KR20050081881A - 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법 - Google Patents

인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법 Download PDF

Info

Publication number
KR20050081881A
KR20050081881A KR1020050037853A KR20050037853A KR20050081881A KR 20050081881 A KR20050081881 A KR 20050081881A KR 1020050037853 A KR1020050037853 A KR 1020050037853A KR 20050037853 A KR20050037853 A KR 20050037853A KR 20050081881 A KR20050081881 A KR 20050081881A
Authority
KR
South Korea
Prior art keywords
web
service request
web service
service
profiling
Prior art date
Application number
KR1020050037853A
Other languages
English (en)
Other versions
KR100736205B1 (ko
Inventor
안병규
이광후
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Priority to KR1020050037853A priority Critical patent/KR100736205B1/ko
Publication of KR20050081881A publication Critical patent/KR20050081881A/ko
Application granted granted Critical
Publication of KR100736205B1 publication Critical patent/KR100736205B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers

Abstract

본 발명은, 인터넷을 통하여 원격지의 웹 서버 혹은 웹 서버와 연결되어 있는 데이터베이스를 프로파일링(Profiling) 기법에 의해 다양한 공격으로부터 방어하는 웹 보안 시스템을 제공하는 방법에 관한 것으로, 불특정 웹 클라이언트가 서비스 가입 고객사의 웹 서버로 접속을 요청할 경우 웹 클라이언트 요청을 원격지에 위치하고 있는 프로파일링 기반의 웹 보안 시스템으로 유도하고, 유도된 웹 트래픽을 프로파일링 기법에 의해 보안검사를 실시하여 여러 공격들을 차단하고, 안전한 트래픽만을 서비스 가입 고객사의 웹 서버로 전송하는 방법이다.
본 발명에 의할 경우, 서비스 가입 고객사의 웹 서버의 위치에 관계없이 원격에서 웹 보안 시스템에 의한 서비스 제공이 가능하므로, 설치 및 운영의 어려움을 해결하고, 비용을 줄일 수 있는 효과가 있다.

Description

인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및 인터넷 상에서의 보안시스템 서비스 제공방법{SECURITY SYSTEM THROUGH INTERNET FOR WEB APPLICATION SERVICE AND PROVIDING METHOD THE SAME ON INTERNET}
본 발명은, 인터넷을 통하여 원격지의 웹 서버 혹은 웹 서버와 연결되어 있는 데이터베이스를 프로파일링(Profiling) 기법에 의해 다양한 공격으로부터 방어하는, 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및 이러한 시스템을 인터넷상에서 서비스하는 방법에 관한 것으로서, 구체적으로 불특정 웹 클라이언트가 서비스 가입 고객사의 웹 서버로 접속을 요청할 경우 웹 클라이언트 요청을 원격지에 위치하고 있는 프로파일링 기반의 웹 보안 시스템으로 유도하고, 유도된 웹 트래픽을 프로파일링 기법에 의해 보안검사를 실시하여 여러 공격들을 차단하고, 안전한 트래픽만을 서비스 가입 고객사의 웹 서버로 전송하는 방법이다.
인터넷의 사용이 기업의 실질적 사업활동과 정부의 대국민 민원 업무 등에 깊숙이 개입한 지 이미 오래 되었다. 특히, 인터넷을 통한 정보 교환 형태의 대부분은 웹(web)이라는 인터페이스를 통해 이루어지고 있는 것이 현실이다. 즉, 금융기관의 인터넷뱅킹 서비스, 사이버트레이딩 서비스, 일반 기업의 구매 및 결제 서비스, 정부기관의 민원업무 처리, 입찰 및 구매 처리, 등기 열람 및 조회 서비스 등과 같은 개인 및 기업의 중요한 정보가 웹을 인터페이스로 하여 교환되고 있음을 감안한다면, 실지로 웹 애플리케이션과 웹 서비스에 대한 보안의 중요성은 아무리 강조해도 지나침이 없을 것이다.
이렇게 중요한 웹 보안을 위하여 기업 및 기관들은 일반적으로 방화벽을 두어 웹 서버가 위치하고 있는 네트워크를 보호하고 있지만, 현실적으로 웹은 그 서비스의 특성상 불특정 다수에게 항상 공개되어야 하므로, 방화벽 또한 웹 통신을 위해 80 포트(port)를 항상 열어 둘 수 밖에 없다. 이러한 현실상의 허점을 이용하여 해커들은 방화벽에서 열어 놓은 포트를 통해 웹을 공격하고 웹을 통해 웹 서버와 연결되어 있는 데이터베이스에까지 침투하여 다양한 공격을 시도하고 있다. 이러한 배경 때문에 현재 해킹의 90% 이상이 웹을 대상으로 하고 있으며, 이러한 웹 해킹의 양적 증가 뿐만이 아니라 질적인 측면 또한 지능화되는 심각성을 띠고 있다.
이러한 공격들을 지능적이고 능동적으로 방어하기 위한 방법으로 본 출원인은 특허출원번호 10-2005-0030312의 “프로파일링 기반 웹 서비스 보안 시스템 및 그 방법”을 출원한 바 있다.
이러한 기업 및 기관의 웹 애플리케이션과 웹 서비스를 효과적으로 보호하기 위해서는, 해당 보안 시스템을 웹 서버와, 상기 웹 서버와 연결되어 있는 데이터베이스 앞 단에 설치하여 운영하여야 한다. 이와 유사한 예로 대부분의 기업 및 기관들이 자신의 네트워크와 네트워크에 연결되어 있는 시스템들을 보호하기 위해 방화벽을 설치하거나, 침입탐지시스템 혹은 침입방지시스템들을 설치하여 운영하고 있다. 이처럼, 방화벽과 침입탐지시스템 및 침입방지시스템을 직접 설치 운영하기위하여는, 전문 지식과 전문 인력을 필요로 할 뿐만 아니라, 그 구매와 운영에 필요한 비용이 발생하게 된다. 이러한 전문 지식과 전문 인력의 문제를 해결하기 위한 시도로서, 보안 관제 사업자(Managed Security Service Provider)가 등장하여 이 문제를 부분적으로 해결하고 있으나, 이 또한 보안 장비를 개별적으로 직접 구매하거나 임대하여야 하는 비용상의 문제를 해결하지는 못한다.
결국, 이러한 문제점들을 효과적으로 해결하기 위해서는, 해당 보안시스템이 기업 및 기관에 개별적으로 위치되거나 설치될 필요 없이 구현가능하여야 하며, 또한 동시에 속도 저하 문제를 효과적으로 해결할 필요가 있다.
따라서, 본 발명은, 자신의 웹 서버를 통해 웹 애플리케이션서비스를 제공하는 기업 및 기관이 별도의 웹 보안시스템을 구축하지 않고도 자신의 웹 서버와 이러한 웹 서버와 연결된 데이터베이스를 보호할 수 있도록 하는 원격 웹 애플리케이션서비스 보안 시스템 및 이러한 원격 웹 애플리케이션서비스 보안 시스템을 인터넷 상에서 서비스하는 방법을 제공하는 것을 그 기술적 과제로 삼으며, 이러한 기술적 과제의 달성을 통해, 웹을 통한 다양하고 지능적인 공격에 대응하기 위한 전문적인 지식과 인력 수급의 문제, 그리고 설치와 운영에 필요한 비용 부담 문제를 덜게 하여 기업과 기관이 웹을 안전한 사업기반으로 활용할 수 있도록 하는 것을 그 목적으로 하고 있다.
먼저, 상기 목적은, 불특정 웹 클라이언트가 웹 브라우저를 통해 서비스 가입 고객사의 웹 서버 도메인 네임을 URL창에 입력할 경우 그 웹 트래픽을 이미 구축되어 있는 프로파일링(Profiling) 기반의 웹 보안 시스템으로 유도하는 단계; 상기 유도된 웹 트래픽을 가입된 고객사 별로 구분하여 해당 프로파일링 기반의 보안검사 엔진으로 전송하는 단계; 상기 보안검사 엔진에서 프로파일링 기반으로 보안검사를 실시하여 원래의 고객사의 웹 서버로 전송하는 단계; 상기 프로파일링 기반의 웹 보안 시스템이 실시간으로 고객사의 웹 서버와 통신하여 프로파일(Profile)을 생성 또는 갱신하는 단계; 및 상기 프로파일링 기반의 보안검사 기록을 통해 고객사 별로 과금하는 단계를 포함하는, 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법에 의하여 달성된다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.
먼저, 도 1은 일반적인 인터넷의 네트워크 구성도를 나타낸다.
상술한 바와 같이, 현재 모든 기업 및 기관의 사설 네트워크와 그에 포함된 시스템들은 인터넷이라는 공개 네트워크에 의해 연결되어 있다. 이러한 네트워크를 기반으로 웹이라는 인터페이스를 통해 과거 오프라인에서 일어났던 대부분의 거래들이 온라인상에서 발생하고 있다.
한국통신(KT), 데이콤(Dacom), 하나로텔레콤과 같은 국내 주요 네트워크 서비스 공급자(Network Service Provider: 이하 'NSP'라 칭함; 121,122,123)들이 해외 인터넷망(100)에 직접 연결되어 있고, 이를 기반으로 기업 및 기관(이하 '기업'이라 칭함)들에게 인터넷 회선 서비스를 제공하고 있다. 동시에, 개별 통신사를 통해 인터넷을 사용하는 고객들이 다른 통신사에 연결되어 있는 시스템과 통신할 경우 해외 인터넷망으로 나가지 않고도 통신이 가능하도록 한국인터넷교환시스템(Korea Internet eXchange: 이하, 'KIX'라 칭함) 국내연동망(110)으로 연결되어 국내 통신 속도를 향상시키고 있다.
한편, 기업 및 기관이 인터넷을 이용할 경우 자체 전산센터(140)를 구축하고 그 전산센터를 국내 주요 NSP(120)와 연결하여 사용하게 된다. 자체 전산센터(140)에는 웹 서버(도 2의 13 참조)를 비롯한 기업의 업무를 전산화시키는 데 필요한 네트워크 장비와 컴퓨터 시스템들(도 2의 14 참조)이 위치하게 된다. 기업이 자체 전산센터(140)를 구축하고 유지하는 데는 전문 인력이 필요하고 그에 따른 막대한 비용이 발생하므로, NSP들(120)이 인터넷데이타센터(Internet Data Center: 이하, 'IDC'라 칭함; 130)를 구축하여 기업들에게 코로케이션(Co-Location) 혹은 서버호스팅(Server-Hosting) 서비스를 제공하고 있으며, 갈수록 이러한 IDC의 사용이 증가하는 추세에 있다.
본 발명에 있어서의 서비스 제공방법이 궁극적으로 보호하고자 하는 웹 서버와 그에 기반한 웹 애플리케이션서비스들이 일반적으로 자체 전산센터(140) 혹은 IDC(130)에 위치하고 있다.
지금까지의 일반적인 보안시스템의 운영 방식은, 보호하고자 하는 시스템이 위치하고 있는 자체 전산센터(140) 혹은 IDC(130)에 해당 보안시스템을 직접 설치하여, 설치된 보안 시스템을 운영하는 방식이었다. 이러한 종래의 운영방식에 있어서 보안과 관련한 전문 지식과 전문인력의 확보 문제가 기업들에게 부담이 될 수 있으므로, 이러한 문제를 해결하기 위하여 보안 관제 전문기업(Managend Security Service Provider)들이 설치된 보안시스템을 대신 운영하거나 혹은 보안시스템을 임대하여 주고 동시에 대신 운영하는 관제 사업방법이 시도되고 있다. 그러나 이러한 사업방법 또한 해당 보안시스템을 고객 기업에 직접 위치 및 설치하는 것을 전제로 하는 것이므로, 장비 수급에 따른 비용 문제를 효과적으로 해결하지는 못하고 있다.
이에 반하여, 후술하는 본 발명에 의한 서비스 제공방법은 해당 보안 시스템을 고객 기업에 직접 위치 및 설치하지 않고도 효과적으로 고객 기업의 웹 서버와 웹 애플리케이션서비스를 안전하게 보호하는 방법을 제시하고 있다.
도 2는 상술한 바와 같은 일반적인 웹 애플리케이션서비스 보안시스템의 설치 구성을 나타내고 있다.
일반적으로 도 2에 도시된 바와 같이, 기업의 전산센터(140) 내의 내부 네트워크 또는 IDC(130) 내에 방화벽(11)이 설치되어 있는 경우에는 방화벽(11)과 웹 서버(13) 사이에 일반적인 웹 애플리케이션서비스 보안시스템(12)이 위치하여, 웹 서버(13)로 전송되는 요청을 보안 검사를 통해 비정상적인 요청은 차단한 후 웹 서버(13)로 전송하게 된다. 이러한 일반적인 경우 웹 애플리케이션서비스 보안시스템(12)이 기업의 내부 네트워크의 해당 위치에 설치되어야만 했다.
도 3은 본 발명에 따른 원격 웹 애플리케이션서비스 보안시스템이 구비된 네트워크 구성도를 나타내는 것으로서, 상술한 종래기술의 문제를 해결하기 위한 본 발명에 의한 서비스제공방법은, 도 3에 도시된 바와 같이 웹 클라이언트(10)의 요청을 원격지에 설치된 웹 애플리케이션서비스 보안시스템(12)으로 유도하여 일괄적으로 처리하고 해당 웹 서버(13)로 전송하는 방법이다.
구체적으로 살펴보면, 먼저 웹 클라이언트(10; 잠재 공격자)가 접속하고자 하는 웹 서버의 도메인네임(Domain Name)을 URL 창에 입력하게 되면, 해당 웹 서버가 본 발명에 의한 서비스제공방법의 서비스 가입 고객 기업일 경우 미리 입력된 도메인네임서버 맵핑테이블(이하, 'DNS Mapping Table'이라 칭함)에 의해 도메인네임에 대응하는 IP 어드레스를 부여하여 웹 애플리케이션서비스 보안시스템(12)으로 접속하게 한다.
이렇게 접속하게 된 웹 클라이언트(10)의 요청은 웹 애플리케이션서비스 보안시스템(12) 내에서 완벽한 보안 검사를 거쳐 정상적인 요청에 경우에 한하여 서비스가입 고객기업의 각 해당 웹서버 1 내지 4(13)로 전송된다. 이 경우의 통신은 인터넷을 통해 퍼블릭 IP 어드레스(Public IP Address)로 이루어지므로, 서비스가입 고객기업의 웹 서버의 위치가 지리적으로 아무리 떨어져 있더라도 아무런 문제가 되지 않는다.
여기서, 웹 클라이언트(10)가 URL 창에 도메인네임을 입력하지 않고 IP 어드레스를 직접 입력하는 경우에는, 웹 클라이언트(10)의 요청이 웹 애플리케이션서비스 보안시스템(12)으로 유도되지 않고 서비스가입 고객기업의 각 웹 서버 1 내지 4(13)로 직접 전송될 수 있다. 이럴 경우에 대비하여, 서비스가입 고객기업의 각 웹 서버(13)는 웹 애플리케이션서비스 보안시스템(12)과만 통신할 수 있도록 오픈릴레이(Open Relay) 정책을 적용한다.
한편, 본 발명에 의한 서비스제공방법에 있어서의 보안 검사 절차는 공격유형을 데이터베이스화하여 데이터베이스화되어 있는 공격 유형과 통신 요청을 비교 및 분석하여 일치하는 경우 차단하는 방법과 고객 기업의 웹 서버가 규정하는 정상적인 통신유형을 데이터베이스화하여 데이터베이스화 되어 있는 정상 통신유형과 통신 요청을 비교 및 분석하여 위배하는 경우 차단하는 방법을 상호보완적으로 사용하는 것을 특징으로 한다. 차단해야 할 공격유형을 기반으로 하는 네가티브(Negative) 방식과 통과시켜야 할 정상 통신유형을 기반으로 하는 포지티브(Positive) 방식의 결합을 통한 웹 애플리케이션서비스 보안시스템 및 방법은, 본 출원인에 의해 기출원된 특허출원번호 10-2005-0030312의 “프로파일링 기반 웹 서비스 보안 시스템 및 그 방법”에 상세히 기재되어 있다.
도 4는 본 발명에 따른 원격 웹 애플리케이션서비스 보안시스템의 구성을 나타낸 블록도로서, 상기 웹 서비스 보안시스템(12)은 도 4에 도시된 바와 같이, 알려진 공격 시그너쳐 데이터베이스(DB)(1201), 웹 서비스 프로파일 데이터베이스(DB)(1202), 웹 서비스 요청 처리 모듈(1210), 웹 서비스 요청 검증 모듈(1220), 웹 서비스 요청 차단 모듈(1230), 관리자 보고 및 과금 모듈(1240), 웹 서비스 응답 처리 모듈(1250) 및 웹 서비스 프로파일링 모듈(1260)을 구비한다.
여기서, 상기 알려진 공격 시그너쳐 데이터베이스(DB)(1201)와 웹 서비스 프로파일 데이터베이스(DB)(1202)는 상기 웹 서비스 요청 검증 모듈(1220)에서 상기 웹 클라이언트(10)의 웹 서비스 요청이 정상적인 요청인지 아니면 비정상적인 요청인지를 탐지할 때 사용된다.
한편, 상기 알려진 공격 시그너쳐 데이터베이스(DB)(1201)는 이미 알려진 웹 서비스 공격 시그너쳐(signature) 데이터베이스(DB)를 저장하고 있으며, 상기 웹 서비스 프로파일 데이터베이스(DB)(1202)는 이미 알려지거나 검증된 웹 서비스 프로파일 데이터를 저장하는 데이터베이스로서, 상기 웹 서비스 프로파일링 모듈(1260)에 의해 생성 및 갱신된 정상적인 요청에 대한 프로파일 데이터베이스를 저장하고 있다.
그리고, 상기 웹 서비스 요청 처리 모듈(1210)은 상기 웹 클라이언트(10)의 웹 서비스 요청을 수신한 후 DNS Mapping Table에 의해 부여된 IP 어드레스에 따라 웹 서버 1 내지 4(13)별로 분류하여 상기 웹 서비스 요청 검증 모듈(1220)로 전달하고, 상기 웹 서비스 요청 검증 모듈(1220)에서 검증 과정을 통과한 웹 서비스 요청에 대해서만 상기 웹 서버(13)에 전달한다.
상기 웹 서비스 요청 검증 모듈(1210)은 상기 웹 서비스 요청 처리 모듈(1210)로부터 수신된 상기 웹 클라이언트(10)의 웹 서비스 요청을 상기 알려진 공격 시그너쳐 데이터베이스(DB)(1201)와 상기 웹 서비스 프로파일 데이터베이스(DB)(1202)를 이용하여, 상기 웹 서비스 요청이 정상적인 웹 서비스 요청(알려진 공격)인지 비정상적인 웹 서비스 요청(알려지지 않은 공격)인지를 탐지한다.
여기서, 상기 웹 서비스 요청이 정상적인 웹 서비스 요청인지를 탐지하는 방법은, 상기 웹 클라이언트(10)의 웹 서비스 요청과 상기 알려진 공격 시그너쳐 데이터베이스(1201)에 저장된 시그너쳐를 패턴 매칭하여 상기 웹 클라이언트(10)의 웹 서비스 요청이 상기 알려진 공격 시그너쳐 데이터베이스(1201)에 존재하면 정상적인 웹 서비스 요청으로 간주한다.
그리고, 상기 웹 서비스 요청이 비정상적인 웹 서비스 요청인지를 탐지하는 방법은 웹 서비스 프로파일 데이터베이스(1202)를 이용하여 탐지하게 되는데, 상기 웹 클라이언트(10)의 웹 서비스 요청이 상기 웹 서비스 프로파일 데이터베이스(1202)에 존재하지 않으면 비정상적인 웹 서비스 요청으로 간주한다.
이와 같이, 상기 웹 서비스 요청 검증 모듈(1220)은 상기 웹 클라이언트(10)의 웹 서비스 요청이 공격 또는 비정상적인 것으로 판단되면 상기 웹 서비스 차단 모듈(1230)로 하여금 상기 웹 클라이언트(10)의 웹 서비스 요청을 차단하도록 하고, 정상적인 웹 서비스 요청이면 상기 웹 서비스 요청 처리 모듈(1210)을 통해 상기 웹 서버(13)에 상기 웹 클라이언트(10)의 웹 서비스 요청을 전달한다.
상기 웹 서비스 요청 차단 모듈(1230)은 상기 웹 서비스 요청 검증 모듈(1220)의 검증 결과 상기 웹 클라이언트의 웹 서비스 요청이 비정상적인 웹 서비스 요청일 경우 접속을 차단한다.
그리고, 상기 관리자 보고 및 과금 모듈(1240)은 관리자에게 비정상적인 웹 서비스 요청과 공격에 대한 탐지 및 차단 결과 등을 보고한다. 동시에, 보고 결과를 토대로 과금 자료를 작성한다. 이때, 상기 관리자 보고 및 과금 모듈(1240)은 그래픽 사용자 인터페이스(GUI) 등으로 구현될 수 있다.
그 다음, 상기 웹 서비스 응답 처리 모듈(1250)은 상기 웹 서버(13)로부터 웹 서비스 응답 데이터를 수신하여 상기 웹 서비스 프로파일링 모듈(1260)로 전송하고 상기 웹 클라이언트(10)의 웹 서비스 응답 데이터를 처리한다.
마지막으로, 상기 웹 서비스 프로파일링 모듈(1260)은 상기 웹 서버(13)로부터 수신된 웹 서비스 응답을 실시간으로 분석하여, 정상적인 웹 서비스 요청에 대한 프로파일 데이터베이스를 상기 웹 서비스 프로파일 데이터베이스(1202)에 해당 웹 서버(13) 별로 생성 및 갱신하는 웹 서비스 프로파일링을 수행한다. 이때, 상기 웹 서버(13)의 응답 데이터는 공격자가 포함된 웹 클라이언트(10)로부터의 요청 데이터와는 달리 신뢰할 수 있는 웹 애플리케이션 서비스이므로, 이를 분석하여 URL, 파라미터(parameter) 값을 추출해서 정상적인 요청에 대한 웹 서비스 프로파일 데이터베이스(1202)를 구축할 수 있다.
도 5는 본 발명에 따라 원격 웹 애플리케이션서비스 보안시스템이 동작하는 절차를 설명하기 위한 처리 흐름도를 나타낸다.
상기 웹 서비스 보안시스템(12)의 동작 절차를 도 5를 참조하여 설명하면, 상기 웹 클라이언트(10)의 웹 서비스 요청을 상기 웹 서비스 요청 처리 모듈(1210)에서 수신한 후 상기 웹 서비스 요청 검증 모듈(1220)로 전달한다(단계 S501).
그 다음, 상기 웹 서비스 요청 검증 모듈(1220)에서는 상기 웹 클라이언트(10)의 웹 서비스 요청을 상기 알려진 공격 시그너쳐 데이터베이스(1201)에 저장된 시그너쳐와 비교하여 상기 웹 클라이언트(10)의 웹 서비스 요청이 정상적인 요청인지 비정상적인 요청인지를 판단한다(단계 S502). 이때, 상기 웹 클라이언트(10)의 웹 서비스 요청이 상기 알려진 공격 시그너쳐 데이터베이스(1201)에 존재하면 정상적인 웹 서비스 요청으로 간주한다.
그 다음, 상기 단계(S502)에서 상기 웹 클라이언트(10)의 웹 서비스 요청이 정상적인 웹 서비스 요청으로 간주되면, 상기 웹 서비스 요청 검증 모듈(1220)에서는 상기 웹 클라이언트(10)의 웹 서비스 요청을 상기 웹 서비스 프로파일 데이터베이스(1202)에 저장된 프로파일 데이터와 비교하여 상기 웹 클라이언트(10)의 웹 서비스 요청이 정상적인 요청인지 비정상적인 요청인지를 판단한다(단계 S503). 이때, 상기 웹 클라이언트(10)의 웹 서비스 요청이 상기 웹 서비스 프로파일 데이터베이스(DB)(1202)에 존재하면 정상적인 웹 서비스 요청으로 간주한다.
그 다음, 상기 단계(S503)에서 상기 웹 클라이언트(10)의 웹 서비스 요청이 정상적인 웹 서비스 요청으로 간주되면, 상기 웹 서비스 요청 검증 모듈(1220)은 상기 웹 서비스 요청 처리 모듈(1210)을 통해 상기 웹 서버(13)에 상기 웹 클라이언트(10)의 웹 서비스 요청을 전달한다.
만약, 상기 단계(S502) 및 단계(S503)에서 상기 웹 클라이언트(10)의 웹 서비스 요청이 비정상적인 요청으로 간주되면, 상기 웹 서비스 요청 검증 모듈(1220)은 상기 웹 서비스 차단 모듈(1230)로 하여금 상기 웹 클라이언트(10)의 웹 서비스 요청을 차단하도록 한다(단계 S504).
그 다음, 상기 관리자 보고 모듈(1240)에서 관리자에게 비정상적인 웹 서비스 요청과 공격에 대한 탐지 및 차단 결과 등을 보고하고 과금한다(단계 S505).
도 6은 본 발명에 따라 구현된 원격 보안시스템 서비스 제공방법 흐름도를 나타내며, 본 발명에 의한 서비스 제공방법의 전체적인 흐름을 도 6을 참조하여 구체적으로 설명하면 다음과 같다.
먼저 고객기업으로부터 서비스가입 신청을 받으면(단계 S601) 해당 서비스가입 고객기업 각각의 웹 서버 1 내지 4(13)의 도메인네임과 그에 대응하는 웹 애플리케이션서비스 보안시스템(12)의 IP 어드레스를 DNS Mapping Table에 입력한다(단계 S602).
다음, 웹 클라이언트(10)가 서비스가입 고객기업의 웹 서버(13)로 접속 요청을 할 경우 웹 애플리케이션서비스 보안시스템(12)으로 유도되는지 여부를 확인한다(단계 S603).
통신 상태가 정상일 경우, 상기 웹 애플리케이션서비스 보안시스템(12)에 의해 도 5에서 설명한 절차를 통한 보안 검사를 실시한다(단계 S604).
상기 보안 검사 결과 차단이 발생하면 보고와 동시에 과금의 절차를 수행하게 된다(단계 S605).
이상의 본 발명은 상기에 기술된 실시예들에 의해 한정되지 않고, 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 특허청구범위에서 정의되는 본 발명의 취지와 범위에 포함되는 것으로 보아야 할 것이다.
본 발명에 따르면, 모든 종류의 웹 서비스 공격에 대하여 공격유형(Signature)의 확보에 의존하지 않고 서비스가입 고객기업의 웹 서버가 규정하는 정상적인 통신유형만을 서비스가입 고객기업의 웹 서버로 전송함으로써 웹 서버와 웹 서비스를 안전하게 보호할 수 있다.
또한 본 발명에 따르면, 지능적이고 다양한 웹 서비스에 대한 공격을 전문 지식을 보유한 인력을 확보하여 고가의 웹 서비스 보안시스템을 직접 운영할 필요 없이 대응할 수 있기 때문에, 기업들로 하여금 비용 절감에 획기적인 방안을 제시할 수 있다.
아울러 본 발명에 의하면, 서비스가입 기업고객의 웹 서버가 지리적으로 어디에 위치하던 인터넷으로 연결된 네트워크를 통해 손쉽게 서비스를 제공할 수 있게 함으로써, 서비스의 혜택 대상을 무제한적으로 확대할 수 있다.
결국, 본 발명은 궁극적으로, 웹이라는 인터페이스를 통한 기업의 다양한 사업활동을 활성화함으로써 기업활동의 전산화를 촉진하고 나아가 기업의 생산성을 제고하는데 크게 이바지할 수 있는 것이다.
도 1은 일반적인 인터넷 네트워크 구성도,
도 2는 일반적으로 웹 애플리케이션서비스 보안시스템이 구축되는 위치를 설명하기 위한 구성도,
도 3은 본 발명에 따라 원격 웹 애플리케이션서비스 보안시스템이 구비된 네트워크 구성도,
도 4는 본 발명에 따른 원격 웹 애플리케이션서비스 보안시스템의 구성을 나타낸 블록도,
도 5는 본 발명에 따라 원격 웹 애플리케이션서비스 보안시스템이 동작하는 절차를 설명하기 위한 처리 흐름도,
도 6은 본 발명에 따라 구현된 원격 웹 애플리케이션서비스 보안시스템 제공방법 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
10 웹 클라이언트(잠재 공격자)
12 웹 애플리케이션서비스 보안 시스템(본 발명에 따라 구축되는 보안시스템)
13 웹 서버(잠재 공격대상 또는 본 발명에 의한 원격 보안시스템 서비스 제공방법에 의해 보호받는 웹 서버)
130 실제 웹 서버가 위치하게 되는 IDC(Internet Data Center)
140 기업전산센터

Claims (9)

  1. 불특정 웹 클라이언트가 웹 브라우저를 통해 서비스 가입 고객사의 웹 서버 도메인 네임을 URL창에 입력할 경우 그 웹 트래픽을 이미 구축되어 있는 프로파일링(Profiling) 기반의 웹 보안 시스템으로 유도하는 단계;
    상기 유도된 웹 트래픽을 가입된 고객사 별로 구분하여 해당 프로파일링 기반의 보안검사 엔진으로 전송하는 단계;
    상기 보안검사 엔진에서 프로파일링 기반으로 보안검사를 실시하여 원래의 고객사의 웹 서버로 전송하는 단계;
    상기 프로파일링 기반의 웹 보안 시스템이 실시간으로 고객사의 웹 서버와 통신하여 프로파일(Profile)을 생성 또는 갱신하는 단계; 및
    상기 프로파일링 기반의 보안검사 기록을 통해 고객사 별로 과금하는 단계를 포함하는, 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  2. 제1항에 있어서,
    상기 프로파일링 기반의 웹 보안 시스템으로 유도하는 단계는:
    상기 웹 클라이언트가 접속하고자 하는 웹 서버의 도메인네임을 URL 창에 입력할 경우 해당 웹 서버가 상기 서비스 가입 고객 기업인지 여부를 판단하고, 미리 입력된 도메인네임서버 맵핑테이블(DNS Mapping Table)에 의해 상기 도메인네임에 대응하는 IP 어드레스를 부여하여 상기 웹 보안 시스템으로 접속하게 하는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  3. 제1항에 있어서,
    상기 보안검사 엔진에서 프로파일링 기반으로 보안검사를 실시하여 원래의 고객사의 웹 서버로 전송하는 단계는:
    상기 보안검사 엔진에서의 보안검사 이후 정상적인 요청에 경우에 한하여 수행되는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  4. 제1항에 있어서,
    상기 보안검사 엔진에서 프로파일링 기반으로 보안검사를 실시하여 원래의 고객사의 웹 서버로 전송하는 단계에서의 통신은, 인터넷을 통한 퍼블릭 IP 어드레스(Public IP Address)로 이루어지는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  5. 제1항에 있어서,
    상기 서비스가입 고객기업의 각 웹 서버는, 오픈릴레이(Open Relay) 방법에 의하여 상기 웹 보안 시스템과만 통신할 수 있는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  6. 제1항에 있어서,
    상기 프로파일링 기반의 보안검사 기록을 통해 고객사 별로 과금하는 단계는:
    상기 보안검사 결과 차단이 발생할 경우에만 과금의 절차가 수행되는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  7. 제1항에 있어서,
    상기 보안검사 엔진에서 프로파일링 기반으로 보안검사를 실시하는 것은:
    상기 유도된 웹 트래픽이 정상적인 웹 서비스 요청인지 비정상적인 웹 서비스 요청인지를 상기 웹 서비스 프로파일의 데이타베이스를 이용하여 검증하는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  8. 제 7 항에 있어서,
    상기 웹 서비스 프로파일 데이타베이스는, 이미 알려진 웹 서비스 공격 시그너쳐(signature) 데이타베이스를 더 포함하는 것을 특징으로 하는 원격 웹 애플리케이션서비스 보안시스템의 서비스 제공방법.
  9. 웹 클라이언트의 웹 서비스 요청을 수신한 후 도메인네임서버 맵핑 테이블(DNS Mapping Table)에 의해 부여된 IP 어드레스에 따라 웹 서버별로 분류하는 웹 서비스 요청 처리 모듈;
    상기 웹 서버로부터 웹 서비스 응답 데이터를 수신하여, 웹 클라이언트의 웹 서비스 응답을 처리하는 웹 서비스 응답 처리 모듈;
    상기 웹 서비스 요청과 응답을 실시간으로 분석하여 정상적인 웹 서비스 요청에 대한 프로파일 데이타베이스를 해당 웹 서버별로 생성 및 갱신하는 웹 서비스 프로파일링 모듈;
    상기 웹 서비스 요청 처리 모듈로부터 수신된 상기 웹 클라이언트의 웹 서비스 요청을, 알려진 공격 시그너쳐 데이터베이스와 상기 웹 서비스 프로파일링 모듈의 프로파일 데이터베이스를 이용하여 상기 웹 서비스 요청이 정상적인 웹 서비스 요청인지 비정상적인 웹 서비스 요청인지 여부를 판단하는 웹 서비스 요청 검증 모듈;
    상기 웹 서비스 요청 검증 모듈의 검증 결과 상기 웹 클라이언트의 웹 서비스 요청이 비정상적인 웹 서비스 요청일 경우 접속을 차단하는 웹 서비스 요청 차단 모듈; 및
    상기 비정상적인 웹 서비스 요청과 공격에 대한 탐지 및 차단 결과를 관리자에게 보고하고 상기 보고 결과를 토대로 과금 자료를 작성하는 관리자 보고 및 과금 모듈;을 포함하는 것을 특징으로 하는, 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템.
KR1020050037853A 2005-05-06 2005-05-06 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법 KR100736205B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050037853A KR100736205B1 (ko) 2005-05-06 2005-05-06 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050037853A KR100736205B1 (ko) 2005-05-06 2005-05-06 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법

Publications (2)

Publication Number Publication Date
KR20050081881A true KR20050081881A (ko) 2005-08-19
KR100736205B1 KR100736205B1 (ko) 2007-07-06

Family

ID=37268388

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050037853A KR100736205B1 (ko) 2005-05-06 2005-05-06 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법

Country Status (1)

Country Link
KR (1) KR100736205B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009039434A2 (en) * 2007-09-21 2009-03-26 Breach Security, Inc. System and method for detecting security defects in applications
US7934253B2 (en) 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
CN109361692A (zh) * 2018-11-20 2019-02-19 远江盛邦(北京)网络安全科技股份有限公司 基于识别资产类型及自发现漏洞的web防护方法
KR102162991B1 (ko) * 2019-05-17 2020-10-07 배재대학교 산학협력단 Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR100695489B1 (ko) * 2005-04-12 2007-03-14 (주)모니터랩 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7934253B2 (en) 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
WO2009039434A2 (en) * 2007-09-21 2009-03-26 Breach Security, Inc. System and method for detecting security defects in applications
WO2009039434A3 (en) * 2007-09-21 2009-05-28 Breach Security Inc System and method for detecting security defects in applications
CN109361692A (zh) * 2018-11-20 2019-02-19 远江盛邦(北京)网络安全科技股份有限公司 基于识别资产类型及自发现漏洞的web防护方法
CN109361692B (zh) * 2018-11-20 2020-12-04 远江盛邦(北京)网络安全科技股份有限公司 基于识别资产类型及自发现漏洞的web防护方法
KR102162991B1 (ko) * 2019-05-17 2020-10-07 배재대학교 산학협력단 Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법

Also Published As

Publication number Publication date
KR100736205B1 (ko) 2007-07-06

Similar Documents

Publication Publication Date Title
US7934253B2 (en) System and method of securing web applications across an enterprise
US9009828B1 (en) System and method for identification and blocking of unwanted network traffic
US20030110392A1 (en) Detecting intrusions
US20080047016A1 (en) CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
US20100199345A1 (en) Method and System for Providing Remote Protection of Web Servers
US20090126002A1 (en) System and method for safeguarding and processing confidential information
Bibhu et al. Robust Secured Framework for Online Business Transactions over Public Network
WO2008011576A2 (en) System and method of securing web applications across an enterprise
KR100736205B1 (ko) 인터넷을 통한 원격 웹 애플리케이션서비스 보안시스템 및인터넷 상에서의 보안시스템 서비스 제공방법
Sianturi et al. A Security Framework for Secure Host-to-Host Environments
Lin System security threats and controls
Lekkas et al. Handling and reporting security advisories: A scorecard approach
Zhang et al. Controlling Network Risk in E-commerce
Otuteye Framework for e-business information security management
Khamdamovich et al. Web application firewall method for detecting network attacks
Gottipati A proposed cybersecurity model for cryptocurrency exchanges
Fox et al. Enterprise Threat Model Technical Report: Cyber Threat Model for a Notional Financial Services Sector Institution
Goundar et al. Network Security Evaluation and Threat Assessments in Enterprise Systems
Marta et al. Risks and Vulnerabilities in Online Commerce
Dimitriadis Six steps to dealing with a ransomware attack
Aydoğmuşoğlu Analysis and prevention of virtual fraud in retail sector
Razumov et al. Development of a system for protecting against DDoS attacks at the L7 level of the OSI model-HTTP Flood
Eliseev et al. Agent-whistleblower Technology for Secure Internet of Things
Linnert et al. Brittany Foster
Steffens et al. Attack Infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
G15R Request for early publication
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20130624

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140619

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150619

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160518

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170601

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180627

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190610

Year of fee payment: 13