, 다양한 유형의 네트워크 및 호스트 공격을 탐지하지만 오탐지가 발생하기도 하며, 적극적인 공격으로 판단하기 힘든 스캐닝의 탐지에 대해서는 적극적인 네트워크 차단을 일반적으로 수행하지 않는다는 문제점이 있었다.
또한, 종래의 침입탐지시스템(IDS)이 침입자의 위치를 공격 IP 주소(address) 추적을 통해 파악하지만, 프록시(proxy) 서버를 경유한 공격의 경우에 종래의 일반적인 탐지방식으로는 프록시(proxy) 서버를 경유한 원천 공격자의 IP 주소(address)를 실시간으로 파악할 수 없다는 문제점이 있었다.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 안출된 것으로, 기존의 침입탐지시스템(IDS)을 웹 서버 환경에 특화시켜 적용시켜 공격의 탐지, 차단 및 경고를 수행하는 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
또한, 본 발명은, 기존의 추적기술에 웹 브라우저에서 수행 가능한 애플릿(applet)을 이용한 호스트(Host) IP 탐지기술을 결합하여 프록시(proxy)를 경유한 접속에 대해서도 원천 공격지를 탐지하는 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 다른 목적이 있다.
즉, 본 발명은, 웹 서버 환경에서 침입탐지 시스템과 연동하여 공격을 탐지하고 차단하며, 공격자에서 적절한 경고 메시지를 주며, 또한 접속자 IP주소를 역추적하되 프록시(proxy)를 거쳐 접속한 사용자에 대해서도 웹 브라우저 환경에서 애플릿(applet)을 이용하여 호스트 IP 주소를 추적할 수 있는 전자적 침해에 대한 웹 서버 보안 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
도 1 은 본 발명이 적용되는 네트워크 시스템의 구성예시도.
도 2 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 있어서 정상적인 웹 접속에 대해서 처리하는 과정을 나타낸 일실시예 설명도.
도 3 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 있어서 공격으로 간주된 웹 접속에 대해서 처리하는 과정을 나타낸 일실시예 설명도.
도 4a 및 도 4b 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 대한 일실시예 흐름도.
*도면의 주요 부분에 대한 부호의 설명
11 : 공격자 컴퓨터 12 : 프록시 서버
13 : 인터넷 14 : 웹 서버
상기 목적을 달성하기 위한 본 발명은, 전자적 침해에 대한 웹 서버 보안 방법에 있어서, 웹 서버가 접속자로부터 공격으로 판단되는 웹 접속 요청을 받아 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 1 단계; 상기 웹 서버가 상기 웹 접속 요청에 따라 획득되는 상기 접속자의 정보를 저장 관리하는 제 2 단계; 상기 접속자의 웹 접속 요청에 대한 응답으로 전달할 에러/경고 메시지를 생성하는 제 3 단계; 및 상기 접속자의 웹 브라우저에서 상기 에러/경고 메시지를 볼 수 있도록 생성된 상기 웹 접속 요청에 대한 응답 메시지를 전달하는 제 4 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은, 프로세서를 구비한 웹 서비스 시스템에, 접속자로부터 공격으로 판단되는 웹 접속 요청을 받아 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 1 기능; 상기 웹 접속 요청에 따라 획득되는 상기 접속자의 정보를 저장 관리하는 제 2 기능; 상기 접속자의 웹 접속 요청에 대한 응답으로 전달할 에러/경고 메시지를 생성하는 제 3 기능; 및 상기 접속자의 웹 브라우저에서 상기 에러/경고 메시지를 볼 수 있도록 생성된 상기 웹 접속 요청에 대한 응답 메시지를 전달하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은 웹 서버를 공격하는 전자적 침해로부터 서비스를 보호하고 공격자를 추적하는 기술에 관한 것으로, 구체적으로 살펴보면, 웹 기반 서비스 환경에서 전자적 침해 공격이 탐지될 경우 이를 차단하여 공격으로부터 정상적인 서비스를 보호하고, 공격자가 프록시 서버(proxy server)를 경유하여 접속한 경우라도 근원 공격지의 IP 주소(address)를 추적할 수 있는 방안을 제안하는 것이다.
정리하여 설명하면, 본 발명은 웹 기반 서비스를 제공하는 경우에, 공격으로 탐지된 패턴으로 유알엘(URL : Uniform Resource Locator)을 이용해 접근을 해 올 경우, 그 공격을 탐지 및 차단하고 공격자에게 경고 메시지를 전달할 수 있으며, 또한 공격자의 위치를 파악하는 데 사용할 수 있다. 공격자가 자신의 IP 주소(address) 위치를 은닉하기 위해 프록시(proxy)를 경유하여 접속한 경우에도 원천 공격 위치를 파악하는데 이용할 수 있다. 그러나, 다양한 네트워크 기반 서비스에서 다양한 유형의 공격에 모두 대응하여, 네트워크 기반의 역추적을 시도하는 것은 아니라는 제한점이 있다.
즉, 본 발명은, 보편적으로 널리 사용되는 웹 기반 서비스에 있어서 전자적 침해 공격 패턴의 탐지와 차단 및 경고의 기능으로 공격 시도를 차단시키고, 또한 시도된 공격에 대해 실시간 추적 기능을 통해 주요 해킹 범죄의 경우 현장 검거가 가능하도록 이용될 수 있다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 네트워크 시스템의 구성예시도이다.
본 발명이 적용되는 네트워크 시스템은, 도면에 도시된 바와 같이, 공격자 컴퓨터(11), 프록시 서버(12), 인터넷(13) 및 웹 서버(14)를 포함한다.
도 1에 도시된 도면은 상술하였던 바와 같이 기존의 침입탐지시스템이 처리하기 어려웠던 공격자 컴퓨터(11)가 프록시 서버(12)의 안쪽에 위치하는 경우와 요즘 널리 활용되고 있으며 공격자의 대상으로 용이한 웹 서버(14)를 포함하고 있다. 본 발명은 이러한 환경에서 전자적 침해에 대응할 수 있도록 하며, 웹 기반의 제한적인 환경에서 공격자의 호스트 아이피 주소(Host IP address)를 직접 탐지하여 전송할 수 있게도 한다.
근래에 방화벽의 보편적 사용과 호스트(host) 보안 관리 강화로, 웹 기반 서비스를 제공하는 호스트(host)의 경우 웹 서버 포트(일반적으로 80)이외의 포트로는 접근이 불가능하도록 처리한 경우가 많다. 따라서, 웹 서버의 접근 가능한 영역을 공격하는 웹 해킹(web hacking)이 최근 전자적 침해의 주류를 이루고 있다.
웹 서버에 대한 서비스 공격의 유형에서 공격자를 파악하는 것은, 웹 브라우저를 이용하여 비정상 URL에 접근을 시도하는 것에 대한 탐지로 가능하다. 예를 들자면, 파일 다운로드를 위한 시지아이(CGI : common gateway interface)에 접근하며, 비정상적으로 상위 디렉토리의 파일에 접근하려는 패턴의 URL이 대표적이다.
이러한 환경에서, 비정상 접속 또는 공격으로 간주할 수 있는 패턴으로 URL에 접근할 경우, 우선 이러한 접근이 직접적으로 웹 응용프로그램에 도달하지 않도록 차단하며, 에러 페이지 또는 경고 메시지를 담은 페이지를 공격자에서 전송하되 해당 페이지에 공격자의 호스트(Host) IP를 얻어 내어 전송할 수 있는 네트워크 기능을 가진 자바 애플릿 에이전트(Java Applet agent)를 전송한다. 공격자가 일반적인 설정을 가진 웹 브라우저를 이용하고 있는 상태로 자바 애플릿(Java applet)이 수행되면, 프록시(proxy) 설정과 무관하게 공격 시스템(11)의 호스트 아이피(Host IP)를 실시간으로 얻어올 수 있다.
따라서, 본 발명은 최근 증가하는 웹 해킹 시도에 대해 공격을 탐지하여 방어/차단하며, 공격으로 탐지된 패턴을 발견했을 경우 프록시(proxy)를 경유한 경우라도 공격자의 호스트(Host) IP를 파악할 수 있는 방법이라 할 수 있다.
도 2 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 있어서 정상적인 웹 접속에 대해서 처리하는 과정을 나타낸 일실시예 설명도이다.
접속자의 웹 브라우저(21)에서 웹 서버(23)에 접근하기 위한 URL을 입력하여 접속 요청이 이루어지는데, 이때에 프록시 (proxy) 서버(22)를 경유한다.
프록시 서버(22)를 경유하는 경우라도 정상적인 웹 접속에서는 중요한 의미를 갖지 않으며, 프록시(proxy) 서버(23)가 배제된 접속도 정상 접속에서는 이와 동일한 처리 과정을 거치게 된다.
웹 서버(23)에서 프록시 서버(22)를 경유한 접속자 웹 브라우저(21)로부터의 접속 요청을 받고, 바로 웹 서버(23)의 침입탐지모듈(231)이 접속 요청을 처리하기 시작한다. 침입탐지 모듈(231)은 접근 URL을 공격 패턴 데이터베이스(DB : database)(24)의 데이터와 비교하여 공격으로 간주되지 않는 정상 접속임을 파악한다.
정상 접속이므로 웹 서버(23)의 일반적인 웹 응용프로그램(25)이 접속자 웹 브라우저(21)로부터의 해당 요청을 처리하여 처리 결과를 웹 브라우저(21)로 전송시킨다.
즉, 침입 탐지 모듈(231)에서 정상 접속인지 공격인지를 판단하여, 정상 접속의 경우 도 2에 도시된 바와 같은 일반적인 웹 서버의 처리 과정을 진행시키는것이다.
도 3 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 있어서 공격으로 간주된 웹 접속에 대해서 처리하는 과정을 나타낸 일실시예 설명도이다.
접속자의 웹 브라우저(31)에서 웹 서버(32)에 접근하기 위한 URL을 입력하여 접속 요청이 이루어지는데, 이때에 접속 위치를 은닉하기 위하여 프록시(proxy) 서버를 경유한다.
도 2에 도시된 바와 같이 프록시(Proxy) 서버(22)를 경유하는 경우는 역추적 에이전트(agent)(34)를 이용하여 원천 공격자의 IP 주소(address)를 추출하는 과정이 중요한 의미를 가지게 되며, 프록시(proxy) 서버를 이용하지 않을 경우에는 직접적으로 에치티티피(HTTP : Hypertext Transfer Protocol) 헤더(header) 정보를 이용하여 접속 위치를 파악할 수 있다.
접속자의 웹 브라우저(31)에서의 웹 접속 요청이므로 웹 서버(32)에서 이를 받으며, 바로 침입탐지모듈(321)이 접속 요청을 처리한다. 침입탐지 모듈(321)은 접근 요청한 URL을 도 2에 도시된 바와 같은 공격 패턴 데이터베이스(24)와 비교하여 공격으로 간주되는 패턴으로 파악한다.
침입탐지 모듈(321)에서의 판단 결과, 공격으로 간주된 접속에 대해서는 일반 웹 응용프로그램에 연결시키지 않고 접속을 차단하며, 접속 HTTP 헤더(header) 정보에서 접속한 IP 주소를 추출하여 공격 기록 데이터베이스(33)에 기록한다(302). 이 기록은 프록시(proxy) 서버를 경유한 경우에는 프록시(proxy) 서버의 IP 주소(address)가 되고, 경유하지 않은 경우에는 직접적인 공격자의 IP주소(address)가 된다.
공격자의 요청에 대해 에러 페이지를 보여주거나 경고 메시지를 웹 브라우저를 통해서 보여주며, 이와 동시에 에러 페이지/경고 메시지 페이지에 자바 애플릿(java applet)으로 구현된 역추적 에이전트(agent)(34)를 웹 브라우저에 전송한다(303). 이때에 역추적 에이전트(34)의 역할은 실제 공격자의 IP 주소를 호스트 기반으로 추출하여 전송하는 역할을 한다.
접속자의 웹 브라우저(31)가 자바 애플릿(java applet) 구동을 허용하는 경우에 호스트 아이피 주소(host IP address)를 추출하여 역추적 정보를 공격 기록 데이터베이스(33)에 기록한다(304).
또한, 호스트 아이피 주소(host IP address)로 사설 IP 주소를 사용하는 경우, 해당 사설 IP 주소(address)는 추적 정보로서 의미가 없으므로 네트워크 패킷의 IP 헤더 정보에서 소스(source) IP 주소를 추출하여 기록하며, 엔에이티(NAT : network address translator) 장비의 IP 주소를 기록한다. 필요에 따라 물리적인 네트워크 카드의 맥(MAC : media access control) 주소를 기록할 수도 있다.
이러한 과정을 거쳐서 웹 기반 서비스 환경에서 침입을 탐지/차단/경고하며 공격자의 IP 주소(address)를 다양한 경로를 통해서 기록한다. 이러한 다양한 추적 경로는 접속자의 네트워크 상황이나 자바 애플릿(java applet) 구동 여부 등에 따라 달라지지만, 직접적인 HTTP 헤더(header)/호스트 아이피 주소(host IP address)/사설 IP 환경에서의 NAT IP 주소(address) 등과 같이 다양한 방면의 정보를 기록하여 프록시(proxy) 서버를 경유한 공격에 대해서도 다양한 추적 기록을 실시간으로 확보할 수 있다.
이러한 구성 및 기능을 가지는 본 발명은 웹 기반의 서비스를 공격으로부터 보호하며, 공격 발생 시에 다양한 역추적 정보를 제공해 줄 수 있다.
도 4a 및 도 4b 는 본 발명에 따른 전자적 침해에 대한 웹 서버 보안 방법에 대한 일실시예 흐름도이다.
본 발명은 기존의 침입탐지시스템(IDS)을 웹 서버 환경에 특화시켜 적용시켜 공격의 탐지 및 차단 기능을 하고, 기존의 추적 기술 이외에 웹 브라우저에서 수행 가능한 자바 애플릿(Java applet)을 이용한 호스트(Host) IP 탐지 기술을 결합하여 프록시(proxy)를 경유한 접속에 대해서도 원천 공격지를 탐지하는 방법이다.
본 발명에 따른 방법이 기존의 웹 서버에 적용되었을 때, 공격 탐지 과정과 추적 과정으로 크게 나뉘어 진다.
공격으로 탐지되지 않는 정상 접속의 경우 : 사용자가 웹 브라우저로 URL을 입력하여 서버에 접속하는 과정, 공격 탐지 시스템이 접속한 URL을 분석하는 과정 및 분석 결과 정상 접속으로 판단하여 정상 웹 응용프로그램과 연결해 주는 과정으로 이루어진다.
공격으로 탐지되는 경우 : 사용자가 웹 브라우저로 공격에 해당되는 URL을 입력하여 서버에 접속하는 과정, 공격 탐지 시스템이 접속한 URL을 분석하는 과정, 분석 결과 공격으로 판단하여 공격 처리를 수행하기 위한 준비 과정, HTTP 헤더(header)에서 공격지점 IP 주소(address)를 기록하는 과정(첫번째, 공격 처리 과정), 역추적 에이전트(agent)가 설치된 자바 애플릿(Java applet)을 공격자의 컴퓨터(PC)로 전송시키는 과정(두번째, 공격 처리 과정), 공격자의 컴퓨터에서 정책에 따른 경고 메시지 혹은 단순 에러 메시지를 전송해 주는 과정(세번째, 공격 처리 과정), 공격자의 시스템에서 자바 애플릿 에이전트(Java applet agent)가 작동 가능한 환경일 경우, 전송된 공격자의 호스트(Host) IP를 전송받아 공격 지점을 기록하는 과정(네번째, 공격 처리 과정)으로 이루어진다. 또한, 네번째 공격 처리 과정에서는 공격자가 사설 IP를 사용하는 환경일 경우를 대비하여, 탐지된 호스트(Host) IP뿐 아니라 네트워크 패킷상의 근원(source) IP를 추출 및 기록하여 원천 공격 지점을 파악하는데 활용한다.
이러한 방법은, 첫째, 기존의 IDS 시스템을 웹 환경에 특화하여 적용하며 웹 해킹(web hacking)의 탐지뿐 아니라 방어 기능을 가지게 된 것과 둘째, HTTP 헤더의 IP정보 / 자바 애플릿을 이용한 호스트 IP 직접 추출 / 사설 IP 환경의 경우의 NAT IP address 추출 등 다양한 방식으로 IP 추적을 시도하여 프록시(proxy)가 설정된 상태에서도 공격 근원지를 실시간으로 밝혀 내도록 하고 있다.
이와 같은 본 발명을 도면의 흐름에 따라 살펴보면 다음과 같다.
우선, 웹 서버가 웹 접속 요청을 받는다(401).
그리고, 웹 서버의 침입탐지 모듈이 접근 요청한 URL에 대해 공격 패턴 DB의 데이터와 비교하여(402), 웹 접속 요청이 공격으로 판단되는가를 점검한다(403).
점검 결과, 공격으로 판단되지 않으면, 정상적인 웹 서비스를 웹 접속을 요청한 접속자에게 제공한다(404).
점검 결과, 침입탐지 모듈이 웹 접속 요청에 대해 공격으로 판단하면, 웹 접속이 이루어지지 못하도록 차단하며(405), 웹 접속 요청을 받을 때의 접속 HTTP 헤더(header) 정보에서 접속자의 IP 주소를 추출하여(407), 공격 기록 데이터베이스에 기록한다(407).
그리고, 웹 서버는 접속자에게 전달할 에러/경고메시지 페이지를 생성하면서, 여기에 역추적 에이전트(agent)를 포함시키고(408), 접속자의 웹 접속 요구에 응답하는 메시지로서 에러/경고메시지를 접속자에게 전달한다(409).
그리하여, 웹 브라우저를 통해 접속자에게 에러/경고메시지를 제공한다(410). 이때, 역추적 에이전트는 접속자의 웹 브라우저에서 구동이 가능한가를 검사하여(411), 검사 결과, 구동이 가능하지 않으면 상기 수행한 웹 접속 차단과 HTTP 헤더 정보에서 획득한 접속자의 IP 주소 획득으로 전자적 침해에 대한 웹 서버 보안을 갈음하고, 검사 결과, 구동이 가능하면, 구동된 역추적 에이전트로부터 호스트 아이피 주소(host IP address)를 전달받아 공격 기록 데이터베이스에 기록한다(412).
웹 서버는 역추적 에이전트로부터 전달받은 정보를 바탕으로 접속자가 사설 IP 주소를 사용하는가를 확인하여(413), 사설 IP 주소를 사용하지 않으면 프로세스를 종료하고, 확인 결과, 접속자가 사설 IP 주소를 사용하면, NAT 장비의 IP 주소를 추출하여 공격 기록 데이터베이스에 기록하고(414), 접속자의 물리적인 네트워크 카드의 맥(MAC : media access control) 주소도 추출하여 기록한다(415).
여기서, MAC 주소 추출은 IP 패킷 분석으로 가능할 경우가 있고, 추출이 불가능할 경우가 있다. 따라서, 제시하는 일실시예에 있어서는 추출이 가능한 경우를가정한 것이다.
상술한 바와 같은 본 발명은 최근 대부분의 인터넷 기반 서비스가 채택하고 있는 웹 서버 기반 서비스에 있어서 웹 환경에 특화된 구성 및 방법을 이용하여 공격 탐지와 이에 따른 경고 기능 및 역추적 기능을 수행한다. 또한 탐지된 공격에 대해서는 에러 메시지 혹은 경고 메시지를 응답해 주며, 원천 웹 애플리케이션에 접근하지 못하게 되므로 공격 차단의 기능을 가진다.
또한, 공격을 시도한 위치를 IP 주소(address)를 기반으로 파악하는데 있어서, 최종 접속 네트워크 패킷의 HTTP 헤더(header) 정보나 네트워크 패킷을 이용해 IP 주소를 파악할 수 있으나, 프록시(proxy)를 경유한 경우 원천 접속자의 위치를 파악하지 못하고 프록시(proxy) 서버의 위치까지만 파악되는 것이 종래의 일반적인 모습이었다.
그런데, 본 발명은 공격으로 판단되는 웹 접속에 대해 경고 메시지 혹은 에러 메시지를 띄워주는 웹 페이지를 통해 호스트(host) 기반의 IP 주소(address) 추적을 가능하게 하는 자바 애플릿(java applet)으로 구성된 에이전트(agent)를 전송한다. 이 에이전트(agent)는 웹 브라우저가 자바 애플릿(java applet) 수행을 허용하는 환경일 경우, 호스트 아이피 주소(host IP address)를 추출하여 역추적 관리 시스템 또는 웹 서버로 전송하게 된다. 물론, 이러한 예는, 자바 애플릿(java applet) 수행 허용이라는 환경이 이루어졌을 경우에만 가능한 설정이지만, 대부분의 웹 브라우저가 자바 애플릿(java applet)의 구동을 허용하고 있으므로 특별히 주의깊은 사용자가 아니면 추적이 가능하다. 물론, 이러한 에이전트(agent)가 항상자바 애플릿으로 구현되는 것은 아니면 웹 상에서 이용할 수 있는 다른 형태의 에이전트도 용이하게 이용할 수 있다.
자바 애플릿의 구동을 허용하지 않아 추적이 불가능한 상태에서도 프록시(proxy)를 사용하지 않는 경우는 일반 HTTP 접속 정보로 접속자 IP 주소(address)를 확인할 수 있으므로 다양한 상황에서도 상당 정도의 추적 기능의 구현이 가능하다.
상기한 바와 같은 본 발명에 대해 특징적으로 살펴보면 다음과 같다.
본 발명은, 웹 기반 서비스와 웹 브라우저 접속 환경에서, 웹 브라우저의 접속 요청이 웹 응용프로그램에 접근하기 이전에, 전자적 침해(hacking)로 판단되는 패턴을 탐지하여, 탐지된 공격에 대해서 웹 응용프로그램에 접근하지 못하도록 차단하고 공격자에게 에러 메시지 혹은 경고 메시지를 웹 브라우저로 전송해 주는 방법이다.
또한, 본 발명은, 웹 기반 서비스와 웹 브라우저 접속 환경에서, 전자적 침해로 판단되는 패턴으로 접근하는 공격자의 접근 기록을 남기고, 또한 공격자에게 역추적 에이전트(agent)를 전송하여 프록시(proxy)와 같이 네트워크 경로상 경유지를 거친 공격에 대하여 공격자의 원천 IP 주소(address)를 추적하는 방법이라 할 수 있다.
게다가, 본 발명은, 상기한 설명을 결합하여, 웹 기반 서비스와 웹 브라우저 접속 환경에서, 전자적 침해로 판단되는 접속을 탐지, 차단하고, 역추적을 시도하는 방법이며, 특히, 전자적 침해로 판단된 접속에 대해서 공격자에게 에러 메시지혹은 경고 메시지를 웹 브라우저로 전송하는 과정에서, 자바 애플릿(java applet) 기술로 구현된 에이전트(agent)를 이용하여 공격자의 호스트(host) IP 주소를 추적하는 방법이라 할 수 있다.
정리하면, 본 발명은 웹 기반 서비스를 제공하는 경우에, 공격으로 탐지된 패턴으로 URL 접근을 해 올 경우 그 공격을 탐지 및 차단하고 공격자에게 경고 메시지를 전달할 수 있으며, 또한 공격자의 위치를 파악하는 데 사용할 수 있다. 공격자가 자신의 IP 주소(address) 위치를 은닉하기 위해 프록시(proxy)를 경유하여 접속한 경우에도 원천 공격 위치를 파악하는데 이용할 수 있다. 그러나 다양한 네트워크 기반 서비스에서 다양한 유형의 공격에 모두 대응하여, 네트워크 기반의 역추적을 시도하는 것은 아니라는 제한점이 있다.
즉, 본 발명은, 보편적으로 널리 사용되는 웹 기반 서비스에 있어서 전자적 침해 공격 패턴의 탐지와 차단 및 경고의 기능으로 공격 시도를 차단시키고, 또한 시도된 공격에 대해 실시간 추적 기능을 통해 주요 해킹 범죄의 경우 현장 검거가 가능하도록 이용될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 웹 서버 환경에서 침입탐지 시스템과 연동하여 공격을 탐지하고 차단하며, 공격자에서 적절한 경고 메시지를 주며, 또한 접속자 IP를 역추적하되 프록시(proxy)를 거쳐 접속한 사용자에 대해서도 웹 브라우저 환경에서 자바 애플릿(java applet)을 이용하여 호스트 아이피 주소(Host IP address)를 추적할 수 있는 효과가 있다.
또한, 본 발명은, 웹 기반 서비스 환경에서 전자적 침해 공격이 탐지될 경우에 이를 차단하여 공격으로부터 정상적인 서비스를 보호하고, 공격자가 프록시 서버(proxy server)를 경유하여 접속한 경우라도 근원 공격지의 IP 주소를 추적할 수 있는 효과가 있다.
또한, 본 발명은, 공격을 탐지하고 차단하는 것도 방어의 방법이지만, 공격자에게 공격이 탐지되고 있는 사실을 경고하여 스스로 공격을 멈추게 하는 것도 사회공학적 보안 차단 방안이 될 수 있으므로 이를 활용하여 본 발명에서는 웹 환경이라는 제한된 환경에서 웹 브라우저 인터페이스로 가입자에게 적절한 경고 메시지를 주어 사회공학적 공격 차단 효과를 가질 수도 있는 효과가 있다.
즉, 본 발명은, 웹 기반 서비스를 제공하는 경우에, 공격으로 탐지된 패턴으로 URL 접근을 해 올 경우 그 공격을 탐지 및 차단하고 공격자에게 경고 메시지를 전달할 수 있으며, 또한 공격자의 위치를 파악하는 데 사용할 수 있고, 공격자가자신의 IP 주소 위치를 은닉하기 위해 프록시(proxy)를 경유하여 접속한 경우에도 원천 공격 위치를 파악하는데 이용할 수 있는 효과가 있다.
또한, 본 발명은, 완전하게 네트워크 상의 공격에 대응할 수 있는 것은 아니지만, 웹 기반의 서비스에 대해서는 공격자의 네트워크 상의 공격 위치에 상관없이 다양한 유형의 공격에 다양하게 대응할 수 있어 웹 서버의 보안도를 높일 수 있는 효과가 있다.
즉, 본 발명은, 보편적으로 널리 사용되는 웹 기반 서비스에 있어서 전자적 침해 공격 패턴의 탐지와 차단 및 경고의 기능으로 공격 시도를 차단시키고, 또한 시도된 공격에 대해 실시간 추적 기능을 통해 주요 해킹 범죄의 경우 현장 검거가 가능한 효과가 있다.
또한, 본 발명은, 웹 기반 서비스 환경에서 침입을 탐지/차단/경고하며 공격자의 IP 주소(address)를 다양한 경로를 통해서 기록하며, 이러한 다양한 추적 경로를 접속자의 네트워크 상황이나 자바 애플릿(java applet) 구동 여부 등에 따라 적절하게 활용할 수 있을 뿐만 아니라, 직접적인 HTTP 헤더(header)/호스트 아이피 주소(host IP address)/사설 IP 환경에서의 NAT IP 주소(address) 등과 같이 다양한 방면의 정보의 기록을 통하여 프록시(proxy) 서버를 경유한 공격에 대해서도 다양한 추적 기록을 실시간으로 확보할 수 있는 효과가 있다.
또한, 본 발명은, 최근 전자적 침해 공격이 빈번히 발생하고 있으며 인터넷 기반의 대표적인 서비스인 웹 서비스 환경에서 침입 탐지와 공격 차단, 공격 및 역추적을 수행할 수 있으며, 역추적의 경우 프록시(proxy)를 경유한 공격을 포함하여다양한 네트워크 환경에서의 접속에 대한 기록을 다각도로 파악하는데 활용할 수 있는 효과가 있다.

Claims (10)

  1. 전자적 침해에 대한 웹 서버 보안 방법에 있어서,
    웹 서버가 접속자로부터 공격으로 판단되는 웹 접속 요청을 받아 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 1 단계;
    상기 웹 서버가 상기 웹 접속 요청에 따라 획득되는 상기 접속자의 정보를 저장 관리하는 제 2 단계;
    상기 접속자의 웹 접속 요청에 대한 응답으로 전달할 에러/경고 메시지를 생성하는 제 3 단계; 및
    상기 접속자의 웹 브라우저에서 상기 에러/경고 메시지를 볼 수 있도록 생성된 상기 웹 접속 요청에 대한 응답 메시지를 전달하는 제 4 단계
    를 포함하는 전자적 침해에 대한 웹 서버 보안 방법.
  2. 제 1 항에 있어서,
    상기 에러/경고 메시지는,
    구동되는 웹 브라우저 상에서 정보 획득 및 전달이 가능하며 자바 애플릿으로 구현된 에이전트를 포함하는 것을 특징으로 하는 전자적 침해에 대한 웹 서버 보안 방법.
  3. 제 2 항에 있어서,
    상기 접속자의 웹 브라우저에서 구동된 상기 에이전트로부터 상기 접속자 컴퓨터의 호스트 아이피 주소{(host IP(internet protocol) address}를 전달받아 저장 관리하는 제 5 단계
    를 더 포함하는 전자적 침해에 대한 웹 서버 보안 방법.
  4. 제 3 항에 있어서,
    사설 IP 주소를 사용하는 상기 웹 접속자에 관련된 엔에이티(NAT : network address translator) 장비의 IP 주소를 추출하여 저장 관리하는 제 6 단계
    를 더 포함하는 전자적 침해에 대한 웹 서버 보안 방법.
  5. 제 4 항에 있어서,
    사설 IP 주소를 사용하는 상기 웹 접속자의 컴퓨터에 관련된 네트워크 카드의 맥(MAC : media access control) 주소를 추출하여 저장 관리하는 제 7 단계
    를 더 포함하는 전자적 침해에 대한 웹 서버 보안 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 제 1 단계는,
    상기 웹 서버가 상기 접속자로부터 웹 접속 요청을 받는 제 8 단계;
    상기 웹 서버의 침입탐지 모듈이 상기 접속자로부터 접근 요청을 받은 유알엘(URL : Uniform Resource Locator)에 대해 공격 패턴 저장수단에 기록된 공격 패턴 양식과 비교하여 공격으로 판단되는지를 점검하는 제 9 단계;
    상기 제 9 단계의 판단 결과, 상기 웹 접속 요청이 공격으로 판단되지 않으면 정상적인 웹 서비스를 상기 접속자에게 제공하는 제 10 단계; 및
    상기 제 9 단계의 판단 결과, 상기 웹 접속 요청이 공격으로 판단되면 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 11 단계
    를 포함하는 전자적 침해에 대한 웹 서버 보안 방법.
  7. 프로세서를 구비한 웹 서비스 시스템에,
    접속자로부터 공격으로 판단되는 웹 접속 요청을 받아 상기 접속자가 요청한 웹 서비스에 접속을 할 수 없도록 차단하는 제 1 기능;
    상기 웹 접속 요청에 따라 획득되는 상기 접속자의 정보를 저장 관리하는 제 2 기능;
    상기 접속자의 웹 접속 요청에 대한 응답으로 전달할 에러/경고 메시지를 생성하는 제 3 기능; 및
    상기 접속자의 웹 브라우저에서 상기 에러/경고 메시지를 볼 수 있도록 생성된 상기 웹 접속 요청에 대한 응답 메시지를 전달하는 제 4 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  8. 제 7 항에 있어서,
    상기 에러/경고 메시지에 포함되어 상기 접속자의 웹 브라우저에 전달되었으며 상기 접속자의 웹 브라우저에서 구동이 된 에이전트로부터 상기 접속자 컴퓨터의 호스트 아이피 주소{(host IP(internet protocol) address}를 전달받아 저장 관리하는 제 5 기능
    을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  9. 제 8 항에 있어서,
    사설 IP 주소를 사용하는 상기 웹 접속자에 관련된 NAT 장비의 IP 주소를 추출하여 저장 관리하는 제 6 기능
    을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  10. 제 9 항에 있어서,
    사설 IP 주소를 사용하는 상기 웹 접속자의 컴퓨터에 관련된 네트워크 카드의 맥(MAC) 주소를 추출하여 저장 관리하는 제 7 기능
    을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020030042458A 2003-06-27 2003-06-27 전자적 침해에 대한 웹 서버 보안 방법 KR20050003555A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030042458A KR20050003555A (ko) 2003-06-27 2003-06-27 전자적 침해에 대한 웹 서버 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030042458A KR20050003555A (ko) 2003-06-27 2003-06-27 전자적 침해에 대한 웹 서버 보안 방법

Publications (1)

Publication Number Publication Date
KR20050003555A true KR20050003555A (ko) 2005-01-12

Family

ID=37218630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030042458A KR20050003555A (ko) 2003-06-27 2003-06-27 전자적 침해에 대한 웹 서버 보안 방법

Country Status (1)

Country Link
KR (1) KR20050003555A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695489B1 (ko) * 2005-04-12 2007-03-14 (주)모니터랩 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법
KR100713586B1 (ko) * 2005-05-30 2007-05-02 뉴21커뮤니티(주) 파일 링크 추적 웹서버 호스팅 방법
KR100826566B1 (ko) * 2006-03-09 2008-04-30 정성욱 웹 서비스 안정화 시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695489B1 (ko) * 2005-04-12 2007-03-14 (주)모니터랩 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법
KR100713586B1 (ko) * 2005-05-30 2007-05-02 뉴21커뮤니티(주) 파일 링크 추적 웹서버 호스팅 방법
KR100826566B1 (ko) * 2006-03-09 2008-04-30 정성욱 웹 서비스 안정화 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
KR102130122B1 (ko) 온라인 사기를 검출하기 위한 시스템 및 방법
RU2495486C1 (ru) Способ анализа и выявления вредоносных промежуточных узлов в сети
US10469531B2 (en) Fraud detection network system and fraud detection method
EP1330095B1 (en) Monitoring of data flow for enhancing network security
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
CN105430011B (zh) 一种检测分布式拒绝服务攻击的方法和装置
US8161538B2 (en) Stateful application firewall
KR101672791B1 (ko) 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
US20060190993A1 (en) Intrusion detection in networks
KR20050120875A (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
JP2008152791A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
CN111786966A (zh) 浏览网页的方法和装置
US20090178140A1 (en) Network intrusion detection system
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
WO2014078441A2 (en) Cross-site request forgery protection
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
KR20010078887A (ko) 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
CN107509200A (zh) 基于无线网络入侵的设备定位方法及装置
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application