KR20190048606A - 실시간 웹공격 탐지방법 - Google Patents

실시간 웹공격 탐지방법 Download PDF

Info

Publication number
KR20190048606A
KR20190048606A KR1020170143703A KR20170143703A KR20190048606A KR 20190048606 A KR20190048606 A KR 20190048606A KR 1020170143703 A KR1020170143703 A KR 1020170143703A KR 20170143703 A KR20170143703 A KR 20170143703A KR 20190048606 A KR20190048606 A KR 20190048606A
Authority
KR
South Korea
Prior art keywords
unit
source code
web page
code
integrity verification
Prior art date
Application number
KR1020170143703A
Other languages
English (en)
Other versions
KR102092411B1 (ko
Inventor
박휘랑
조영호
Original Assignee
대한민국(국방부 공군참모총장)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 대한민국(국방부 공군참모총장) filed Critical 대한민국(국방부 공군참모총장)
Priority to KR1020170143703A priority Critical patent/KR102092411B1/ko
Publication of KR20190048606A publication Critical patent/KR20190048606A/ko
Application granted granted Critical
Publication of KR102092411B1 publication Critical patent/KR102092411B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.
본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.

Description

실시간 웹공격 탐지방법 {Realtime Web Attack Detection Method}
본 발명은 실시간으로 웹공격을 탐지하는 방법에 관한 발명이다. 더욱 자세하게는 소정의 시간간격을 두고 웹페이지를 다운받아 다운받은 데이터 값을 비교하여 웹페이지의 변조여부를 탐지하는 방법에 관한 발명이다.
이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
웹 페이지의 변조는 사용자에게 원본과 다른 내용을 보이도록 할 수 있다. 즉, 이미지나 플래시 파일과 같은 콘텐츠의 HTML 삽입 코드를 변경함으로써 사용자에게 보이는 콘텐츠를 전혀 다른 내용으로 교체하거나 추가 또는 삭제하는 방법 또는 사용자에게 주기적으로 특정 스펨 메시지 또는 광고를 보여주거나 인터넷 검색 결과에 나타난 하이퍼링크들은 변경하는 결과를 초래할 수 있다. 하이퍼링크의 변형으로 사용자를 피싱사이트로 유도할 경우 웹 페이지 변조는 또다른 문제를 낳을 수 있다. 이어지는 공격으로는 웹 페이지에 입력 폼 구문을 수정하는 악의적인 코드들을 심어 사용자가 입력한 정보를 가로채는 것이 있을 수 있다.
또한 웹페이지 변조를 통해 저장된 데이터를 탈취, 네트워크의 패킷을 도청하는 스니핑, 권한을 도용하여 패킷을 가로채는 스푸핑등이 문제가 되고 있다. 웹페이지에 대한 중요성이 날로 커지고 있어 이러한 웹공격에 대한 방어 역시 중요해지고 있다.
종래의 웹변조 프로그램은 웹 서버마다 변조 탐지 프로그램을 설치해야 하므로, 시스템이 복잡해지는 문제가 있다. 또한, 웹 변조 탐지프로그램을 직접 공격하여 해킹할 경우 위변조 여부를 탐지할 수 없다. 현재 웹변조 악성코드 중 알려진 형태는 미리 저장된 코드내용과 변조내용을 비교하여 탐지가 가능하나, 알려지지 않은 악성코드를 통한 공격인 소위 제로데이 공격은 탐지하기 어려운 문제점이 있다.
따라서 본 발명은 이러한 문제점을 해결하고자 웹공격으로부터 안전하며, 알려지지 않은 형태의 웹변조 행위를 실시간으로 탐지, 경보하여 웹페이지 관제인력이 적시에 대응할 수 있도록 하는 방법을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 실시간 웹공격 탐지 시스템은, 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부; 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부; 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부; 소스코드 중 무결성 검증부를 통과한 제1소스코드와 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템일 수 있다.
또한, 무결성 검증부는, 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템일 수 있다.
본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 무결성 검증부는, 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 것일 수 있다.
본 발명의 또 다른 일 실시예에 의한 실시간 웹공격 탐지 시스템에서, 소스코드는 CRC 부호를 포함하고, 무결성 검증부는, CRC 부호의 검증을 수행하기 위해 동일한 CRC 부호를 생성하고, 생성된 CRC 부호와 CRC 부호를 포함한 소스코드를 비교하는 것일 수 있다.
또한, 정탐정보와 오탐정보를 저장하는 탐지정보 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 탐지정보 저장부는, 변조 판단부로부터 결과데이터를 전송받아 정탐정보와 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및
웹페이지 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 변경 표시부는, 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 변경 표시부는, 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템일 수 있다.
또한, 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및 측정된 지연시간을 표시하는 지연시간 표시부를 더 포함하는 실시간 웹공격 탐지 시스템일 수 있다.
본 발명의 일실시예에 따르면, 웹변조 공격을 자동으로 탐지하고 소스코드의 변조부분을 관리자에게 알려 조치를 취할 수 있도록 한다. 또한 웹 접속지연시간을 자동으로 확인하여 디도스 공격에 대한 탐지와 대응이 가능하도록 한다.
도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.
도 2는 본 발명에 따른 일실시예로, Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 토대로 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함” 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부”, “…기” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명에 따른 일실시예로, 웹공격 탐지 시스템의 동작을 나타내는 블록도이다.
도 2는 본 발명에 따른 일실시예로, 추출부(400)에서 Ratcliff의 pattern-matching 알고리즘을 통해 웹 페이지의 라인을 비교하는 것을 나타낸 개념도이다.
본 발명에 따른 실시간 웹공격 탐지 시스템의 일 실시예는, 등록부(100), 수신부(200), 무결성 검증부(300), 추출부(400), 탐지정보 저장부(500), 변조 판단부(600), 변경코드 저장부(710), 로그 저장부(720), 변경코드 표시부(810), 로그 표시부(820), 지연시간 측정부, 지연시간 표시부 및 전원부를 포함할 수 있다.
등록부(100)는 모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록할 수 있다. 등록된 관리대상 웹페이지에 대하여 웹변조와 지연시간을 모니터링 할 수 있다. 관리대상 웹페이지는 등록부(100)에서 추가, 삭제 또는 그 밖의 관리들을 할 수 있다.
수신부(200)는 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신할 수 있다. 관리자는 도 1과 같이 수신간격 x를 임의로 지정할 수 있다. 수신간격을 x라고 하면, 수신부(200)는 t 시점과 t+x 시점의 소스코드를 연속적으로 다운받는다. 수신간격을 1분 이내의 짧은 간격으로 설정하면 공격에 대한 신속한 탐지능력을 가질 수 있다.
무결성 검증부(300)는 수신된 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지한다. 도 1과 같이, 수신부(200)에서 다운받은 소스코드(t)와 소스코드(t+x)를 비교 할 수 있다. 무결성 검증부(300)의 일 실시예로는, 소스코드 간 길이를 비교하여 무결성을 검증하는 것이 있을 수 있다. 소스코드에 악성코드를 삽입하는 등의 변조가 일어나면 소스코드의 길이가 변하는 점을 이용한 것이다. 소스코드 길이비교를 통한 무결성 검증은 다른 무결성 검증 방법보다 간편하고 빠를 수 있다.
무결성 검증부(300)의 또 다른 일 실시예로, 수신된 소스코드에 대하여 각각 해시값을 추출하여 소스코드 변경여부를 탐지하는 것일 수 있다. 해시값을 추출하기 위해 검증된 해시함수들을 사용할 수 있다. 검증된 해시함수는 MD5, SHA계열 고속해시함수 일 수 있다. 해시함수를 통해 도출된 소스코드의 해시값을 비교하여 소스코드의 변경여부를 빠르게 판단할 수 있다. 수신된 소스코드들의 해시값이 같으면 변조가 되지 않은 것으로 볼 수 있다. 반면 소스코드의 해시값이 다른 소스코드들의 해시값과 다르다면 해당 소스코드가 변경된 것으로 볼 수 있다. 해시함수를 이용한 경우 다른 무결성 검증 방법 보다 웹변조를 놓칠 확률이 낮출 수 있다. 도 1에서, t 시점에서 수신된 소스코드인 소스코드(t)가 악성변조 되지 않은 소스코드이고, t+x 시점에서 수신된 소스코드(t+x)의 해시값이 소스코드(t)의 해시값과 같다면, 소스코드(t+x)는 악성변조 되지 않았다고 볼 수 있다.
무결성 검증부(300)의 또 다른 일 실시예로는, 웹페이지 작성 시 소스코드에 CRC(Cyclic Redundancy Check) 부호를 포함시키고, 무결성 검증부(300)에서 CRC 부호를 생성하고, 생성된 CRC 부호와 소스코드에 포함된 CRC 부호를 비교하여 소스코드의 검증을 수행하는 것일 수 있다. CRC는 강력하면서도 하드웨어로 구축하기 쉽다.
추출부(400)는 무결성 검증부(300)에서 변경이 탐지된 경우에 변경부분을 찾는다. 추출부(400)는 소스코드 중 변경이 되지 않은 제1소스코드와 탐지부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 제2소스코드의 변경부분을 찾을 수 있다. 변경부분을 발견하기 위해 Ratcliff/Obershelp pattern-matching 알고리즘을 사용하여 두 웹페이지를 라인별로 비교할 수 있다. Ratcliff/Obershelp pattern-matching 알고리즘은 두 개 문자열의 유사성을 비교하여, 재귀적으로 가장 긴 문자열을 기준으로 좌우의 틀린 문자열을 찾아가는 알고리즘이다. 우선 제1소스코드와 제2소스코드의 동일라인을 찾고, 그 후 동일하지 않은 추가, 삭제, 수정라인을 식별한다. 식별된 제2소스코드의 변경부분은 변조 판단부(600)로 전송될 수 있다.
탐지정보 저장부(500)는 정탐(True Positive)정보와 오탐(False Positive)정보를 저장할 수 있다. 탐지정보 저장부(500)의 자료를 근거로 변조 판단부(600)에서 웹페이지의 변경이 악의적인지의 여부를 판단한다. 정탐정보와 오탐정보는 신뢰할 수 있는 외부 분석기관에서 제공하는 악성코드 자료를 이용할 수 있다. 신뢰할 수 있는 기관들은 KISA, VirusTotal, Zone-H 등이 있을 수 있다.
변조 판단부(600)는 변경부분을 정탐정보 및 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단할 수 있다. 정탐정보와 오탐정보는 탐지정보 저장부(500)에서 불러올 수 있다. 또한 변조 판단부(600)는 탐지정보 저장부(500)에 상기 결과데이터를 전송하여 상기 정탐정보와 상기 오탐정보에 반영시키는 것을 특징으로 할 수 있다.
변경코드 저장부(710)는 관리대상 웹페이지의 변경이 생긴 경우, 즉, 제2소스코드가 발생한 경우 해당 웹페이지 소스코드의 변경부분을 저장 할 수 있다. 로그 저장부(720)는 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장할 수 있다. 변경코드 저장부(710)와 로그 저장부(720)에 저장된 소스코드의 변경부분과 이벤트 로그 분석을 통해 사후적으로 공격의 원인을 조사하고 추적 할 수 있다.
로그 표시부(820)은 로그 저장부(720)에 저장된 이벤트 로그를 표시할 수 있다. 변경 코드 표시부는 소스코드 저장부에 웹페이지의 변경부분을 표시할 수 있다. 로그 표시부(820)과 변경코드 표시부(810)는 관리자가 실시간으로 웹페이지 변조여부를 탐지할 수 있게 한다. 관리자가 용이하게 변경 전 사항을 파악하기 위해서, 변경된 제2소스코드 뿐 아니라 변경 전의 제1소스코드를 변경코드 저장부(710)에 저장한 후 변경코드 표시부(810)에 표시하게 할 수 있다.
변경코드 표시부(810)는 변경 부분과 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 할 수 있다. 변경 부분이 오탐정보에 포함된 소스코드와 유사도가 높으면, 관리자는 웹페이지의 변경이 정상적인 변경일 가능성이 높다고 판단할 수 있다.
또한, 변경코드 표시부(810)는 변경 부분과 악성코드 간 유사도를 표시 하는 것을 특징으로 할 수 있다. 변경 부분과 악성코드 간 유사도가 높으면, 관리자는 웹페이지의 변경이 악의적일 가능성이 높다고 판단할 수 있다.
소스코드 간의 유사도 비교 역시 Ratcliff/Obershelp pattern-matching 알고리즘을 응용해 이루어질 수 있다.
지연시간 측정부는 관리대상 웹페이지의 지연시간을 반복적으로 측정할 수 있다. 지연시간표시부는 측정된 지연시간을 표시할 수 있다. 지연시간을 측정하고 표시하여 웹페이지 관리자는 웹페이지에 대한 디도스 공격을 탐지하여 대응할 수 있다. 지연시간 표시부, 로그 표시부(820) 및 변경코드 표시부(810)는 그래프, 팝업 등의 시각적인 방식을 이용한 것일 수 있다. 또한 지연시간 표시부와 변경코드 표시부(810)는 시각 및 청각적인 알람을 생성하는 방식이 적용될 수 있다. 알람은 유해도에 따라 알람의 색깔, 알람 소리의 종류, 알람 소리의 크기 등을 구별해서 생성할 수 있다.
전원공급부는 실시간 웹공격 탐지 시스템에 전원을 공급하는 기능을 수행한다. 전원공급부는 배터리와 같은 1차 전지, 충전식 배터리와 같은 2차 전지, 상용전원과 연결되는 직류 전원 공급 장치 등에서 적어도 하나 이상이 선택되어 구비될 수 있다. 보다 바람직하게는, 시스템에 필요한 특정 전압의 전원을 공급하는 직류 전원 공급 장치일 수 있다.
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
등록부(100) 수신부(200)
무결성 검증부(300) 추출부(400)
탐지정보 저장부(500) 변조 판단부(600)
변경코드 저장부(710) 로그 저장부(720)
변경코드 표시부(810) 로그 표시부(820)

Claims (12)

  1. 실시간 웹공격 탐지 시스템에 있어서,
    모니터링이 필요한 웹페이지를 관리대상 웹페이지로 등록하는 등록부;
    상기 관리대상 웹페이지의 소스코드를 클라이언트로 반복적으로 수신하는 수신부;
    수신된 상기 소스코드 간 무결성 검증을 통해 소스코드의 변경여부를 탐지하는 무결성 검증부;
    상기 소스코드 중 상기 무결성 검증부를 통과한 제1소스코드와 상기 무결성 검증부에서 변경이 탐지 된 제2소스코드 내용을 비교하여 상기 제2소스코드의 변경부분을 찾아 추출하는 추출부; 및
    상기 변경부분을 저장하는 변경코드 저장부를 포함하는 실시간 웹공격 방지 시스템.
  2. 제1항에 있어서,
    상기 무결성 검증부는,
    상기 소스코드 간 길이를 비교하여 무결성 검증을 하는 실시간 웹공격 탐지 시스템.
  3. 제1항에 있어서,
    상기 무결성 검증부는,
    상기 소스코드에 대하여 각각 해시값을 추출하여, 추출된 상기 해시값 비교를 통해 무결성 검증을 하는 실시간 웹공격 탐지 시스템.
  4. 제1항에 있어서,
    상기 소스코드는 CRC 부호를 포함하고,
    상기 무결성 검증부는,
    상기 CRC 부호의 검증을 수행하는 실시간 웹공격 탐지 시스템.
  5. 제1항에 있어서,
    정탐정보와 오탐정보를 저장하는 탐지정보 저장부를 더 포함하는 실시간 웹공격 탐지 시스템.
  6. 제5항에 있어서,
    상기 변경부분을 상기 정탐정보 및 상기 오탐정보와 비교하여 상기 변경부분이 악성코드인지 여부를 판단하는 변조 판단부를 더 포함하는 실시간 웹공격 탐지 시스템.
  7. 제6항에 있어서,
    상기 탐지정보 저장부는,
    상기 변조 판단부로부터 상기 결과데이터를 전송받아 상기 정탐정보와 상기 오탐정보에 반영하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.
  8. 제7항에 있어서,
    상기 관리대상 웹페이지의 변경을 탐지한 이벤트 로그를 저장하는 로그 저장부를 더 포함하는 실시간 웹공격 탐지 시스템.
  9. 제8항에 있어서,
    상기 로그 저장부에 저장된 상기 이벤트 로그를 표시하는 로그 표시부; 및
    상기 웹페이지 상기 변경부분을 표시하는 변경코드 표시부를 더 포함하는 실시간 웹공격 탐지 시스템.
  10. 제9항에 있어서,
    상기 변경 표시부는,
    상기 변경 부분과 상기 오탐정보에 포함된 소스코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.
  11. 제9항에 있어서,
    상기 변경 표시부는,
    상기 변경 부분과 상기 악성코드 간 유사도를 표시하는 것을 특징으로 하는 실시간 웹공격 탐지 시스템.
  12. 제1항에 있어서,
    상기 관리대상 웹페이지의 지연시간을 반복적으로 측정하는 지연시간 측정부; 및
    측정된 지연시간을 표시하는 지연시간 표시부를 더 포함하는 실시간 웹공격 탐지 시스템.
KR1020170143703A 2017-10-31 2017-10-31 실시간 웹공격 탐지방법 KR102092411B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170143703A KR102092411B1 (ko) 2017-10-31 2017-10-31 실시간 웹공격 탐지방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170143703A KR102092411B1 (ko) 2017-10-31 2017-10-31 실시간 웹공격 탐지방법

Publications (2)

Publication Number Publication Date
KR20190048606A true KR20190048606A (ko) 2019-05-09
KR102092411B1 KR102092411B1 (ko) 2020-03-23

Family

ID=66546353

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170143703A KR102092411B1 (ko) 2017-10-31 2017-10-31 실시간 웹공격 탐지방법

Country Status (1)

Country Link
KR (1) KR102092411B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102202108B1 (ko) * 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (ko) * 2008-11-18 2009-08-18 주식회사 나우콤 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
US20110185421A1 (en) * 2010-01-26 2011-07-28 Silver Tail Systems, Inc. System and method for network security including detection of man-in-the-browser attacks
KR101291782B1 (ko) * 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템
KR20130116418A (ko) * 2012-03-15 2013-10-24 주식회사 코닉글로리 Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912794B1 (ko) * 2008-11-18 2009-08-18 주식회사 나우콤 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
US20110185421A1 (en) * 2010-01-26 2011-07-28 Silver Tail Systems, Inc. System and method for network security including detection of man-in-the-browser attacks
KR20130116418A (ko) * 2012-03-15 2013-10-24 주식회사 코닉글로리 Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101291782B1 (ko) * 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102202108B1 (ko) * 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법

Also Published As

Publication number Publication date
KR102092411B1 (ko) 2020-03-23

Similar Documents

Publication Publication Date Title
US11570211B1 (en) Detection of phishing attacks using similarity analysis
US10491627B1 (en) Advanced malware detection using similarity analysis
Prasse et al. Malware detection by analysing network traffic with neural networks
CA2840992C (en) Syntactical fingerprinting
KR101497742B1 (ko) 인증, 데이터 전송 및 피싱에 대한 보호를 위한 방법 및 시스템
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
ES2804771T3 (es) Método y sistema para facilitar identificadores de terminal
US20080313734A1 (en) DISTRIBUTED SYSTEM AND METHOD FOR THE DETECTION OF eTHREATS
US20120102568A1 (en) System and method for malware alerting based on analysis of historical network and process activity
CN110929259B (zh) 进程安全验证白名单生成方法、装置
WO2020000743A1 (zh) 一种webshell检测方法及相关设备
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
CN102111267A (zh) 一种基于数字签名的网站安全保护方法及系统
CN113162953B (zh) 网络威胁报文检测及溯源取证方法和装置
KR100912794B1 (ko) 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
EP3144845B1 (en) Detection device, detection method, and detection program
CN107666464B (zh) 一种信息处理方法及服务器
CN110647750A (zh) 文件完整性度量方法、装置、终端及安全管理中心
US10965697B2 (en) Indicating malware generated domain names using digits
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
KR102159399B1 (ko) 웹서버 모니터링 및 악성코드 분석 장치
CN105791250B (zh) 应用程序检测方法及装置
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
KR102092411B1 (ko) 실시간 웹공격 탐지방법
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant