KR20070077517A - 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 - Google Patents

프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 Download PDF

Info

Publication number
KR20070077517A
KR20070077517A KR1020060007039A KR20060007039A KR20070077517A KR 20070077517 A KR20070077517 A KR 20070077517A KR 1020060007039 A KR1020060007039 A KR 1020060007039A KR 20060007039 A KR20060007039 A KR 20060007039A KR 20070077517 A KR20070077517 A KR 20070077517A
Authority
KR
South Korea
Prior art keywords
data
profile
attack
intrusion detection
unit
Prior art date
Application number
KR1020060007039A
Other languages
English (en)
Inventor
박재철
김백준
Original Assignee
박재철
김백준
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박재철, 김백준 filed Critical 박재철
Priority to KR1020060007039A priority Critical patent/KR20070077517A/ko
Publication of KR20070077517A publication Critical patent/KR20070077517A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 웹 애플리케이션 보안을 위한 침입탐지시스템 및 그 방법에 관한 것으로, 보다 상세하게는 웹서버를 통해 전달된 웹 애플리케이션 매개 변수 값을 아미노산 코드로 치환하고 다중 서열 정렬하는 방법으로 기존 침입탐지시스템과 방화벽이 탐지하지 못했던 문제를 해결하고 시그니쳐(Signature) 기반의 침입탐지가 아닌 정상 프로파일(Profile)을 기반으로 웹 공격을 탐지하는 것을 특징으로 한다.
웹 애플리케이션 보안(Web Application Security), 침입탐지시스템(IDS, Intrusion Detection System), 웹 애플리케이션 매개변수(Web Application Parameter), 아미노산(Amino Acid), ClustalW 알고리즘(ClustalW Algorithm)

Description

프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법{Profile-based Web Application Intrusion Detection System and The Method}
도면의 간단한 설명
도 1은 본 발명에 따른 침입탐지시스템의 구성을 설명하기 위한 구성도.
도 2는 본 발명에 따른 데이터 수집부를 도시한 흐름도.
도 3은 본 발명에 따른 데이터 가공 및 축약부를 도시한 흐름도.
도 4는 본 발명에 따른 프로파일 생성부를 도시한 흐름도.
도 5는 본 발명에 따른 분석 및 침입 탐지부를 도시한 흐름도.
도 6은 본 발명에 따른 매개변수에서 키워드와 연산자를 추출하고 이를 아미노산 서열로 대응시키는 과정을 도시한 도표.
* 도면의 주요 부분에 대한 부호 설명 *
100 : 데이터 수집부
110 : 매개변수 및 사용자 입력 값 수집
200 : 데이터 가공 및 축약부
210 : 필요한 매개변수 추출
220 : 아미노산 코드로 변환
230 : 키워드 치환 매트릭스
300 : 분석 및 침입 탐지부
400 : 프로파일 생성부
410 : ClustalW 알고리즘을 이용한 다중정렬
420 : 최근접이웃법을 이용한 유사도 계통수 작성
430 : 데이터군집의 평균거리 산출
440 : 공격 프로파일 데이터
450 : 정상 프로파일 데이터
500 : 오용 탐지부
600 : 비정상행위 탐지부
700 : 탐지결과 판단부
800 : 보고 및 대응부
본 발명은 공격 코드의 순차적인 특성을 바탕으로 하여 웹 애플리케이션 공격 여부를 탐지하는 방법에 관한 것으로, 보다 상세하게는 매개 변수와 그 매개 변수의 흐름을 나타내는 서열 비교를 위해 생물정보학에서 사용하는 유전체 정렬 기법을 응용하였다. 공격에 사용되는 키워드와 연산자를 대응되는 아미노산 코드로 치환하고 다중 정렬하면 일치도에 따른 키워드 유사행렬(keyword similarity matrix)을 생성할 수 있는데 그 값을 최근접이웃(N-J)법을 이용하여 유사도 계통수를 작성하여 거리 값을 얻어내고 프로파일 하여 웹 애플리케이션 공격을 탐지하는 시스템 및 그 방법에 관한 것이다.
인터넷 서비스의 대중화, 정보의 집중화, 금전적 거래 활발 등 웹 서비스의 중요성은 높아지고 있지만 이에 대한 보안 기술과 도구들이 매우 부족한 실정이다. 미국의 Gartner Group(www.gartner.com)에 의하면 전체 해킹 공격의 75% 이상이 웹 애플리케이션이라고 주장하고 있고 그 피해 규모 또한 해가 갈수록 커지고 있다. 웹 해킹으로 침해당할 수 있는 범위는 1차적으로는 해당 웹 서버와 웹 애플리케이션 서버, 데이터베이스 서버 등이며, 2차적으로는 이들과 신뢰성을 맺고 있는 E-Mail 서버, 파일 서버 등이 침해를 입을 수 있다.
웹 해킹으로 인한 피해를 막기 위하여 기존의 IDS나 방화벽에 사용자 정의 패턴을 삽입하여 웹 애플리케이션 공격을 부분적으로 탐지해 낼 수 있다. 대표적인 네트워크 기반 침입탐지시스템인 Snort의 규칙을 이용하여 패턴화 하는 방법으로 SQL 삽입 공격(SQL Injection Attack)을 예로 들면, 공격에 자주 사용되는 메타 문자인 싱글쿼테이션(‘), 더블 대쉬(--), 샵(#)과 같은 특수 문자가 존재하는지 검증하는 방법이 있다. 그러나 상기한 종래의 입력 값 검증은 특수 문자 몇 개를 ’부정(negative) 방식‘으로 검증하고 있어 새로운 공격 유형이 나타나거나 개발자가 예상하지 못한 특수 문자가 공격에 활용된다면 이에 대한 대처 능력이 없다. 즉, 한 개의 언어 또는 특정 문자 패턴에 대해서만 검증을 실시하기 때문에 URL 인코딩과 유니코드(Unicode)/UTF-8, Hex 인코딩, char() 기능을 이용하여 각종 검증 루틴을 쉽게 우회할 수 있다. 그 외에 다양한 공백문자 삽입, IP 단편화(fragmentation)와 TCP 분할(segmentation), 다양한 주석문 사용 등 많은 회피 기법이 존재하며 더욱 발전되고 있어 침입 탐지에 어려움이 있다. 또한 규칙 생성을 위해 구동 중인 애플리케이션의 소스 코드를 수정해야 하는 부담과 새로운 취약점이 나올 때마다 계속 갱신해야 하는 등의 문제점이 있어 시그니쳐(Signature) 방식의 공격 탐지가 아닌 정상행위 프로파일 기반의 공격 탐지 시스템이 필요하게 된다.
또한, 웹 서버의 운영을 위해서는 HTTP 프로토콜의 80포트를 항상 허용해야 하는 특징으로 인해 IP 주소와 포트를 기반으로 하는 기존 침입탐지시스템과 방화벽을 이용한 웹 보안은 한계를 드러내고 있다. 특히 매개변수 조작을 통해서 파급 될 수 있는 공격 효과는 해당 애플리케이션에서 사용하고 있는 DB 정보 조회는 물론 변조 또는 삭제까지 할 수 있으며, 사용자 및 관리자에 대한 인증 절차를 우회할 수 있다. 더 나아가 시스템 명령어를 실행시키거나 주요한 시스템 파일 정보를 노출시킬 수 있어 이에 대한 대책이 시급하다.
본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 웹서비스(80번 포트)는 외부에 모두 개방되어 있는 특징으로 인해 기존 방화벽과 침입탐지시스템이 해결할 수 없었던 웹 해킹 차단을 위한 침입탐지시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 시그니쳐 기반 침입탐지의 어려움을 해결하기 위하여 프로파일 기반의 침입탐지 기법을 제공하여 새로운 공격 기법이 나타날 때마다 새롭게 소스를 수정하는 번거로움이 없애고, 사용자로 인해서 발생할 수 있는 예외를 최소화시키는 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 사용자가 입력한 매개 변수 정보의 필터링과 ClustalW 알고리즘을 이용한 빠른 정렬 결과를 이용하여 시스템 부하를 줄이고 빠른 침입탐지를 할 수 있도록 하는데 있다.
본 발명의 또 다른 목적은 웹 서비스가 사용하는 HTTP 프로토콜의 특성 상 다수의 요청과 응답 패킷이 오가게 되고 웹 서버의 로그를 통한 공격 탐지는 인력으로는 어려우므로 자동으로 이를 탐지하여 인건비 감소와 관련 기자재 비용 감소의 경제적 효과 관리 시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 오용 탐지와 비정상행위 탐지를 병행하여 사용하므로 프로파일 기반 침입탐지의 단점인 과탐지(False Positive)를 줄이고, 정확한 공격 분류와 공격의 변형에 대한 분석 방법을 제공한다.
상기의 기술적 과제를 이루기 위하여 본 발명은 GET과 POST 방식으로 웹 애플리케이션에 전달된 매개 변수와 사용자 입력 값을 수집하는 데이터 수집부와; 상기 데이터 수집부에서 수집된 데이터들을 침입탐지에 필요한 데이터만을 일정한 형식으로 가공하고 축약하는 데이터 가공 및 축약부와; 상기 데이터 가공 및 축약부에서 걸러진 데이터의 공격 여부를 분석 및 탐지하는 분석 및 침입 탐지부와; 상기 분석 및 침입 탐지부에서 공격으로 판단되면 경고와 관련 감사기록을 남기고 패킷 차단 등의 대응행위를 하는 보고 및 대응부로 이루어진 것을 특징으로 한다.
또한, 상기 분석 및 침입 탐지부는 ClustalW 알고리즘을 이용한 다중정렬을 수행하여 계통수 트리를 작성하고 거리 값을 산출하는 프로파일부와; 상기 공격 프로파일 데이터를 이용하여 공격 여부를 판단하는 오용 탐지부와; 상기의 정상 프로파일 데이터를 이용하여 공격 여부를 판단하는 비정상행위 탐지부와; 상기 오용 탐 지부와 비정상행위 탐지부에서 침입으로 판정된 데이터에 대해 정확한 공격에 대한 분석과 판단을 하는 탐지결과 판단부로; 이루어진 것을 특징으로 한다.
이하 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명에 따른 침입탐지시스템의 구성을 설명하기 위한 구성도이다.
도시된 바와 같이, 본 발명에 의한 침입탐지시스템은 데이터 수집부(100), 데이터 가공 및 축약부(200), 분석 및 침입 탐지부(300), 보고 및 대응부(800)로 구성된다.
상기 데이터 수집부(100)는 웹 애플리케이션의 GET과 POST를 통한 모든 정보를 매개변수 및 사용자 입력 값 수집(110)을 통하여 모은 후, 데이터 가공 및 축약부(200)로 전달한다.
상기 데이터 가공 및 축약부(200)는 침입탐지에 필요한 데이터만을 추출할 수 있도록 필요한 매개변수 추출(210)을 통하여 축약하고 키워드 치환 매트릭스(230)를 통하여 데이터 정렬을 위한 아미노산 코드로 변환(220)을 통해 의미 있는 정보로 가공하여 프로파일 생성부(400)로 전달한다.
상기 분석 및 침입 탐지부(300)는 프로파일 생성부(400)와 오용 탐지부(500), 비정상행위 탐지부(600), 탐지결과 판단부(700)로 구성된다. 상기 프로파일 생성부(400)는 ClustalW 알고리즘을 이용한 다중정렬(410)을 수행하고, 연산된 점수를 이용하여 최근접이웃법을 이용한 계통수 작성(420)을 통하여 데이터 군집의 평균거리 산출(430)을 수행한다. 오용 탐지부(500)는 알려진 공격 행위에 대한 정보가 저장된 비정상 프로파일 데이터(440)를 가지고 검사할 매개변수 정보가 비정상 프로파일 데이터(440)에 저장된 값과 유사할 경우 공격으로 판정한다. 상기 비정상행위 탐지부(600)는 정상적인 매개변수 정보에 관한 정상 프로파일 데이터(450)를 가지고 검사할 매개변수 값에 대한 비유사도 측정을 통해 임계치 이상을 벗어날 경우 비정상행위로 판정한다. 상기 탐지결과 판단부(700)에서는 오용 탐지부(500)와 비정상행위 탐지부(600)의 판단 결과를 분석하여 오탐을 줄이고 공격의 연관성 및 계통도를 분석한다.
상기 분석 및 침입 탐지부(300)에서 침입으로 판단되면 보고 및 대응부(800)로 전달하여 경고와 감사기록을 남기고 대응행위에 대한 여부를 판단한다.
도 2는 본 발명에 따른 데이터 수집부를 도시한 흐름도이다.
도시된 바와 같이, 웹 애플리케이션 구조는 클라이언트(10), 웹 서버(20), 웹 애플리케이션(30), 데이터베이스(40)로 구성되어 동작되어 진다. 상기 데이터 수집부(100)는 웹 애플리케이션(30)이 웹 서버(20)를 통하여 전달받은 매개변수 데이터를 수집한다. 클라이언트(10)에 의해 입력된 매개변수는 GET(121)과 POST(123)라는 두 가지 방법을 이용하여 다양하게 인코딩되어 웹 서버(20)에 전송된다. 두 방법에 의해 전달된 디코딩 방법이 다르기 때문에 GET 메서드에 의해 전달된 데이터는 GET 메서드 디코딩(122)으로, POST 메서드에 의한 데이터는 POST 메서드 디코딩(124)에 의해 처리된 후 매개변수 및 입력 값 수집(110)에 전달한다.
도 3은 본 발명에 따른 데이터 가공 및 축약부를 도시한 흐름도이다.
도시된 바와 같이, 데이터 수집부(100)에서 수집된 데이터(211)는 추출할 키워드 설정(212)에 의해 생성된 키워드 및 연산자 목록(213)을 참조하여 키워드 필터링(219)을 수행한다. 키워드 및 연산자 목록(213)은 웹 공격에 주로 사용되는 데이터베이스 질의어(215)와 덧셈(+), 뺄셈(-)과 같은 연산자(216), 그리고 샵(#)이나 하이픈(-)과 같은 특수문자(217) 등으로 구성되어 있다. 추출된 키워드들은 키워드 서열 정렬(210)에 의해 순서대로 정렬되어지고 키워드 치환 매트릭스(213)를 참조하여 단백질을 구성하는 20개의 아미노산에 대응시키면 아미노산 코드(220)로 변환되어 아미노산 서열 정렬 시스템을 사용해서 유사성 검사를 할 수 있다. 하지만 아미노산의 개수가 20개이기 때문에 아미노산 서열 정렬 시스템을 사용하기 위해서는 데이터베이스 질의문(215)에서 뽑아낼 수 있는 키워드와 연산자(216) 그리고 특수문자(217)의 종류가 20개로 제한된다. 즉, 한 개의 아미노산에 한 개의 키워드를 할당하려면 많은 제약이 있으므로, 한 개의 키워드에 두 개의 아미노산으로 이루어진 한 쌍을 대응시키면 20C2가 되어 190개의 키워드를 등록할 수 있는 치환 매트릭스(213)가 된다.
도 4는 본 발명에 따른 프로파일 생성부를 도시한 흐름도이다.
도시된 바와 같이, 상기 데이터 가공 및 축약부(200)에서 축약된 키워드 데이터(220)만이 프로파일 생성부(400)로 전달되며, 상기 프로파일 생성부(400)에서는 ClustalW 알고리즘(412)을 이용하여 데이터 분석을 위해 다중 정렬 수행(411)을 한다. 수행 절차를 살펴보면 우선 검색하고자 하는 문자열들을 두 개씩 짝지어 쌍정렬을 수행하고 이들 사이에 가장 연관도가 높은 공통 서열들을 뽑아내고 이후 점차적으로 덜 연관된 서열이나 그룹들을 처음에 구한 높은 연관성을 지니는 공통 서열에 하나씩 붙여나가는 방법이다. 정렬결과 출력(413)을 통해 정렬 수행 결과를 화면에 보여 줄 수 있고 정렬된 결과는 유사도 거리 계산(421)을 하여 거리 값 출력(422)을 하고, 상기 거리 값을 바탕으로 최근접이웃법(424)을 통해 유사도 계통 수 작성(423)을 수행한 후, 화면에 계통수 트리 출력(425)을 하게 된다. 생성된 상기의 유사도 계통수(423)는 정상 계통과 비정상 계통으로 나누어지는데 이들은 각각 매개변수와 공격 코드의 특징에 따라 군집을 형성하게 된다. 데이터 군집의 평균거리를 산출(430)하고 프로파일 생성(441)을 통해 각각의 데이터에 따라 정상 프로파일과 비정상 프로파일로 저장되어 검사할 데이터의 유사도 평가를 하는데 이용된다. 유사도 평가는 프로파일 거리 값의 차이를 계산하여 평가할 수 있는데 비정상행위 탐지의 경우 정상데이터 분포 군집과 특정 임계값 이상 떨어지면 이상 값으로 판정하게 된다.
도 5는 본 발명에 따른 오용 및 비정상행위 탐지부를 도시한 흐름도이다.
도시된 바와 같이, 검사 할 매개변수 값은 프로파일 생성부(400)를 거쳐 오용 탐지부(500)와 비정상 탐지부(600)에 전달되어 공격 여부를 판단하게 된다. 각각의 탐지 기능과 수행 절차는 동일 하지만 어떤 프로파일과 비교하느냐에 따라 오용 탐지(510)와 비정상 탐지(610)로 나누어진다. 침입 탐지 순서는 먼저 비정상 프로파일(440)을 사용하는 오용탐지(510)를 먼저 수행하고 알려진 공격이 아닐 경우 정상 프로파일(450)과 비교하여 비정상행위 탐지(610)를 수행하게 된다. 탐지 방법은 프로파일 된 군집들의 거리 값과 검사할 데이터 군집과의 거리를 비유사도 측정(710)을 통해 공격 여부를 판단한다. 만약, 공격이면 비정상프로파일(440)로 전달 되어 학습되어지고 동시에 탐지결과 판단부(700)로 전달되어 정확한 공격 유형과 형태를 분석한다. 알려진 공격이 아니면 비정상행위(610) 여부를 판단하게 된다. 비정상행위 탐지는 정상프로파일(450)과 비교하여 임계값이 넘으면 비정상행위로 판정한다. 침입으로 판정된 데이터는 보고 및 대응부(800)로 보내져 감사 데이터 생성 및 알람을 발생시키고 패킷 버림(drop)과 IP 차단과 같은 대응을 한다.
또 다른 실시예로 오용탐지(510)를 먼저 수행하지 않고 비정상행위 탐지(610)만을 독립적으로 사용하거나 오용 탐지(510)와 비정상행위 탐지(610)를 병렬로 사용하고 탐지결과 판단부(700)에서 탐지 결과를 조합하여 공격 여부를 판단 할 수도 있다.
도 6은 본 발명에 따른 매개변수에서 키워드와 연산자를 추출하고 이를 아미노산 서열로 대응시키는 과정이다.
도시된 바와 같이, 1단계에서 정상과 공격코드가 포함된 매개변수와 입력 값이 수집되어지면 2단계는 수집된 매개변수와 입력 값에서 탐지에 사용 될 키워드 추출하게 되고 3단계에서 키워드 치환 매트릭스를 이용하여 대응되는 아미노산 서열로 데이터를 변환한다.
이상과 같이 본 발명에 의하면, 매개변수에서 순차적인 키워드 시퀀스를 추출하여 아미노산으로 치환한 후 그 정렬한 결과를 프로파일하여 공격을 탐지하는 웹 애플리케이션 보안 침입탐지시스템으로, 기존의 침입탐지시스템과 방화벽이 80 포트를 개방하여 차단할 수 없었던 웹 애플리케이션 공격을 탐지할 수 있고, 다양한 필터링 우회기법을 막을 수 있으며, 프로파일 기반 침입탐지를 함으로써 변형된 공격과 알려지지 않은 공격을 탐지할 수 있는 장점이 있다.
또한, 본 발명은 오용탐지에 프로파일링을 사용하여 사용하므로 새로운 공격 패턴이 발견될 때마다 관리자가 적용시키지 않아도 되기 때문에 인건비 절감과 함께 변형된 공격과 계통분석을 할 수 있다는 장점이 있다.
또한, 본 발명은 오용탐지와 비정상행위 탐지를 병행하여 탐지함으로써 오판율을 줄일 수 있고, 알려진 공격의 경우 빠른 탐지가 가능하다.
또한, 모든 패킷 데이터를 분석하지 않고 웹 애플리케이션이 전달받는 매개변수와 빠른 다중정렬 알고리즘을 이용함으로써 침입탐지시스템의 부하를 줄이고 빠른 웹 서비스를 보장하여준다는 장점이 있다.
또한 데이터베이스 로그가 아닌 매개변수를 데이터로 사용하면 데이터베이스가 해석하기 전에 공격자가 입력한 매개변수를 키워드로 추출할 수 있으므로 보다 정확한 공격 탐지와 차단이 가능하다.

Claims (5)

  1. GET과 POST 방식으로 웹 애플리케이션에 전달된 매개 변수와 사용자 입력 값을 수집하는 데이터 수집부;
    상기 데이터 수집부에서 수집된 데이터들을 침입탐지에 필요한 데이터만을 일정한 형식으로 가공하고 축약하는 데이터 가공 및 축약부;
    상기 데이터 가공 및 축약부에서 걸러진 데이터의 공격 여부를 분석 및 탐지하는 분석 및 침입 탐지부;
    상기 분석 및 침입 탐지부에서 공격으로 판단되면 경고와 관련 감사기록을 남기고 패킷 차단 등의 대응행위를 하는 보고 및 대응부로 이루어진 것을 특징으로 하는 웹 애플리케이션 보안 침입탐지시스템.
  2. 제 1항에 있어서, 웹 애플리케이션의 GET과 POST를 통한 모든 정보를 매개변수 및 사용자 입력 값 수집을 통하여 모으는 단계,
    상기 수집단계에서 GET과 POST 방법에 의해 인코딩되어 전달된 데이터의 디코딩 단계,
    상기 수집단계에서 수집된 데이터의 필터링 및 축약부로 전달하는 단계를 포함하는 것을 특징으로 하는 웹 애플리케이션 보안 침입탐지방법.
  3. 제 2항 있어서, 수집된 데이터를 키워드 설정에 의해 생성된 키워드 및 연산자 목록을 참조하여 키워드 필터링을 수행하는 단계,
    상기 키워드 및 연산자 목록은 웹 공격에 주로 사용되는 데이터베이스 질의어와 덧셈(+), 뺄셈(-)과 같은 연산자, 그리고 샵(#)이나 하이픈(-)과 같은 특수문자 등으로 구성되어 있고 사용자 입력에 의해 수정하는 단계,
    상기 추출된 키워드들은 키워드 서열 정렬에 의해 순서대로 정렬되어지고 키워드 치환 매트릭스를 참조하여 단백질을 구성하는 20개의 아미노산에 대응시키는 단계,
    상기 추출 단계에서 키워드 치환 매트릭스는 한 개의 키워드에 두 개의 아미노산으로 이루어진 한 쌍을 대응시켜 20C2가 되어 190개의 키워드를 등록할 수 있는 치환 매트릭스를 이용하여 치환하는 단계를 포함하는 것을 특징으로 하는 웹 애플리케이션 보안 침입탐지방법.
  4. 제 3항에 있어서, 상기 데이터 가공 및 축약부에서 축약된 매개변수 데이터를 프로파일 생성부로 전달하는 단계,
    상기 프로파일 생성부에서는 ClustalW 알고리즘을 이용하여 데이터 분석을 위해 다중 정렬 수행하는 단계,
    상기의 다중 정렬 수행 결과에 의해 생성된 유사도 계통수는 각각 매개변수와 공격 코드의 특징에 따라 군집을 형성하게 되는데 데이터 군집의 평균거리 산출하여 프로파일 생성하는 단계,
    상기 프로파일 생성은 공격 데이터를 프로파일 하는 비정상 프로파일과 정상데이터를 프로파일 하는 정상 프로파일을 생성하는 단계,
    상기 정상 프로파일과 비정상 프로파일은 검사할 데이터와 프로파일과의 거리 값의 차이를 계산하여 유사도 평가를 하는 단계를 포함하는 것을 특징으로 하는 웹 애플리케이션 보안 침입탐지방법.
  5. 제 4항에 있어서, 상기 프로파일 생성부에서 생성된 비정상 프로파일을 사용하는 오용 탐지부와 정상 프로파일을 사용하는 비정상 탐지부에 전달되어 공격 여부를 판단하는 단계,
    상기 공격 여부를 판단하는 단계에서 프로파일 된 군집들의 거리 값과 검사할 데이터 군집과의 거리를 비유사도 측정을 통해 공격 여부를 판단하는 단계,
    상기 공격 판단 단계에서 공격이면 비정상 프로파일로 전달되어 학습되어지고 동시에 탐지결과 판단부로 전달되는 단계,
    상기 공격 판단 단계에서 정상이면 정상 프로파일로 전달되어 학습되어지는 단계를 포함하는 것을 특징으로 하는 웹 애플리케이션 보안 침입탐지방법.
KR1020060007039A 2006-01-24 2006-01-24 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 KR20070077517A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060007039A KR20070077517A (ko) 2006-01-24 2006-01-24 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060007039A KR20070077517A (ko) 2006-01-24 2006-01-24 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20070077517A true KR20070077517A (ko) 2007-07-27

Family

ID=38502059

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060007039A KR20070077517A (ko) 2006-01-24 2006-01-24 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20070077517A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100832804B1 (ko) * 2006-08-14 2008-05-28 (주)모니터랩 프로파일링 기반 데이터베이스 보안 시스템 및 방법
KR100894331B1 (ko) * 2006-11-15 2009-04-24 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
KR101025502B1 (ko) * 2008-12-24 2011-04-06 한국인터넷진흥원 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
KR101367174B1 (ko) * 2011-12-14 2014-02-27 한국전자통신연구원 부채널 분석을 위한 데이터 정렬 방법 및 장치
US8683607B2 (en) 2007-12-18 2014-03-25 Electronics And Telecommunications Research Institute Method of web service and its apparatus

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100832804B1 (ko) * 2006-08-14 2008-05-28 (주)모니터랩 프로파일링 기반 데이터베이스 보안 시스템 및 방법
KR100894331B1 (ko) * 2006-11-15 2009-04-24 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
US8683607B2 (en) 2007-12-18 2014-03-25 Electronics And Telecommunications Research Institute Method of web service and its apparatus
KR101025502B1 (ko) * 2008-12-24 2011-04-06 한국인터넷진흥원 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8302180B1 (en) 2011-05-23 2012-10-30 Kaspersky Lab Zao System and method for detection of network attacks
KR101367174B1 (ko) * 2011-12-14 2014-02-27 한국전자통신연구원 부채널 분석을 위한 데이터 정렬 방법 및 장치

Similar Documents

Publication Publication Date Title
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
Mohaisen et al. Unveiling zeus: automated classification of malware samples
US8418247B2 (en) Intrusion detection method and system
Kim et al. Improvement of malware detection and classification using API call sequence alignment and visualization
Wan et al. Feature-selection-based ransomware detection with machine learning of data analysis
CN111259204A (zh) 基于图算法的apt检测关联分析方法
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
EA031992B1 (ru) Система анализа записей
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
CN110460611A (zh) 基于机器学习的全流量攻击检测技术
CN111049828B (zh) 网络攻击检测及响应方法及系统
Bortolameotti et al. Headprint: detecting anomalous communications through header-based application fingerprinting
CN111125702A (zh) 一种病毒识别方法及装置
CN116451215A (zh) 关联分析方法及相关设备
CN116418587B (zh) 一种数据跨域交换行为审计追踪方法和数据跨域交换系统
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
KR101712462B1 (ko) Ip 위험군 탐지 시스템
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN113343231A (zh) 一种基于集中管控的威胁情报的数据采集系统
Kim et al. Feature-chain based malware detection using multiple sequence alignment of API call
Mohaisen et al. Unveiling zeus
CN117834311B (zh) 一种用于网络安全的恶意行为识别系统
CN115098602B (zh) 基于大数据平台的数据处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B601 Maintenance of original decision after re-examination before a trial
E801 Decision on dismissal of amendment
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20080205

Effective date: 20080822