KR20100041471A - 악성 웹 서버 시스템의 접속탐지 장치 및 방법 - Google Patents

악성 웹 서버 시스템의 접속탐지 장치 및 방법 Download PDF

Info

Publication number
KR20100041471A
KR20100041471A KR1020080100676A KR20080100676A KR20100041471A KR 20100041471 A KR20100041471 A KR 20100041471A KR 1020080100676 A KR1020080100676 A KR 1020080100676A KR 20080100676 A KR20080100676 A KR 20080100676A KR 20100041471 A KR20100041471 A KR 20100041471A
Authority
KR
South Korea
Prior art keywords
network
systems
information
connection
web server
Prior art date
Application number
KR1020080100676A
Other languages
English (en)
Other versions
KR100977827B1 (ko
Inventor
오형근
이도훈
김태균
장인숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080100676A priority Critical patent/KR100977827B1/ko
Publication of KR20100041471A publication Critical patent/KR20100041471A/ko
Application granted granted Critical
Publication of KR100977827B1 publication Critical patent/KR100977827B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1278Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
    • G06F3/1285Remote printer device, e.g. being remote from client or server
    • G06F3/1286Remote printer device, e.g. being remote from client or server via local network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30036Instructions to perform operations on packed data, e.g. vector, tile or matrix operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법을 제공하기 위한 것이다.
이를 위해 본 발명은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.
패킷 데이터, 접속 망, 도메인, 악성 웹 서버 시스템

Description

악성 웹 서버 시스템의 접속탐지 장치 및 방법{APPARATUS AND METHOD DETECTING CONNECTION MAILCIOUS WEB SERVER SYSTEM}
본 발명은 정보보호 기술 분야 중 악성 코드에 관한 것으로, 특히 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것으로서, 구체적으로는 네트워크 주소 정보에 기반하여 악성 웹 서버 시스템 접속을 탐지하는 장치 및 방법에 관한 것이다.
최근 네트워크의 확산 및 인터넷의 급격한 발달로 인해 사용자의 접속 시스템이 네트워크를 통해 악성 웹 서버 시스템에 접속되어 악성 코드 감염, 불법 자료 유출 등의 피해가 급증하고 있다.
이러한 악성 코드들은 외부로부터 인터넷 등과 같은 네트워크를 통해 사용자 컴퓨터로 유입되며 사용자 컴퓨터가 감염된 이후에는 다시 네트워크를 이용해서 다른 사용자에게 유포됨으로써 그 피해가 확산되게 된다.
이러한 피해를 방지하기 위해 종래에는 코드 분석에 기반한 탐지 기술이 사 용되었으나, 이러한 방법은 새로운 악성 코드의 탐지에 한계를 가져와서 최근에는 알려지지 않은 악성 코드를 탐지하기 위한 다양한 방법들이 연구 및 제안되고 있다.
알려지지 않은 악성 코드 탐지 방법은 시스템의 무결성을 검사하여 시스템에서 생성, 삭제, 변화하는 파일을 비교함으로써 새로운 악성 코드의 시스템 내 설치를 감시하는 무결성 검사 방법, 사전에 정의된 악성 행위를 기반으로 모든 코드들의 시스템 내 행위를 모니터링 하다가 특정 악성 행위를 수행할 경우 이를 탐지하는 실행코드행위 감시 방법, 코드 행위 모니터링 기법을 개선하여 1990년대 말부터 IDS 등에 적용되고 있는 분야인 악성코드 행위 예측 기술 등이 알려지지 않은 악성코드 탐지를 위한 새로운 연구 분야로 활발히 연구되고 있다. 그러나 상기와 같은 기술들은 무결성 정보 파일의 내용을 완전히 신뢰할 수 없으며, 모니터링 해야 하는 코드 행위가 굉장히 많다는 단점이 있다. 또한 상기와 같은 기술들은 일련의 행위 관련 이벤트들을 필터링하고 하나의 의미 있는 행위로 구성하는 것이 어려우며 정책을 설정하기 어렵다는 단점을 가지고 있다. 또한 행위 예측 기술은 데이터 마이닝 같은 알고리즘에 입력하기 위한 데이터의 종류와 해당 데이터의 특성에 맞는 알고리즘을 매핑하는 것이 어렵고 이러한 과정에서 오탐을 발생시킬 수 있는 구성 오류가 발생할 수 있어 연구는 활발히 이루어지고 있으나 아직은 상용 제품에 적용하기 어려운 기술로 알려져 있다.
이와 같이 악성 코드로 인한 피해를 극복하기 위해 악성 코드의 유입 및 확산 경로인 이메일, 인터넷 등에 대한 필터링 방법을 사용하고 있지만 아직 효과적 인 차단 방법이 개발되지 못한 실정이다. 따라서 악성 코드의 감염 및 확산을 효과적으로 차단함으로써 악성 코드 감염, 불법 자료 유출 등에 의한 피해 막기 위한 새로운 방안의 개발이 필요하다.
본 발명은 네트워크 주소 정보를 기반으로 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것이다.
이를 위해 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 장치는 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.
또한 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 방법은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집하고, 상기 수집된 패킷 데이터를 가공하여 네트워크를 통해 연결되는 시스템들에 대한 IP 정보 및 네트워크 부가정보를 산출하는 단계와, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들간의 네트워크 연결 특성정보를 추출하는 단계와, 상기 추출된 네트워크 연결 특성정보를 기반으로 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.
본 발명은 네트워크 정보만을 이용하여 악성 웹 서버 시스템을 통한 원격제어 기능의 악성 코드 연결을 탐지하는 악성 웹 서버 시스템의 접속 탐지 장치 및 방법에 관한 것으로 신규 원격제어 기능의 악성 코드 연결뿐만 아니라 새로운 비정상적인 네트워크 연결을 탐지할 수 있는 이점이 있다.
또한, 해당 연결에 대한 단순 정보 제공뿐만 아니라 네트워크 정보에 기반한 의미 분석을 통해 다양한 형태의 네트워크 접속을 분석할 수 있어 피싱 탐지에 이용할 수 있으며, 네트워크 접속을 통한 각종 사이버 공격에 대응하는데 활용할 수 있는 이점이 있다.
이하 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성 요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도이다.
사용자 접속 시스템(100) 및 접속 대상 웹 서버 시스템(110)은 네트워크를 통해 상호 연결되며 데이터를 송수신한다.
악성 웹 서버 시스템(120)은 접속 시스템(100)에 원격제어기능의 악성 코드를 전송하기 위하여, 접속 시스템(100)과 연결된 웹 서버 시스템(110)을 해킹하고, 웹 서버 시스템(110)을 통해 접속 시스템(100)으로 리다이렉션 파일을 송신한다.
접속 시스템(100)은 수신된 리다이렉션 파일에 따라 웹 서버 시스템(110)이 아닌 악성 웹 서버 시스템(120)에 접속되고, 악성 웹 서버 시스템(120)은 접속 시스템(100)에 악성 코드를 유포하거나 접속 시스템을 원격제어 하는 등의 악성 행위를 수행한다.
도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도이고,
도 3은 본 발명의 일실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도이다.
도 2 및 3을 참조하면, 악성 웹 서버 시스템 접속 탐지 장치는 네트워크 패킷 데이터 수집 모듈(210), 네트워크 연결 특성 추출모듈(220), 네트워크 연결 적절성 판단모듈(230), 네트워크 접속 결정모듈(240) 및 네트워크 주소정보 데이터베이스(250)를 포함한다.
먼저, 네트워크 패킷 데이터 수집 모듈(210)은 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 주고받는 패킷을 수집하고, 수집한 패킷의 데이터를 가공 처리하여 접속 시스템 및 웹 서버 시스템의 IP를 기반으로 네트워크 부가 정보를 산출한다. 이때 네트워크 부가정보는 접속 시스템 및 웹 서버 시스템 각각의 IP 세션 중복 개수, 송수신 포트 넘버, 프로토콜, 송수신 패킷 사이즈, 송수신 자율시스템(AS:Autonomous System)이름, 송수신 자율시스템 번호(ASN:Autonomous System Nember) 및 송수신 IP에 대한 앤에스룩업(nslookup) 정보 중 적어도 하나를 포함한다.
네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 IP 주소 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 산출하는 기능을 수행한다.
네트워크 연결특성 추출모듈(220)에서 네트워크 연결 특성정보를 산출하는 기능을 자세히 설명하면, 네트워크 연결특성 추출모듈(220)은 네트워크 패킷 데이터 모듈(200)에서 산출한 IP 정보 및 네트워크 부가정보를 이용하여 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 정보를 포함하는 네트워크 연결특성 정보를 추출한다. 일 실시 예로 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 지역 분석 및 접속 시스템 및 웹 서버 시스템의 도메인 유형을 분석하고, 기본 국가별 해킹 공격별/피해별 통계 자료에 기반하여 접속 대상 지역의 접속 위험 등급을 산출한다. 이때 분석된 1차 도메인 중 국가 도메인에 대해서도 해당 국가 도메인이 도메인 확보가 개방되어 있는지 또는 제한되어 있는지 등을 고려하여 제한형 국가 도메인 및 개방형 국가 도메인으로 분류하고 이를 접속 대상 지역의 접속 위험 등급 산출시 반영한다.
또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 망 정보를 추출한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 망 식별 번호 또는 자율시스템 번호(ASN: Autonomous System Nember)를 이용하여 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 소유 기관에 대한 정보를 추출한다. 이러한 정보들은 망 식별 번호를 중심으로 자율 시스템(AS:Autonomous System)이름과 해당 네트워크 사이즈, 프리픽스 길이(prefix size), 해당 망의 소유 기간의 국가 지역 정보, AS 클래스 정보들을 포함한다.
또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 도메인을 분석한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 도메인 정보를 수집하고, 이를 기반으로 사전에 네트워크 주소정보 데이터베이스(230)에 분류되어 저장되어 있는 도메인 등급에 따라 접속 시스템 및 웹 서버 시스템 도메인의 분류를 시도한다. 이때 네트워크 연결 특성 추출 모듈(220)은 1차 도메인, 2차 도메인 별로 분류를 시도하며, 최상위 도메인을 대상으로 접속 도메인 간의 성격 및 특성 등을 식별하기 위해 국가 도메인, 일반 도메인으로 구분한다. 또한 국가 도메인을 다시 제한형 국가 도메인, 개방형-재할당 가능형, 개방형-재할당 불가능형 도메인으로 구분하고 일반 도메인을 제한형 일반 도메인, 개방형 일반 도메인으로 분류함으로써 해커들에 의해 많이 사용되고 있는 개방형 국가 도메인들을 식별한다. 또한 도메인간 연결 빈도를 분석하여 접속 시스템간 상태를 분류한다.
네트워크 연결특성 추출모듈(220)은 위와 같이 해당 도메인을 1차 도메인, 2차 도메인 별로 분류하고 이를 다시 해당 도메인의 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보유 여부 등의 정보를 추가 수집하여 네트워크 주소정보 데이터베이스(250)에 저장한다.
네트워크 연결 적절성 판단모듈(230)은 네트워크 연결특성 추출모듈(220)에서 수집 및 분류한 접속 시스템 및 웹 서버 시스템의 정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 적절성을 판단하는 기능을 수행한다.
도 3을 참조하여 네트워크 연결 적절성 판단모듈(230)에 대해 자세히 설명하면, 네트워크 연결 적절성 판단모듈(230)은 시스템기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미 분석 모듈(233)을 포함한다.
시스템기관 분류모듈(231)은 네트워크 연결특성 추출모듈(220)에서 입력되는 도메인 네임 정보 및 망 식별 정보들로부터 접속 시스템 및 웹 서버 시스템에 대한 기관 성격을 파악한다. 이때 접속 시스템 및 웹 서버 시스템에 대한 기관 성격은 해당 기관이 정부 공공기관 소속 네트워크 회선을 사용하는지의 여부, 해당 망 식별 번호가 네트워크 서비스 사업자일 경우 네트워크 서비스 사업자의 네트워크 회선 보유 규모(T1/T2급), 재할당 가능한 도메인의 사용 여부, .gov, .int, .edu, .mil 등과 같은 도메인처럼 도메인 신청 제약이 있는지의 여부, 해당 접속 시스템들의 국가 코드, 도메인 사용 여부에 따른 시스템 서버/ 클라이언트 구분, 기본 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 기존 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 후이즈(Whois)정보를 이용한 상세 해당 IP보유 기관 정보 등을 포함하며 이를 통해 접속 시스템 및 웹 서버 시스템의 소속 지역간 연결 특성 및 기관 성격을 파악한다.
시스템연결 유형 분류모듈(232)은 시스템 기관 분류 모듈(231)에서 분류된 접속 시스템 및 웹 서버 시스템의 상세 정보를 이용하여 접속 시스템의 주소 정보를 분류하고, 분류된 주소 정보를 기반으로 관련 부가 정보들을 추가 수집한다.
그리고 시스템연결 유형 분류모듈(232)은 수집된 부가정보를 기반으로 접속 시스템들이 포함하는 논리적 네트워크 집단을 분류하고 이러한 논리적 네트워크 집단 간의 연결 유형을 판단한다. 그리고 접속 시스템 및 웹 서버 시스템의 네트워크 연결 유형을 분류한다.
즉, 서버-서버, 서버-클라이언트, 클라이언트-서버, 클라이언트-클라이언트 접속 형태인지, 웹 서버 시스템이 비신뢰 도메인 혹은 공격 빈도가 높은 국가에 속한 도메인에의 접속인지, 도메인 리다이렉션 서비스에 의해 생성된 임시 도메인의 접속인지 등에 대한 유형을 분류한다.
시스템연결 유형 의미 분석모듈(233)은 시스템 기관 분류 모듈(231) 및 시스템 연결 유형 분류 모듈(232)에서 분류한 접속 시스템 및 웹 서버 시스템들의 정보들을 이용하여 상호 접속하고 있는 접속 시스템 및 웹 서버 시스템간의 네트워크 연결 유형에 대한 의미를 분석한다. 일 실시 예로 시스템연결 유형 의미 분석 모듈(233)은 상호 네트워크상에 연결되어 있는 접속 시스템 및 웹 서버 시스템들이 같은 국가에 소속되어 있으면서, 망 식별 번호가 같고, 도메인도 같으며, 서버-클라이언트 혹은 클라이언트-서버 접속 형태일 경우 접속 시스템 및 웹 서버 시스템들은 같은 논리적인 조직 내에 속한 시스템들 간의 연결로 판단할 수 있으며 원격제어코드에 의한 접속과 구분된다고 할 수 있다.
네트워크 연결 적절성 판단모듈(230)은 시스템 기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미분석모듈(233)에서 분석된 접속 시스템 및 웹 서버 시스템의 연결 유형을 바탕으로 최종적인 해당 네트워크 연결에 대한 적절성을 판단한다. 즉 같은 논리적 조직 내에 속한 시스템들 간의 접속이라 하더라도 더욱 구체적으로 해당 시스템들을 분류하고 특정 IP 대역의 시스템들만 특정 서버 시스템에 접속하도록 하거나 아니면 같은 조직 내 시스템들간의 접속을 허용할지 여부 등을 결정하여 반영하도록 한다.
네트워크 접속 결정 모듈(240)은 네트워크 연결 적절성 판단모듈(230)의 접속 허용 유무 결과에 따라 접속 시스템 및 웹 서버 시스템 연결의 실제 접속 여부를 제어하는 기능을 수행한다. 또한 네트워크 접속 결정 모듈(240)은 접속 시스템 및 웹 서버 시스템 연결의 상세 정보, 연결 유형, 접속 대상 기관 정보 및 연결의미 등을 사용자에게 제공한다.
네트워크 주소정보 데이터베이스(250)는 네트워크 연결특성 추출모듈(220)에서 추출된 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보를 저장한다. 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보는 접속 시스템 및 웹 서버 시스템의 프로토콜(Protocol), 게이트웨이(Gateway), IP주소(Address), 프록시 주소(Proxy address), 포트(Port), 도메인 정보, POP3(Post Office Protocol) 및 SMTP(Simple Mail Transfer Protocol) 서버주소와 같은 네트워크 연결 정보를 적어도 하나 포함하며, 접속 시스템 및 웹 서버 시스템의 도메인에 대한 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보 유 여부의 정보도 포함될 수 있다.
도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도이다.
도 4를 참조하면, 접속 시스템 및 웹 서버 시스템이 상호 연결되어 데이터를 송수신하는 중에 접속 시스템으로부터 웹 서버 시스템이 악성 웹 서버 시스템인지의 여부를 판단하기 위한 기능이 실행되면, 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템 사이에 송수신되는 패킷 데이터를 수집한다(410).
그리고 악성 웹 서버 시스템 접속 탐지 장치는 수집된 패킷의 데이터를 가공하여, 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보를 산출한다(420).
420단계에서 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보가 산출되었으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 IP 정보 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 수집 및 분류한다(430). 여기서 악성 웹 서버 시스템 접속 탐지 장치에서 수집 및 분류하는 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보는 접속 지역, 접속 망, 접속 도메인 네임 정보 중 적어도 하나를 포함한다.
악성 웹 서버 시스템 접속 탐지 장치는 430단계에서 수집된 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 네임 정보를 이용하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단한다(440). 이하 도 5를 참조하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단하는 과정을 자세히 설명하기로 한다.
440단계에서 악성 웹 서버 시스템 접속 탐지 장치의 판단하에 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부가 결정되면, 악성 웹 서버 시스템 접속 탐지 장치는 이에 대한 상세 정보를 사용자에게 제공하고, 접속 시스템 및 웹 서버 시스템간의 접속을 허용 혹은 차단한다(450).
도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도이다.
도 5를 참조하면, 사용자의 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 상호 연결되면, 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 지역 정보로서 국가 코드를 검사하고, 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일한지 판단한다(510). 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템 접속 탐지 장치는 송수신 시스템 즉 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).
만약 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하지 않으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 1차 도메인 유형을 분석한다(511). 그리고 분석된 1차 도메인 유형을 통해 기존 공격/피해 도메인간 통계 분석 자료 및 사용자 접속 지역 패턴들을 이용하여 접속 시 스템 및 웹 서버 시스템들 간의 네트워크 연결 유형을 판단한다(512).
510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).
520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일할 경우 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530).
만약 520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호의 유형을 분류한다(521). 이때 망 식별 번호의 유형을 분류하기 위한 정보는 도 4의 430단계에서 송수신 시스템정보모듈을 통해 수집된 접속 시스템 및 웹 서버 시스템의 망 정보를 기반으로 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 간의 연결 형태를 분석한다. 즉 망 식별 번호의 클래스 정보들 간의 연결 형태 및 기존 해킹 사고 사례시 발생하는 주요 형태들을 비교하거나 송수신 시스템들의 사용 망 형태 등을 고려하여 유형을 분류한다.
그리고 악성 웹 서버 시스템 접속 탐지 장치는 이러한 정보를 바탕으로 상기 단계들에서 수행한 결과들의 일련의 연속된 패턴을 종합적으로 분석한 후 접속 시스템 및 웹 서버 시스템 연결의 의미를 분석하게 된다(522).
520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일 할 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530)
530단계에서 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 웹 서버 시스템에 도메인 네임이 존재하는지 확인하고 이를 분류한다(531). 이러한 분류는 웹 서버 시스템의 도메인이 이전에 공격 도메인 등에 이용되었었는지, 웹 서버 시스템의 도메인을 가지고 있는 지역이 공격 지역으로 분류되었는지, 도메인 자체가 도메인 리디렉턴스 서비스 등에 의해 임시 생성된 도메인인지 네임 서버와 같은 도메인 안에 위치하는지 등의 정보를 이용해서 구분한다.
530단계에서 웹 서버 시스템의 도메인 분류가 종료되면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템의 도메인 네임이 존재하는지 확인하고 이를 분류한다(532). 접속 시스템의 도메인 분류과정은 531단계의 웹 서버 시스템의 도메인 분류 과정과 동일하다.
이후 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인간 연결 유형의 의미를 분석한다(533).
그리고 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 일련의 연속된 패턴 정보들에 대한 의미를 분석하고 이를 통해 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부를 결정한다(540).
이와 같은 과정을 통해 악성 웹 서버 시스템 접속 탐지 장치는 사용자의 접속 시스템이 악성 웹 사이트에 연결되어 악성 코드 감염, 확산 및 해커에 의한 사용자 컴퓨터의 원격제어 등과 같은 피해를 예방할 수 있다.
상술한 본 발명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형을 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것들에 의해 정해져야 한다.
도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도,
도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도,
도 3은 본 발명의 일 실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도,
도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도,
도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도.

Claims (12)

  1. 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과,
    상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과,
    상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과,
    상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  2. 제1 항에 있어서,
    상기 네트워크 연결특성 추출모듈에서 추출된 상기 시스템들의 네트워크 연결 특성 정보를 저장하는 네트워크 주소정보 데이터베이스를 더 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  3. 제1 항에 있어서, 상기 네트워크 연결특성 추출모듈은,
    상기 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들의 접속 지역 분석, 접속 망 분석 및 도메인 분석을 통해 네트워크 연결 특성 정보를 수집 및 분류하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  4. 제1 항에 있어서, 상기 네트워크 연결 적절성 판단모듈은,
    상기 시스템들에 대한 기관 성격을 분류하는 시스템 기관 분류 모듈과,
    상기 시스템들에 대한 네트워크 접속 유형을 분석하기 위한 시스템 연결 유형 분류 모듈과,
    상기 시스템들의 기관 및 네트워크 접속 유형 정보를 기반으로 네트워크 접속 유형에 대한 의미를 분석하기 위한 시스템 연결 유형 의미 분석 모듈을 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  5. 제1 항에 있어서,
    상기 네트워크 부가정보는 상기 시스템들의 IP 정보를 기반으로 한 각각의 IP별 세션 중복 개수, 상기 시스템들 각각의 포트 넘버, 프로토콜, 패킷 사이즈 정보, 자율 시스템(AS:Autonomous System)이름, 자율 시스템 번호(ASN:Autonomous System Nember), 엔에스룩업(nslookup)정보 중 적어도 하나를 포함하는 것을 특징 으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  6. 제1 항에 있어서,
    상기 네트워크 연결 특성정보는 상기 시스템들이 위치하고 있는 지역, 사용 망 식별 번호 구분, 망 식별 이름, 망 식별 번호 클래스, 도메인 정보, 도메인 유형에 대한 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
  7. 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집하고, 상기 수집된 패킷 데이터를 가공하여 상기 시스템들에 대한 IP 정보 및 네트워크 부가정보를 산출하는 단계와,
    상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들간의 네트워크 연결 특성정보를 추출하는 단계와,
    상기 추출된 네트워크 연결 특성정보를 기반으로 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.
  8. 제7 항에 있어서,
    상기 시스템들 간의 연결 허용 또는 차단 여부에 따라 상기 시스템들 간의 연결을 허용 또는 차단하고, 상기 시스템들의 연결 정보를 표시하는 단계를 더 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.
  9. 제7 항에 있어서, 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 단계는,
    상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 도메인 유형을 분석하고 상기 시스템들 각각의 접속 지역을 분석하는 단계와,
    상기 시스템들 각각의 망 식별 번호를 이용하여 상기 시스템들이 사용하는 망 소유 기관에 대한 정보를 분석하는 단계와,
    상기 시스템들 각각의 도메인 유형을 이용하여 도메인 네임 정보를 분석하는 단계를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.
  10. 제7 항에 있어서, 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계는,
    상기 시스템들에 대한 도메인 네임 정보 및 망 정보를 기반으로 상기 시스템들의 기관을 분류하는 단계와,
    상기 시스템들의 네트워크 접속 유형을 분류하는 단계와,
    상기 시스템들의 기관 및 네트워크 접속 유형 정보를 기반으로 상기 시스템들 간의 연결 유형 의미를 분석하는 단계를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.
  11. 제7 항에 있어서,
    상기 네트워크 부가정보는 상기 IP 정보를 기반으로 한 각각의 IP별 세션 중복 개수, 상기 송수신 시스템 각각의 포트 넘버, 프로토콜, 패킷 사이즈 정보, 자율 시스템(AS:Autonomous System)이름, 자율 시스템 번호(ASN:Autonomous System Nember), 엔에스룩업(nslookup) 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.
  12. 제7 항에 있어서,
    상기 네트워크 연결 특성정보는 상기 시스템들이 위치하고 있는 지역, 사용 망 식별 번호 구분, 망 식별 이름, 망 식별 번호 클래스, 도메인 정보, 도메인 유형 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.
KR1020080100676A 2008-10-14 2008-10-14 악성 웹 서버 시스템의 접속탐지 장치 및 방법 KR100977827B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080100676A KR100977827B1 (ko) 2008-10-14 2008-10-14 악성 웹 서버 시스템의 접속탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080100676A KR100977827B1 (ko) 2008-10-14 2008-10-14 악성 웹 서버 시스템의 접속탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20100041471A true KR20100041471A (ko) 2010-04-22
KR100977827B1 KR100977827B1 (ko) 2010-08-25

Family

ID=42217199

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100676A KR100977827B1 (ko) 2008-10-14 2008-10-14 악성 웹 서버 시스템의 접속탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100977827B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013048125A2 (ko) * 2011-09-30 2013-04-04 고려대학교 산학협력단 우회 접속 및 계정 도용을 탐지하는 장치 및 방법
KR101345740B1 (ko) * 2012-02-22 2013-12-30 박원형 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템
KR101483789B1 (ko) * 2012-09-05 2015-01-19 한국과학기술원 네트워크 특성 분석방법 및 이를 위한 저장매체와 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013048125A2 (ko) * 2011-09-30 2013-04-04 고려대학교 산학협력단 우회 접속 및 계정 도용을 탐지하는 장치 및 방법
WO2013048125A3 (ko) * 2011-09-30 2013-05-23 고려대학교 산학협력단 우회 접속 및 계정 도용을 탐지하는 장치 및 방법
US9729550B2 (en) 2011-09-30 2017-08-08 Korea University Research And Business Foundation Device and method for detecting bypass access and account theft
KR101345740B1 (ko) * 2012-02-22 2013-12-30 박원형 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템
KR101483789B1 (ko) * 2012-09-05 2015-01-19 한국과학기술원 네트워크 특성 분석방법 및 이를 위한 저장매체와 장치

Also Published As

Publication number Publication date
KR100977827B1 (ko) 2010-08-25

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
CN111786966A (zh) 浏览网页的方法和装置
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
US20140344931A1 (en) Systems and methods for extracting cryptographic keys from malware
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN104486320A (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
KR20200109875A (ko) 유해 ip 판단 방법
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
CN112422486B (zh) 一种基于sdk的安全防护方法及设备
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts
KR101712462B1 (ko) Ip 위험군 탐지 시스템
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP3986871B2 (ja) アンチプロファイリング装置およびアンチプロファイリングプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150703

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180816

Year of fee payment: 9