KR20220157565A - 웹 스캐닝 공격 탐지 장치 및 방법 - Google Patents

웹 스캐닝 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20220157565A
KR20220157565A KR1020210065237A KR20210065237A KR20220157565A KR 20220157565 A KR20220157565 A KR 20220157565A KR 1020210065237 A KR1020210065237 A KR 1020210065237A KR 20210065237 A KR20210065237 A KR 20210065237A KR 20220157565 A KR20220157565 A KR 20220157565A
Authority
KR
South Korea
Prior art keywords
field value
field
classified
web
candidate group
Prior art date
Application number
KR1020210065237A
Other languages
English (en)
Inventor
이정은
김장호
전정배
김대용
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020210065237A priority Critical patent/KR20220157565A/ko
Priority to US17/749,477 priority patent/US20220377095A1/en
Publication of KR20220157565A publication Critical patent/KR20220157565A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

웹 스캐닝 공격을 탐지하기 위한 장치 및 방법이 개시된다. 일 실시예에 따른 웹 스캐닝 공격 탐지 장치는, 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집하는 웹 로그 수집부; 상기 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출하는 필드 값 추출부; 상기 복수의 필드 값 각각에 대해 상기 복수의 웹 로그 내 출현 빈도를 산출하고, 상기 출현 빈도에 기초하여 상기 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류하는 분류부; 및 상기 정상 군으로 분류된 각 필드 값과 상기 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출하고, 상기 복수의 웹 로그 중 상기 이상 필드 값을 포함하는 이상 웹 로그를 검출하는 검출부를 포함한다.

Description

웹 스캐닝 공격 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING WEB SCANNING ATTACK}
개시되는 실시예들은 웹 스캐닝 공격을 탐지하기 위한 기술과 관련된다.
웹 스캐닝(web scanning) 공격은 웹 서버에 요청을 보낸 후 웹 서버로부터 요청에 대한 응답 코드를 받아 웹 페이지의 존재 여부, 웹 서버의 종류, 버전, 디렉토리 정보, 취약점 등을 확인하기 위한 공격이다.
웹 스캐닝 공격을 방어하기 위해 일반적으로 규칙(rule) 기반의 탐지 시스템 이 주로 이용되고 있으나, 알려진 취약점 이외의 공격에 대한 탐지에 한계가 있고 탐지를 위한 규칙을 어떻게 만들어 적용하느냐에 따라 오탐율이 변동될 수 있으므로 운영자의 경험에 의존하는 경우가 많다는 문제점이 있다.
대한민국 등록특허 제10-1092024호 (2011.12.12. 공고)
개시되는 실시예들은 웹 스캐닝 공격을 탐지하기 위한 장치 및 방법을 제공하기 위한 것이다.
일 실시예에 따른 웹 스캐닝 공격 탐지 장치는, 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집하는 웹 로그 수집부; 상기 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출하는 필드 값 추출부; 상기 복수의 필드 값 각각에 대해 상기 복수의 웹 로그 내 출현 빈도를 산출하고, 상기 출현 빈도에 기초하여 상기 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류하는 분류부; 및 상기 정상 군으로 분류된 각 필드 값과 상기 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출하고, 상기 복수의 웹 로그 중 상기 이상 필드 값을 포함하는 이상 웹 로그를 검출하는 검출부를 포함한다.
상기 분류부는, 상기 복수의 필드 값 중 상기 출현 빈도가 기 설정된 제1 임계 값 미만인 필드 값을 상기 후보 군으로 분류할 수 있다.
상기 검출부는, 상기 복수의 필드 값 각각을 토큰화(tokenization)하여 상기 복수의 필드 값 각각에 대한 토큰 집합을 생성하고, 상기 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 상기 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 상기 유사도를 산출할 수 있다.
상기 유사도는, 자카드 유사도(Jaccard Similarity)일 수 있다.
상기 검출부는, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하고, 상기 스코어에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 상기 이상 필드 값을 검출할 수 있다.
상기 검출부는, 상기 후보 군으로 분류된 각 필드 값에 대해 상기 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출할 수 있다.
상기 검출부는, 상기 후보 군으로 분류된 각 필드 값 중 상기 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 상기 이상 필드 값으로 검출할 수 있다.
일 실시예에 따른 웹 스캐닝 공격 탐지 방법은, 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집하는 단계; 상기 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출하는 단계; 상기 복수의 필드 값 각각에 대해 상기 복수의 웹 로그 내 출현 빈도를 산출하는 단계; 상기 출현 빈도에 기초하여 상기 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류하는 단계; 상기 정상 군으로 분류된 각 필드 값과 상기 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하는 단계; 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출하는 단계; 및 상기 복수의 웹 로그 중 상기 이상 필드 값을 포함하는 이상 웹 로그를 검출하는 단계를 포함한다.
상기 분류하는 단계는, 상기 복수의 필드 값 중 상기 출현 빈도가 기 설정된 제1 임계 값 미만인 필드 값을 상기 후보 군으로 분류할 수 있다.
상기 유사도를 산출하는 단계는, 상기 복수의 필드 값 각각을 토큰화(tokenization)하여 상기 복수의 필드 값 각각에 대한 토큰 집합을 생성하는 단계; 및 상기 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 상기 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 상기 유사도를 산출하는 단계를 포함할 수 있다.
상기 유사도는, 자카드 유사도(Jaccard Similarity)일 수 있다.
상기 이상 필드 값을 검출하는 단계는, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하는 단계; 및 상기 스코어에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 상기 이상 필드 값을 검출하는 단계를 포함할 수 있다.
상기 스코어를 산출하는 단계는, 상기 후보 군으로 분류된 각 필드 값에 대해 상기 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출할 수 있다.
상기 이상 필드 값을 검출하는 단계는, 상기 후보 군으로 분류된 각 필드 값 중 상기 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 상기 이상 필드 값으로 검출할 수 있다.
개시되는 실시예들에 따르면, 웹 사이트에 접속한 각 클라이언트에 대해 생성된 웹 로그에 포함된 필드 값에 기초하여 웹 스캐닝 공격을 탐지할 수 있도록 함으로써, 웹 스캐닝 공격 탐지의 신속성과 정확성을 향상시킬 수 있으며, 알려지지 않는 신종 공격이나 변종 공격에 대해서도 효과적인 탐지가 가능하다.
도 1은 일 실시예에 따른 웹 스캐닝(web scanning) 공격 탐지 장치의 구성도
도 2는 일 실시예에 따른 타겟 필드에 대한 필드 값 추출을 예시적으로 설명하기 위한 도면
도 3 및 도 4는 일 실시예에 따른 필드 값에 대한 출현 빈도 산출을 예시적으로 설명하기 위한 도면
도 5는 일 실시예에 따른 웹 스캐닝 공격 탐지 방법의 순서도
도 6은 일 실시예에 따른 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 일 실시예에 따른 웹 스캐닝(web scanning) 공격 탐지 장치의 구성도이다.
도 1을 참조하면, 일 실시예에 따른 웹 스캐닝 공격 탐지 장치(100)는 웹 로그(web log)에 기초하여 웹 사이트에 대한 웹 스캐닝 공격을 탐지하기 위한 것으로, 웹 로그 수집부(110), 필드 값 추출부(120), 분류부(130) 및 검출부(140)를 포함한다.
일 실시예에 따르면, 웹 로그 수집부(110), 필드 값 추출부(120), 분류부(130) 및 검출부(140)는 각각 물리적으로 구분된 하나 이상의 장치를 이용하여 구현되거나, 하나 이상의 하드웨어 프로세서 또는 하나 이상의 하드웨어 프로세서 및 소프트웨어의 결합에 의해 구현될 수 있으며, 도시된 예와 달리 구체적 동작에 있어 명확히 구분되지 않을 수 있다.
웹 로그 수집부(110)는 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집한다.
이하에서, 웹 로그란, 웹 사이트를 제공하는 웹 서버(web server)(미도시)가 웹 사이트에 접속한 클라이언트와 관련된 다양한 정보를 기록한 로그 데이터를 의미한다. 구체적으로, 웹 로그는 웹 사이트에 접속한 클라이언트와 관련된 데이터가 기록된 복수의 필드(field)를 포함할 수 있다. 예를 들어, 웹 로그는 웹 사이트에 접속한 클라이언트의 IP(Internet Protocol) 어드레스가 기록된 IP 어드레스 필드, 클라이언트의 접속 날짜가 기록된 날짜 필드, 클라이언트의 접속 시점을 기록한 시간 필드, 클라이언트에 의해 요청된 URI(Uniform Resource Identifier)가 기록된 URI 필드, 클라이언트의 웹 사이트 유입 경로를 기록하는 필드(예를 들어, 레퍼러(referrer) 필드), 클라이언트가 웹 사이트에 접속 시 이용한 웹 브라우저 및 운영 체제와 관련된 정보(예를 들어, 웹 브라우저 및 운영 체제 각각의 명칭, 버전 등)가 기록된 필드(예를 들어, 사용자 에이전트(user agent) 필드) 등을 포함할 수 있다. 그러나, 웹 로그에 포함되는 필드의 종류 및 개수는 웹 로그의 형식 및 적용 환경에 따라 다양하게 변경될 수 있다.
한편, 웹 로그 수집부(110)는 웹 서버로부터 웹 서버에 의해 기 설정된 시간(예를 들어, 10분) 동안 생성된 웹 로그를 수집할 수 있으나, 실시예에 따라 웹 서버에 의해 생성된 웹 로그를 저장하는 별도의 데이터베이스로부터 웹 서버에 의해 기 설정 시간 동안 생성되어 저장된 웹 로그를 수집할 수 있다. 이때, 기 설정된 시간은 실시예에 따라 다양하게 변경될 수 있다.
필드 값 추출부(120)는 웹 로그 수집부(110)에 의해 수집된 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출한다.
일 실시예에 따르면, 타겟 필드는 수집된 각 웹 로그에 포함된 복수의 필드 중 이상(anomaly) 필드 값 검출 대상으로 사전 설정된 필드를 의미할 수 있다. 구체적으로, 타겟 필드는 웹 스캐닝 공격 탐지 장치(100)를 이용하여 웹 사이트에 대한 웹 스캐닝 공격을 탐지하고자 하는 사용자(이하, 단순히 사용자로 지칭한다)에 의해 사전 설정될 수 있으며, 실시예에 따라 상이하게 설정될 수 있다. 또한, 실시예에 따라, 타겟 필드의 개수는 하나 이상일 수 있다.
일 실시예에 따르면, 필드 값 추출부(120)는 복수의 웹 로그 각각에 포함된 타겟 필드에서 필드 값을 추출하여 타겟 필드에 대한 복수의 필드 값을 획득할 수 있다.
이때, 일 실시예에 따르면, 필드 값 추출부(120)는 복수의 웹 로그 각각에 포함된 타겟 필드에 기록된 값 자체를 필드 값으로 추출할 수 있다. 그러나, 실시예에 따라, 필드 값 추출부(120)는 타겟 필드에 기록된 값에 대해 사전 설정된 전처리를 수행하여 전처리가 수행된 값을 필드 값으로 추출하거나, 타겟 필드에 기록된 값의 일부를 필드 값으로 추출할 수 있다. 이때, 전처리는 예를 들어, null 값 제거, 사전 설정된 불용어 제거 등을 포함할 수 있으나, 이 외에도 실시예에 따라 다양한 종류의 전처리가 수행될 수 있다.
도 2는 일 실시예에 따른 타겟 필드에 대한 필드 값 추출을 예시적으로 설명하기 위한 도면이다.
구체적으로, 도 2에 도시된 예에서는 웹 로그 수집부(110)에 의해 수집된 7개의 웹 로그(즉, Log 1, Log 2, Log 3, Log 4, Log 5, Log 6, Log 7) 각각에 포함된 URI 필드와 Referrer 필드에서 추출된 값을 도시하고 있다.
도 2에 도시된 예에서, URI 필드가 타겟 필드인 것으로 가정하면, 필드 값 추출부(120)는 Log 1와 Log 7의 URI 필드에 기록된 "/view/bank.html", Log 2, Log 4 및 Log 5의 URI 필드에 기록된 "/index.html", Log 3의 URI 필드에 기록된 "/test/bank.html" 및 Log 6의 URI 필드에 기록된 "/signup.asp"를 각각 타겟 필드에 대한 필드 값으로 추출할 수 있다.
다른 예로, Referrer 필드가 타겟 필드인 것으로 가정하면, 필드 값 추출부(120)는 Log 1에 포함된 null 값을 제외하고, Log 2 및 Log 3의 Referrer 필드에 기록된 "http://www.google.com/search?a=en&b=test", Log 4 및 Log 7의 Referrer 필드에 기록된 "http://dis.abc.or.kr", Log 5의 Referrer 필드에 기록된 "-1 OR 2+337-337-1=0+0+0+1" 및 Log 6의 Referrer 필드에 기록된 "$(nslookup vDF)-1 or 2+333-333-1-1=0+0"을 각각 타겟 필드에 대한 필드 값으로 추출할 수 있다.
또 다른 예로, Referrer 필드가 타겟 필드이고, "http://"가 불용어로 사전 설정되어 있는 것으로 가정하면, 필드 값 추출부(120)는 상술한 예와 달리 "www.google.com/search?a=en&b=test", "dis.abc.or.kr", "-1 OR 2+337-337-1=0+0+0+1" 및 "$(nslookup vDF)-1 or 2+333-333-1-1=0+0"을 각각 타겟 필드에 대한 필드 값으로 추출할 수 있다.
다시 도 1을 참조하면, 분류부(130)는 타겟 필드에 대한 복수의 필드 값 각각에 대해 웹 로그 수집부(110)에 의해 수집된 복수의 웹 로그 내 출현 빈도를 산출한다. 또한, 분류부(130)는 산출된 출현 빈도에 기초하여 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류한다.
이때, 각 필드 값의 출현 빈도는 복수의 웹 로그 중 각 필드 값을 포함하는 웹 로그의 개수로 산출될 수 있다.
예를 들어, 도 2에 도시된 예에서, "/view/bank.html", "/index.html", "/test/bank.html" 및 "/signup.asp"이 각각 타겟 필드에 대한 필드 값으로 추출된 것으로 가정하면, 각 필드 값에 대한 출현 빈도는 도 3에 도시된 예와 같이 산출될 수 있다.
다른 예로, 도 2에 도시된 예에서, "http://www.google.com/search?a=en&b=test", "http://dis.abc.or.kr", "-1 OR 2+337-337-1=0+0+0+1" 및 "$(nslookup vDF)-1 or 2+333-333-1-1=0+0"이 각각 타겟 필드에 대한 필드 값으로 추출된 것으로 가정하면, 각 필드 값에 대한 출현 빈도는 도 4에 도시된 예와 같이 산출될 수 있다.
한편, 일 실시예에 따르면, 분류부(130)는 필드 값 추출부(120)에 의해 추출된 각 필드 값 중 출현 빈도가 제1 임계 값 미만인 필드 값을 후보 군으로 분류하고, 제1 임계 값 이상인 필드 값을 정상 군으로 분류할 수 있다. 이때, 제1 임계 값은 사용자에 의해 사전 설정될 수 있으며, 실시예에 따라 변경될 수 있다.
예를 들어, 제1 임계 값이 2이고, 추출된 필드 값 및 각 필드 값의 출현 빈도가 도 3에 도시된 예와 같다고 가정하면, 분류부(130)는 추출된 필드 값들 중 출현 빈도가 1인 "/test/bank.html"와 "/signup.asp"을 후보 군으로 분류하고, 출현 빈도가 2 이상인 "/view/bank.html"와 "/index.html"를 정상 군으로 분류할 수 있다.
검출부(140)는 분류부(130)에 의해 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하고, 산출된 유사도에 기초하여 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출한다.
일 실시예에 따르면, 검출부(140)는 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값을 포함하는 복수의 필드 값 각각을 토큰화(tokenization)하여 복수의 필드 값 각각에 대한 토큰 집합을 생성할 수 있다. 또한, 검출부(140)는 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출할 수 있다.
이때, 일 실시예에 따르면, 검출부(140)는 사전 설정된 기준에 따라 복수의 필드 값 각각에 대한 토큰화를 수행할 수 있다.
예를 들어, 타겟 필드가 URI 필드이고, 추출된 필드 값이 도 3에 도시된 예와 같은 경우, 검출부(140)는 각 필드 값에서 특수 문자(즉, '/' 및 '.')에 의해 구분되는 각 문자열을 토큰으로 추출하고 추출된 각 토큰을 포함하는 토큰 집합을 생성할 수 있다. 구체적으로, 필드 값 "/view/bank.html"에 대한 토큰 집합은 "view", "bank" 및 "html"을 각각 토큰으로 포함하는 집합일 수 있으며, 필드 값 "/test/bank.html"에 대한 토큰 집합은 "test", "bank" 및 "html"을 각각 토큰으로 포함하는 집합일 수 있다.
한편, 토큰화를 위한 사전 설정된 기준은 반드시 상술한 예에 한정되는 것은 아니며, 타겟 필드로부터 추출되는 필드 값의 형식 등을 고려하여 실시예에 따라 다양하게 설정될 수 있다.
한편, 일 실시예에 따르면, 검출부(140)는 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 후보 군으로 분류된 각 필드 값에 대한 토큰 집합 사이의 자카드 유사도(Jaccard Similarity)를 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도로 산출할 수 있다.
다른 실시예에 따르면, 검출부(140)는 TF-IDF(Term Frequency-Inverse Document Frequency), 원-핫 인코딩(One-hot encoding), 워드 임베딩(word embedding) 등과 같은 벡터화 기법을 이용하여 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 후보 군으로 분류된 각 필드 값에 대한 토큰 집합 각각에 대응하는 벡터를 생성할 수 있다. 또한, 검출부(140)는 생성된 벡터를 이용하여 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출할 수 있다. 이 경우, 유사도는 예를 들어, 코사인 유사도(Cosine similarity) 또는 유클리드 거리(Euclidean distance)일 수 있다.
한편, 일 실시예에 따르면, 검출부(140)는 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도에 기초하여 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하고, 산출된 스코어에 기초하여 후보 군으로 분류된 각 필드 값 중 이상 필드 값을 검출할 수 있다.
구체적으로, 검출부(140)는 후보군으로 분류된 각 필드 값에 대해 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출할 수 있다. 예를 들어, 후보 군으로 분류된 필드 값 a와 정상 군으로 분류된 필드 값 b 사이의 유사도가 0.2이고, 필드 값 a와 정상 군으로 분류된 필드 값 c 사이의 유사도가 0.5인 것으로 가정하면, 필드 값 a에 대한 스코어는 0.7(즉, 0.2+0.5)으로 산출될 수 있다.
한편, 일 실시예에 따르면, 검출부(140)는 후보 군으로 분류된 각 필드 값에 대한 스코어가 산출된 경우, 후보 군으로 분류된 각 필드 값 중 산출된 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 이상 필드 값으로 검출할 수 있다. 이때, 제2 임계 값은 사용자에 의해 사전 설정될 수 있으며, 실시예에 따라 변경될 수 있다.
한편, 검출부(140)는 이상 필드 값이 검출된 경우, 웹 로그 수집부(110)에 의해 수집된 복수의 웹 로그 중 검출된 이상 필드 값을 포함하는 이상 웹 로그를 검출한다.
구체적으로, 도 2 및 도 4에 도시된 예에서, "-1 OR 2+337-337-1=0+0+0+1"과 "$(nslookup vDF)-1 or 2+333-333-1-1=0+0"이 각각 이상 필드 값인 것으로 가정하면, 검출부(140)는 "-1 OR 2+337-337-1=0+0+0+1"를 포함하는 웹 로그인 Log 5와 "$(nslookup vDF)-1 or 2+333-333-1-1=0+0"를 포함하는 웹 로그인 Log 6을 각각 이상 웹 로그로 검출할 수 있다.
한편, 일 실시예에 따르면, 검출부(110)는 하나 이상의 이상 웹 로그가 검출된 경우, 검출된 이상 웹 로그에 대한 정보를 포함하는 검출 결과 리포트를 생성하여 사용자에게 제공할 수 있다.
이때, 검출 결과 리포트는 이상 필드 값으로 검출된 각 필드 값, 각 이상 필드 값의 스코어, 출현 빈도, 각 이상 필드 값을 포함하는 웹 로그에 포함된 클라이언트 IP 어드레스 등을 포함할 수 있다. 그러나, 검출 결과 리포트에 포함되는 정보는 상술한 예 외에도, 검출된 이상 웹 로그로부터 획득 가능한 다양한 정보를 포함할 수 있다.
도 5는 일 실시예에 따른 웹 스캐닝 공격 탐지 방법의 순서도이다.
도 5에 도시된 방법은 예를 들어, 도 1에 도시된 웹 스캐닝 공격 탐지 장치(100)에 의해 수행될 수 있다.
도 5를 참조하면, 웹 스캐닝 공격 탐지 장치(100)는 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집한다(510).
이후, 웹 스캐닝 공격 탐지 장치(100)는 수집된 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출한다(520).
이후, 웹 스캐닝 공격 탐지 장치(100)는 추출된 복수의 필드 값 각각에 대해 복수의 웹 로그 내 출현 빈도를 산출한다(530).
이후, 웹 스캐닝 공격 탐지 장치(100)는 산출된 출현 빈도에 기초하여 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류한다(540).
이때, 일 실시예에 따르면, 웹 스캐닝 공격 탐지 장치(100)는 복수의 필드 값 중 출현 빈도가 기 설정된 제1 임계 값 미만인 필드 값을 후보 군으로 분류할 수 있다.
이후, 웹 스캐닝 공격 탐지 장치(100)는 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출한다(550).
구체적으로, 일 실시예에 따르면, 웹 스캐닝 공격 탐지 장치(100)는 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값을 포함하는 복수의 필드 값 각각을 토큰화하여 복수의 필드 값 각각에 대한 토큰 집합을 생성하고, 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 유사도를 산출할 수 있다.
이때, 일 실시예에 따르면, 정상 군으로 분류된 각 필드 값과 후보 군으로 분류된 각 필드 값 사이의 유사도는 자카드 유사도일 수 있다.
이후, 웹 스캐닝 공격 탐지 장치(100)는 산출된 유사도에 기초하여, 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출한다(560).
구체적으로, 일 실시예에 따르면, 웹 스캐닝 공격 탐지 장치(100)는 550 단계에서 산출된 유사도에 기초하여, 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하고, 산출된 스코어에 기초하여 후보 군으로 분류된 각 필드 값 중 이상 필드 값을 검출할 수 있다.
이때, 일 실시예에 따르면, 웹 스캐닝 공격 탐지 장치(100)는 후보 군으로 분류된 각 필드 값에 대해 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출할 수 있다.
또한, 일 실시예에 따르면, 웹 스캐닝 공격 탐지 장치(100)는 후보 군으로 분류된 각 필드 값 중 산출된 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 이상 필드 값으로 검출할 수 있다.
이후, 웹 스캐닝 공격 탐지 장치(100)는 복수의 웹 로그 중 이상 필드 값을 포함하는 이상 웹 로그를 검출한다(570).
한편, 도 5에 도시된 순서도에서 적어도 일부의 단계들은 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 6은 일 실시예에 따른 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술된 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 컴퓨팅 장치(12)는 일 실시예에 따른 웹 스캐팅 공격 탐지 장치(100)에 포함된 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 전술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 웹 스캐닝 공격 탐지 장치
110: 웹 로그 수집부
120: 필드 값 추출부
130: 분류부
140: 검출부

Claims (14)

  1. 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집하는 웹 로그 수집부;
    상기 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출하는 필드 값 추출부;
    상기 복수의 필드 값 각각에 대해 상기 복수의 웹 로그 내 출현 빈도를 산출하고, 상기 출현 빈도에 기초하여 상기 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류하는 분류부; 및
    상기 정상 군으로 분류된 각 필드 값과 상기 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출하고, 상기 복수의 웹 로그 중 상기 이상 필드 값을 포함하는 이상 웹 로그를 검출하는 검출부를 포함하는, 웹 스캐닝 공격 탐지 장치.
  2. 청구항 1에 있어서,
    상기 분류부는, 상기 복수의 필드 값 중 상기 출현 빈도가 기 설정된 제1 임계 값 미만인 필드 값을 상기 후보 군으로 분류하는, 웹 스캐닝 공격 탐지 장치.
  3. 청구항 1에 있어서,
    상기 검출부는, 상기 복수의 필드 값 각각을 토큰화(tokenization)하여 상기 복수의 필드 값 각각에 대한 토큰 집합을 생성하고,
    상기 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 상기 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 상기 유사도를 산출하는, 웹 스캐닝 공격 탐지 장치.
  4. 청구항 3에 있어서,
    상기 유사도는, 자카드 유사도(Jaccard Similarity)인, 웹 스캐닝 공격 탐지 장치.
  5. 청구항 1에 있어서,
    상기 검출부는, 상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하고, 상기 스코어에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 상기 이상 필드 값을 검출하는, 웹 스캐닝 공격 탐지 장치.
  6. 청구항 5에 있어서,
    상기 검출부는, 상기 후보 군으로 분류된 각 필드 값에 대해 상기 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하는, 웹 스캐닝 공격 탐지 장치.
  7. 청구항 5에 있어서,
    상기 검출부는, 상기 후보 군으로 분류된 각 필드 값 중 상기 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 상기 이상 필드 값으로 검출하는, 웹 스캐닝 공격 탐지 장치.
  8. 웹 사이트에 접속한 하나 이상의 클라이언트 각각에 대해 기 설정된 시간 동안 생성된 복수의 웹 로그를 수집하는 단계;
    상기 복수의 웹 로그로부터 타겟 필드에 대한 복수의 필드 값을 추출하는 단계;
    상기 복수의 필드 값 각각에 대해 상기 복수의 웹 로그 내 출현 빈도를 산출하는 단계;
    상기 출현 빈도에 기초하여 상기 복수의 필드 값 각각을 정상 군 및 후보 군 중 하나로 분류하는 단계;
    상기 정상 군으로 분류된 각 필드 값과 상기 후보 군으로 분류된 각 필드 값 사이의 유사도를 산출하는 단계;
    상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 이상(anomaly) 필드 값을 검출하는 단계; 및
    상기 복수의 웹 로그 중 상기 이상 필드 값을 포함하는 이상 웹 로그를 검출하는 단계를 포함하는, 웹 스캐닝 공격 탐지 방법.
  9. 청구항 8에 있어서,
    상기 분류하는 단계는, 상기 복수의 필드 값 중 상기 출현 빈도가 기 설정된 제1 임계 값 미만인 필드 값을 상기 후보 군으로 분류하는, 웹 스캐닝 공격 탐지 방법.
  10. 청구항 8에 있어서,
    상기 유사도를 산출하는 단계는, 상기 복수의 필드 값 각각을 토큰화(tokenization)하여 상기 복수의 필드 값 각각에 대한 토큰 집합을 생성하는 단계; 및
    상기 정상 군으로 분류된 각 필드 값에 대한 토큰 집합과 상기 후보 군으로 분류된 각 필드 값에 대한 토큰 집합을 이용하여 상기 유사도를 산출하는 단계를 포함하는, 웹 스캐닝 공격 탐지 방법.
  11. 청구항 10에 있어서,
    상기 유사도는, 자카드 유사도(Jaccard Similarity)인, 웹 스캐닝 공격 탐지 방법.
  12. 청구항 8에 있어서,
    상기 이상 필드 값을 검출하는 단계는,
    상기 유사도에 기초하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하는 단계; 및
    상기 스코어에 기초하여 상기 후보 군으로 분류된 각 필드 값 중 상기 이상 필드 값을 검출하는 단계를 포함하는, 웹 스캐닝 공격 탐지 방법.
  13. 청구항 12에 있어서,
    상기 스코어를 산출하는 단계는, 상기 후보 군으로 분류된 각 필드 값에 대해 상기 정상 군으로 분류된 각 필드 값과의 유사도를 합산하여 상기 후보 군으로 분류된 각 필드 값에 대한 스코어를 산출하는, 웹 스캐닝 공격 탐지 방법.
  14. 청구항 12에 있어서,
    상기 이상 필드 값을 검출하는 단계는, 상기 후보 군으로 분류된 각 필드 값 중 상기 스코어가 기 설정된 제2 임계 값 미만인 필드 값을 상기 이상 필드 값으로 검출하는, 웹 스캐닝 공격 탐지 방법.
KR1020210065237A 2021-05-21 2021-05-21 웹 스캐닝 공격 탐지 장치 및 방법 KR20220157565A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210065237A KR20220157565A (ko) 2021-05-21 2021-05-21 웹 스캐닝 공격 탐지 장치 및 방법
US17/749,477 US20220377095A1 (en) 2021-05-21 2022-05-20 Apparatus and method for detecting web scanning attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210065237A KR20220157565A (ko) 2021-05-21 2021-05-21 웹 스캐닝 공격 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20220157565A true KR20220157565A (ko) 2022-11-29

Family

ID=84102944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210065237A KR20220157565A (ko) 2021-05-21 2021-05-21 웹 스캐닝 공격 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US20220377095A1 (ko)
KR (1) KR20220157565A (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987620B (zh) * 2022-12-21 2023-11-07 北京天云海数技术有限公司 一种检测web攻击的方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101092024B1 (ko) 2010-02-19 2011-12-12 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6466970B1 (en) * 1999-01-27 2002-10-15 International Business Machines Corporation System and method for collecting and analyzing information about content requested in a network (World Wide Web) environment
US20070245417A1 (en) * 2006-04-17 2007-10-18 Hojae Lee Malicious Attack Detection System and An Associated Method of Use
CN104246786B (zh) * 2012-05-30 2017-07-04 惠普发展公司,有限责任合伙企业 模式发现中的字段选择
US9104877B1 (en) * 2013-08-14 2015-08-11 Amazon Technologies, Inc. Detecting penetration attempts using log-sensitive fuzzing
US10114148B2 (en) * 2013-10-02 2018-10-30 Nec Corporation Heterogeneous log analysis
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US9973521B2 (en) * 2015-12-28 2018-05-15 International Business Machines Corporation System and method for field extraction of data contained within a log stream
US11050629B2 (en) * 2016-11-03 2021-06-29 Palo Alto Networks, Inc. Fingerprint determination for network mapping
US11513935B2 (en) * 2019-08-30 2022-11-29 Dell Products L.P. System and method for detecting anomalies by discovering sequences in log entries
US11768958B2 (en) * 2020-03-09 2023-09-26 Truata Limited System and method for objective quantification and mitigation of privacy risk

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101092024B1 (ko) 2010-02-19 2011-12-12 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템

Also Published As

Publication number Publication date
US20220377095A1 (en) 2022-11-24

Similar Documents

Publication Publication Date Title
US11973799B2 (en) Domain name processing systems and methods
JP6530786B2 (ja) Webページの悪意のある要素を検出するシステム及び方法
Moghimi et al. New rule-based phishing detection method
Patil et al. A methodical overview on phishing detection along with an organized way to construct an anti-phishing framework
JP6106340B2 (ja) ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
Kiruthiga et al. Phishing websites detection using machine learning
Buber et al. NLP based phishing attack detection from URLs
CN107204960B (zh) 网页识别方法及装置、服务器
Deshpande et al. Detection of phishing websites using Machine Learning
Tan et al. Phishing website detection using URL-assisted brand name weighting system
KR102344293B1 (ko) 보안 로그 전처리 장치 및 방법
CN107547490A (zh) 一种扫描器识别方法、装置及系统
Ojewumi et al. Performance evaluation of machine learning tools for detection of phishing attacks on web pages
JP6691240B2 (ja) 判定装置、判定方法、および、判定プログラム
Hai et al. Detection of malicious URLs based on word vector representation and ngram
CN112948725A (zh) 基于机器学习的钓鱼网站url检测方法及系统
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
CN107786529B (zh) 网站的检测方法、装置及系统
KR20220157565A (ko) 웹 스캐닝 공격 탐지 장치 및 방법
CN115801455A (zh) 一种基于网站指纹的仿冒网站检测方法及装置
Layton et al. Determining provenance in phishing websites using automated conceptual analysis
RU2762241C2 (ru) Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
Han Detection of web application attacks with request length module and regex pattern analysis
Singh et al. Machine learning based detection of phishing websites in chrome
Amen et al. Machine Learning for Multiple Stage Phishing URL Prediction

Legal Events

Date Code Title Description
A201 Request for examination