KR20090070040A - New attack pattern creating and distributing system based on profile violation log and method thereof - Google Patents

New attack pattern creating and distributing system based on profile violation log and method thereof Download PDF

Info

Publication number
KR20090070040A
KR20090070040A KR1020070137909A KR20070137909A KR20090070040A KR 20090070040 A KR20090070040 A KR 20090070040A KR 1020070137909 A KR1020070137909 A KR 1020070137909A KR 20070137909 A KR20070137909 A KR 20070137909A KR 20090070040 A KR20090070040 A KR 20090070040A
Authority
KR
South Korea
Prior art keywords
profile
log data
attack pattern
new attack
profile violation
Prior art date
Application number
KR1020070137909A
Other languages
Korean (ko)
Inventor
류봉현
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Priority to KR1020070137909A priority Critical patent/KR20090070040A/en
Publication of KR20090070040A publication Critical patent/KR20090070040A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A new attack pattern generation, a distribution system and a method thereof for using profile violation log data of a web service request violating the profile regulation are provided to increase the security and reduce the error detection of the web protective device by automatically distributing the new attack pattern. A log collector(110) collects profile violation log data. The profile violation log data is generated about a web service request violating the profile regulation. A pattern generator(150) produces the new offense pattern by using the collected above profile half log data. A pattern distributor(190) distributes the new offense pattern to the web protective device.

Description

프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템과 그 방법{NEW ATTACK PATTERN CREATING AND DISTRIBUTING SYSTEM BASED ON PROFILE VIOLATION LOG AND METHOD THEREOF}New attack pattern generation and distribution system based on profile violation log and its method {NEW ATTACK PATTERN CREATING AND DISTRIBUTING SYSTEM BASED ON PROFILE VIOLATION LOG AND METHOD THEREOF}

본 발명은 신규 공격 패턴 생성 및 배포 시스템과 그 방법에 관한 것으로, 보다 자세하게는 프로파일 위반 로그에 기반하여 신규 공격 패턴을 생성하고 이를 각 보안 장치에 자동으로 배포할 수 있는 신규 공격 패턴 생성 및 배포 시스템과 그 방법에 관한 것이다. The present invention relates to a new attack pattern generation and distribution system and a method thereof, and more particularly, to create a new attack pattern based on the profile violation log and to automatically distribute it to each security device. And how to do it.

최근들어 웹 서비스의 증가와 더불어 웹 서비스 상의 보안 취약성을 이용해 안정적인 웹 서비스를 방해하고 주요한 내부 정보를 유출하는 등의 악성 공격 행위가 날로 증가하고 있다.Recently, along with the increase of web services, malicious attacks such as interfering with stable web services and leaking important internal information by using security vulnerabilities on web services are increasing day by day.

이러한 악성 공격 행위로 인하여 공격을 당한 웹 서비스가 특히 전자 상거래 서비스나 개인 정보를 관리하는 경우에는 경제적 손실 및 개인 정보 유출 등의 상당히 큰 문제점을 발생시킬 수 있다. 따라서 웹 서비스 공격을 탐지하여 대응하려는 시도가 다양하게 이루어지고 있으며, 침입 패턴을 인식하는 방법은 크게 시그니처를 이용한 패턴 매칭 방식과 프로파일 기반 방식으로 구분할 수 있다.Due to this malicious attack behavior, the web service that is attacked can cause significant problems such as economic loss and personal information leakage, especially when managing e-commerce service or personal information. Therefore, various attempts have been made to detect and respond to web service attacks, and methods for recognizing intrusion patterns can be largely classified into pattern matching using profile and profile based.

시그니처를 이용한 패턴 매칭 방식은 다음과 같이 이루어진다. 우선 비정상적인 요청에 의한 공격들을 분석하여 특정 시그니처를 추출한다. 특정 시그니처는 특정 공격을 대표할 수 있는 시그니처가 된다. 이러한 시그니처를 보안 시스템의 데이타 베이스에 저장한 후, 그 시그니처를 이용하여 공격을 탐지하게 된다. 이러한 탐지 기법을 이용하는 대표적인 것들로 체크포인트(CheckPoint)의 인터셉트, 윈스테크넷의 스나이퍼 IPS 등을 들 수 있다.The pattern matching method using the signature is performed as follows. First, we extract specific signatures by analyzing attacks by abnormal requests. Certain signatures are signatures that can represent a particular attack. After storing these signatures in the database of the security system, the signatures are used to detect attacks. Examples of such detection techniques include CheckPoint's intercept and Wins Technet's Sniper IPS.

한편 시그니처를 이용한 패턴 매칭 방식의 보안 시스템은 개발 및 구현이 용이하고 비교적 정확한 공격 탐지가 가능하지만, 보안 시스템의 시그니처 데이타 베이스에 등록되지 않은 새로운 공격을 사전에 탐지할 수 없어서 웹 서비스를 완전히 보호할 수 없는 단점을 가진다. 또한 매번 새로운 유형의 공격이 발생한 경우, 이를 분석하고 시그니처를 생성해서 보안 시스템의 데이타 베이스에 저장해서 공격을 탐지하기까지 상당한 시간이 소요되며, 이 시간 동안은 웹 서비스가 새로운 유형의 공격에 그대로 노출되게 된다.On the other hand, the pattern-matching security system using signatures is easy to develop and implement, and can detect relatively accurate attacks, but it cannot fully detect new attacks not registered in the signature database of the security system. It can not have the disadvantage. In addition, each time a new type of attack occurs, it takes considerable time to analyze it, generate a signature, and store it in the security system's database to detect the attack, during which time the web service is exposed to the new type of attack. Will be.

따라서 시그니처 패턴 매칭 방법을 이용한 웹 서비스 보안 시스템은 알려진 비정상적인 요청에 의한 공격만을 탐지하기 위한 수동적(negative) 기법에 불과하므로, 알려지지 않은 공격을 즉시 탐지하기 위한 보다 능동적(positive) 기법으로서의 새로운 웹 서비스 보안 시스템이 필요하게 되었으며, 이에 따라 제시된 방법이 웹 요청의 파라미터들을 프로파일하여 웹 공격을 탐지하는 방식이다. 프로파일 기반의 침입 탐지 방법은 정상 행위를 기준으로, 이와 상반되는 행위를 침입으로 간주하는 방법이다.Therefore, the web service security system using signature pattern matching method is only a passive technique for detecting only attacks caused by known abnormal requests. Therefore, the new web service security as a more positive technique for detecting unknown attacks immediately is available. A system is needed, and the proposed method is to detect web attacks by profiling parameters of web requests. Profile-based intrusion detection method is based on the normal behavior, the behavior that is contrary to it is considered as an intrusion.

그런데 프로파일 기반의 침입 탐지 방법은 정상 행위에 대한 기준을 너무 엄격하게 설정할 경우 정상적인 웹 서비스 요청도 비정상적인 것으로 오탐하는 경우가 발생할 수 있어 사용자 불편이 가중될 수 있으며 또한 해당 인터넷 서비스 시스템에 대한 신뢰도가 떨어질 수도 있다. 반대로 정상 행위에 대한 기준을 넓게 허용할 경우 아직 알려지지 않은 공격 유형에 상대적으로 취약해질 수 있는 문제점이 있다.However, the profile-based intrusion detection method may falsely detect normal web service requests as abnormal when the criteria for normal behavior are set too strictly, which may increase user inconvenience and reduce the reliability of the Internet service system. It may be. On the contrary, there is a problem that if the standard for normal behavior is widely allowed, it may be relatively vulnerable to an unknown attack type.

따라서 본 발명이 이루고자 하는 기술적 과제는 프로파일 위반 로그에 기반하여 신규 공격 패턴을 신속하게 생성하고 이를 각 웹 보안 장치에 자동으로 배포함으로써 웹 보안 장치의 오탐을 줄임과 동시에 보안성을 높일 수 있는 신규 공격 패턴 생성 및 배포 시스템과 그 방법을 제공하는데 있다.Therefore, the technical problem to be achieved by the present invention is to create a new attack pattern based on the profile violation log quickly and automatically distribute it to each web security device to reduce the false positives of the web security device and at the same time increase the security The present invention provides a pattern generation and distribution system and a method thereof.

이러한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법은 프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 단계와, 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 단계 및, 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 단계를 포함한다.According to an embodiment of the present invention, a new attack pattern generation and distribution method based on a profile violation log includes collecting profile violation log data generated for a web service request in violation of a profile rule; Generating a new attack pattern by using the collected profile violation log data, and distributing the generated new attack pattern to a web security device.

상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 단계를 더 포함할 수 있다.The method may further include verifying whether the collected profile violation log data correspond to a simple profile violation type.

상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외할 수 있다.When the collected profile violation log data corresponds to a simple profile violation type, the collected profile violation log data may be excluded from a new attack pattern generation target.

상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형 으로 판정할 수 있다.When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter. Profile violation log data corresponding to the web service request can be determined as a simple profile violation type.

본 발명의 다른 실시예에 따른 컴퓨터로 읽을 수 있는 매체는 상기한 방법 중 어느 하나를 컴퓨터에 실행시키기 위한 프로그램을 기록한다.A computer readable medium according to another embodiment of the present invention records a program for causing a computer to execute any one of the above methods.

본 발명의 다른 실시예에 따른 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템은, 프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 로그 수집부와, 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 패턴 생성부와, 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 패턴 배포부를 포함한다.The new attack pattern generation and distribution system based on the profile violation log according to another embodiment of the present invention includes a log collector configured to collect profile violation log data generated for a web service request in violation of the profile rule, and the collected profile. And a pattern generation unit for generating a new attack pattern using the violation log data, and a pattern distribution unit for distributing the generated new attack pattern to a web security device.

상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 로그 분석부를 더 포함할 수 있다.The apparatus may further include a log analyzer configured to verify whether the collected profile violation log data corresponds to a simple profile violation type.

상기 로그 분석부는, 상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외할 수 있다.The log analyzer may exclude a new attack pattern generation target when the collected profile violation log data corresponds to a simple profile violation type.

상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형으로 판정할 수 있다.When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter. Profile violation log data corresponding to a web service request may be determined as a simple profile violation type.

이와 같이 본 발명에 의하면, 아직 알려지지 않은 신규 공격 패턴을 신속하게 생성하고 이를 각 웹 보안 장치에 자동으로 배포함으로써 웹 보안 장치의 보안 성을 높일 수 있다.As described above, according to the present invention, the security of the web security device can be improved by quickly generating a new attack pattern which is not yet known and automatically distributing it to each web security device.

그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention.

도 1은 본 발명의 일 실시예에 따른 신규 공격 패턴 생성 및 배포 시스템을 설명하기 위해 제공되는 도면이다.1 is a view provided to explain a new attack pattern generation and distribution system according to an embodiment of the present invention.

도 1을 참고하면, 본 발명에 따른 신규 공격 패턴 생성 및 배포 시스템(100:이하 '본시스템'이라 함)은 통신망(20)을 통해 복수의 웹 보안장치(30)와 연결되어 각종 정보 및 데이터를 주고 받을 수 있다.Referring to FIG. 1, a new attack pattern generation and distribution system (hereinafter, referred to as “the main system”) according to the present invention is connected to a plurality of web security devices 30 through a communication network 20 to provide various information and data. Can give and receive.

통신망(20)은 구내 정보 통신망(local area network:LAN), 도시권 통신망(metropolitan area network:MAN), 광역 통신망(wide area network:WAN), 인터넷 등을 가리지 않고, 통신 방식도 유선, 무선을 가리지 않으며 어떠한 통신 방식이라도 상관없다.The communication network 20 does not select a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), the Internet, and the like. It doesn't matter what type of communication you have.

웹 보안장치(30)는 사용자 단말기로부터 웹 서버로 전달되는 웹 서비스 요청의 정상 여부를 검증하고, 비정상적 웹 서비스 요청이 탐지되면 로그 데이터를 저장한다. 특히 본 발명에 따른 웹 보안장치(30)는 포지티브(positive) 보안 정책에 위반된 웹 서비스 요청이 탐지되면 그에 대한 프로파일 위반 로그 데이터를 생성하고 이를 본시스템(100)에 제공할 수 있다.The web security device 30 verifies whether the web service request transmitted from the user terminal to the web server is normal, and stores log data when an abnormal web service request is detected. In particular, when the web security device 30 according to the present invention detects a web service request violating a positive security policy, the web security device 30 may generate profile violation log data thereof and provide it to the system 100.

그러면 도 1의 웹 보안장치의 동작에 대해 보다 자세히 설명한다.Next, the operation of the web security device of FIG. 1 will be described in more detail.

도 2 는 웹 보안장치의 동작을 설명하기 위해 제공되는 도면이고, 도 3은 도 2의 웹 보안장치를 보다 자세히 나타낸 도면이다.2 is a view provided to explain the operation of the web security device, Figure 3 is a view showing in more detail the web security device of FIG.

도 2 및 도 3을 참고하면, 웹 보안장치(30)는 사용자 단말기(10)와 웹 서버(40) 사이에 위치하며, 통신망(20)을 통해 양 장치(10, 40)와 연결될 수 있다.2 and 3, the web security device 30 is located between the user terminal 10 and the web server 40 and may be connected to both devices 10 and 40 through the communication network 20.

사용자 단말기(10)는 웹 서비스를 이용하기 위해 사용자가 이용하는 통신 단말장치로서, 데스크톱 컴퓨터뿐만 아니라 노트북 컴퓨터, 워크스테이션, 팜톱(palmtop) 컴퓨터, 개인 휴대 정보 단말기(personal digital assistant:PDA), 웹 패드 등과 같은 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 통신 단말기로 이루어질 수 있다. 사용자 단말기(10)는 웹 서버(40)에 TCP/IP 기반의 HTTP 메시지 형태로 웹 서비스 요청 데이터를 전송할 수 있으며, 그에 따른 응답 데이터를 제공받아 사용자에 제공할 수 있다. 사용자는 사용자 단말기(10)의 웹 브라우저 상에서 웹 서비스 요청을 위해 필요한 입력 파라미터 값을 입력하고 웹 서비스 요청 데이터에 포함시켜 웹 서버(40)로 전달할 수 있다. 예컨대, 사용자는 웹 브라우저의 주소창(URL 입력창)에서 URL 뒤에 '?'를 붙이고 그 뒤에 입력 파라미터 이름과 입력 파라미터에 대한 값을 쿼리 형태로 입력하면, 소정의 입력 파라미터 값이 포함된 웹 요청 메시지를 GET 방식으로 웹 서버(40)에 전송할 수 있다. 물론 사용자는 웹 페이지의 HTTP 폼에 입력 파라미터 값을 입력하여 POST 방식으로 웹 서비스 요청 데이터의 페이로드(payload)부분에 포함시켜 전송할 수도 있다.The user terminal 10 is a communication terminal device used by a user to use a web service. The user terminal 10 is a laptop computer, a workstation, a palmtop computer, a personal digital assistant (PDA), a web pad, as well as a desktop computer. It can be made of a communication terminal having a computing power by having a memory means such as a microprocessor. The user terminal 10 may transmit the web service request data in the form of a TCP / IP based HTTP message to the web server 40, and may receive the response data and provide the response data to the user. The user may input an input parameter value required for the web service request on the web browser of the user terminal 10 and include it in the web service request data and transmit it to the web server 40. For example, if a user enters a '?' After a URL in a web browser address bar (URL input window) and then inputs an input parameter name and a value for the input parameter in the form of a query, a web request message including a predetermined input parameter value is included. May be transmitted to the web server 40 in a GET manner. Of course, the user may input the input parameter value in the HTTP form of the web page and include it in the payload portion of the web service request data by POST.

웹 서버(40)는 사용자 단말기(10)로부터 전송되는 웹 서비스 요청에 따른 응 답 데이터를 사용자 단말기(10)에 제공한다.The web server 40 provides the response data according to the web service request transmitted from the user terminal 10 to the user terminal 10.

웹 보안장치(30)는 사용자 단말기(10)로부터 웹 서버(40)로 전달되는 웹 서비스 요청 데이터를 인라인 방식 또는 프록시 방식으로 수신하여 정상 여부를 판단한다. 만일 비정상적 웹 서비스 요청이 탐지되면 이에 대한 로그 데이터를 저장한다. 웹 보안장치(30)는 비정상적 웹 서비스 요청이 탐지되면 보안 관리자에게 보고할 수 있으며, 비정상적 웹 서비스 요청이 웹 서버(40)로 전달되는 것을 차단할 수도 있다.The web security apparatus 30 receives the web service request data transmitted from the user terminal 10 to the web server 40 in an inline manner or in a proxy manner to determine whether it is normal. If abnormal web service request is detected, log data about it is saved. When the web security device 30 detects an abnormal web service request, the web security device 30 may report a security manager, and may block the abnormal web service request from being transmitted to the web server 40.

특히 본 발명에 따른 웹 보안장치(30)는 공격 시그니처 DB(31), 웹 서비스 프로파일 DB(33), 웹 요청 검증 모듈(35) 및 로그 DB(37)를 포함한다.In particular, the web security device 30 according to the present invention includes an attack signature DB 31, a web service profile DB 33, a web request verification module 35, and a log DB 37.

공격 시그니처 DB(31)는 이미 알려진 웹 공격 패턴, 즉 공격 시그니처(signiture)를 저장한다. 또한 공격 시그니처 DB(31)는 새로운 웹 공격 패턴이 알려질 경우 해당 패턴을 업데이트 받을 수 있다. 특히 본 발명에 따르면 본시스템(100)에서 생성된 신규 웹 공격 패턴을 배포받아 저장할 수 있다.The attack signature DB 31 stores a known web attack pattern, that is, an attack signature. In addition, the attack signature DB 31 may be updated when a new web attack pattern is known. In particular, according to the present invention can receive and store a new web attack pattern generated in the system 100.

웹 서비스 프로파일 DB(33)는 정상적인 웹 서비스 요청에 대한 프로파일 정보가 저장된다. 정상적 웹 서비스 요청에 대한 프로파일 정보는 다음과 같은 정보들이 포함될 수 있다. 예컨대, 1) 웹 서비스 요청 데이터에 포함되는 것이 허용되는 입력 파라미터 정보(허용 파라미터 정보), 2) 허용 파라미터가 가질 수 있는 파라미터 값의 범위 또는 3) 웹 서비스 요청 데이터에 반드시 포함되어야 하는 입력 파라미터 정보(필수 파라미터 정보) 등이 포함될 수 있다. 물론 이외에도 정상적 웹 서비스 요청에 대한 프로파일 정보가 보안 관리자에 의해 다양한 형태로 웹 서 비스 프로파일 DB(33)에 포함될 수 있다.The web service profile DB 33 stores profile information for a normal web service request. Profile information for a normal web service request may include the following information. For example, 1) input parameter information (permitted parameter information) allowed to be included in the web service request data, 2) a range of parameter values that the accept parameter can have, or 3) input parameter information that must be included in the web service request data. (Essential parameter information) and the like. Of course, in addition to the profile information for the normal web service request may be included in the web service profile DB 33 in various forms by the security administrator.

웹 요청 검증 모듈(35)은 공격 시그니처 DB(31)와 웹 서비스 프로파일 DB(33)를 이용하여 수신된 웹 서비스 요청에 대한 정상 여부를 검증한다. 먼저 웹 요청 검증 모듈(35)은 수신된 웹 서비스 요청을 공격 시그니처 DB(31)에 저장된 공격 시그니처와 패턴 매칭을 수행하여 비정상적 웹 서비스 요청을 탐지해낸다.The web request verification module 35 verifies whether the received web service request is normal by using the attack signature DB 31 and the web service profile DB 33. First, the web request verification module 35 detects an abnormal web service request by performing pattern matching on the received web service request with the attack signature stored in the attack signature DB 31.

한편 웹 요청 검증 모듈(35)은 수신된 웹 서비스 요청에 대해서 공격 시그니처와 패턴 매칭을 수행한 결과 이상이 없으면 웹 서비스 프로파일 DB(33)를 참조하여 정상 여부를 판단한다. 예컨대 수신된 웹 서비스 요청 데이터에 허용되지 않는 파라미터가 포함되어 있거나, 허용되지 않는 파라미터 값을 가지거나 반드시 포함되어야 할 필수 파라미터가 존재하지 않을 경우, 웹 요청 검증 모듈(35)은 해당 웹 서비스 요청을 비정상적인 것으로 판단할 수 있다.Meanwhile, if there is no abnormality as a result of performing pattern matching on the received web service request, the web request verification module 35 refers to the web service profile DB 33 to determine whether it is normal. For example, if the received web service request data includes an unacceptable parameter, has an unacceptable parameter value, or does not have a required parameter that must be included, the web request verification module 35 performs a corresponding web service request. It can be judged abnormal.

로그 DB(37)는 웹 요청 검증 모듈(35)에 의해 비정상적인 것으로 탐지된 웹 서비스 요청에 대한 로그 데이터를 저장한다.The log DB 37 stores log data for the web service request detected as abnormal by the web request verification module 35.

웹 보안장치(30)는 로그 DB(37)에 저장된 로그 데이터 중에서 포지티브(positive) 보안 정책에 위반된, 즉 프로파일 규칙에 위반된 웹 서비스 요청에 대한 로그 데이터(이하 '프로파일 위반 로그 데이터'라 함)를 본시스템(100)에 주기적으로 전송하는 모듈(도시하지 않음)을 포함할 수 있다. 물론 본시스템(100)이 웹 보안장치(30)에 주기적으로 접속하여 프로파일 위반 로그 데이터를 수집해가도록 구현할 수도 있다.The web security device 30 is log data for a web service request that violates a positive security policy, that is, a profile rule, among log data stored in the log DB 37 (hereinafter referred to as 'profile violation log data'). ) May be periodically transmitted to the system 100 (not shown). Of course, the system 100 may be configured to periodically access the web security device 30 to collect profile violation log data.

그러면 도 4 및 도 5를 참조하여 본시스템(100)의 동작에 대해 보다 자세히 설명한다.4 and 5 will be described in more detail with respect to the operation of the present system 100.

도 4는 도 1의 본시스템(100)을 보다 자세히 나타낸 블록도이고, 도 5는 본시스템의 동작을 설명하기 위해 제공되는 흐름도이다.4 is a block diagram illustrating the present system 100 of FIG. 1 in more detail, and FIG. 5 is a flowchart provided to explain the operation of the present system.

도 4 및 도 5를 참고하면, 본시스템(100)은 로그 수집부(110), 로그 분석부(130), 패턴 생성부(150), 패턴 검증부(170) 및 패턴 배포부(190)를 포함할 수 있다.4 and 5, the system 100 includes a log collector 110, a log analyzer 130, a pattern generator 150, a pattern verifier 170, and a pattern distributor 190. It may include.

먼저 로그 수집부(110)는 웹 보안장치(30)에서 프로파일 위반 로그 데이터를 수집한다(S510). 로그 수집부(110)는 미리 정해진 주기 별로 웹 보안장치(30)에 접속해서 웹 공격 탐지 로그 DB(37)에 저장된 로그 데이터 중에서 프로파일 위반 로그 데이터만을 추출하여 수집해 올 수 있다. 물론 실시예에 따라서는 웹 보안장치(30)가 프로파일 위반 로그 데이터가 생성되면 자동적으로 본시스템(100)에 해당 데이터를 전송하도록 구현될 수도 있다.First, the log collection unit 110 collects profile violation log data from the web security device 30 (S510). The log collecting unit 110 may access the web security device 30 at predetermined intervals and extract and collect only profile violation log data from log data stored in the web attack detection log DB 37. Of course, depending on the embodiment, the web security device 30 may be implemented to automatically transmit the data to the system 100 when the profile violation log data is generated.

이후 로그 분석부(130)는 수집된 프로파일 위반 로그 데이터를 분석하여 단순 프로파일 위반 유형과 공격 유형으로 분류한다(S520). 다음과 같은 경우 단순 프로파일 위반 유형으로 판단할 수 있다. 예컨대 ① 웹 서비스 요청 데이터에 필수 파라미터가 존재하지 않은 경우, ② 입력 파라미터 값이 구분자가 없는 단일값인 경우 또는 ③ 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 등은 단순 프로파일 위반 유형으로 분류할 수 있다.Thereafter, the log analyzer 130 classifies the collected profile violation log data into simple profile violation types and attack types (S520). In the following cases, it can be judged as a simple profile violation type. For example, ① the required parameter does not exist in the web service request data, ② the input parameter value is a single value without delimiter, or ③ the input parameter value does not contain a special code even if there is a delimiter. Can be classified as

예를 들어, 다음과 같은 웹 서비스 요청에 대한 프로파일 위반 로그 데이터가 수집된 경우 로그 분석부(130)는 단순 프로파일 위반 유형으로 분류할 수 있다.For example, when profile violation log data for the following web service request is collected, the log analyzer 130 may classify a simple profile violation type.

1) http://www.abc.com/main/main.nhn?abc=def1) http://www.abc.com/main/main.nhn?abc=def

이 경우 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def'이다. 입력 파라미터 값이 구분자가 없는 단일값인 경우(②)에 해당하므로 단순 프로파일 위반 유형으로 분류할 수 있다. In this case, the input parameter is 'abc' and the input parameter value is 'def'. Since the input parameter value is a single value without a separator (②), it can be classified as a simple profile violation type.

2) http://www.abc.com/main/main.nhn?abc=def ghi2) http://www.abc.com/main/main.nhn?abc=def ghi

이 경우도 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def ghi'이다. 입력 파라미터 값이 'def', '공백(ASCII 코드 %20)', 'ghi'로 2개 이상의 단어로 구성되어 있으나 특수 코드가 없는 경우(③)에 해당하므로 역시 단순 프로파일 위반 유형으로 분류할 수 있다.In this case, the input parameter is 'abc' and the input parameter value is 'def ghi'. If the input parameter value is composed of two or more words such as 'def', 'space (ASCII code% 20)', and 'ghi' but without special code (③), it can also be classified as simple profile violation type. have.

3) http://www.abc.com/main/main.nhn?abc=def(ghi) " or 1=1 --3) http://www.abc.com/main/main.nhn?abc=def(ghi) "or 1 = 1-

이 경우는 입력 파라미터는 'abc'이고 입력 파라미터 값은 'def(ghi) " or 1=1 --'이다. 입력 파라미터 값이 2개 이상의 단어와 특수 코드가 포함되어 있으므로 새로운 공격 유형으로 분류할 수 있다. 여기서 특수 코드의 예를 들면 다음과 같은 코드들이 될 수 있다(괄호 안은 ASCII 코드값임).In this case, the input parameter is 'abc' and the input parameter value is 'def (ghi) "or 1 = 1-' Since the input parameter value contains two or more words and special codes, it can be classified as a new attack type. Here, for example, special code can be the following code (in parentheses are ASCII code values).

“(0x22), #(0x23), $(0x24), %(0x25), &(0x26),‘(0x27), *(0x2A), /(0x2F), :(0x3A), ;(0x3B), \(0x5C), ^(0x5E), · (0x60), |(0x7B)“(0x22), # (0x23), $ (0x24),% (0x25), & (0x26), '(0x27), * (0x2A), / (0x2F),: (0x3A),; (0x3B), \ (0x5C), ^ (0x5E), (0x60), | (0x7B)

이와 같이 로그 분석부(130)는 수집된 프로파일 위반 로그 데이터 중에서 단 순 프로파일 위반 유형으로 분류된 로그 데이터는 신규 공격 패턴 생성 대상에서 제외(기각)하고 나머지 공격 유형으로 분류된 로그 데이터를 패턴 생성부(150)로 전달한다(S530).As such, the log analyzer 130 excludes (dismissed) log data classified as a simple profile violation type from the collected profile violation log data as a target for generating a new attack pattern and excludes the log data classified as the remaining attack types from the pattern generator. Transfer to 150 (S530).

이후 패턴 생성부(150)는 공격 유형으로 분류된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성한다(S540). 패턴 생성부(150)는 공격 유형으로 분류된 프로파일 위반 로그 데이터에서 입력 파라미터 값만을 추출하여 비교하고 공통된 문자열이 미리 정해진 개수 이상의 프로파일 위반 로그 데이터에 존재하는 경우 해당 패턴을 신규 공격 패턴으로 생성한다. 여기서 문자열은 하나의 문자도 포함한다.Thereafter, the pattern generator 150 generates a new attack pattern using the profile violation log data classified as the attack type (S540). The pattern generator 150 extracts and compares only input parameter values from profile violation log data classified as the attack type, and generates a corresponding pattern as a new attack pattern when a common string exists in a predetermined number of profile violation log data. The string here also contains a single character.

신규 공격 패턴으로 생성되는 예에 대해 보다 자세히 설명하면 다음과 같다.More detailed description of the example generated by the new attack pattern is as follows.

예를 들어 각각의 프로파일 위반 로그 데이터에서 추출된 입력 파라미터 값에 아래 1) 내지 6)과 같은 문자열이 포함되어 있다고 가정하면, For example, suppose that the input parameter value extracted from each profile violation log data contains a string such as 1) to 6) below.

1) def(ghi) " or 1=1 --1) def (ghi) "or 1 = 1-

2) abfc " or 2=2 --2) abfc "or 2 = 2-

3) xxxx " or 11=11 #3) xxxx "or 11 = 11 #

4) CCCCCCCCCCCCCCCCCCCCCC\ VISTA abce.....4) CCCCCCCCCCCCCCCCCCCCCC \ VISTA abce .....

5) CCCCCCCCCCCCCCCCCCCCCC\ WINXP XXXX.....5) CCCCCCCCCCCCCCCCCCCCCC \ WINXP XXXX .....

6) CCCCCCCCCCCCCCCCCCCCCC\ WIN2K ZZZZ.....6) CCCCCCCCCCCCCCCCCCCCCC \ WIN2K ZZZZ .....

1), 2), 3)에서 공통적으로 나타나는 문자열은 “, or, = 이다. 즉 공통 문자열(“, or, = )이 3개의 프로파일 위반 로그 데이터에 포함되어 있다. 따라서 공통 문자열이 적어도 3개 이상의 프로파일 위반 로그 데이터에 포함되어 있는 경우 신규 공격 패턴으로 인식하도록 구현되어 있으면 패턴 생성부(150)는 아래 패턴을 신규 공격 패턴으로 생성한다.Common strings in 1), 2), and 3) are “, or, =. That is, common strings (“, or, =) are included in the three profile violation log data. Therefore, when the common string is included in at least three or more profile violation log data, the pattern generator 150 generates the following pattern as a new attack pattern when it is implemented to recognize it as a new attack pattern.

신규 공격 패턴 1 : “, or, = New Attack Pattern 1: “, or, =

마찬가지로 4), 5), 6)번에서 공통적으로 나타나는 것은 CCCCCCCCCCCCCCCCCCCCCC, \ 이다. 따라서 새롭게 생성되는 공격 패턴은 다음과 같다.Similarly, CCCCCCCCCCCCCCCCCCCCCC, \ are common to 4), 5) and 6). Therefore, the newly created attack pattern is as follows.

신규 공격 패턴 2 : CCCCCCCCCCCCCCCCCCCCCC, \ New Attack Pattern 2: CCCCCCCCCCCCCCCCCCCCCC, \

여기서 콤마(,) 로 구분되는 공격 패턴은 콤파 전후 문자열에 대해 AND 조건을 의미한다. 즉 파라미터 값에 세 가지 항목에 모두 포함될 때만 공격으로 간주한다는 의미이다.Here, the attack pattern separated by a comma (,) means an AND condition for the character string before and after the comma. In other words, it is considered an attack only when all three items are included in the parameter value.

다음으로 패턴 검증부(170)는 패턴 생성부(150)에서 생성된 신규 공격 패턴을 검증한다(S550). 패턴 검증부(170)는 새로 생성된 신규 공격 패턴을 보안 전문가에게 제공하여 검증받을 수 있다. 이에 의해 새로 생성된 신규 공격 패턴이 실제로는 공격 패턴이 아닌데도 웹 보안장치(30)에 배포되어 정상적 웹 서비스 요청을 비정상적인 것으로 오탐(False Positive)하는 것을 최소화 할 수 있다. 다만 이는 오탐을 최소화하기 위한 것으로 필수적인 것은 아니다.Next, the pattern verification unit 170 verifies the new attack pattern generated by the pattern generation unit 150 (S550). The pattern verification unit 170 may provide a newly generated new attack pattern to a security expert to be verified. As a result, the newly generated new attack pattern may be distributed to the web security device 30 even if the attack pattern is not actually an attack pattern, thereby minimizing a false positive of a normal web service request as an abnormal one. However, this is to minimize false positives and is not essential.

패턴 배포부(190)는 패턴 생성부(150)에서 생성된 신규 공격 패턴을 웹 보안장치(30)에 배포하여 공격 시그니처 DB(31)에 업데이트 시킨다(S560). 이에 의해 새로운 공격 유형이 나타날 때마다 신속하게 신규 공격 패턴을 생성하여 웹 보안장 치(30)에 배포함으로써 보안성을 높일 수 있다.The pattern distributor 190 distributes the new attack pattern generated by the pattern generator 150 to the web security device 30 to update the attack signature DB 31 (S560). As a result, whenever a new attack type appears, a new attack pattern is quickly generated and distributed to the web security device 30 to increase security.

본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 지금까지 설명한 통합 보안 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 또는 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Embodiments of the invention include a computer readable medium containing program instructions for performing various computer-implemented operations. This medium records a program for executing the integrated security method described so far. The media may include, alone or in combination with the program instructions, data files, data structures, and the like. Examples of such media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CDs and DVDs, floppy disks and program commands such as magnetic-optical media, ROM, RAM, flash memory, and the like. Hardware devices configured to store and perform such operations. Alternatively, the medium may be a transmission medium such as an optical or metal wire, a waveguide, or the like including a carrier wave for transmitting a signal specifying a program command, a data structure, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 본 발명의 일 실시예에 따른 신규 공격 패턴 생성 및 배포 시스템을 설명하기 위해 제공되는 도면이다.1 is a view provided to explain a new attack pattern generation and distribution system according to an embodiment of the present invention.

도 2 는 웹 보안장치의 동작을 설명하기 위해 제공되는 도면이다.2 is a view provided to explain the operation of the web security device.

도 3은 도 2의 웹 보안장치를 보다 자세히 나타낸 도면이다.3 is a view illustrating the web security device of FIG. 2 in more detail.

도 4는 도 1의 본시스템을 보다 자세히 나타낸 블록도이다.4 is a block diagram illustrating the present system of FIG. 1 in more detail.

도 5는 본시스템의 동작을 설명하기 위해 제공되는 흐름도이다.5 is a flowchart provided to explain the operation of the present system.

Claims (9)

프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 단계;Collecting profile violation log data generated for a web service request that violates the profile rule; 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 단계; 및,Generating a new attack pattern using the collected profile violation log data; And, 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 단계; 를 포함하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법.Distributing the generated new attack pattern to a web security device; New attack pattern generation and distribution method based on the profile violation log, characterized in that it comprises a. 제 1 항에 있어서,The method of claim 1, 상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 단계; 를 더 포함하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법.Verifying whether the collected profile violation log data correspond to a simple profile violation type; New attack pattern generation and distribution method based on the profile violation log, characterized in that it further comprises. 제 2 항에 있어서,The method of claim 2, 상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법.If the collected profile violation log data corresponds to a simple profile violation type, new attack pattern generation and distribution method based on the profile violation log, characterized in that excluded from the target of generating a new attack pattern. 제 3 항에 있어서,The method of claim 3, wherein 상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우,When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형으로 판정하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 방법.And a profile violation log data corresponding to the web service request is determined to be a simple profile violation type. 제 1 항 내지 제 4 항 중 어느 한 항의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the method of any one of claims 1 to 4. 프로파일 규칙을 위반한 웹 서비스 요청에 대해 생성되는 프로파일 위반 로그 데이터를 수집하는 로그 수집부;A log collector configured to collect profile violation log data generated for the web service request in violation of the profile rule; 상기 수집된 프로파일 위반 로그 데이터를 이용하여 신규 공격 패턴을 생성하는 패턴 생성부;A pattern generator configured to generate a new attack pattern using the collected profile violation log data; 상기 생성된 신규 공격 패턴을 웹 보안장치로 배포하는 패턴 배포부; 를 포함하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템.A pattern distribution unit distributing the generated new attack pattern to a web security device; New attack pattern generation and distribution system based on the profile violation log, characterized in that it comprises a. 제 6 항에 있어서,The method of claim 6, 상기 수집된 프로파일 위반 로그 데이터에 대해서 단순 프로파일 위반 유형에 해당하는지 여부를 검증하는 로그 분석부; 를 더 포함하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템.A log analyzer to verify whether the collected profile violation log data corresponds to a simple profile violation type; New attack pattern generation and distribution system based on the profile violation log, characterized in that it further comprises. 제 7 항에 있어서,The method of claim 7, wherein 상기 로그 분석부는,The log analysis unit, 상기 수집된 프로파일 위반 로그 데이터가 단순 프로파일 위반 유형에 해당하는 경우, 신규 공격 패턴 생성 대상에서 제외하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템.If the collected profile violation log data corresponds to a simple profile violation type, new attack pattern generation and distribution system based on the profile violation log, characterized in that excluded from the target of generating a new attack pattern. 제 8 항에 있어서,The method of claim 8, 상기 웹 서비스 요청에 필수 입력 파라미터가 존재하지 않은 경우, 입력 파라미터 값이 구분자가 없는 단일값인 경우 및 입력 파라미터 값이 구분자가 있더라도 특수 코드가 포함되어 있지 않은 경우 중 적어도 하나에 해당하는 경우,When the required input parameter does not exist in the web service request, when the input parameter value corresponds to at least one of a single value without a delimiter and the input parameter value does not include a special code even though there is a delimiter, 상기 웹 서비스 요청에 대응하는 프로파일 위반 로그 데이터는 단순 프로파일 위반 유형으로 판정하는 것을 특징으로 하는 프로파일 위반 로그에 기반한 신규 공격 패턴 생성 및 배포 시스템.And a profile violation log data corresponding to the web service request is determined as a simple profile violation type.
KR1020070137909A 2007-12-26 2007-12-26 New attack pattern creating and distributing system based on profile violation log and method thereof KR20090070040A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070137909A KR20090070040A (en) 2007-12-26 2007-12-26 New attack pattern creating and distributing system based on profile violation log and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070137909A KR20090070040A (en) 2007-12-26 2007-12-26 New attack pattern creating and distributing system based on profile violation log and method thereof

Publications (1)

Publication Number Publication Date
KR20090070040A true KR20090070040A (en) 2009-07-01

Family

ID=41321624

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070137909A KR20090070040A (en) 2007-12-26 2007-12-26 New attack pattern creating and distributing system based on profile violation log and method thereof

Country Status (1)

Country Link
KR (1) KR20090070040A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107995145A (en) * 2016-10-26 2018-05-04 中国移动通信有限公司研究院 A kind of attack mode excavation method and device towards WAF daily records

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107995145A (en) * 2016-10-26 2018-05-04 中国移动通信有限公司研究院 A kind of attack mode excavation method and device towards WAF daily records

Similar Documents

Publication Publication Date Title
US11212305B2 (en) Web application security methods and systems
US9923919B2 (en) Safe intelligent content modification
US9516051B1 (en) Detecting web exploit kits by tree-based structural similarity search
Ning et al. Learning attack strategies from intrusion alerts
Kholidy et al. CIDD: A cloud intrusion detection dataset for cloud computing and masquerade attacks
Hamed et al. A survey and taxonomy of classifiers of intrusion detection systems
US10917422B2 (en) Digital auditing system and method for detecting unauthorized activities on websites
CN110062380A (en) A kind of connected reference request safety detection method of mobile application system
Vigna et al. Reducing errors in the anomaly-based detection of web-based attacks through the combined analysis of web requests and SQL queries
Hu et al. Attack scenario reconstruction approach using attack graph and alert data mining
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
KR20140035146A (en) Apparatus and method for information security
Nagpal et al. SECSIX: security engine for CSRF, SQL injection and XSS attacks
Jain et al. Detection of phishing attacks in financial and e-banking websites using link and visual similarity relation
Kim et al. Fast attack detection system using log analysis and attack tree generation
Ben Jaballah et al. A grey-box approach for detecting malicious user interactions in web applications
CN107231364A (en) A kind of website vulnerability detection method and device, computer installation and storage medium
Falana et al. Detection of cross-site scripting attacks using dynamic analysis and fuzzy inference system
Hashemi et al. Detecting intrusion transactions in databases using data item dependencies and anomaly analysis
Lu et al. Network threat detection based on correlation analysis of multi-platform multi-source alert data
KR100937020B1 (en) Integration security system and method by tracking web-database attack detection log data
KR20090070040A (en) New attack pattern creating and distributing system based on profile violation log and method thereof
Gadgikar Preventing SQL injection attacks using negative tainting approach
Katano et al. Prediction of infected devices using the quantification theory type 3 based on mitre att&ck technique
Rencelj Ling et al. Estimating Time-To-Compromise for Industrial Control System Attack Techniques Through Vulnerability Data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application