KR20080029426A - 웹 보안 시스템 및 방법 - Google Patents

웹 보안 시스템 및 방법 Download PDF

Info

Publication number
KR20080029426A
KR20080029426A KR1020060095531A KR20060095531A KR20080029426A KR 20080029426 A KR20080029426 A KR 20080029426A KR 1020060095531 A KR1020060095531 A KR 1020060095531A KR 20060095531 A KR20060095531 A KR 20060095531A KR 20080029426 A KR20080029426 A KR 20080029426A
Authority
KR
South Korea
Prior art keywords
web
predetermined
user terminal
requests
connection
Prior art date
Application number
KR1020060095531A
Other languages
English (en)
Inventor
구본현
조상현
이민수
Original Assignee
구본현
조상현
이민수
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구본현, 조상현, 이민수 filed Critical 구본현
Priority to KR1020060095531A priority Critical patent/KR20080029426A/ko
Publication of KR20080029426A publication Critical patent/KR20080029426A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

웹 보안 시스템, 및 방법이 개시된다. 웹 보안 시스템은 접속 요청 수 추출부, 및 대처 과정 수행부를 포함한다. 접속 요청 수 추출부는 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하고, 대처 과정 수행부는 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다. 웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다.
웹, 보안, 베이지언, http, 패턴

Description

웹 보안 시스템 및 방법{System and method for protecting web}
도 1은 종래의 웹 보안 시스템의 개략적인 블록도.
도 2는 본 발명에 따른 웹 보안 시스템의 일 실시예의 개략적인 블록도.
도 3은 본 발명에 따른 웹 보안 방법의 일 실시예를 수행하기 위한 개략적인 흐름도.
본 발명은 통신 관련 시스템, 및 방법에 관한 것으로서, 더욱 상세하게는 외부의 공격으로부터 웹 서버를 보호하는 시스템, 및 방법에 관한 것이다.
최근 대부분의 애플리케이션들이 웹 기반으로 구축되고 있다. 이에 따라, 해킹의 유형들의 50% 정도가 웹을 대상으로 한다고 보고되고 있다.
웹 서비스는 프로토콜 상의 취약점과 서비스 구조 상 클라이언트 측의 코드를 모두 볼 수 있고 위조할 수 있기 때문에 공격이 매우 쉽고 간단하다. 따라서, 서비스 거부 공격 등에 의해 쉽게 웹 서비스를 마비시킬 수 있으며 웹 서버 침투를 통해 웹 서비스와 연동되는 DB나 메일 등의 내부 시스템으로 공격을 계속 수행할 수 있다.
이와 같이, 웹 서비스의 활용이 많아짐에 따라 웹 서비스의 요구 수준도 점점 더 복잡하고 기능이 다양한 서비스를 요구하고 있다. 이에 따라, 이러한 웹 서비스에 특화된 솔루션의 개발이 요구되고 있다.
웹 보안 솔루션으로는 현재 웹 방화벽이라는 통상적인 용어로 사용되는 형태의 기술이 적용 된 제품들이 존재한다. 이들은 기술의 구현 형태에 따라 하드웨어 어플라이언스형 웹 방화벽, 네트워크 게이트웨이형 웹 방화벽, 프록시 기반 웹 방화벽, L7 스위치 기반의 웹 방화벽, 웹 취약점 분석 스캐너 등의 형태의 기술들이 존재한다.
다양한 형태의 웹 보안 솔루션이 존재하는 반면 실제 적용되는 기술은 도 1과 같이 모두 유사하게 IDS(Intrusion Detection System), IPS(Intrusion Prevention System)에서 사용되던 기술에 HTTP 프로토콜을 적용한 형태를 사용하고 있다.
대부분의 웹 보안 솔루션은 도 1과 같이 http 프로토콜을 이해할 수 있도록 http 해석기 모듈을 제작하여 사용하며, 공격을 탐지하기 위한 룰 생성 http 프로토콜과 관련하여 정의를 한다.
외부로부터 웹 서비스의 요청이 오면, 웹 보안 솔루션의 http 프로토콜 해석기를 거쳐 공격 패턴을 확인하는 룰 검사기를 거치며, 이때의 결과를 토대로 공격이라고 판단되는 요청에 대해서는 세션을 종료하고, 전상인 경우 웹 서버로 전달하는 방식을 사용한다.
그러나, 이러한 방식의 접근은 공격에 대한 패턴 생성과 패킷 처리 속도라는 문제점을 가질 수 있다. 최근 웹 보안 솔루션 업체에서는 패킷 처리 속도를 향상시키기 위해 하드웨어 어플라이언스 형태의 전용 하드웨어를 사용하는 방식으로 발전되고 있으며, 공격 패턴 생성은 공격 발생 시 패턴 룰을 업데이트 해주는 방식으로 사용되고 있다.
이와 같이, 현재 사용되고 있는 웹 보안 솔루션은 패킷 처리 속도, 공격 패턴의 업데이트라는 점에서 문제점을 가지고 있으며, 이를 극복하기 위해 사용되는 하드웨어 어플라이언스 형태, 룰 업데이트 정책은 웹 보안 솔루션의 가격을 상승시키는 문제점을 가지고 있다.
본 발명은 상술한 종래의 문제점을 해결하기 위해 안출된 것으로서, 룰 업데이트의 필요가 없고 고속이면서도 저렴한 웹 보안 시스템, 및 방법을 제공하는 것을 목적으로 한다.
상기 목적을 달성하기 위해 본 발명에 따른 웹 보안 시스템은 접속 요청 수 추출부, 및 대처 과정 수행부를 포함한다.
접속 요청 수 추출부는 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하고, 대처 과정 수행부는 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다.
웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니 라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다.
시스템은 웹 페이지들에 대한 접속 요청의 수를 관리자 단말로 출력하는 접속 요청 수 출력부를 더 포함할 수 있다.
접속 요청에 대한 상황을 관리자 단말로 출력함으로써 관리자가 서버의 이상 여부를 빠르게 확인할 수 있게 된다.
소정의 정상 범위는 소정의 확률 기준, 특히, 베이지언 평가 기준에 의해 정해질 수 있다. 확률을 이용한 판단으로 더욱 객관적이고 정확하게 이상 여부를 판단할 수 있게 된다.
소정의 이상 대처 과정은 사용자 단말의 위치를 추적하는 것일 수 있다. 이러한 구성은 단순히 웹의 보안뿐만 아니라 공격자의 추적도 가능하게 한다.
또한, 소정의 이상 대처 과정은 관리자 단말로 이상 경보를 출력하거나 사용자 단말로부터 전송된 요청에 응답하지 않는 것일 수 있다.
아울러, 상기 시스템 발명을 방법의 형태로 구현한 발명이 개시된다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명한다.
도 2는 본 발명에 따른 웹 보안 시스템의 일 실시예의 개략적인 블록도이다.
도 2에서 웹 보안 시스템(100)은 접속 요청 수 추출부(110), 대처 과정 수행부(120), 및 접속 요청 수 추출부(130)를 포함한다.
접속 요청 수 추출부(110)는 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하고, 대처 과정 수행부(120)는 웹 페이지들 에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다.
이와 같이, 웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다.
접속 요청 수 출력부(130)는 웹 페이지들에 대한 접속 요청의 수를 관리자 단말로 출력한다. 접속 요청에 대한 상황을 관리자 단말로 출력함으로써 관리자가 서버의 이상 여부를 빠르게 확인할 수 있게 된다.
HTTP Request를 통해 입력되는 사용자의 패턴에 대한 빈도 수를 누적화시키고 이를 시각화시킴으로써 사용자의 방문 페이지에 대한 보다 쉬운 파악이 가능하게 된다.
소정의 정상 범위는 소정의 확률 기준, 특히, 베이지언 평가 기준에 의해 정해질 수 있다. 확률을 이용한 판단으로 더욱 객관적이고 정확하게 이상 여부를 판단할 수 있게 된다.
베이지언 추론 알고리즘은 앞으로 일어날 사건의 확률에 대한 정의를 파악할 수 있는 알고리즘으로 이를 바탕으로 사용자의 이상 행위에 대한 확률적 값을 계산할 수 있게 된다.
소정의 이상 대처 과정은 사용자 단말의 위치를 추적하는 것일 수 있다. 이러한 구성은 단순히 웹의 보안뿐만 아니라 공격자의 추적도 가능하게 한다.
클라이언트의 IP 정보를 바탕으로, 이를 통해 Whois의 DNS 쿼리 정보를 이용 한다. 이렇게 획득한 DNS 정보를 바탕으로 Country 정보를 획득한 후 이를 위도와 경도 DB로 반환하는 라이브러리를 구현할 수 있다. 이를 통해 공격자의 위치 정보가 표시되도록 구현한다.
또한, 소정의 이상 대처 과정은 관리자 단말로 이상 경보를 출력하거나 사용자 단말로부터 전송된 요청에 응답하지 않는 것일 수 있다.
이와 같은 구성에 의하면, 시스템의 관리를 위한 보안 전문가가 요구되지 않고, 고도의 하드웨어 및 소프트웨어 지식이 요구되지 않는다.
본 발명은 웹 서비스를 제공하는 사이트의 전반적인 보안 상황을 시각적으로 보여주며, 비정상적인 상황이 발생할 경우 이에 대한 신속한 탐지와 역추적을 통한 원인 요소의 발견을 용이하게 해준다.
시스템의 주 이용자는 크게 개인, 기업, 그리고, 보안 업체에 등으로 구분될 수 있으며, 이용자에 따라 차별성 있는 소프트웨어 상품을 계획하고 있다.
개인 이용자는 개인적인 목적의 소규모 웹사이트를 운영하고 있는 경우, 해당 웹사이트에서 발생하는 문제점을 파악할 수 있고, 기업의 경우 회사 정보 홈페이지에서부터 중소 및 대형 인터넷 쇼핑몰을 포함하며, 개인 이용자와는 다르게 다수의 웹 서버가 존재하고 이들의 상호 연관성 분석들을 필요로 한다.
기관 이용자는 공공 정보 게시를 위한 웹 서비스부터 내부 정보 접근을 위한 웹 서비스를 고려하여 비정상적이고 권한이 허용되지 않는 형태의 정보 접근을 신속히 탐지하고 해당 사항을 역추적할 수 있도록 한다.
보안 업체 이용자의 경우는 이미 언급한 개인, 기업, 기관 이용자들이 위탁 한 웹 서버에 대한 통합적인 보안 관리를 필요로 하고 있다.
종래의 시스템은 주로 알려진 형태의 공격 패턴을 실시간으로 검사하여 이를 보여주기 때문에 알려지지 않은 형태의 공격이나 비교적 긴 시간 동안 공격이 단계적으로 진행되어 이루어지는 악의적인 조작 행위에는 대응하지 못한다. 반면, 본 발명의 시스템은 웹 서비스의 특성을 고려하여 일정기간 해당 사이트에서의 학습을 통한 이상 행위들을 시각화한다. 시각화는 지역적인 정보들을 고려하여 발생 가능성이 낮은 지역으로부터의 웹 서비스 접근을 효과적으로 감시, 통제할 수 있게 해 준다.
도 3은 본 발명에 따른 웹 보안 방법의 일 실시예를 수행하기 위한 개략적인 흐름도이다.
먼저, 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출한다(S110).
다음으로, 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 지 여부를 판단하고(S120), 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다(S130)).
이와 같이, 웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다.
마지막으로, 웹 페이지들에 대한 접속 요청의 수를 관리자 단말로 출력한다(S140). 접속 요청에 대한 상황을 관리자 단말로 출력함으로써 관리자가 서버의 이상 여부를 빠르게 확인할 수 있게 된다.
소정의 정상 범위는 소정의 확률 기준, 특히, 베이지언 평가 기준에 의해 정해질 수 있다. 확률을 이용한 판단으로 더욱 객관적이고 정확하게 이상 여부를 판단할 수 있게 된다.
소정의 이상 대처 과정은 사용자 단말의 위치를 추적하는 것일 수 있다. 이러한 구성은 단순히 웹의 보안뿐만 아니라 공격자의 추적도 가능하게 한다.
또한, 소정의 이상 대처 과정은 관리자 단말로 이상 경보를 출력하거나 사용자 단말로부터 전송된 요청에 응답하지 않는 것일 수 있다.
본 발명은 인터넷 상의 악의적인 공격자들로부터 웹 어플리케이션을 보호할 수 있는 소프트웨어 패키지로 구현될 수 있다. 이는Bayesian Estimation Parameter 알고리즘을 이용하여 비정상적인 사용자의 패턴을 분석, 이를 탐지해 낸다. 패스워드 크랙, Dos 공격, 그리고 Worm을 탐지하는 기능을 제공하며, Back-Tracking 기능을 이용하여 공격자의 위치를 역추적하는 기능을 제공하는 보안 솔루션을 말한다.
본 발명에서는 웹 서버로의 Access packet 내부의 HTTP 헤더를 분석하여 웹 사용 현황 시각화와 시그너쳐 위반 공격, Dos 공격, 코드레드 공격, Whisker 공격과 같은 이상 행위에 대한 효율적인 실시간 탐지 기능을 제공한다.
본 발명에서는 웹 서버의 트래픽을 넘겨주는 감시 데몬을 통해 이를 클라이언트 측의 이상 값을 판단하고 감시하는 분석 애플리케이션으로 넘겨주게 된다.
이를 통해 Snort 기반의 악성 스크립트 탐지와 베이지언 추정 알고리즘을 통해 이상 행위 탐지를 하며, Google Map API를 통한 공격자 위치를 역추적할 수 있 다.
본 발명에 의하면, 룰 업데이트를 수행할 필요가 없으면서도, 고 고속이면서도 저렴하게 웹 보안을 수행할 수 있게 된다.
본 발명이 비록 일부 바람직한 실시예에 의해 설명되었지만, 본 발명의 범위는 이에 의해 제한되어서는 아니 되고, 특허청구범위에 의해 뒷받침되는 상기 실시예의 변형이나 개량에도 미쳐야 할 것이다.

Claims (14)

  1. 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하는 접속 요청 수 추출부; 및
    상기 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행하는 대처 과정 수행부를 포함하는 것을 특징으로 하는 웹 보안 시스템.
  2. 제 1항에 있어서,
    상기 웹 페이지들에 대한 접속 요청의 수를 관리자 단말로 출력하는 접속 요청 수 출력부를 더 포함하는 것을 특징으로 하는 웹 보안 시스템.
  3. 제 1항에 있어서,
    상기 소정의 정상 범위는 소정의 확률 기준에 의해 정해지는 것을 특징으로 하는 웹 보안 시스템.
  4. 제 3항에 있어서,
    상기 소정의 확률 기준은 베이지언 평가 기준인 것을 특징 특징으로 하는 웹 보안 시스템.
  5. 제 1항에 있어서,
    상기 소정의 이상 대처 과정은 상기 사용자 단말의 위치를 추적하는 것인 것을 특징으로 하는 웹 보안 시스템.
  6. 제 1항에 있어서,
    상기 소정의 이상 대처 과정은 관리자 단말로 이상 경보를 출력하는 것인 것을 특징으로 하는 웹 보안 시스템.
  7. 제 1항에 있어서,
    상기 소정의 이상 대처 과정은 상기 사용자 단말로부터 전송된 요청에 응답하지 않는 것인 것을 특징으로 하는 웹 보안 시스템.
  8. 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하는 단계; 및
    상기 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행하는 단계를 포함하는 것을 특징으로 하는 웹 보안 방법.
  9. 제 8항에 있어서,
    상기 웹 페이지들에 대한 접속 요청의 수를 관리자 단말로 출력하는 단계를 더 포함하는 것을 특징으로 하는 웹 보안 방법.
  10. 제 8항에 있어서,
    상기 소정의 정상 범위는 소정의 확률 기준에 의해 정해지는 것을 특징으로 하는 웹 보안 방법.
  11. 제 10항에 있어서,
    상기 소정의 확률 기준은 베이지언 평가 기준인 것을 특징 특징으로 하는 웹 보안 방법.
  12. 제 8항에 있어서,
    상기 소정의 이상 대처 과정은 상기 사용자 단말의 위치를 추적하는 것인 것을 특징으로 하는 웹 보안 방법.
  13. 제 8항에 있어서,
    상기 소정의 이상 대처 과정은 관리자 단말로 이상 경보를 출력하는 것인 것을 특징으로 하는 웹 보안 방법.
  14. 제 8항에 있어서,
    상기 소정의 이상 대처 과정은 상기 사용자 단말로부터 전송된 요청에 응답 하지 않는 것인 것을 특징으로 하는 웹 보안 방법.
KR1020060095531A 2006-09-29 2006-09-29 웹 보안 시스템 및 방법 KR20080029426A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060095531A KR20080029426A (ko) 2006-09-29 2006-09-29 웹 보안 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060095531A KR20080029426A (ko) 2006-09-29 2006-09-29 웹 보안 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20080029426A true KR20080029426A (ko) 2008-04-03

Family

ID=39532000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060095531A KR20080029426A (ko) 2006-09-29 2006-09-29 웹 보안 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20080029426A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239401B1 (ko) * 2012-10-05 2013-03-06 강명훈 보안 시스템의 로그 분석 시스템 및 방법
KR101388090B1 (ko) * 2013-10-15 2014-04-22 펜타시큐리티시스템 주식회사 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239401B1 (ko) * 2012-10-05 2013-03-06 강명훈 보안 시스템의 로그 분석 시스템 및 방법
WO2014054854A1 (ko) * 2012-10-05 2014-04-10 Kang Myoung Hun 보안 시스템의 로그 분석 시스템 및 방법
US20150256551A1 (en) * 2012-10-05 2015-09-10 Myoung Hun Kang Log analysis system and log analysis method for security system
KR101388090B1 (ko) * 2013-10-15 2014-04-22 펜타시큐리티시스템 주식회사 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
EP2147390B1 (en) Detection of adversaries through collection and correlation of assessments
Bin et al. A DNS based anti-phishing approach
US20150304350A1 (en) Detection of malware beaconing activities
Kwon et al. Self-similarity based lightweight intrusion detection method for cloud computing
EP2472822A2 (en) Method and system for estimating the reliability of blacklists of botnet-infected computers
WO2009039434A2 (en) System and method for detecting security defects in applications
WO2008151321A2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
CN111786966A (zh) 浏览网页的方法和装置
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
KR20130014300A (ko) 사이버 위협 사전 예측 장치 및 방법
Adiwal et al. DNS Intrusion Detection (DID)—A SNORT-based solution to detect DNS amplification and DNS tunneling attacks
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
Uyyala Multilevel Authentication System Using Hierarchical Intrusion Detection Architecture For Online Banking
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
KR20080029426A (ko) 웹 보안 시스템 및 방법
Naik et al. Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation
Orucho et al. Security threats affecting user-data on transit in mobile banking applications: A review
CN113328976A (zh) 一种安全威胁事件识别方法、装置及设备
Anbar et al. Investigating study on network scanning techniques
Zhang et al. Analysis of payload based application level network anomaly detection
Gairola et al. A review on dos and ddos attacks in cloud environment & security solutions
CN113542302B (zh) 攻击干扰方法、装置、网关及可读存储介质
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Memon et al. Anti phishing for mid-range mobile phones
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination