KR20070079781A - 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 - Google Patents

하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 Download PDF

Info

Publication number
KR20070079781A
KR20070079781A KR1020060010738A KR20060010738A KR20070079781A KR 20070079781 A KR20070079781 A KR 20070079781A KR 1020060010738 A KR1020060010738 A KR 1020060010738A KR 20060010738 A KR20060010738 A KR 20060010738A KR 20070079781 A KR20070079781 A KR 20070079781A
Authority
KR
South Korea
Prior art keywords
information
url
packet
intrusion prevention
http request
Prior art date
Application number
KR1020060010738A
Other languages
English (en)
Other versions
KR101281160B1 (ko
Inventor
이상우
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060010738A priority Critical patent/KR101281160B1/ko
Publication of KR20070079781A publication Critical patent/KR20070079781A/ko
Application granted granted Critical
Publication of KR101281160B1 publication Critical patent/KR101281160B1/ko

Links

Images

Classifications

    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01CCONSTRUCTION OF, OR SURFACES FOR, ROADS, SPORTS GROUNDS, OR THE LIKE; MACHINES OR AUXILIARY TOOLS FOR CONSTRUCTION OR REPAIR
    • E01C11/00Details of pavings
    • E01C11/24Methods or arrangements for preventing slipperiness or protecting against influences of the weather
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01CCONSTRUCTION OF, OR SURFACES FOR, ROADS, SPORTS GROUNDS, OR THE LIKE; MACHINES OR AUXILIARY TOOLS FOR CONSTRUCTION OR REPAIR
    • E01C19/00Machines, tools or auxiliary devices for preparing or distributing paving materials, for working the placed materials, or for forming, consolidating, or finishing the paving
    • E01C19/002Apparatus for preparing and placing the materials and for consolidating or finishing the paving
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01CCONSTRUCTION OF, OR SURFACES FOR, ROADS, SPORTS GROUNDS, OR THE LIKE; MACHINES OR AUXILIARY TOOLS FOR CONSTRUCTION OR REPAIR
    • E01C7/00Coherent pavings made in situ
    • E01C7/08Coherent pavings made in situ made of road-metal and binders
    • E01C7/35Toppings or surface dressings; Methods of mixing, impregnating, or spreading them

Landscapes

  • Engineering & Computer Science (AREA)
  • Architecture (AREA)
  • Civil Engineering (AREA)
  • Structural Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 HTTP 요청관련 정보를 이용하여 유해 트래픽을 차단하는 침입방지시스템 및 그를 이용한 URL 차단방법에 관한 것이다. 본 발명은 웹 서비스를 위해 클라이언트 단말로부터 발생되는 모든 트래픽에 대한 HTTP 요청관련 패킷정보를 추출하는 패킷 추출부, 상기 패킷 추출부에 의해 추출된 패킷정보에서 URL 정보를 추출하는 URL 정보 추출부, 상기 URL 정보에 대한 해쉬값을 생성하는 해쉬 알고리즘, 및 상기 해쉬값과 해쉬 테이블을 비교하여 트래픽 차단 여부를 결정하는 제어부가 구성되는 침입방지장치가 구비된다. 상기 침입방지장치는 웹 서버에 접속 요청하는 모든 트래픽의 HTTP 요청관련 패킷 정보와 해쉬 테이블내에 등록된 정보를 비교하고, 비교 결과에 따라 웹 서버와 트래픽 요청 단말과의 세션을 제어한다. 이에 따라 본 발명은 유해 트래픽 발생을 판단하고 선택적으로 해당되는 URL를 차단할 수 있어 무분별하게 발생되는 트래픽을 효과적으로 관리할 수 있는 잇점이 있다.
HTTP 요청 패킷, URL, 해쉬 테이블, 관리 콘솔.

Description

하이퍼 텍스터 전송규약 요청 정보 추출을 이용한 침입방지시스템 및 그를 이용한 유알엘 차단방법{Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same}
도 1은 본 발명의 실시 예에 따른 HTTP 요청 정보 추출을 이용한 침입방지시스템의 구성도.
도 2는 도 1의 침입방지장치의 구성도.
도 3은 본 발명의 실시 예에 따른 URL 차단방법을 위한 패킷 데이터의 처리 흐름도.
도 4는 본 발명의 바람직한 실시 예에 따른 로그 메시지의 포맷 구성도.
<도면의 주요 부분에 대한 부호의 설명>
10 : 웹 서버 20 : 침입방지장치
21 : 패킷 수신부 22 : 패킷 추출부
23 : URL 정보 추출부 24 : 해쉬 알고리즘
25 : 제어부 26 : 해쉬 테이블
30 : 스위치 모듈 40 : 내부 호스트
50 : 관리 콘솔
본 발명은 침입방지시스템에 관한 것으로서, 특히 인터넷 사용을 위해 발생되는 모든 트래픽에 대하여 하이퍼 텍스터 전송규약 요청(HTTP request) 정보를 추출/분석하고 URL를 선택적으로 차단하는 HTTP 요청 정보 추출을 이용한 침입방지시스템 및 그를 이용한 URL 차단방법에 관한 것이다.
주지된 바와 같이 침입방지시스템(Intrusion Prevention System : IPS)은 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다. 효과적인 침입방지시스템이 되려면 개별 패킷은 물론 트래픽 패턴을 감시하고 대응하는 등 보다 복잡한 감시와 분석을 수행할 수 있어야 한다.
공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 상기 침입방지시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입방지시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신 서버측에 전달한다.
이와 같은 침입방지시스템에서 특히 방화벽에서 수행하는 기능으로 어플리케 이션 게이트웨이인 HTTP 프럭시가 발생 트래픽에 대하여 URL을 선택적으로 차단할 수 있다.
상기 HTTP 프럭시는 클라이언트로부터 서비스 요구에 대한 패킷 정보가 전달되면, 상기 패킷 정보를 분석하고 미리 설정된 보안정책에 따라서 차단하고자 하는 URL에 대한 HTTP 요청을 차단할 수 있고, 상기 HTTP 요청 차단이 결정되면 클라이언트와 서버와의 세션을 종료시켜 서비스를 제한한다.
또한, 상기 HTTP 프럭시는 목적지 포트가 80포트(HTTP를 위시한 웹 어플리케이션이 공통으로 쓰는 포트)에 대한 웹 관련 패킷에 대하여 패킷 필터링 규칙을 적용하고, 상기 패킷 필터링 규칙에 따라 상기 패킷이 상기 HTTP 프럭시 서버로 전달되도록 한다. 상기 HTTP 프럭시 서버에서는 클라이언트가 접속하고자 했던 웹 서버와 연결을 하고, 상기 웹 서버로부터 응답을 받아 상기 클라이언트에게 전달하는 역할을 제공한다. 이때, 상기 HTTP 프럭시 서버도 네트워크 관리자에 의해 미리 설정한 차단정보, 즉 URL 정보와 HTTP 요청 발생한 패킷정보에 포함된 목적지 호스트 주소 및 서브 디렉토리 정보를 상호 비교하고, 그 비교 결과에 따라 클라이언트와 서버 상호간의 세션을 선택적으로 중단시키게 된다.
하지만, HTTP 프럭시 서버를 이용한 침입방지시스템에서는, 상기 HTTP 프럭시 서버가 클라이언트와 웹서버 사이에 연결되어야 하는바, 서비스 가능한 세션 수에 제한이 있을수 밖에 없었다. 이는 상기 세션 수에 따라 전체 시스템에 적용되는 부하가 늘어나서 상당한 오버헤드(over head)가 발생되고 성능(throughput) 저하 등의 문제를 초래하게 된다.
또한, HTTP 프럭시 서버를 통해 특정 목적 포트로 전송되는 패킷에 대해서만 서비스 이용이 가능하기 때문에, 클라이언트가 프럭시 캐쉬(Proxy cache)를 설정하여 사용할 경우에는 유해 트래픽에 대해 적절한 대응을 할 수 없었다. 상기 프럭시 캐쉬는 웹사이트 로딩속도를 향상시키고 최신 그래픽/텍스트를 보다 빠르게 전송함으로써 웹서버 부하를 크게 경감시키는 역할을 한다. 따라서 전송 시간을 절약할 수 있고 외부와의 트래픽을 줄이게 되어 네트워크 병목 현상을 방지할 수는 있다. 그러나, 상기 HTTP 프럭시 서버를 경유하지 않고 패킷 전송이 가능하여 내부 네트워크를 완전하게 방어할 수 없는 문제점이 있다.
이에 본 발명의 목적은, HTTP 프럭시 서버의 사용환경과 상관없이 네트워크에서 발생하는 모든 트래픽에 대하여 유해 트래픽을 인지하고 해당 URL 요구를 차단하는 HTTP 요청 정보 추출을 이용한 침입방지시스템 및 그를 이용한 URL 차단방법을 제공함에 있다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 HTTP 요청 정보 추출을 이용한 침입방지시스템은, 유해 트래픽 여부를 판단하는 침입방지시스템에 있어서, 클라이언트 단말로부터 유입되는 모든 트래픽에 대하여 HTTP 요청관련 패킷 정보를 추출하고 미리 등록된 차단 URL 정보와의 비교에 따라 상기 트래픽 차단 여부를 결 정하는 침입방지장치를 더 포함하여 구성되는 것을 기술적 특징으로 한다.
실시 예에 의하면, 상기 침입방지장치는 유입된 상기 트래픽에 대한 HTTP 요청관련 패킷정보를 추출하는 패킷 추출부와, 상기 패킷 추출부에 의해 추출된 패킷정보에서 URL 정보를 추출하는 URL 추출부와, 상기 URL 정보의 해쉬값을 생성하는 해쉬 알고리즘과, 차단하고자 하는 URL 정보를 저장하는 해쉬 테이블과, 상기 생성된 해쉬값과 상기 해쉬 테이블내에 저장된 URL 정보를 비교하고 그 비교 결과에 따라 상기 트래픽 차단여부를 결정하는 제어부를 포함하여 구성된다.
상기 URL 정보는 상기 패킷정보의 페이로드 중에서 1바이트에서 4바이트까지의 스트링 정보와, 5바이트에 대한 정보로 구성된다.
상기 스트링 정보는 "GET" 정보이며, 상기 5바이트 정보는 "h"인 것을 특징으로 한다.
또한, 본 발명의 HTTP 요청 정보 추출을 이용한 침입방지시스템은, 유해 트래픽 여부를 판단하는 침입방지시스템에 있어서, 클라이언트 단말로부터 유입되는 모든 트래픽에 대하여 HTTP 요청관련 패킷 정보를 추출하고 미리 등록된 차단 URL 정보와의 비교에 따라 상기 트래픽 차단 여부를 결정하는 침입방지장치와, 상기 침입방지장치의 검사 결과를 전송받으며 상기 침입방지장치에 접속하여 상기 URL 차단 규칙을 설정하고 관리하는 관리콘솔을 포함하여 구성되는 것을 기술적 특징으로 한다.
본 발명의 실시 예에 의하면, 상기 관리콘솔은 상기 침입방지장치로부터 트래픽 차단에 따른 해당 웹서버의 URL 정보가 포함된 로그 메시지를 저장한다.
상기 로그 메시지는, 소스 IP, 소스 포트, 목적지 IP, 목적지 포트, 유해 트래픽이 차단된 시간, 상기 트래픽의 패킷이 속하는 IP상위 프로토콜, 사용자가 접속을 시도한 웹서버의 URL 정보로 구성되는 것이 바람직하다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 HTTP 요청 정보 추출을 이용한 URL 차단방법은, 미리 차단하고자 하는 URL 정보를 설정하는 차단정보 설정단계와, 네트워크를 통해 발생된 트래픽에 대한 패킷정보로부터 HTTP 요청 관련 패킷정보를 추출하는 패킷 추출단계와, 상기 HTTP 요청 관련 패킷정보로부터 URL 정보를 추출하는 URL 정보 추출단계와, 상기 추출된 URL 정보에 대한 해쉬값을 생성하는 단계와, 상기 차단정보 설정단계에 의해 설정된 URL 정보와 상기 생성된 해쉬값을 비교하고 세션 차단 여부를 결정하는 단계를 포함하여 구성되는 것을 기술적 특징으로 한다.
본 발명의 실시 예에 의하면, 상기 세션 차단 여부 결정단계에 의하여 세션이 종료되면 접속을 시도한 웹서버의 URL 정보를 관리 콘솔에게로 전송하는 단계를 더 포함하여 구성된다.
상기 패킷 추출단계는, 상기 패킷정보의 IP 상위 레이어 프로토콜이 TCP 프로토콜만을 추출한 다음, 상기 패킷정보의 페이로드에 포함되는 파일 요청 방식 정보와 관련된 바이트와 프록시 설정시에 웹서버의 URL정보를 포함하는 바이트를 추출하는 것이 바람직하다.
상기 패킷 추출단계에서, 상기 파일 요청 방식정보가 "GET" 방식이고 프록시가 설정된 상태인 "h"가 추출되면 상기 패킷정보로부터 도메인과 서브 디렉토리 정 보를 동시에 추출하고, 상기 파일 요청 방식정보가 "GET"방식이며 프록시가 설정되지 않은 경우에는 상기 패킷정보의 "Host" 문자열 뒤의 도메인 정보와 "Get" 문자열 뒤의 서브 디렉토리 정보를 순차적으로 각각 추출하는 것이 바람직하다.
상기한 바와 같은 구성으로 이루어진 본 발명은 특정 목적 포트로 전송되는 트래픽 뿐만 아니라 모든 트래픽에 대해 HTTP 관련 트래픽인지를 분석하고, 차단할 URL 요청과 관련된 트래픽에 대해서는 세션을 종료하여 유해 트래픽을 차단할 수 있게 된다.
이하, 상기한 바와 같은 구성을 가지는 본 발명에 의한 HTTP 요청 정보 추출을 이용한 침입방지시스템 및 URL 차단방법의 바람직한 실시 예를 첨부된 도면을 참고하여 상세하게 설명한다.
도 1에는 본 발명의 실시 예에 따른 HTTP 정보 정보 추출을 이용한 침입방지시스템이 도시되어 있고, 도 2에는 도 1에 도시된 침입방지장치의 구성도가 도시되어 있다.
이들 도면에 따르면, 인터넷 망에는 상이한 인터넷 서비스를 제공하는 복수의 웹서버(10)와 함께 내부 네트워크를 외부와 차단하기 위한 침입방지장치(20)가 접속되어 있고, 상기 침입방지장치(20)의 동작에 따라 다수의 내부 호스트와의 연결을 위한 스위치모듈(30)이 구비된다. 즉 상기 스위치 모듈(30)은 상기 침입방지장치(20)와 내부 호스트(40) 사이에 구비되어 상기 침입방지장치(20)의 제어에 따라 선택적으로 내부 호스트(40)와 웹 서버(10)를 연결시키는 기능을 제공한다.
상기 인터넷망은 인터넷 공중전화 교환망(PSTN) 또는 무선인터넷 망을 포함 하는 광대역 네트워크(Wide area network)가 될 수 있다.
상기 침입방지장치(20)에는 보안정책 설정이나 로그 검색, URL 차단 규칙을 추가/수정/삭제/적용할 수 있도록 웹-브라우저(web browser)를 이용한 관리 콘솔(50)이 상기 스위치모듈(30)을 통해 접속된다.
상기 관리 콘솔(50)은 유해 트래픽을 탐지시 상기 침입방지장치(20)로부터 소정 포맷의 로그 메시지를 전송받아 저장한다. 상기 로그 메시지의 형태는 도 4에 도시된 바와 같이, "src ip, src port, dst ip, dst port, time, protocol, 차단 URL 정보"로 이루어진다. 상기 "src ip, src port, dst ip, dst port"는 각각 소스 IP, 소스 포트, 목적지 IP, 목적지 포트를 나타내며, "time"은 유해 트래픽이 차단된 시간, "protocol"은 해당 패킷정보가 속하는 IP상위 프로토콜(TCP, UDP, ICMP)을 나타낸다. 상기 "차단 URL 정보"는 사용자가 접속을 시도한 웹서버의 URL 정보를 나타낸다. 그러한 상기 로그 메시지는 네트워크 관리자가 추후 유해 트래픽의 내용을 분석하는데 이용될 수 있다.
상기 침입방지장치(20)는, 발생된 트래픽에 대한 패킷을 수신하는 패킷 수신부(21)와, 상기 트래픽이 HTTP 관련 트래픽인 경우에 그 HTTP 요청 관련 패킷정보만을 추출하는 패킷 추출부(22)와, 상기 추출된 패킷 정보에서 URL 정보를 추출하는 URL 정보 추출부(23)를 구비한다. 상기 URL 정보 추출부(23)에 의해 추출된 URL 정보에 대해 해쉬값을 생성하는 해쉬 알고리즘(24)이 제공된다. 그리고, 상기 추출된 URL 정보가 유해한 URL 정보인가를 판단하기 위해 네트워크 관리자에 의해 차단하고자 하는 URL정보가 등록되는 해쉬 테이블(26)을 구비한다. 상기 생성된 해쉬값 과 해쉬 테이블(26)내의 URL 정보를 비교하고 미도시하고 있는 클라이언트 단말측에 리셋 패킷(reset packet)을 송신하여 세션을 종료시키는 제어부(25)를 구비한다.
도 3은 본 발명의 실시 예에 따른 URL 차단방법을 위한 패킷 데이터의 처리 흐름도이다. 상기 침입방지장치(20)에서 패킷이 수신되었을 때 상기 해쉬 테이블(26)을 참조하여 수신된 패킷의 유해 트랙픽 여부를 검사하고 차단하는 과정을 나타낸 것이다.
이어, 상기 도 1 내지 도 4를 참조하여 본 발명의 실시 예에 따른 HTTP 요청 정보 추출을 이용한 침입방지시스템의 동작을 상세하게 설명한다.
도 1과 같이 구성된 침입방지시스템이 동작되고 있는 상태에서, 내부 호스트(40)와 연결된 클라이언트 단말로부터 트래픽이 발생되면, 상기 침입방지장치(20)의 패킷 수신부(21)는 상기 트래픽에 대한 패킷 정보를 스위치모듈(30)을 매개하여 수신한다(제 100 단계).
상기 수신된 패킷 정보는 상기 패킷 추출부(22)에 의하여 IP 상위 레이어 프로토콜이 TCP 프로토콜인 것만을 추출하게 된다(제 102 단계). 즉, 인터넷 표준 프로토콜 집합인 TCP/IP에서는 망 계층(OSI의 제3계층에 해당) 프로토콜인 IP와 전송 계층(OSI의 제4계층에 해당) 프로토콜인 전송 제어 프로토콜(TCP) 또는 사용자 데이터그램 프로토콜(UDP)의 어느 하나를 조합하여 데이터를 주고받는다. 여기서, 상기 TCP에서는 세션을 설정한 후에 통신을 개시하지만, 상기 UDP에서는 세션을 설정하지 않고 데이터를 상대의 주소로 송출하기 때문에, 본 발명에서는 TCP 프로토콜 만을 추출한다.
이후, 상기한 바와 같이 수신된 패킷 정보중에서 TCP 프로토콜만이 적용된 패킷 정보를 추출한 다음에는, 제 104 단계에서 URL 정보 추출부(23)가 URL 정보를 추출하기 위하여 파일 정보 요청방식이 "GET"방식인지를 판단한다. 이는 패킷 정보의 페이로드(payload) 중에서 첫번째 바이트부터 네번째 바이트까지의 스트링정보를 통해 확인할 수 있으며, 통상 상기 "GET" 방식은 URL에 지정된 서버의 정보를 파일의 종류에 관계없이 달라고 요청하는 방식이다.
일단, 상기 제 102 및 104 단계로부터 패킷 정보가 TCP 프로토콜을 사용하고 "GET" 방식인 패킷인 경우에는, 상기 패킷 정보로부터 도메인 및 서브 디렉토리 정보를 추출할 수 있게 된다.
그러나, 본 발명에서는 프록시를 설정하는 경우와 미설정하는 경우까지도 모두 포함하여 URL 정보를 제어하기 때문에, 이후에서는 상기 페이로드의 다섯번째 바이트가 'h'인지를 확인하는 절차가 수행된다(제 106 단계). 상기 페이로드의 다섯번째 바이트는 웹브라우저에서 프록시를 설정하여 사용할 경우 접속하고자 하는 웹서버(10)의 URL 정보가 표기되는 부분이다.
이에, 상기 다섯번째 바이트를 확인하고, 제 106 단계로부터 그 다섯번째 바이트가 'h'인 경우에는 도메인 정보와 서브 디렉토리 정보를 추출한다(제 108 단계). 그러나, 상기 다섯번 째 바이트가 상기 'h'가 아닌 경우에는, 제 110 및 제 112 단계와 같이 상기 패킷 정보로부터 "Host:" 문자열 뒤의 도메인 정보와 "GET:" 문자열 뒤의 서브 디렉토리 정보를 순차적으로 추출한다.
그와 같이 상기 URL 정보 추출부(23)에 의해 상기 발생된 트래픽에 대한 HTTP 요청 관련 패킷정보의 URL 정보가 추출되면(제 114 단계), 제어부(25)는 상기 해쉬 테이블(26)를 액세스한 후 상기 추출한 URL 정보가 상기 해쉬 테이블(26)에 있는지를 검사하고, 그 결과에 따라 유해 트래픽 여부를 판단한다.
이를 위해, 제 116 단계에서는 상기 추출된 URL 정보에 대하여 해쉬값을 생성한다. 상기 해쉬값 계산은 미리 지정된 해쉬 알고리즘(24)을 이용하여 생성하게 되며, 이때 상기 해쉬 알고리즘(24)을 이용하여 해쉬값을 생성하는 방법은 주지의 사항이므로 이에 대한 설명은 생략한다.
제 118 단계에서, 상기 제어부(25)는 상기 해쉬 테이블(26)을 액세스하고, 그 해쉬 테이블(26)에 상기 생성된 해쉬값이 존재하는지를 검색한다. 상기 해쉬 테이블(26)에는 전술한 바 있는 차단하고자 하는 URL 정보가 저장되어 있기 때문에, 상기 검색과정에 따라 상기 생성된 해쉬값이 없는 경우, 즉 URL 정보가 없는 경우에는 상기 제어부(25)는 상기 HTTP 요청에 대한 패킷 정보를 정상적으로 처리하게 된다(제 122 단계).
그러나, 상기 생성된 해쉬값이 상기 해쉬 테이블(26)에서 검색되는 경우에는 상기 제어부(25)는 리셋 패킷을 생성하여 내부 호스트(40)와 연결된 해당 클라이언트 단말로 전송시키고, 현재 접속되어 있는 스위치모듈(30)를 오프시켜 세션을 종료시킨다(제 120단계). 즉 유해 트래픽에 대해서는 HTTP 요청을 거절하는 것이다. 이때, 상기 관리 콘솔(50)은 상기 침입방지장치(20)로부터 전송된 도 4와 같은 로그 메시지를 분석하여 유해 트래픽에 유연하게 대처할 수 있도록 한다.
이와 같이 상기 실시 예에 설명되고 있는 본 발명은 발생된 모든 트래픽에 대하여 HTTP 요청 패킷을 추출 분석하고 기 등록된 차단 정보와 비교하여 상기 트래픽에 대한 차단 여부를 결정함을 알 수 있다.
이상에서 설명한 바와 같이 본 발명의 HTTP 요청 정보 추출을 이용한 침입방지시스템 및 그를 이용한 URL 차단방법에 따르면, 종래 HTTP 프록시 서버를 이용하여 유해 트래픽을 차단하는 방법에 비하여 시스템 자원 사용량 및 처리속도가 향상되는 효과가 있다.
또한, 프록시 설정환경과 상관없이 특정 목적 포트의 패킷 정보뿐만 아니라 HTTP 요청과 관련된 모든 트래픽에 대한 패킷 정보를 추출하고 미리 저장된 차단 정보와 비교하여 세션 종료 여부를 결정하기 때문에, 무분별하게 발생되는 트래픽를 효과적으로 차단할 수 있다.

Claims (12)

  1. 유해 트래픽 여부를 판단하는 침입방지시스템에 있어서,
    클라이언트 단말로부터 유입되는 모든 트래픽에 대하여 HTTP 요청관련 패킷 정보를 추출하고 미리 등록된 차단 URL 정보와의 비교에 따라 상기 트래픽 차단 여부를 결정하는 침입방지장치를 더 포함하여 구성되는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  2. 제 1항에 있어서,
    상기 침입방지장치는.
    유입된 상기 트래픽에 대한 HTTP 요청관련 패킷정보를 추출하는 패킷 추출부와,
    상기 패킷 추출부에 의해 추출된 패킷정보에서 URL 정보를 추출하는 URL 추출부와,
    상기 URL 정보의 해쉬값을 생성하는 해쉬 알고리즘과,
    차단하고자 하는 URL 정보를 저장하는 해쉬 테이블, 그리고
    상기 생성된 해쉬값과 상기 해쉬 테이블내에 저장된 URL 정보를 비교하고 그 비교 결과에 따라 상기 트래픽 차단여부를 결정하는 제어부를 포함하여 구성되는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  3. 제 2항에 있어서,
    상기 URL 정보는 상기 패킷정보의 페이로드 중에서 1바이트에서 4바이트까지의 스트링 정보와, 5바이트에 대한 정보인 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  4. 제 3항에 있어서,
    상기 스트링 정보는 "GET" 정보이며, 상기 5바이트 정보는 "h"인 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  5. 유해 트래픽 여부를 판단하는 침입방지시스템에 있어서,
    클라이언트 단말로부터 유입되는 모든 트래픽에 대하여 HTTP 요청관련 패킷 정보를 추출하고 미리 등록된 차단 URL 정보와의 비교에 따라 상기 트래픽 차단 여부를 결정하는 침입방지장치 및,
    상기 침입방지장치의 검사 결과를 전송받으며 상기 침입방지장치에 접속하여 상기 URL 차단 규칙을 설정하고 관리하는 관리콘솔을 포함하여 구성되는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  6. 제 5항에 있어서,
    상기 관리콘솔은 상기 침입방지장치로부터 트래픽 차단에 따른 해당 웹서버의 URL 정보가 포함된 로그 메시지를 저장하는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  7. 제 6항에 있어서,
    상기 로그 메시지는, 소스 IP, 소스 포트, 목적지 IP, 목적지 포트, 유해 트래픽이 차단된 시간, 상기 트래픽의 패킷이 속하는 IP상위 프로토콜, 사용자가 접속을 시도한 웹서버의 URL 정보로 구성되는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 침입방지시스템.
  8. 미리 차단하고자 하는 URL 정보를 설정하는 차단정보 설정단계와,
    네트워크를 통해 발생된 트래픽에 대한 패킷정보로부터 HTTP 요청 관련 패킷정보를 추출하는 패킷 추출단계와,
    상기 HTTP 요청 관련 패킷정보로부터 URL 정보를 추출하는 URL 정보 추출단계와,
    상기 추출된 URL 정보에 대한 해쉬값을 생성하는 단계, 그리고
    상기 차단정보 설정단계에 의해 설정된 URL 정보와 상기 생성된 해쉬값을 비교하고 세션 차단 여부를 결정하는 단계를 포함하여 구성되는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 URL 차단방법.
  9. 제 8항에 있어서,
    상기 세션 차단 여부 결정단계에 의하여 세션이 종료되면 접속을 시도한 웹 서버의 URL 정보를 관리 콘솔에게로 전송하는 단계를 더 포함하여 구성되는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 URL 차단방법.
  10. 제 8항에 있어서,
    상기 패킷 추출단계는, 상기 패킷정보의 IP 상위 레이어 프로토콜이 TCP 프로토콜만을 추출한 다음 상기 패킷정보의 페이로드에 포함되는 파일 요청 방식 정보와 관련된 바이트 및 프록시 설정시에 웹서버의 URL정보를 포함하는 바이트를 추출하는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 URL 차단방법.
  11. 제 10항에 있어서,
    상기 파일 요청 방식정보가 "GET" 방식이고 프록시가 설정된 상태인 "h"가 추출되면 상기 패킷정보로부터 도메인과 서브 디렉토리 정보를 동시에 추출하는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 URL 차단방법.
  12. 제 10항에 있어서,
    상기 파일 요청 방식정보가 상기 "GET"방식이고 프록시가 설정되지 않은 경우에는 상기 패킷정보의 "Host" 문자열 뒤의 도메인 정보와 "Get" 문자열 뒤의 서브 디렉토리 정보를 순차적으로 각각 추출하는 것을 특징으로 하는 HTTP 요청 정보 추출을 이용한 URL 차단방법.
KR1020060010738A 2006-02-03 2006-02-03 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 KR101281160B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060010738A KR101281160B1 (ko) 2006-02-03 2006-02-03 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060010738A KR101281160B1 (ko) 2006-02-03 2006-02-03 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법

Publications (2)

Publication Number Publication Date
KR20070079781A true KR20070079781A (ko) 2007-08-08
KR101281160B1 KR101281160B1 (ko) 2013-07-02

Family

ID=38600330

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060010738A KR101281160B1 (ko) 2006-02-03 2006-02-03 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법

Country Status (1)

Country Link
KR (1) KR101281160B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100898771B1 (ko) * 2008-02-13 2009-05-20 (주)소만사 Isp에 의한 인터넷 유해사이트 우회 접속 차단 방법 및이를 위한 프로그램을 기록한 컴퓨터로 판독 가능한기록매체
WO2010074839A2 (en) * 2008-12-15 2010-07-01 Taproot Systems, Inc. Algorithm for classification of browser links
KR101024006B1 (ko) * 2009-05-25 2011-03-29 (주)트리니티소프트 웹 방화벽에서의 화이트 유알엘 수집방법 및 화이트 유알엘 수집기능이 구비된 웹 방화벽
KR101029260B1 (ko) * 2008-10-27 2011-04-18 (주)소만사 유해 사이트 차단 장치 및 방법
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101942965B1 (ko) * 2015-06-01 2019-01-28 주식회사 케이티 불법 트래픽 검출 장치 및 그 방법
KR101767589B1 (ko) * 2015-10-20 2017-08-11 에스케이플래닛 주식회사 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법
KR101767594B1 (ko) * 2016-10-28 2017-08-18 에스케이플래닛 주식회사 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475311B1 (ko) * 2002-12-24 2005-03-10 한국전자통신연구원 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법
KR100548923B1 (ko) * 2003-03-24 2006-02-02 학교법인 포항공과대학교 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100898771B1 (ko) * 2008-02-13 2009-05-20 (주)소만사 Isp에 의한 인터넷 유해사이트 우회 접속 차단 방법 및이를 위한 프로그램을 기록한 컴퓨터로 판독 가능한기록매체
KR101029260B1 (ko) * 2008-10-27 2011-04-18 (주)소만사 유해 사이트 차단 장치 및 방법
WO2010074839A2 (en) * 2008-12-15 2010-07-01 Taproot Systems, Inc. Algorithm for classification of browser links
WO2010074839A3 (en) * 2008-12-15 2010-08-19 Taproot Systems, Inc. Algorithm for classification of browser links
KR101024006B1 (ko) * 2009-05-25 2011-03-29 (주)트리니티소프트 웹 방화벽에서의 화이트 유알엘 수집방법 및 화이트 유알엘 수집기능이 구비된 웹 방화벽
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Also Published As

Publication number Publication date
KR101281160B1 (ko) 2013-07-02

Similar Documents

Publication Publication Date Title
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
US9444835B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
US7610375B2 (en) Intrusion detection in a data center environment
JP4664257B2 (ja) 攻撃検出システム及び攻撃検出方法
EP1330095B1 (en) Monitoring of data flow for enhancing network security
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
US9407650B2 (en) Unauthorised/malicious redirection
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
KR20140122044A (ko) 슬로우 리드 도스 공격 탐지 장치 및 방법
JP2023532924A (ja) モバイルネットワークにおける制御とユーザプレーンの分離の確保
US11838317B2 (en) Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service
KR100717635B1 (ko) 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
Jeyanthi Internet of things (iot) as interconnection of threats (iot)
KR20200109875A (ko) 유해 ip 판단 방법
CN114465744A (zh) 一种安全访问方法及网络防火墙系统
GUDEKLI et al. DNS Tunneling Effect on DNS Packet Sizes
KR101029260B1 (ko) 유해 사이트 차단 장치 및 방법
RU2812087C1 (ru) Система и способ анализа входящего потока трафика
CN114363083B (zh) 智能网关的安全防范方法、装置、设备
Ambhore et al. Proxy Server FOR Intranet Security
Stadler et al. Survey on the Chinese Governments Censorship Mechanisms
CA3190142A1 (en) Network security with server name indication
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee