KR20060025871A - 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 - Google Patents

가상 웹서버 기반의 침입 유도 시스템 및 그 방법 Download PDF

Info

Publication number
KR20060025871A
KR20060025871A KR1020040074724A KR20040074724A KR20060025871A KR 20060025871 A KR20060025871 A KR 20060025871A KR 1020040074724 A KR1020040074724 A KR 1020040074724A KR 20040074724 A KR20040074724 A KR 20040074724A KR 20060025871 A KR20060025871 A KR 20060025871A
Authority
KR
South Korea
Prior art keywords
intrusion
request message
web
web request
virtual
Prior art date
Application number
KR1020040074724A
Other languages
English (en)
Other versions
KR101074597B1 (ko
Inventor
강유
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040074724A priority Critical patent/KR101074597B1/ko
Publication of KR20060025871A publication Critical patent/KR20060025871A/ko
Application granted granted Critical
Publication of KR101074597B1 publication Critical patent/KR101074597B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 가상 웹서버를 이용한 침입 유도 시스템에 관한 것으로, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 웹 요청 메시지를 출력하는 가상웹서버; 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 침입판정기에 의해 생성된 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비함으로써, 침입에 따른 실질적인 피해를 받지 않으면서 새로운 형태의 침입을 조기에 탐지할 수 있다.

Description

가상 웹서버 기반의 침입 유도 시스템 및 그 방법{VIRTUAL WEB-SERVER BASED INTRUSION ENTICEMENT SYSTEM FOR EARLY DETECTION OF INTERNET WEB ATTACK AND METHOD THEREOF}
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도.
도 3은 도 2의 침입여부 판단 단계(230)의 상세 흐름도.
본 발명은 가상 웹서버 기반의 침입 유도 시스템 및 그 방법에 관한 것으로, 웹 요청 메시지를 수신하기 위한 가상의 웹서버를 구비한 후, 이로 입력되는 트래픽을 감시하여 새로운 종류의 해킹 방법 및 해커의 신분을 조기에 탐지할 수 있는 기술에 관한 것이다.
일반적으로, 해킹을 탐지하는 방법으로는 오용탐지방법과 비정상탐지방법이 있다.
오용탐지방법은 미리 공격에 해당하는 서명에 대한 정보 데이터베이스를 침입탐지시스템에 저장한 후, 네트워크 트래픽이나 호스트 사용자의 행동에서 서명(Signature) 패턴을 검색함으로써 해킹을 탐지하는 방법이다.
그런데 이러한 방식은 일단 해킹이 발생한 후에, 이에 대한 서명 정보를 데이터베이스에 업데이트함으로써, 동일한 방식의 해킹이 재발생하면 이를 탐지해내는 방식으로서, 나날이 발전하고 있는 해킹 방식에 적극적으로 대응하기가 곤란하다는 문제점이 있다.
그리고 비정상탐지방법은 갑작스러운 트래픽 변동을 감지하여 해킹을 탐지하는 방법으로, 이는 OSI(open systems interconnection) 7계층 중 제 4계층(TCP/IP) 이하의 정보만을 이용하여 해킹을 탐지하기 때문에, 제 7계층(HTTP) 특성을 이용한 해킹 방법은 해킹 사 후에도 탐지하기가 곤란하다는 문제점이 있다.
본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로, 본 발명의 목적은 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 이용하여 해킹을 유도함으로써, OSI 제 7 계층의 특성을 이용한 새로운 해킹 기술 및 해커 정보를 조기에 탐지할 수 있는 기술을 제공함에 있다.
상술한 바와 같은 문제점을 해결하기 위한 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템은, 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버; 상기 웹 요 청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및 상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 구비한다.
이때 바람직하게는, 상기 가상웹서버는, 상기 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원함으로써, 상기 웹 요청메시지가 악성 코드에 해당하는 경우에 안정적으로 상기 웹 요청메시지를 외부로 전달한다.
그리고 바람직하게는, 상기 침입판정기는, 소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대하여, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도의 비율이 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단한다.
이때 바람직하게는, 상기 침입 유도 시스템은, 상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함한다.
그리고 바람직하게는, 상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함한다.
한편, 본 발명에 따른 가상 웹서버 기반의 침입 유도 방법은, 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 마련하는 단계; 상기 가상웹서버로 입력되는 클라이언트의 웹 요청 메시지에 대응하여, '404 File Not Found'로 응답하고, 외부로 상기 웹 요청 메시지를 전달하는 가상 웹서비 스 단계; 상기 가상웹서버로부터 상기 웹 요청 메시지를 전달받은 후, 전달된 웹 요청 메시지의 요청 주소별 접근 빈도수 변화에 기초하여 침입여부를 판단하는 침입 판정 단계; 상기 침입 판정 단계에서 침입으로 판단되는 경우, 상기 침입으로 판단된 상기 웹요청메시지에 대한 경보를 생성하는 단계; 및 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 단계를 구비한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명하고자 한다.
도 1은 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 블럭 구성도이다.
도 1을 참조하면, 본 발명에 따른 침입유도시스템(100)은 가상웹서버(120), 침입판정기(130), 경보생성기(140), 및 설정정보DB(150)를 구비한다.
가상웹서버(120)는 웹 요청 패킷을 표준 웹 프로토콜포트(80)에서 받아들이는 서버 소프트웨어로 구성되며, 일반적인 웹서버와는 달리 오직 파일 요청에 대해 응답하는 겟 메소드(GET METHOD)와 포스트 메소드(POST METHOD)만을 지원한다. 그리고 클라이언트로부터 웹 요청 메시지가 입력되면, 그 웹 요청 메시지에서 지시한 파일과 무관하게 HTTP1.1 규약에 따른 '404 File Not Found' 코드를 전송한다. 이때 '404 File Not Found' 코드는 요청한 파일이 웹서버내에 존재하지 않는 다는 것을 의미한다.
이후, 가상웹서버(120)는 클라이언트가 보낸 웹 요청 정보를 침입판정기(130)로 전달한다.
이와 같이 가상웹서버(120)는 클라이언트의 웹 요청에 대응하여 무조건 '404 File Not Found'로 응답하기 때문에, 실제 가상웹서버(120)는 전혀 부하를 받지 않고 클라이언트의 웹 요청 메시지를 받아들여, 침입여부를 판정하기 위한 자료로 활용할 수 있다.
침입판정기(130)는 가상웹서버(120)로부터 전달받은 웹 요청 정보를 통계적 분석 기법으로 분석하여 침입을 탐지한다. 즉, 웹 요청 정보에 따른 각 요청 주소별 접근 빈도 추이를 산출하고, 만약 특정 주소에 대한 접근 빈도가 소정 임계치 이상 증가하면, 침입으로 판단하여 경보를 생성한다. 이때 생성되는 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL을 포함한다.
경보생성기(140)는 침입판정기(130)가 생성한 경보에 대응하는 이메일 및 시스템 로그를 생성한다.
설정정보DB(150)는 침입판정기가 침입 여부를 판단하기 위한 펙터로 이용되는 검사기준 시간값 및 검사기준임계값을 저장하고 있다.
도 2는 본 발명에 따른 가상 웹서버 기반의 침입 유도 시스템의 동작을 설명하는 흐름도이다. 도 2를 참조하면, 우선 가상웹서버(120)는 외부 클라이언트로부터 웹 요청 메시지를 수신하면(S200), 이에 대해 '404 File Not Found'로 응답한다(S210). 그리고 가상웹서버(120)는 클라이언트로부터 요청된 웹 요청 메시지를 침입판정기(130)로 전달한다(S220).
침입판정기(130)는 통계적 분석 기법에 따라 웹 요청정보를 분석하여, 침입 여부를 판단한다(S230). 도 3은 도 2의 침입여부 판단 단계(S230)의 상세 흐름도이다.
도 3을 참조하면, 우선 침입판정기(130)는 설정정보DB(150)로부터 검사기준시간(M) 및 검사기준임계값(Tc)을 독출한다(S231).
그리고 가상웹서버(120)로부터 전달받은 웹 요청 정보에 기초하여, 지난 5분간의 웹 요청 평균 회수(N)를 산출한다(S233). 그리고 이후 지난 M분간 웹요청 평균회수(S)를 산출한다. 이때 지난 5분간 웹 요청 평균회수(N) 및 M분간 웹 요청 평균회수(S)는 요청 주소별로 산출되며, 검사기준시간(M)은 S233 단계에서 웹 요청 평균회수를 산출한 5분보다 길다.
이후, 요청 주소별 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)이 검사기준임계값(Tc)이상인지 판단한다(S235).
만약 S235 단계에서 M분간 웹요청 평균회수(S)에 대비한 5분간 웹요청평균회수(N)가 검사기준임계값(Tc)이상이면 침입이 발생한 것으로 판단한다(S236).
다시 도 2로 돌아가서, S230 단계에서 침입이 발생한 것으로 판단되었는지 확인하여(S240), 침입이 발생하지 않은 것으로 판단되면, S200 단계 이후 동작을 반복 수행한다. 그리고 침입이 발생한 것으로 판단되면 침입 경보를 생성하고(S250), 경보생성기(140)는 침입경보에 대응하는 이메일 및 시스템 로그를 생성한다(S260).
상술한 바와 같은 방법에 의해 OSI 제 7 계층에서 발생되는 새로운 형식의 해킹 방식을 조기에 탐지할 수 있다.
따라서, 본 발명에 의하면, 가상 웹서버로 입력되는 웹 요청 메시지에 대해 '404 File Not Found'로 대응한 후, 웹 요청 메시지를 분석하여 침입여부를 판단하기 때문에, 실제로 침입에 따른 피해를 보지 않고서도 OSI 제 7 계층에서 발생하는 침입을 조기에 탐지할 수 있는 장점이 있다.
아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.

Claims (6)

  1. 클라이언트의 웹 요청 메시지 입력에 대응하여 '404 File Not Found'로 응답하고, 상기 웹 요청 메시지를 출력하는 가상웹서버;
    상기 웹 요청 메시지에 대한 요청 주소별 접근 빈도 추이를 분석하여 침입 여부를 판단하여, 만약 침입으로 판단되는 경우 상기 웹 요청 메시지에 대한 경보를 생성하는 침입 판정기; 및
    상기 침입판정기에 의해 생성된 상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 경보 생성기를 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  2. 제 1항에 있어서, 상기 가상웹서버는,
    상기 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원함으로써, 상기 웹 요청메시지가 상기 침입에 해당하는 입력이라도, 이를 안정적으로 상기 웹 요청메시지를 상기 침입 판정기로 전달하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  3. 제 1항에 있어서, 상기 침입판정기는,
    소정 기준 시간동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접근 빈도에 대한, 단위 시간 동안 발생한 상기 웹 요청 메시지의 상기 요청 주소별 접 근 빈도의 비율을 계산하여, 만약 소정 검사 기준 임계값 이상이 되는 경우 침입으로 판단하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  4. 제 3항에 있어서,
    상기 기준시간, 상기 단위시간, 및 상기 소정 검사 기준 임계값을 저장하는 환경설정DB를 더 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  5. 제 1항에 있어서,
    상기 침입판정기에 의해 생성되는 상기 경보는, 경보 ID, 공격시간, 공격자 IP, 공격자 포트, 공격 대상 IP, 공격 대상 포트, 연결 프로토콜, 연결 횟수, 및 요청 URL 중 어느 하나 이상을 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 시스템.
  6. 웹 요청 메시지를 입력받기 위한 HTTP 표준 프로토콜만을 지원하는 가상 웹서버를 마련하는 단계;
    상기 가상웹서버로 입력되는 클라이언트의 웹 요청 메시지에 대응하여, '404 File Not Found'로 응답하고, 외부로 상기 웹 요청 메시지를 전달하는 가상 웹서비스 단계;
    상기 가상웹서버로부터 상기 웹 요청 메시지를 전달받은 후, 전달된 웹 요청 메시지의 요청 주소별 접근 빈도수 변화에 기초하여 침입여부를 판단하는 침입 판정 단계;
    상기 침입 판정 단계에서 침입으로 판단되는 경우, 상기 침입으로 판단된 상기 웹요청메시지에 대한 경보를 생성하는 단계; 및
    상기 경보에 대한 이메일 또는 시스템 로그를 생성하는 단계를 포함하는 것을 특징으로 하는 가상 웹서버 기반의 침입 유도 방법.
KR1020040074724A 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 KR101074597B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060025871A true KR20060025871A (ko) 2006-03-22
KR101074597B1 KR101074597B1 (ko) 2011-10-17

Family

ID=37131243

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040074724A KR101074597B1 (ko) 2004-09-17 2004-09-17 가상 웹서버 기반의 침입 유도 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101074597B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160077009A (ko) * 2014-11-27 2016-07-01 시아오미 아이엔씨. 유저 행위 식별 방법 및 유저 행위 식별 장치, 프로그램 및 저장매체
CN117278322A (zh) * 2023-11-13 2023-12-22 国家工业信息安全发展研究中心 Web入侵检测方法、装置、终端设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1448017A (zh) 2000-07-05 2003-10-08 恩斯特&扬有限责任合伙公司 提供计算机服务的方法和设备
US7058978B2 (en) * 2000-12-27 2006-06-06 Microsoft Corporation Security component for a computing device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160077009A (ko) * 2014-11-27 2016-07-01 시아오미 아이엔씨. 유저 행위 식별 방법 및 유저 행위 식별 장치, 프로그램 및 저장매체
CN117278322A (zh) * 2023-11-13 2023-12-22 国家工业信息安全发展研究中心 Web入侵检测方法、装置、终端设备及存储介质
CN117278322B (zh) * 2023-11-13 2024-02-20 国家工业信息安全发展研究中心 Web入侵检测方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
KR101074597B1 (ko) 2011-10-17

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
CN1771709B (zh) 用于产生网络攻击特征标记的方法和装置
US10225282B2 (en) System, method and program product to identify a distributed denial of service attack
US10050917B2 (en) Multi-dimensional reputation scoring
JP6173613B2 (ja) Httpトラフィックを搬送するtcp接続を分類する方法、デバイス、コンピュータプログラム及び情報記憶手段
RU2538292C1 (ru) Способ обнаружения компьютерных атак на сетевую компьютерную систему
US8776224B2 (en) Method and apparatus for identifying phishing websites in network traffic using generated regular expressions
US8019689B1 (en) Deriving reputation scores for web sites that accept personally identifiable information
US8561167B2 (en) Web reputation scoring
CN108809749B (zh) 基于采样率来执行流的上层检查
CN106453669B (zh) 一种负载均衡方法及一种服务器
US20230171285A1 (en) Edge network-based account protection service
WO2006046345A1 (ja) サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
JP2008520010A (ja) Eメールアンチフィッシングインスペクタ
US20080159283A1 (en) Communication control apparatus, communication control method and communication control program product
US9742786B2 (en) System, method and computer readable medium for processing unsolicited electronic mail
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN109714298B (zh) 验证方法、装置及存储介质
CN108234486A (zh) 一种网络监测方法及监测服务器
CN108234516B (zh) 一种网络泛洪攻击的检测方法及装置
CN110737565B (zh) 一种数据监控方法、装置、电子设备及存储介质
CN114338120A (zh) 一种扫段攻击检测方法、装置、介质和电子设备
KR101074597B1 (ko) 가상 웹서버 기반의 침입 유도 시스템 및 그 방법
JP2006065639A (ja) クライアント端末、サービス提供装置及びサービス発見方法
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee