KR20080036706A - Web security module using regulation expression of web attack and include function of script language - Google Patents
Web security module using regulation expression of web attack and include function of script language Download PDFInfo
- Publication number
- KR20080036706A KR20080036706A KR1020060103264A KR20060103264A KR20080036706A KR 20080036706 A KR20080036706 A KR 20080036706A KR 1020060103264 A KR1020060103264 A KR 1020060103264A KR 20060103264 A KR20060103264 A KR 20060103264A KR 20080036706 A KR20080036706 A KR 20080036706A
- Authority
- KR
- South Korea
- Prior art keywords
- module
- web
- attack
- data
- policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
도 1은 본 발명에 따른 웹 보안 모듈의 구성을 설명하기 위한 구성도.1 is a configuration diagram for explaining the configuration of a web security module according to the present invention.
도 2는 본 발명에 따른 웹 보안 모듈을 도시한 흐름도.2 is a flow diagram illustrating a web security module in accordance with the present invention.
* 도면의 주요 부분에 대한 부호 설명 *Explanation of symbols on the main parts of the drawings
100 : 웹 브라우저100: web browser
200 : 웹 서버200: web server
300 : 웹 애플리케이션300: web application
310 : 명령어 해석기(인터프리터)310: command interpreter (interpreter)
320 : 확장 모듈320: expansion module
330 : 웹 보안 모듈330: Web Security Module
331 : 데이터 수집 모듈331: Data Acquisition Module
333 : 분석 모듈333: Analysis Module
334 : 관리 모듈334 management module
336 : 정책 모듈336: policy module
400 : 데이터베이스400: database
410 : DBMS 엔진410: DBMS Engine
500 : 외부 프로그램500: external program
510 : 외부 실행 파일510: external executable
본 발명은 웹 애플리케이션 보안을 위한 침입차단시스템에 관한 것으로, 보다 상세하게는 웹 공격에 사용되는 키워드를 정규표현식을 사용하여 규칙으로 정의하고 스크립트 언어의 포함 기능(include function)을 이용하여 웹 애플리케이션에 모듈화 함으로써 실시간으로 공격 여부를 판단하고, 차단하는 웹 보안 모듈 및 방법에 관한 것이다.The present invention relates to an intrusion prevention system for securing a web application, and more particularly, to define a keyword used in a web attack as a rule using a regular expression and to include it in a web application using an include function of a script language. The present invention relates to a web security module and method for determining and blocking an attack in real time by modularization.
인터넷의 발전으로 많은 컴퓨터 사용자들이 전자메일, 온라인 쇼핑, 멀티미디어 정보 등과 같은 서비스를 제공하는 인터넷 사용을 생활화하고 있다. 최근, 웹 애플리케이션의 취약점을 이용한 해킹 사고가 급증하고 있으며 이에 대한 대처 방안으로 웹 애플리케이션에 특화된 침입차단시스템에 대한 연구가 부각되고 있다. 지금까지 대부분의 공격 기법은 운영체제나 프로그램 버그를 악용한 방법들이었고 해당 공격들은 주기적인 패치나 보안 솔루션을 이용하여 어느 정도까지는 대응할 수 있었으나 최근 이슈화되고 있는 웹 애플리케이션 해킹은 기존 방법으로는 차단 에 한계가 있다. 기존 침입차단시스템과 방화벽 기반 제품들은 단지 패킷 헤더 정보만을 보기 때문에 패킷 내용에 기반을 둔 차단에는 제한적일 수밖에 없다. With the development of the Internet, many computer users have lived up to the use of the Internet to provide services such as e-mail, online shopping, and multimedia information. Recently, hacking incidents using vulnerabilities in web applications have increased rapidly. As a countermeasure, researches on intrusion prevention systems specialized for web applications have been highlighted. Until now, most of the attack techniques were exploits of operating system or program bugs, and the attacks could be countered to some extent by using periodic patches or security solutions, but the recent issue of web application hacking is limited to blocking by existing methods. There is. Existing firewalls and firewall-based products see only packet header information, which is limited to blocking based on packet contents.
최근 IDS, IPS, 방화벽에 사용자 정의 패턴을 삽입하여 웹 애플리케이션 공격을 부분적으로 탐지할 수 있는 제품들이 출시되고 있으나 이러한 제품들은 애플리케이션에 대한 지식이 없이 Network 계층의 취약점만을 분석하고 있어 잘 알려진 유형의 공격에 대한 보호만 가능하고 웹 애플리케이션 코드 자체의 취약점을 보호하지 못한다. 특히 패킷 데이터의 암호화와 인코딩된 트래픽을 처리하기 위해 다양한 디코딩기법과 복호화 기법을 구현해야하고 그에 따른 네트워크 과부하로 인해 웹 서비스의 가용성을 보장할 수 없고 로그 분석은 실시간 탐지가 어렵다는 단점으로 인해 그 이용도가 매우 낮다.Recently, products that can partially detect web application attacks by inserting user-defined patterns in IDS, IPS, and firewalls have been released. However, these products only analyze vulnerabilities in the network layer without knowledge of applications. Only protects against and does not protect against vulnerabilities in the web application code itself. In particular, various decoding and decryption techniques must be implemented to process packet data encryption and encoded traffic, and the network overload cannot guarantee the availability of web services, and log analysis is difficult to detect in real time. The degree is very low.
본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 웹 애플리케이션 모듈로 동작하여 스크립트 언어의 명령어 해석기(Parser) 기능을 그대로 이용함으로써 웹 서비스의 가용성을 보장하고 실시간 공격 탐지와 차단이 가능하도록 하는 데 있다.The present invention is to solve the problems of the prior art as described above, by acting as a web application module to use the command parser function of the script language as it is to ensure the availability of the web service and to enable real-time attack detection and blocking There is.
본 발명의 또 다른 목적은 관리자의 잘못된 보안 설정(웹 서버, 데이터베이스 서버)으로 인한 취약점과 개발자의 보안의식 부재로 인한 애플리케이션 취약점(예외처리의 부재, 취약한 루틴과 함수 사용)에 대한 피해를 최소화 하고 새로운 취약점이 발견될 때마다 매번 소스 코드를 수정해야 하는 번거로움과 관리 비용을 줄이는 방법을 제공하는 것이다.Another object of the present invention is to minimize the damage caused by administrator's incorrect security settings (web server, database server) and application vulnerability due to the developer's lack of security awareness (absence of exception handling, use of vulnerable routines and functions). Each time a new vulnerability is found, it provides a way to reduce the hassle and administrative cost of modifying the source code each time.
이하 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 웹 보안 모듈의 구성을 설명하기 위한 구성도이다.1 is a configuration diagram for explaining the configuration of a web security module according to the present invention.
상기 웹 보안 모듈(330)의 동작 과정은 사용자가 웹 브라우저(100)를 통하여 특정 데이터를 웹 서버(200)에 요청하면 웹 서버(200)는 요청받은 데이터가 어떤 언어(PHP, ASP, JSP....)로 만들어 졌는지 확인 후, 해당 웹 애플리케이션(300)의 명령어 해석기(310)로 보내게 된다. 명령어 해석기(310)에서는 해당 코드를 해석하고 결과를 반환하기 위해 확장 모듈(320), 데이터베이스(400) 그리고 외부 프로그램(500)의 필요 여부를 판단하게 되는데 이 때, 웹 보안 모듈(330)을 통하여 사용자의 요청이 악의적인 코드가 삽입되어 있는지를 판단하여 결과를 생성 후, 그 결과를 웹 서버(200)로 보내게 되면 웹 서버(200)는 전달 받은 결과를 웹 브라우저(100)로 전달해 준다.In the operation process of the
도시된 바와 같이, 본 발명에 의한 웹 보안 모듈(330)은 데이터 수집 모듈(331), 분석 모듈(333), 관리 모듈(334), 정책 모듈(336)로 구성된다.As shown, the
상기 데이터 수집 모듈(331)은 사용자의 요청 데이터에서 매개변수 값, 쿠키, IP등의 데이터를 추출하고 수집한다.The
상기 관리 모듈(334)은 공격 차단을 위한 정책을 설정하고 전달받은 데이터 분석 결과를 통해 악의적인 패킷의 차단과 감사 기록을 행한다. 웹 애플리케이션을 개발하는 데 주로 사용되는 스크립트 언어에는 지정한 파일을 읽고 실행하는 포함(include) 기능이 있는데, 이것은 외부의 파일을 불러와 마치 하나의 페이지에서 작성된 문서인 것처럼 작동하게 한다. 즉, 상기 관리 모듈(334)이 WebSec이라고 하였을 때 PHP 언어의 경우 <? include("WebSec.php"); ?> 코드가 해당 웹 페이지에 삽입되고 사용자가 이 페이지를 요청할 때마다 보안 모듈이 실행된다. The
상기 분석 모듈(333)은 명령어 해석기(310)와 확장 모듈(320)로부터 전달받은 사용자의 요청 데이터를 정책 모듈(336)의 공격 규칙들과 비교하여 악의적인 코드가 삽입되어 있는지를 판별하고 그 결과를 관리 모듈(334)로 전달한다.The
상기 정책 모듈(336)은 공격 데이터의 판별을 위한 규칙들이 정규표현식으로 정의된다. 공격 규칙은 OWASP(http://www.owasp.org)에서 정의한 “웹 애플리케이션 10대 취약점”을 중심으로 분류되고, 각 취약점들의 특징과 키워드를 정규표현식으로 생성하여 웹 공격을 탐지하고 차단한다.In the
도 2는 본 발명에 따른 웹 보안 모듈을 도시한 흐름도이다.2 is a flowchart illustrating a web security module according to the present invention.
도시된 바와 같이, 웹 애플리케이션의 데이터 수집(S331)을 위하여 개발 언어 판별(S332)을 통해 해당 함수를 선택하여 필요 정보를 추출하고 분석 모듈(S333)로 보내지면 정책 모듈(S336)의 각 공격 규칙과 패턴 매칭을 행하여 공격 여부를 판단하고 관리 모듈(S334)로 전달한다.As shown, for the data collection (S331) of the web application, selecting the corresponding function through the development language determination (S332) to extract the necessary information and sent to the analysis module (S333), each attack rule of the policy module (S336) Pattern matching is performed to determine whether an attack is made, and the information is transmitted to the management module S334.
상기 분석 모듈(S333)은 공격 차단 수준을 지정하는 정책 설정(S337)을 참조하여 규칙을 적용하게 된다.The analysis module S333 applies the rule with reference to the policy setting S337 that designates the attack blocking level.
상기 관리 모듈(S334)은 정책 설정(S337)을 행하거나 전달 받은 판단 결과에 따라 공격 차단(S335)과 보고 및 감사 기록(S338)을 행한다.The management module S334 performs policy setting (S337) or performs attack blocking (S335) and reports and audit records (S338) according to the received decision result.
이상과 같이 본 발명에 의하면, 정규표현식으로 정의된 공격 규칙을 스크립트 언어의 포함 기능(Include)을 이용하여 패턴 매칭을 하여 웹 공격을 탐지하는 웹 보안 모듈로서, 기존의 침입탐지시스템과 방화벽이 80 포트를 개방하여 차단할 수 없었던 웹 애플리케이션 공격을 탐지할 수 있는 장점이 있다.As described above, according to the present invention, a web security module that detects a web attack by pattern matching using an attack rule defined by a regular expression using an include function of a script language. It has the advantage of detecting web application attacks that could not be blocked by opening ports.
또한, 본 발명은 관리자와 개발자로 인해 발생되는 취약점을 소스 코드 수 정이나 새로운 장비의 추가 구매 없이 애플리케이션에 모듈을 추가하는 것으로 해결할 수 있어 구현 비용과 관리 비용을 절약할 수 있다.In addition, the present invention can solve the vulnerabilities caused by the administrator and the developer by adding a module to the application without modifying the source code or the purchase of new equipment can reduce the implementation cost and management cost.
또한, 본 발명은 웹 애플리케이션의 모듈로 작동하기 때문에 웹 서버와 데이터베이스 종류에 구애받지 않으며 패킷 데이터의 분석과 웹 서버 로그의 분석이 필요치 않으므로 웹 서비스의 가용성을 보장하고 실시간 탐지와 차단이 가능하다는 장점이 있다.In addition, since the present invention operates as a module of a web application, regardless of web server and database type, and does not require analysis of packet data and analysis of web server logs, it is possible to guarantee availability of web services and to detect and block in real time. There is this.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060103264A KR20080036706A (en) | 2006-10-24 | 2006-10-24 | Web security module using regulation expression of web attack and include function of script language |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060103264A KR20080036706A (en) | 2006-10-24 | 2006-10-24 | Web security module using regulation expression of web attack and include function of script language |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080036706A true KR20080036706A (en) | 2008-04-29 |
Family
ID=39574968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060103264A KR20080036706A (en) | 2006-10-24 | 2006-10-24 | Web security module using regulation expression of web attack and include function of script language |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20080036706A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100954758B1 (en) * | 2009-07-29 | 2010-04-27 | 주식회사 코드원 | System and method for securing web application |
KR100989347B1 (en) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | Method for detecting a web attack based on a security rule |
KR101005927B1 (en) * | 2010-07-05 | 2011-01-07 | 펜타시큐리티시스템 주식회사 | Method for detecting a web application attack |
WO2013097718A1 (en) * | 2011-12-27 | 2013-07-04 | Tencent Technology (Shenzhen) Company Limited | Method and device for detecting malicious code on web pages |
WO2015021554A1 (en) * | 2013-08-15 | 2015-02-19 | Immun.io Inc. | Method and system for protecting web applications against web attacks |
CN113395237A (en) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | Attack detection method and device and computer storage medium |
KR20220067449A (en) | 2020-11-17 | 2022-05-24 | 오토아이티(주) | Apparatus and method for generating autorun script file with improved security and reliability, apparatus and method for executing the same |
-
2006
- 2006-10-24 KR KR1020060103264A patent/KR20080036706A/en not_active Application Discontinuation
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100954758B1 (en) * | 2009-07-29 | 2010-04-27 | 주식회사 코드원 | System and method for securing web application |
KR100989347B1 (en) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | Method for detecting a web attack based on a security rule |
KR101005927B1 (en) * | 2010-07-05 | 2011-01-07 | 펜타시큐리티시스템 주식회사 | Method for detecting a web application attack |
WO2013097718A1 (en) * | 2011-12-27 | 2013-07-04 | Tencent Technology (Shenzhen) Company Limited | Method and device for detecting malicious code on web pages |
WO2015021554A1 (en) * | 2013-08-15 | 2015-02-19 | Immun.io Inc. | Method and system for protecting web applications against web attacks |
CN113395237A (en) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | Attack detection method and device and computer storage medium |
KR20220067449A (en) | 2020-11-17 | 2022-05-24 | 오토아이티(주) | Apparatus and method for generating autorun script file with improved security and reliability, apparatus and method for executing the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10778705B1 (en) | Deep-learning-based intrusion detection method, system and computer program for web applications | |
CN109922052B (en) | Malicious URL detection method combining multiple features | |
US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
KR101083311B1 (en) | System for detecting malicious script and method for detecting malicious script using the same | |
Wei et al. | Preventing SQL injection attacks in stored procedures | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
KR100732689B1 (en) | Web Security Method and apparatus therefor | |
KR20080036706A (en) | Web security module using regulation expression of web attack and include function of script language | |
WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
Zhang et al. | Notice of retraction: A static analysis tool for detecting web application injection vulnerabilities for asp program | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
US20120102541A1 (en) | Method and System for Generating an Enforceable Security Policy Based on Application Sitemap | |
Deng et al. | Lexical analysis for the webshell attacks | |
Falana et al. | Detection of cross-site scripting attacks using dynamic analysis and fuzzy inference system | |
CN115134147A (en) | E-mail detection method and device | |
Baykara et al. | A novel hybrid approach for detection of web-based attacks in intrusion detection systems | |
Dubin | Content disarm and reconstruction of PDF files | |
Supriya et al. | Malware detection techniques: a survey | |
Kazanavicius et al. | Securing web application by embedded firewall | |
Mirza et al. | A cloud-based energy efficient system for enhancing the detection and prevention of modern malware | |
Das et al. | Detection of cross-site scripting attack under multiple scenarios | |
Sundareswaran et al. | XSS-Dec: A hybrid solution to mitigate cross-site scripting attacks | |
Mouelhi et al. | Tailored shielding and bypass testing of web applications | |
Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
US11562095B2 (en) | Reinforcing SQL transactions dynamically to prevent injection attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |