KR20090070040A - New attack pattern creating and distributing system based on profile violation log and method thereof - Google Patents
New attack pattern creating and distributing system based on profile violation log and method thereof Download PDFInfo
- Publication number
- KR20090070040A KR20090070040A KR1020070137909A KR20070137909A KR20090070040A KR 20090070040 A KR20090070040 A KR 20090070040A KR 1020070137909 A KR1020070137909 A KR 1020070137909A KR 20070137909 A KR20070137909 A KR 20070137909A KR 20090070040 A KR20090070040 A KR 20090070040A
- Authority
- KR
- South Korea
- Prior art keywords
- profile
- log data
- attack pattern
- new attack
- profile violation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 신규 공격 패턴 생성 및 배포 시스템과 그 방법에 관한 것으로, 보다 자세하게는 프로파일 위반 로그에 기반하여 신규 공격 패턴을 생성하고 이를 각 보안 장치에 자동으로 배포할 수 있는 신규 공격 패턴 생성 및 배포 시스템과 그 방법에 관한 것이다. The present invention relates to a new attack pattern generation and distribution system and a method thereof, and more particularly, to create a new attack pattern based on the profile violation log and to automatically distribute it to each security device. And how to do it.
최근들어 웹 서비스의 증가와 더불어 웹 서비스 상의 보안 취약성을 이용해 안정적인 웹 서비스를 방해하고 주요한 내부 정보를 유출하는 등의 악성 공격 행위가 날로 증가하고 있다.Recently, along with the increase of web services, malicious attacks such as interfering with stable web services and leaking important internal information by using security vulnerabilities on web services are increasing day by day.
이러한 악성 공격 행위로 인하여 공격을 당한 웹 서비스가 특히 전자 상거래 서비스나 개인 정보를 관리하는 경우에는 경제적 손실 및 개인 정보 유출 등의 상당히 큰 문제점을 발생시킬 수 있다. 따라서 웹 서비스 공격을 탐지하여 대응하려는 시도가 다양하게 이루어지고 있으며, 침입 패턴을 인식하는 방법은 크게 시그니처를 이용한 패턴 매칭 방식과 프로파일 기반 방식으로 구분할 수 있다.Due to this malicious attack behavior, the web service that is attacked can cause significant problems such as economic loss and personal information leakage, especially when managing e-commerce service or personal information. Therefore, various attempts have been made to detect and respond to web service attacks, and methods for recognizing intrusion patterns can be largely classified into pattern matching using profile and profile based.
시그니처를 이용한 패턴 매칭 방식은 다음과 같이 이루어진다. 우선 비정상적인 요청에 의한 공격들을 분석하여 특정 시그니처를 추출한다. 특정 시그니처는 특정 공격을 대표할 수 있는 시그니처가 된다. 이러한 시그니처를 보안 시스템의 데이타 베이스에 저장한 후, 그 시그니처를 이용하여 공격을 탐지하게 된다. 이러한 탐지 기법을 이용하는 대표적인 것들로 체크포인트(CheckPoint)의 인터셉트, 윈스테크넷의 스나이퍼 IPS 등을 들 수 있다.The pattern matching method using the signature is performed as follows. First, we extract specific signatures by analyzing attacks by abnormal requests. Certain signatures are signatures that can represent a particular attack. After storing these signatures in the database of the security system, the signatures are used to detect attacks. Examples of such detection techniques include CheckPoint's intercept and Wins Technet's Sniper IPS.
한편 시그니처를 이용한 패턴 매칭 방식의 보안 시스템은 개발 및 구현이 용이하고 비교적 정확한 공격 탐지가 가능하지만, 보안 시스템의 시그니처 데이타 베이스에 등록되지 않은 새로운 공격을 사전에 탐지할 수 없어서 웹 서비스를 완전히 보호할 수 없는 단점을 가진다. 또한 매번 새로운 유형의 공격이 발생한 경우, 이를 분석하고 시그니처를 생성해서 보안 시스템의 데이타 베이스에 저장해서 공격을 탐지하기까지 상당한 시간이 소요되며, 이 시간 동안은 웹 서비스가 새로운 유형의 공격에 그대로 노출되게 된다.On the other hand, the pattern-matching security system using signatures is easy to develop and implement, and can detect relatively accurate attacks, but it cannot fully detect new attacks not registered in the signature database of the security system. It can not have the disadvantage. In addition, each time a new type of attack occurs, it takes considerable time to analyze it, generate a signature, and store it in the security system's database to detect the attack, during which time the web service is exposed to the new type of attack. Will be.
따라서 시그니처 패턴 매칭 방법을 이용한 웹 서비스 보안 시스템은 알려진 비정상적인 요청에 의한 공격만을 탐지하기 위한 수동적(negative) 기법에 불과하므로, 알려지지 않은 공격을 즉시 탐지하기 위한 보다 능동적(positive) 기법으로서의 새로운 웹 서비스 보안 시스템이 필요하게 되었으며, 이에 따라 제시된 방법이 웹 요청의 파라미터들을 프로파일하여 웹 공격을 탐지하는 방식이다. 프로파일 기반의 침입 탐지 방법은 정상 행위를 기준으로, 이와 상반되는 행위를 침입으로 간주하는 방법이다.Therefore, the web service security system using signature pattern matching method is only a passive technique for detecting only attacks caused by known abnormal requests. Therefore, the new web service security as a more positive technique for detecting unknown attacks immediately is available. A system is needed, and the proposed method is to detect web attacks by profiling parameters of web requests. Profile-based intrusion detection method is based on the normal behavior, the behavior that is contrary to it is considered as an intrusion.
그런데 프로파일 기반의 침입 탐지 방법은 정상 행위에 대한 기준을 너무 엄격하게 설정할 경우 정상적인 웹 서비스 요청도 비정상적인 것으로 오탐하는 경우가 발생할 수 있어 사용자 불편이 가중될 수 있으며 또한 해당 인터넷 서비스 시스템에 대한 신뢰도가 떨어질 수도 있다. 반대로 정상 행위에 대한 기준을 넓게 허용할 경우 아직 알려지지 않은 공격 유형에 상대적으로 취약해질 수 있는 문제점이 있다.However, the profile-based intrusion detection method may falsely detect normal web service requests as abnormal when the criteria for normal behavior are set too strictly, which may increase user inconvenience and reduce the reliability of the Internet service system. It may be. On the contrary, there is a problem that if the standard for normal behavior is widely allowed, it may be relatively vulnerable to an unknown attack type.
따라서 본 발명이 이루고자 하는 기술적 과제는 프로파일 위반 로그에 기반하여 신규 공격 패턴을 신속하게 생성하고 이를 각 웹 보안 장치에 자동으로 배포함으로써 웹 보안 장치의 오탐을 줄임과 동시에 보안성을 높일 수 있는 신규 공격 패턴 생성 및 배포 시스템과 그 방법을 제공하는데 있다.Therefore, the technical problem to be achieved by the present invention is to create a new attack pattern based on the profile violation log quickly and automatically distribute it to each web security device to reduce the false positives of the web security device and at the same time increase the security The present invention provides a pattern generation and distribution system and a method thereof.
이러한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법은 프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 단계와, 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 단계 및, 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 단계를 포함한다.According to an embodiment of the present invention, a new attack pattern generation and distribution method based on a profile violation log includes collecting profile violation log data generated for a web service request in violation of a profile rule; Generating a new attack pattern by using the collected profile violation log data, and distributing the generated new attack pattern to a web security device.
상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 단계를 더 포함할 수 있다.The method may further include verifying whether the collected profile violation log data correspond to a simple profile violation type.
상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외할 수 있다.When the collected profile violation log data corresponds to a simple profile violation type, the collected profile violation log data may be excluded from a new attack pattern generation target.
상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형 으로 판정할 수 있다.When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter. Profile violation log data corresponding to the web service request can be determined as a simple profile violation type.
본 발명의 다른 실시예에 따른 컴퓨터로 읽을 수 있는 매체는 상기한 방법 중 어느 하나를 컴퓨터에 실행시키기 위한 프로그램을 기록한다.A computer readable medium according to another embodiment of the present invention records a program for causing a computer to execute any one of the above methods.
본 발명의 다른 실시예에 따른 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템은, 프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 로그 수집부와, 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 패턴 생성부와, 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 패턴 배포부를 포함한다.The new attack pattern generation and distribution system based on the profile violation log according to another embodiment of the present invention includes a log collector configured to collect profile violation log data generated for a web service request in violation of the profile rule, and the collected profile. And a pattern generation unit for generating a new attack pattern using the violation log data, and a pattern distribution unit for distributing the generated new attack pattern to a web security device.
상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 로그 분석부를 더 포함할 수 있다.The apparatus may further include a log analyzer configured to verify whether the collected profile violation log data corresponds to a simple profile violation type.
상기 로그 분석부는, 상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외할 수 있다.The log analyzer may exclude a new attack pattern generation target when the collected profile violation log data corresponds to a simple profile violation type.
상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형으로 판정할 수 있다.When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter. Profile violation log data corresponding to a web service request may be determined as a simple profile violation type.
이와 같이 본 발명에 의하면, 아직 알려지지 않은 신규 공격 패턴을 신속하게 생성하고 이를 각 웹 보안 장치에 자동으로 배포함으로써 웹 보안 장치의 보안 성을 높일 수 있다.As described above, according to the present invention, the security of the web security device can be improved by quickly generating a new attack pattern which is not yet known and automatically distributing it to each web security device.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention.
도 1은 본 발명의 일 실시예에 따른 신규 공격 패턴 생성 및 배포 시스템을 설명하기 위해 제공되는 도면이다.1 is a view provided to explain a new attack pattern generation and distribution system according to an embodiment of the present invention.
도 1을 참고하면, 본 발명에 따른 신규 공격 패턴 생성 및 배포 시스템(100:이하 '본시스템'이라 함)은 통신망(20)을 통해 복수의 웹 보안장치(30)와 연결되어 각종 정보 및 데이터를 주고 받을 수 있다.Referring to FIG. 1, a new attack pattern generation and distribution system (hereinafter, referred to as “the main system”) according to the present invention is connected to a plurality of
통신망(20)은 구내 정보 통신망(local area network:LAN), 도시권 통신망(metropolitan area network:MAN), 광역 통신망(wide area network:WAN), 인터넷 등을 가리지 않고, 통신 방식도 유선, 무선을 가리지 않으며 어떠한 통신 방식이라도 상관없다.The
웹 보안장치(30)는 사용자 단말기로부터 웹 서버로 전달되는 웹 서비스 요청의 정상 여부를 검증하고, 비정상적 웹 서비스 요청이 탐지되면 로그 데이터를 저장한다. 특히 본 발명에 따른 웹 보안장치(30)는 포지티브(positive) 보안 정책에 위반된 웹 서비스 요청이 탐지되면 그에 대한 프로파일 위반 로그 데이터를 생성하고 이를 본시스템(100)에 제공할 수 있다.The
그러면 도 1의 웹 보안장치의 동작에 대해 보다 자세히 설명한다.Next, the operation of the web security device of FIG. 1 will be described in more detail.
도 2 는 웹 보안장치의 동작을 설명하기 위해 제공되는 도면이고, 도 3은 도 2의 웹 보안장치를 보다 자세히 나타낸 도면이다.2 is a view provided to explain the operation of the web security device, Figure 3 is a view showing in more detail the web security device of FIG.
도 2 및 도 3을 참고하면, 웹 보안장치(30)는 사용자 단말기(10)와 웹 서버(40) 사이에 위치하며, 통신망(20)을 통해 양 장치(10, 40)와 연결될 수 있다.2 and 3, the
사용자 단말기(10)는 웹 서비스를 이용하기 위해 사용자가 이용하는 통신 단말장치로서, 데스크톱 컴퓨터뿐만 아니라 노트북 컴퓨터, 워크스테이션, 팜톱(palmtop) 컴퓨터, 개인 휴대 정보 단말기(personal digital assistant:PDA), 웹 패드 등과 같은 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 통신 단말기로 이루어질 수 있다. 사용자 단말기(10)는 웹 서버(40)에 TCP/IP 기반의 HTTP 메시지 형태로 웹 서비스 요청 데이터를 전송할 수 있으며, 그에 따른 응답 데이터를 제공받아 사용자에 제공할 수 있다. 사용자는 사용자 단말기(10)의 웹 브라우저 상에서 웹 서비스 요청을 위해 필요한 입력 파라미터 값을 입력하고 웹 서비스 요청 데이터에 포함시켜 웹 서버(40)로 전달할 수 있다. 예컨대, 사용자는 웹 브라우저의 주소창(URL 입력창)에서 URL 뒤에 '?'를 붙이고 그 뒤에 입력 파라미터 이름과 입력 파라미터에 대한 값을 쿼리 형태로 입력하면, 소정의 입력 파라미터 값이 포함된 웹 요청 메시지를 GET 방식으로 웹 서버(40)에 전송할 수 있다. 물론 사용자는 웹 페이지의 HTTP 폼에 입력 파라미터 값을 입력하여 POST 방식으로 웹 서비스 요청 데이터의 페이로드(payload)부분에 포함시켜 전송할 수도 있다.The
웹 서버(40)는 사용자 단말기(10)로부터 전송되는 웹 서비스 요청에 따른 응 답 데이터를 사용자 단말기(10)에 제공한다.The
웹 보안장치(30)는 사용자 단말기(10)로부터 웹 서버(40)로 전달되는 웹 서비스 요청 데이터를 인라인 방식 또는 프록시 방식으로 수신하여 정상 여부를 판단한다. 만일 비정상적 웹 서비스 요청이 탐지되면 이에 대한 로그 데이터를 저장한다. 웹 보안장치(30)는 비정상적 웹 서비스 요청이 탐지되면 보안 관리자에게 보고할 수 있으며, 비정상적 웹 서비스 요청이 웹 서버(40)로 전달되는 것을 차단할 수도 있다.The
특히 본 발명에 따른 웹 보안장치(30)는 공격 시그니처 DB(31), 웹 서비스 프로파일 DB(33), 웹 요청 검증 모듈(35) 및 로그 DB(37)를 포함한다.In particular, the
공격 시그니처 DB(31)는 이미 알려진 웹 공격 패턴, 즉 공격 시그니처(signiture)를 저장한다. 또한 공격 시그니처 DB(31)는 새로운 웹 공격 패턴이 알려질 경우 해당 패턴을 업데이트 받을 수 있다. 특히 본 발명에 따르면 본시스템(100)에서 생성된 신규 웹 공격 패턴을 배포받아 저장할 수 있다.The attack signature DB 31 stores a known web attack pattern, that is, an attack signature. In addition, the attack signature DB 31 may be updated when a new web attack pattern is known. In particular, according to the present invention can receive and store a new web attack pattern generated in the
웹 서비스 프로파일 DB(33)는 정상적인 웹 서비스 요청에 대한 프로파일 정보가 저장된다. 정상적 웹 서비스 요청에 대한 프로파일 정보는 다음과 같은 정보들이 포함될 수 있다. 예컨대, 1) 웹 서비스 요청 데이터에 포함되는 것이 허용되는 입력 파라미터 정보(허용 파라미터 정보), 2) 허용 파라미터가 가질 수 있는 파라미터 값의 범위 또는 3) 웹 서비스 요청 데이터에 반드시 포함되어야 하는 입력 파라미터 정보(필수 파라미터 정보) 등이 포함될 수 있다. 물론 이외에도 정상적 웹 서비스 요청에 대한 프로파일 정보가 보안 관리자에 의해 다양한 형태로 웹 서 비스 프로파일 DB(33)에 포함될 수 있다.The web service profile DB 33 stores profile information for a normal web service request. Profile information for a normal web service request may include the following information. For example, 1) input parameter information (permitted parameter information) allowed to be included in the web service request data, 2) a range of parameter values that the accept parameter can have, or 3) input parameter information that must be included in the web service request data. (Essential parameter information) and the like. Of course, in addition to the profile information for the normal web service request may be included in the web
웹 요청 검증 모듈(35)은 공격 시그니처 DB(31)와 웹 서비스 프로파일 DB(33)를 이용하여 수신된 웹 서비스 요청에 대한 정상 여부를 검증한다. 먼저 웹 요청 검증 모듈(35)은 수신된 웹 서비스 요청을 공격 시그니처 DB(31)에 저장된 공격 시그니처와 패턴 매칭을 수행하여 비정상적 웹 서비스 요청을 탐지해낸다.The web
한편 웹 요청 검증 모듈(35)은 수신된 웹 서비스 요청에 대해서 공격 시그니처와 패턴 매칭을 수행한 결과 이상이 없으면 웹 서비스 프로파일 DB(33)를 참조하여 정상 여부를 판단한다. 예컨대 수신된 웹 서비스 요청 데이터에 허용되지 않는 파라미터가 포함되어 있거나, 허용되지 않는 파라미터 값을 가지거나 반드시 포함되어야 할 필수 파라미터가 존재하지 않을 경우, 웹 요청 검증 모듈(35)은 해당 웹 서비스 요청을 비정상적인 것으로 판단할 수 있다.Meanwhile, if there is no abnormality as a result of performing pattern matching on the received web service request, the web
로그 DB(37)는 웹 요청 검증 모듈(35)에 의해 비정상적인 것으로 탐지된 웹 서비스 요청에 대한 로그 데이터를 저장한다.The
웹 보안장치(30)는 로그 DB(37)에 저장된 로그 데이터 중에서 포지티브(positive) 보안 정책에 위반된, 즉 프로파일 규칙에 위반된 웹 서비스 요청에 대한 로그 데이터(이하 '프로파일 위반 로그 데이터'라 함)를 본시스템(100)에 주기적으로 전송하는 모듈(도시하지 않음)을 포함할 수 있다. 물론 본시스템(100)이 웹 보안장치(30)에 주기적으로 접속하여 프로파일 위반 로그 데이터를 수집해가도록 구현할 수도 있다.The
그러면 도 4 및 도 5를 참조하여 본시스템(100)의 동작에 대해 보다 자세히 설명한다.4 and 5 will be described in more detail with respect to the operation of the
도 4는 도 1의 본시스템(100)을 보다 자세히 나타낸 블록도이고, 도 5는 본시스템의 동작을 설명하기 위해 제공되는 흐름도이다.4 is a block diagram illustrating the
도 4 및 도 5를 참고하면, 본시스템(100)은 로그 수집부(110), 로그 분석부(130), 패턴 생성부(150), 패턴 검증부(170) 및 패턴 배포부(190)를 포함할 수 있다.4 and 5, the
먼저 로그 수집부(110)는 웹 보안장치(30)에서 프로파일 위반 로그 데이터를 수집한다(S510). 로그 수집부(110)는 미리 정해진 주기 별로 웹 보안장치(30)에 접속해서 웹 공격 탐지 로그 DB(37)에 저장된 로그 데이터 중에서 프로파일 위반 로그 데이터만을 추출하여 수집해 올 수 있다. 물론 실시예에 따라서는 웹 보안장치(30)가 프로파일 위반 로그 데이터가 생성되면 자동적으로 본시스템(100)에 해당 데이터를 전송하도록 구현될 수도 있다.First, the
이후 로그 분석부(130)는 수집된 프로파일 위반 로그 데이터를 분석하여 단순 프로파일 위반 유형과 공격 유형으로 분류한다(S520). 다음과 같은 경우 단순 프로파일 위반 유형으로 판단할 수 있다. 예컨대 ① 웹 서비스 요청 데이터에 필수 파라미터가 존재하지 않은 경우, ② 입력 파라미터 값이 구분자가 없는 단일값인 경우 또는 ③ 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 등은 단순 프로파일 위반 유형으로 분류할 수 있다.Thereafter, the
예를 들어, 다음과 같은 웹 서비스 요청에 대한 프로파일 위반 로그 데이터가 수집된 경우 로그 분석부(130)는 단순 프로파일 위반 유형으로 분류할 수 있다.For example, when profile violation log data for the following web service request is collected, the
1) http://www.abc.com/main/main.nhn?abc=def1) http://www.abc.com/main/main.nhn?abc=def
이 경우 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def'이다. 입력 파라미터 값이 구분자가 없는 단일값인 경우(②)에 해당하므로 단순 프로파일 위반 유형으로 분류할 수 있다. In this case, the input parameter is 'abc' and the input parameter value is 'def'. Since the input parameter value is a single value without a separator (②), it can be classified as a simple profile violation type.
2) http://www.abc.com/main/main.nhn?abc=def ghi2) http://www.abc.com/main/main.nhn?abc=def ghi
이 경우도 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def ghi'이다. 입력 파라미터 값이 'def', '공백(ASCII 코드 %20)', 'ghi'로 2개 이상의 단어로 구성되어 있으나 특수 코드가 없는 경우(③)에 해당하므로 역시 단순 프로파일 위반 유형으로 분류할 수 있다.In this case, the input parameter is 'abc' and the input parameter value is 'def ghi'. If the input parameter value is composed of two or more words such as 'def', 'space (ASCII code% 20)', and 'ghi' but without special code (③), it can also be classified as simple profile violation type. have.
3) http://www.abc.com/main/main.nhn?abc=def(ghi) " or 1=1 --3) http://www.abc.com/main/main.nhn?abc=def(ghi) "or 1 = 1-
이 경우는 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def(ghi) " or 1=1 --'이다. 입력 파라미터 값이 2개 이상의 단어와 특수 코드가 포함되어 있으므로 새로운 공격 유형으로 분류할 수 있다. 여기서 특수 코드의 예를 들면 다음과 같은 코드들이 될 수 있다(괄호 안은 ASCII 코드값임).In this case, the input parameter is 'abc' and the input parameter value is 'def (ghi) "or 1 = 1-' Since the input parameter value contains two or more words and special codes, it can be classified as a new attack type. Here, for example, special code can be the following code (in parentheses are ASCII code values).
“(0x22), #(0x23), $(0x24), %(0x25), &(0x26),‘(0x27), *(0x2A), /(0x2F), :(0x3A), ;(0x3B), \(0x5C), ^(0x5E), · (0x60), |(0x7B)“(0x22), # (0x23), $ (0x24),% (0x25), & (0x26), '(0x27), * (0x2A), / (0x2F),: (0x3A),; (0x3B), \ (0x5C), ^ (0x5E), (0x60), | (0x7B)
이와 같이 로그 분석부(130)는 수집된 프로파일 위반 로그 데이터 중에서 단 순 프로파일 위반 유형으로 분류된 로그 데이터는 신규 공격 패턴 생성 대상에서 제외(기각)하고 나머지 공격 유형으로 분류된 로그 데이터를 패턴 생성부(150)로 전달한다(S530).As such, the
이후 패턴 생성부(150)는 공격 유형으로 분류된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성한다(S540). 패턴 생성부(150)는 공격 유형으로 분류된 프로파일 위반 로그 데이터에서 입력 파라미터 값만을 추출하여 비교하고 공통된 문자열이 미리 정해진 개수 이상의 프로파일 위반 로그 데이터에 존재하는 경우 해당 패턴을 신규 공격 패턴으로 생성한다. 여기서 문자열은 하나의 문자도 포함한다.Thereafter, the
신규 공격 패턴으로 생성되는 예에 대해 보다 자세히 설명하면 다음과 같다.More detailed description of the example generated by the new attack pattern is as follows.
예를 들어 각각의 프로파일 위반 로그 데이터에서 추출된 입력 파라미터 값에 아래 1) 내지 6)과 같은 문자열이 포함되어 있다고 가정하면, For example, suppose that the input parameter value extracted from each profile violation log data contains a string such as 1) to 6) below.
1) def(ghi) " or 1=1 --1) def (ghi) "or 1 = 1-
2) abfc " or 2=2 --2) abfc "or 2 = 2-
3) xxxx " or 11=11 #3) xxxx "or 11 = 11 #
4) CCCCCCCCCCCCCCCCCCCCCC\ VISTA abce.....4) CCCCCCCCCCCCCCCCCCCCCC \ VISTA abce .....
5) CCCCCCCCCCCCCCCCCCCCCC\ WINXP XXXX.....5) CCCCCCCCCCCCCCCCCCCCCC \ WINXP XXXX .....
6) CCCCCCCCCCCCCCCCCCCCCC\ WIN2K ZZZZ.....6) CCCCCCCCCCCCCCCCCCCCCC \ WIN2K ZZZZ .....
1), 2), 3)에서 공통적으로 나타나는 문자열은 “, or, = 이다. 즉 공통 문자열(“, or, = )이 3개의 프로파일 위반 로그 데이터에 포함되어 있다. 따라서 공통 문자열이 적어도 3개 이상의 프로파일 위반 로그 데이터에 포함되어 있는 경우 신규 공격 패턴으로 인식하도록 구현되어 있으면 패턴 생성부(150)는 아래 패턴을 신규 공격 패턴으로 생성한다.Common strings in 1), 2), and 3) are “, or, =. That is, common strings (“, or, =) are included in the three profile violation log data. Therefore, when the common string is included in at least three or more profile violation log data, the
신규 공격 패턴 1 : “, or, = New Attack Pattern 1: “, or, =
마찬가지로 4), 5), 6)번에서 공통적으로 나타나는 것은 CCCCCCCCCCCCCCCCCCCCCC, \ 이다. 따라서 새롭게 생성되는 공격 패턴은 다음과 같다.Similarly, CCCCCCCCCCCCCCCCCCCCCC, \ are common to 4), 5) and 6). Therefore, the newly created attack pattern is as follows.
신규 공격 패턴 2 : CCCCCCCCCCCCCCCCCCCCCC, \ New Attack Pattern 2: CCCCCCCCCCCCCCCCCCCCCC, \
여기서 콤마(,) 로 구분되는 공격 패턴은 콤파 전후 문자열에 대해 AND 조건을 의미한다. 즉 파라미터 값에 세 가지 항목에 모두 포함될 때만 공격으로 간주한다는 의미이다.Here, the attack pattern separated by a comma (,) means an AND condition for the character string before and after the comma. In other words, it is considered an attack only when all three items are included in the parameter value.
다음으로 패턴 검증부(170)는 패턴 생성부(150)에서 생성된 신규 공격 패턴을 검증한다(S550). 패턴 검증부(170)는 새로 생성된 신규 공격 패턴을 보안 전문가에게 제공하여 검증받을 수 있다. 이에 의해 새로 생성된 신규 공격 패턴이 실제로는 공격 패턴이 아닌데도 웹 보안장치(30)에 배포되어 정상적 웹 서비스 요청을 비정상적인 것으로 오탐(False Positive)하는 것을 최소화 할 수 있다. 다만 이는 오탐을 최소화하기 위한 것으로 필수적인 것은 아니다.Next, the
패턴 배포부(190)는 패턴 생성부(150)에서 생성된 신규 공격 패턴을 웹 보안장치(30)에 배포하여 공격 시그니처 DB(31)에 업데이트 시킨다(S560). 이에 의해 새로운 공격 유형이 나타날 때마다 신속하게 신규 공격 패턴을 생성하여 웹 보안장 치(30)에 배포함으로써 보안성을 높일 수 있다.The
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 지금까지 설명한 통합 보안 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 또는 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Embodiments of the invention include a computer readable medium containing program instructions for performing various computer-implemented operations. This medium records a program for executing the integrated security method described so far. The media may include, alone or in combination with the program instructions, data files, data structures, and the like. Examples of such media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CDs and DVDs, floppy disks and program commands such as magnetic-optical media, ROM, RAM, flash memory, and the like. Hardware devices configured to store and perform such operations. Alternatively, the medium may be a transmission medium such as an optical or metal wire, a waveguide, or the like including a carrier wave for transmitting a signal specifying a program command, a data structure, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
도 1은 본 발명의 일 실시예에 따른 신규 공격 패턴 생성 및 배포 시스템을 설명하기 위해 제공되는 도면이다.1 is a view provided to explain a new attack pattern generation and distribution system according to an embodiment of the present invention.
도 2 는 웹 보안장치의 동작을 설명하기 위해 제공되는 도면이다.2 is a view provided to explain the operation of the web security device.
도 3은 도 2의 웹 보안장치를 보다 자세히 나타낸 도면이다.3 is a view illustrating the web security device of FIG. 2 in more detail.
도 4는 도 1의 본시스템을 보다 자세히 나타낸 블록도이다.4 is a block diagram illustrating the present system of FIG. 1 in more detail.
도 5는 본시스템의 동작을 설명하기 위해 제공되는 흐름도이다.5 is a flowchart provided to explain the operation of the present system.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070137909A KR20090070040A (en) | 2007-12-26 | 2007-12-26 | New attack pattern creating and distributing system based on profile violation log and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070137909A KR20090070040A (en) | 2007-12-26 | 2007-12-26 | New attack pattern creating and distributing system based on profile violation log and method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090070040A true KR20090070040A (en) | 2009-07-01 |
Family
ID=41321624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070137909A KR20090070040A (en) | 2007-12-26 | 2007-12-26 | New attack pattern creating and distributing system based on profile violation log and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20090070040A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995145A (en) * | 2016-10-26 | 2018-05-04 | 中国移动通信有限公司研究院 | A kind of attack mode excavation method and device towards WAF daily records |
-
2007
- 2007-12-26 KR KR1020070137909A patent/KR20090070040A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995145A (en) * | 2016-10-26 | 2018-05-04 | 中国移动通信有限公司研究院 | A kind of attack mode excavation method and device towards WAF daily records |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11212305B2 (en) | Web application security methods and systems | |
US9923919B2 (en) | Safe intelligent content modification | |
US9516051B1 (en) | Detecting web exploit kits by tree-based structural similarity search | |
Ning et al. | Learning attack strategies from intrusion alerts | |
Kholidy et al. | CIDD: A cloud intrusion detection dataset for cloud computing and masquerade attacks | |
Hamed et al. | A survey and taxonomy of classifiers of intrusion detection systems | |
US10917422B2 (en) | Digital auditing system and method for detecting unauthorized activities on websites | |
CN110062380A (en) | A kind of connected reference request safety detection method of mobile application system | |
Vigna et al. | Reducing errors in the anomaly-based detection of web-based attacks through the combined analysis of web requests and SQL queries | |
Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
WO2016121348A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
KR20140035146A (en) | Apparatus and method for information security | |
Nagpal et al. | SECSIX: security engine for CSRF, SQL injection and XSS attacks | |
Jain et al. | Detection of phishing attacks in financial and e-banking websites using link and visual similarity relation | |
Kim et al. | Fast attack detection system using log analysis and attack tree generation | |
Ben Jaballah et al. | A grey-box approach for detecting malicious user interactions in web applications | |
CN107231364A (en) | A kind of website vulnerability detection method and device, computer installation and storage medium | |
Falana et al. | Detection of cross-site scripting attacks using dynamic analysis and fuzzy inference system | |
Hashemi et al. | Detecting intrusion transactions in databases using data item dependencies and anomaly analysis | |
Lu et al. | Network threat detection based on correlation analysis of multi-platform multi-source alert data | |
KR100937020B1 (en) | Integration security system and method by tracking web-database attack detection log data | |
KR20090070040A (en) | New attack pattern creating and distributing system based on profile violation log and method thereof | |
Gadgikar | Preventing SQL injection attacks using negative tainting approach | |
Katano et al. | Prediction of infected devices using the quantification theory type 3 based on mitre att&ck technique | |
Rencelj Ling et al. | Estimating Time-To-Compromise for Industrial Control System Attack Techniques Through Vulnerability Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |