KR100989347B1 - Method for detecting a web attack based on a security rule - Google Patents
Method for detecting a web attack based on a security rule Download PDFInfo
- Publication number
- KR100989347B1 KR100989347B1 KR1020090077410A KR20090077410A KR100989347B1 KR 100989347 B1 KR100989347 B1 KR 100989347B1 KR 1020090077410 A KR1020090077410 A KR 1020090077410A KR 20090077410 A KR20090077410 A KR 20090077410A KR 100989347 B1 KR100989347 B1 KR 100989347B1
- Authority
- KR
- South Korea
- Prior art keywords
- web
- security
- attack
- traffic
- web traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 웹서버의 보안 방법에 관한 것으로서, 특히, 보안규칙을 기반으로 하여 웹공격을 탐지하는 방법에 관한 것이다. The present invention relates to a security method of a web server, and more particularly, to a method for detecting a web attack based on a security rule.
인터넷과 같은 네트워크 환경은 서로 다른 위치에 있는 다수의 접속자들에게 개방형 통신망을 제공한다. 즉, 네트워크 상의 컴퓨터 시스템은 개방성, 범용성과 이진 논리성을 가지는데, 이러한 개방성, 범용성과 이진 논리성은 시스템의 운영 및 이용을 쉽게 만든다는 장점이 있지만, 보안 측면에서는 효과적이지 못하다는 단점을 가지고 있다. Network environments such as the Internet provide an open communication network for a large number of users in different locations. In other words, computer systems on a network have openness, versatility and binary logic. The openness, versatility and binary logic have the advantage of making the system easy to operate and use, but have the disadvantage of being ineffective in security.
한편, 네트워크 상의 컴퓨터 시스템에 대한 가장 완벽한 보안은 그 컴퓨터 시스템을 다른 네트워크와 완전히 차단하는 것이다. 그러나, 수많은 컴퓨터 시스템들이 개방형으로 연결되어 있는 현재의 네트워크 구조에서 자신이 운영하는 컴퓨터 시스템을 다른 네트워크와 완전히 차단시킨다는 것은 불가능에 가까운 일이며, 더욱이, 보안을 위해 네크워크를 통해 유통되는 모든 데이터의 흐름을 감시하고 비정상적인 조건에 대해 실시간으로 대응하여 침입이나 공격을 정확하게 선별한다는 것 은 결코 쉽지 않은 문제이다. On the other hand, the most complete security for a computer system on a network is to completely block the computer system from other networks. However, in the current network structure in which many computer systems are openly connected, it is almost impossible to completely block the computer system that it operates from other networks. Furthermore, all the data flows through the network for security. Accurately screening for intrusions or attacks by monitoring them and responding in real time to abnormal conditions is a challenge.
따라서, 네트워크 환경에서 웹서비스를 제공하고 있는 업체들은 다양한 방법을 이용하여 자신의 웹서버에 대한 보안을 유지하고 있는바, 이러한 웹서버 보안 방법 중 현재 널리 이용되고 있는 방법으로는, 웹 방화벽(패턴 매칭 웹방화벽)을 통해 이용되고 있는 패턴 매칭 엔진에 의한 웹서비스 보안 방법(이하, 간단히 '패턴 매칭 엔진'이라 함)이 있다.Therefore, companies providing web services in a network environment maintain security of their web servers using various methods. Among the web server security methods, web firewall (pattern) There is a web service security method (hereinafter, simply referred to as a 'pattern matching engine') using a pattern matching engine used through a matching web firewall.
종래의 패턴 매칭 엔진은, 웹서비스를 제공하는 웹(애플리케이션)서버와, 서비스를 이용하려는 사용자 컴퓨터 사이에 위치하여, 웹트래픽을 가로채어 저장된 웹공격 패턴과 1:1 패턴 매칭 방식으로 웹공격을 탐지하는 방법이다.The conventional pattern matching engine is located between a web (application) server providing a web service and a user computer to use the service, and intercepts the web traffic and stores the web attack by using a 1: 1 web matching pattern and a web attack pattern. How to detect.
이러한 종래의 패턴 매칭 엔진은 웹공격과 형태의 일치뿐만 아니라, 웹공격이 실행되는 공격 위치와도 일치하여야 웹공격을 차단할 수 있다. 즉, 웹서비스를 제공하는 웹서버의 방대한 자료에서 웹공격이 가능한 부분을 사전에 파악하고 그 위치에 예상되는 웹공격을 패턴으로 제작하여 관리하여야 한다.Such a conventional pattern matching engine may block web attacks by matching not only the web attack and the form match, but also the attack position where the web attack is executed. In other words, it is necessary to identify in advance the possible parts of the web attack in the vast data of the web server that provides the web service, and to produce and manage the web attack expected at the location.
이를 위하여 웹방화벽이 방어할 대상이 화이트 리스트(white List)로 구성된다. 즉, 웹서비스의 내용을 검토하고 관리자가 웹트래픽이 지나가는 경로(타겟)를 지정하여 패턴으로 검사할 대상을 사전에 정의하여야 한다.For this purpose, the targets to be protected by the web firewall are composed of a white list. In other words, the contents of the web service should be reviewed and the administrator should define in advance the target to be inspected in the pattern by specifying the path (target) through which the web traffic passes.
또한, 화이트 리스트(White list)의 범위에 들어오는 웹트래픽을 검사할 블랙 리스트(Black list)를 구성하여야 한다. 즉, 블랙 리스트(Black list)는 웹공격을 탐지할 수 있는 패턴과 정규식으로 구성된 데이터베이스(database)를 말하는 것이다. 여기서, 패턴이란 웹트래픽을 단순 데이터(data)로 취급하여 웹공격에 사용 될 수 있는 주요 명령어, 단어, data 등을 검사할 수 있는 요소이고, 정규식은 단순 패턴보다 발전된 형식으로서 패턴을 문법으로 구성하여 다양한 조건의 패턴 검사가 가능하도록 한 것이다. 이하에서는 상기에서 언급된 패턴 및 정규식을 통칭하여 간단히 패턴이라 한다. 즉, 이하의 설명에서 블랙 리스트란, 패턴 및 정규식을 모두 포함하는 의미로 사용된다.In addition, a black list should be constructed to check web traffic coming into the white list range. In other words, a black list is a database composed of patterns and regular expressions that can detect web attacks. Here, the pattern is an element that can examine the main commands, words, data, etc. that can be used in web attacks by treating web traffic as simple data, and the regular expression is an advanced form than the simple pattern. This is to enable pattern inspection of various conditions. Hereinafter, the above-mentioned patterns and regular expressions are collectively referred to simply as patterns. That is, in the following description, a black list is used to mean both a pattern and a regular expression.
한편, 상기한 바와 같이 종래의 패턴 매칭 엔진은, 화이트 리스트(white list)로부터 탐지대상을 분류하고 블랙 리스트(black list)로 웹트래픽을 검사하는 방법으로서, 종래의 패턴 매칭 엔진은 다음과 같은 문제점을 내포하고 있다. Meanwhile, as described above, the conventional pattern matching engine is a method of classifying detection targets from a white list and inspecting web traffic with a black list. The conventional pattern matching engine has the following problems. It implies
첫째, 종래의 패턴 매칭 엔진은 지속적인 패턴 관리(유지, 관리 비용 증가)가 요구된다. 즉, 신규 공격, 기존 공격의 변형 공격이 발생할 경우에 대비한 패턴 업데이트와 같은 패턴 추가가 요구된다. 또한, 패턴이 많아질수록 웹 방화벽의 성능저하가 발생되는 구조로서, 웹방화벽은 일정수준의 웹서비스 성능을 보장하기 위하여 전체 등록 가능한 패턴의 양이 한정되어 있고, 따라서, 비사용 패턴을 주기적으로 제거해야 신규 공격을 탐지할 패턴을 추가할 수 있는바, 패턴 제거과정과 같은 패턴 관리가 요구된다.First, conventional pattern matching engines require continuous pattern management (maintenance, increased management costs). In other words, it is required to add a pattern such as a pattern update in case a new attack or a modified attack of an existing attack occurs. In addition, as the number of patterns increases, the performance of the web firewall is degraded. In order to guarantee a certain level of web service performance, the web firewall is limited in the total amount of patterns that can be registered. You need to remove it before you can add a pattern to detect new attacks, which requires pattern management like pattern removal.
둘째, 종래의 패턴 매칭 엔진은 웹서버의 공격에 대한 근본적인 취약성을 내포하고 있다. 즉, 종래의 패턴 매칭 엔진은 해당 패턴과 정확히 일치하는 웹공격만을 탐지할 수 있기 때문에, 약간의 변형이나 새로운 구성 및 배열로 이루어진 웹공격에 대해서는 새로운 패턴으로 탐지해야 한다. 즉, 웹공격에 대한 출현이 발생해야만 탐지 가능한 패턴이 생성될 수 있다. 이것은, 새로운 형태의 웹공격이 웹서버 를 공격할 경우 웹방화벽이 이를 방어하지 못함을 의미한다. 또한, 화이트 리스트(White list)를 구축하기 위한 최소 기간이 필요하며, 이 기간 동안 웹 방화벽은 정상적인 방어기능을 수행할 수 없다. 즉, 웹서비스가 변경될 경우마다 화이트 리스트(ite list)를 갱신해야 하며, 이러한 갱신은 웹서비스를 실행시킨 상태에서 해야하므로(웹트래픽의 흐름을 추적해서 구축해야 하므로) 이 시간동안 웹서비스는 웹공격에 그대로 노출될 수 있다. 또한, 화이트 리스트(White list)는 웹서비스별로 다르기 때문에 관리자가 직접 구축해야하며, 이 과정에서 많은 문제점이 발생할 수 있다. 즉, 관리자가 등록하지 못한 탐지 대상으로 웹공격이 침입 시 탐지하지 못하는 문제가 발생될 수 있다. Second, the conventional pattern matching engine contains a fundamental vulnerability to the attack of the web server. That is, since the conventional pattern matching engine can detect only web attacks that exactly match the pattern, it must be detected as a new pattern for web attacks composed of slight modifications or new configurations and arrangements. That is, a detectable pattern may be generated only when an appearance of a web attack occurs. This means that if a new type of web attack attacks a web server, the web firewall will not defend it. In addition, a minimum period of time is required to build a white list, during which the Web firewall cannot perform normal defenses. In other words, every time a web service changes, the white list must be updated, and this update must be performed while the web service is running (because it needs to track and build the flow of web traffic). It can be exposed to web attacks. In addition, the white list is different for each web service, so the administrator must build it himself, and many problems may occur in this process. That is, a problem that a web attack cannot detect when an attack is detected by a target that an administrator does not register may occur.
셋째, 웹서비스 성능과 웹공격 방어 능력 중 어느 하나를 선택해야 한다는 문제점이 있다. 즉, 패턴 매칭 엔진의 웹 방어 효과는 패턴의 개수와 비례하고 있으나, 웹트래픽을 모든 패턴과 1:1로 비교하는 패턴 매칭 엔진의 웹트래픽 처리 성능은 패턴과 반비례하고 있기 때문에, 둘 중 어느 하나의 성능이 저하될 수 밖에 없다. 따라서, 웹서비스 품질(서비스 제공 속도)과 웹서비스 보안 중 어느 하나를 포기해야 하는 문제점이 발생한다. Third, there is a problem in that one of the web service performance and the web attack defense ability must be selected. That is, the web defense effect of the pattern matching engine is proportional to the number of patterns, but the web traffic processing performance of the pattern matching engine that compares web traffic with all patterns 1: 1 is inversely proportional to the pattern. Will inevitably decrease performance. Therefore, a problem arises in that one of the web service quality (service providing speed) and web service security must be abandoned.
상기한 바와 같은 종래의 웹서버 보안 방법의 문제점을 간단히 요약하면, 우선, 패턴 매칭 방식을 활용하고 있기 때문에 새로운 공격 방식에 대응하기 어렵고, 주기적으로 패턴을 업데이트해야 하기 때문에 패턴이 많아질수록 동작 성능저하의 우려가 커지고, 관리자가 일일이 정책을 설정해야 하기 때문에 매우 숙련된 관리자가 아닐 경우 복잡한 기능은 사용하지 않게 되며, 빈번한 오탐으로 인해 대량의 로 그가 발생하기 때문에 관리자가 대량의 로그를 일일이 확인하고 대응하기 어려우며, 정책 설정을 위해 보안 모듈의 긴 학습이 필요한 경우가 많다는 문제점을 가지고 있다. Briefly summarizing the problems of the conventional web server security method as described above, first, since the pattern matching method is used, it is difficult to cope with a new attack method, and since the pattern must be updated periodically, the operation performance increases as the pattern increases. The risk of degradation is high, and administrators must set policies individually, so if you are not a very experienced administrator, you will not use complex functions.As a result of frequent false positives, a large number of logs will cause administrators to check large volumes of logs. It is difficult to cope with it, and there is a problem that a long learning of the security module is often required for policy setting.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 웹트래픽 유형을 그룹화하여 분류하고, 분류된 웹트래픽 유형별로 웹공격을 차단할 수 있는 보안규칙을 구축한 상태에서 웹트래픽이 수신되면, 수신된 웹트래픽이 해당되는 분류를 선택하며, 선택된 분류에서 제공되는 보안규칙을 이용해 웹공격을 탐지하여 차단할 수 있는, 보안규칙 기반의 웹공격 탐지 방법을 제공하는 것이다. An object of the present invention for solving the problems described above, when the web traffic is received in a state in which a security rule that can group and classify web traffic types and block web attacks for each classified web traffic type, It is to provide a security rule based web attack detection method that can select and classify web traffic and detect and block web attack using security rules provided in selected category.
상기 목적을 달성하기 위한 본 발명은, 웹트래픽 유형 및 웹공격 유형을 정의하고, 웹트래픽 분류별로 웹공격을 차단할 수 있는 보안규칙들을 구축하는 정의 단계; 사용자 단말기 및 웹서버 간에 전송되는 웹트래픽을 수신하는 수신 단계; 상기 수신 웹트래픽을 상기 웹트래픽 유형에 따라 분류하는 분류 단계; 상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽에 웹공격이 존재하는지 또는 실행 가능한 웹공격이 존재하는지에 대하여 탐지하는 이상탐지 단계; 상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽이 서비스 수행이 가능한 내용 인지를 평가하여 정상적인 웹트래픽인지의 여부를 검증하는 컨텐츠 평가 단계; 및 상기 이상탐지 단계 및 상기 컨텐츠 평가 단계에서 웹공격으로 판단되지 않은 경우에는, 상기 수신 웹트래픽을 정상적으로 전송하며, 상기 이상탐지 단계 또는 상기 컨텐츠 평가 단계에서 웹공격으로 판단된 경우에는 상기 수신 웹트래픽의 전송을 차단하는 대응 단계를 포함한다.The present invention for achieving the above object, defining a web traffic type and web attack type, and defining a security rule that can block the web attack for each web traffic classification; A receiving step of receiving a web traffic transmitted between a user terminal and a web server; A classification step of classifying the received web traffic according to the web traffic type; Among the security rules, whether a web attack exists or an executable web attack exists in the received web traffic using security rules that can detect a web attack whose matching web traffic matches the corresponding classification. Detecting an abnormality step; Among the security rules, by evaluating whether the received web traffic is capable of performing a service by using security rules for detecting a web attack matched with a corresponding classification, the received web traffic is a normal web traffic. A content evaluation step of verifying whether or not; And when the web attack is not determined in the abnormal detection step and the content evaluation step, the received web traffic is normally transmitted. When the web detection is determined in the abnormal detection step or the content evaluation step, the received web traffic is detected. The corresponding step of blocking the transmission of the.
본 발명은 웹트래픽 유형을 그룹화하여 분류하고, 분류된 웹트래픽 유형별로 웹공격을 차단할 수 있는 보안규칙을 구축한 상태에서 웹트래픽이 수신되면, 수신된 웹트래픽이 해당되는 분류를 선택하며, 선택된 분류에서 제공되는 보안규칙을 이용해 웹공격을 탐지하여 차단함으로써, 반복적인 패턴 업데이트 없이도 다양한 웹공격으로부터 웹서버를 보호하여, 웹서버의 보안 상태를 유지할 수 있다는 효과를 가지고 있다. According to the present invention, when a web traffic is received in a state in which a web traffic type is grouped and classified, and a security rule for blocking a web attack is constructed according to the classified web traffic types, the received web traffic is selected and selected. By detecting and blocking web attacks by using the security rules provided in the classification, the web server is protected from various web attacks without repetitive pattern updates, thereby maintaining the security status of the web server.
즉, 본 발명은 웹서버의 동작에 부정적 영향을 줄 우려가 있는 사항들을, 보안규칙의 집합체인 보안정책을 이용해 이상 현상을 탐지함으로써, 알려진 공격이 아니더라도 미리 웹서버의 취약점을 보호할 수 있으며, 새로운 공격에도 융통성 있게 대응할 수 있다는 효과를 가지고 있다. That is, the present invention detects anomalies using a security policy, which is a set of security rules, for matters that may adversely affect the operation of the web server, so that the vulnerability of the web server can be protected in advance even if it is not a known attack. It has the effect of being able to respond flexibly to new attacks.
부연하여 설명하면, 본 발명은 반복적인 패턴 업데이트 없이도 새로운 공격에 대응이 가능하며, 따라서, 빈번한 공격 패턴 업데이트로 인한 관리 부담을 줄일 수 있다는 효과를 가지고 있다.In detail, the present invention can cope with a new attack without repetitive pattern update, and thus has an effect of reducing the management burden due to frequent attack pattern updates.
또한, 본 발명은 웹트래픽을 일정한 분류 체계에 의해 자동적으로 분류하여 처리하므로, 방어할 대상을 일일이 지정할 필요가 없기 때문에, 관리자의 개입이 불필요하며, 관리자의 실수에 의한 휴먼 에러(human error) 발생이 없다는 효과를 가지고 있다. 즉, 본 발명은 보안 엔진의 학습 시간을 줄이거나 없애는 방법으로서, 빠른 시간 안에 웹 방화벽을 설정하여 사용할 수 있게 한다는 효과를 가지고 있다.In addition, since the present invention automatically classifies and processes web traffic by a certain classification system, there is no need to specify a target to be defended, and thus no administrator intervention is required, and a human error occurs due to an administrator's mistake. This has no effect. That is, the present invention is a method of reducing or eliminating the learning time of the security engine, and has the effect of enabling a web firewall to be set up and used quickly.
또한, 본 발명은 단계별 세션 검열을 통해 오탐율을 낮출 수 있다. 즉, 본 발명은 다양한 보안규칙과 진보된 웹방화벽 엔진을 활용하여 오탐(웹공격이 아닌 웹트래픽을 웹공격으로 오인하여 탐지) 및 미탐(웹공격임에도 불구하고 이를 탐지하지 못함)율을 줄일 수 있도록 한다는 효과를 가지고 있다. In addition, the present invention can lower the false positive rate through the step-by-step session screening. That is, the present invention utilizes various security rules and advanced web firewall engines to reduce false positives (misbehaving by detecting web traffic rather than web attack) and non-detecting (not detecting this despite web attack). It has the effect of making it work.
이하, 첨부된 도면을 참조하여 본 발명이 상세히 설명된다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템의 일실시예에 대한 구성도이다. 도 2는 본 발명에 적용되는 보안서버(30)의 구성을 나타낸 예시도이다.1 is a configuration diagram of an embodiment of a communication system to which a security rule based web attack detection method according to the present invention is applied. 2 is an exemplary view showing a configuration of a
본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은, 인터넷과 같은 네트워크 상에서 다양한 서비스를 제공하고 있는 웹서버를 다양한 형태의 웹공격으로부터 보호하기 위한 것으로서, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템은 도 1에 도시된 바와 같이, 온라인 쇼핑몰, 온라인 금융, 전자도서관 등과 같은 다양한 웹서비스를 제공하는 웹서비스 시스템(20) 및 웹서비스 시스템에 접속하기 위하여 사용자들이 이용하는 사용자 단말기(10)들로 구성되어 있다.Security rule-based web attack detection method according to the present invention, to protect the web server providing a variety of services on the network, such as the Internet from various types of web attack, security rule-based web attack detection according to the present invention As shown in FIG. 1, a communication system to which the method is applied includes a
웹서비스 시스템(20)은 상기한 바와 같이 다양한 웹서비스를 제공하고자 하는 관리자가 운영하는 시스템으로서, 웹서비스 시스템은 도 1에 도시된 바와 같이, 실질적으로 서비스(컨텐츠)를 제공하는 하나 이상의 웹서버(40)들을 포함하여 구성되어 있으며, 또한, 네트워크와 웹서버들 사이에는 방화벽으로 이용되고 있는 보안서버(30)가 구비되어 있을 수도 있다. 한편, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 웹서비스 시스템 중 웹서버(40)에서 개별적으로 구현될 수도 있으나, 보안서버(웹방화벽)가 구축되어 있는 웹서비스 시스템의 경우에는 보안서버(30)를 통해 구현될 수도 있다. 즉, 별도의 보안서버가 구축되어 있지 않은 웹서비스 시스템에서는 웹서버를 통해 일반적인 서비스 제공과 함께 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 구현할 수 있으며, 별도의 보안서버가 구축되어 있는 웹서비스 시스템의 경우에는 실질적으로 서비스를 제공하는 웹서버와 분리된 보안서버를 통해 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 구현할 수도 있다.The
이하에서는 설명의 편의상, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 보안서버(웹 방화벽)에서 실행되는 것으로 설명되겠으나, 상기한 바와 같이 웹서버 자체에서도 동일한 방법으로 실행될 수 있다. 또한, 본 발명에서 보안서버란 웹 방화벽을 말하는 것으로서, 이하에서는 간단히 웹 방화벽을 보안서버라 통일하여 칭하겠다.Hereinafter, for convenience of description, the security rule-based web attack detection method according to the present invention will be described as being executed in a security server (web firewall), as described above can also be executed in the same manner in the web server itself. In addition, in the present invention, the security server refers to a web firewall, hereinafter, the web firewall will be referred to simply as a security server.
보안서버(30)는 상기한 바와 같이 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 실현시키는 주체로서, 일반적인 웹서버 또는 컴퓨터 등과 같이 제어부, 입력부, 출력부, 저장부 등을 기본적으로 구비하고 있다. 한편, 본 발명은 오탐율이 매우 낮은 고성능 웹방화벽 개발을 위한 것으로서, 본 발명에 적용되는 보안서버는 도 2에 도시된 바와 같이, 네트워크 플랫폼(201), 다단계 세션 검열 엔진(202), 세션 검열 정책 모듈(203), 사용자 인터페이스 모듈(204), 내부데이터베이스(205)로 구성될 수 있다. The
우선, 네트워크 플랫폼(201)은 효율적인 패킷 처리를 위한 모듈로서, 보안서버(웹 방화벽) 전용 운영체제로 구현될 수 있고, 네트워크 플랫폼에서 관리되는 패킷은 세션 정보로 관리되며, 다단계 세션 검열 엔진에서 이상 유무가 판단될 수 있다.First, the
다음으로, 다단계 세션 검열 엔진(202)은 HTTP 요청과 HTTP 응답에 대해서 동작하는 것으로서, 세션 검열 단계를 5단계로 세분화하고 있는바, HTTP 표준 부합 검사 단계, URI 접근 제어 단계, 보안규칙 위반 탐지 단계, 보안위반 대응 단계 및 탐지로그 저장 단계로 구분될 수 있으며, 특히, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은, 보안규칙 위반 탐지 단계에 해당하는 것이다. 이러한, 다단계 세션 검열 과정은 이하에서 도 3을 참조하여 상세히 설명된다. 한편, 본 발명은 상기한 바와 같이 세션 검열 단계가 적절히 모듈화 되어 있기 때문에, 향후 세션 검열 엔진 업데이트를 효과적으로 수행할 수 있으며, 단계별로 HTTP 요청을 검사함으로써, 동작 성능을 향상시킬 수 있다. Next, the multi-level
다음으로, 세션 검열 정책 모듈(203)은 웹트래픽 유형 및 웹공격 유형을 정 의하고, 웹트래픽 유형별 웹공격 유형을 매칭시키며, 예외처리 패턴을 등록시키는 기능을 수행한다.Next, the session
다음으로, 사용자 인터페이스 모듈(204)은 다양한 형태의 인터페이스를 제공하는 기능을 수행한다.Next, the
마지막으로, 내부데이터베이스(205)는 보안 위반 탐지 및 대응 상태를 탐지로그로 저장한다. 로그 항목에는 탐지규칙, 탐지근거, 공격IP, 대상URL, 탐지시각, 대응 종류가 있다.Finally, the
사용자 단말기(10)는 사용자들이 웹서버에 접속하기 위해 사용하는 단말기로서, 현재 널리 이용되고 있는 개인용 컴퓨터가 될 수 있으며, 그 외에도 네트워크를 통해 웹서버와 통신이 가능한 다양한 종류의 유무선 단말기들이 적용될 수도 있다.The
도 3은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법의 일실시예에 대한 흐름도이다. 3 is a flowchart illustrating an embodiment of a web server security method to which a security rule-based web attack detection method according to the present invention is applied.
본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법은, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100), 웹트래픽 수신 단계(200), HTTP 표준 부합 검사 단계(300), URI 접근 제어 단계(400), 보안규칙 위반 탐지 단계(500), 보안위반 대응 단계(600) 및 탐지로그 저장 단계(700)를 포함하여 구성된다. 여기서, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 특히, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100), 웹트래픽 수신 단계(200) 및 보안규칙 위반 탐지단계(500)를 포함하고 있으나, 그 범위를 확장하면, 상기 모든 단계를 포함할 수도 있다. 한편, 상기한 바와 같이, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 웹서버 자체에서도 실행될 수 있으나, 이하에서는 설명의 편의상 보안서버(웹 방화벽)에서 실행되는 것을 일예로 하여 본 발명이 설명된다.The web server security method to which the security rule-based web attack detection method according to the present invention is applied includes the steps of defining a web traffic type and a web attack type (100), a web traffic receiving step (200), and an HTTP standard conformance checking step ( 300), URI
제1단계로서, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100)는, 기 설정된 기준에 의해, 웹 컨텍스트(Web context)의 성향(웹서비스의 내용, 종류 등)에 따라 웹트래픽을 분류하고, 웹공격 유형을 그 특성 또는 종류에 따라 분류하고, 웹트래픽 유형별로 웹공격 유형을 매칭시키며, 예외처리 패턴을 등록하는 과정이다. 즉, 사용자가 웹서비스를 이용하기 위해 웹서버(또는 웹서비스 시스템)에 웹트래픽을 요청(request)하고 웹트래픽을 응답(response)받는 과정에서 사용되는 웹트래픽은 웹서비스의 목적, 대상, 결과 등의 성향에 따라 분류될 수 있는바, 본 발명을 실행하기에 앞서 이러한 분류 기준이 설정되어야 한다. 부연하여 설명하면, 종래의 패턴 매칭 엔진에서 사용하는 화이트 리스트(white list)의 경우에는, 웹서비스를 수행하는 웹사이트의 페이지별 세부 항목이 정확히 지정되어야 하는데, 이것은, 탐지 패턴을 모든 웹트래픽과 비교할 때 발생하는 서비스 부하 등을 막기 위하여 미리 정의한 탐지대상(화이트 리스트)을 이용하는 웹트래픽만을 검사하려는 것이다. 즉, 종래의 패턴 매칭 엔진은 무수히 많이 발생하는 웹트래픽 중 탐지 대상을 사용하는 웹트래픽에 대해서만 패턴 검사를 수행함으로써 패턴 검사의 시간을 절약하여 전체적인 웹서비스 품질 저하를 막으려는 것이나, 이러한 대상 지정은 관리자가 직접 지정해야 하며, 웹서비스의 규모에 따라 그 양이 무수히 많을 수 있기 때문에, 관리자의 실수로 인하여 잘못된 대상 리스트를 구축할 수 있으며 전체적인 보안 성능이 소수 관리자 능력에 의지하는 불안전한 모습을 보이게 된다. 그러나, 본 발명에서는 관리자가 웹서비스 컨텐츠의 성향(웹컨텍스트)에 따라 웹트래픽을 분류하는 기준을 설정해 놓으면, 보안서버가 상기 기준에 따라 웹트래픽을 분류하게 됨으로, 관리자의 인위적인 실수로 인해 발생할 수 있는 화이트 리스트(white list)의 오류(타겟이 빠지거나 잘못된 타겟을 지정하는 경우 등) 걱정 없이 모든 웹트래픽을 검사할 수 있으면서도 분류된 항목에 특화된 웹공격 탐지 기법(보안규칙)을 적용하여 어떠한 환경에서도 일정한 웹서비스 품질을 보장할 수 있도록 하고 있다. 이러한 웹트래픽 분류 방법은 다음과 같다. 즉, 웹트래픽은 방향성에 따라 사용자가 웹서비스를 요청하는 요청(request)과, 요청(request)의 결과로 웹서버가 웹서비스를 제공하는 응답(response)으로 크게 구분된다. 또한, 요청(request)은 다시 웹컨텍스트에 따라 URI, Cookie, Parameter, script, SQL Query, File upload, Browser Type 등으로 세분화될 수 있고, 응답(Response)은 다시 웹컨텍스트에 따라 HTML 웹 페이지, 게시판, File download, Database, Cookie 등으로 세분화될 수 있다. 즉, 본 발명은 웹트래픽을 전수검사 하면서도 상기와 같은 분류 기준으로 웹트래픽을 체계적으로 분류하여, 분류별로 최적화된 탐지절차로 넘김으로써 탐지 속도 저하를 방지할 수 있다.In the first step, the step of defining the web traffic type and the web attack type (100) classifies the web traffic according to the propensity (content, type, etc. of the web context) of the web context based on a predetermined criterion. And classify web attack types according to their characteristics or types, match web attack types by web traffic types, and register exception handling patterns. That is, the web traffic used in the process of requesting web traffic from the web server (or web service system) and receiving the web traffic in order to use the web service is the purpose, object, and result of the web service. The classification criteria may be set before implementing the present invention, as may be classified according to the propensity. In detail, in the case of a white list used in a conventional pattern matching engine, detailed items for each page of a web site that performs a web service must be specified correctly. In order to prevent the service load that occurs when comparing, we only want to inspect web traffic using a predefined detection target (white list). That is, the conventional pattern matching engine attempts to prevent the deterioration of the overall web service quality by saving the time of pattern checking by performing pattern checking only on web traffic that uses detection targets among countless web traffics. Since the administrator has to specify it manually and the amount can vary greatly depending on the size of the web service, it is possible to build a wrong target list due to the administrator's mistake and make the overall security performance insecure depending on the few administrator's ability. do. However, in the present invention, if the administrator sets the criteria for classifying the web traffic according to the propensity (web context) of the web service contents, the security server classifies the web traffic according to the criteria, which may occur due to an artificial mistake of the administrator. Any web traffic can be inspected without worrying about errors in the white list (such as missing targets or specifying wrong targets) while applying web attack detection techniques (security rules) specific to the classified items. Also guarantees a certain web service quality. This web traffic classification method is as follows. That is, web traffic is largely classified into a request for requesting a web service by a user and a response for providing a web service by a web server as a result of the request. In addition, the request can be further subdivided into URI, Cookie, Parameter, script, SQL Query, File upload, Browser Type, etc. according to the web context, and the response is again based on the web context. It can be subdivided into files, file downloads, databases, and cookies. That is, the present invention can prevent the degradation of the detection speed by systematically classifying the web traffic based on the above classification criteria while passing the full inspection of the web traffic, and passing the detection procedure optimized for each classification.
또한, 상기 과정(100)에는 웹트래픽 분류별로 웹공격을 차단할 수 있는 보안규칙(룰, RULE)을 구축하는 과정도 포함된다. 즉, 보안규칙을 구축한다는 것은 각 웹트래픽 분류별로 웹공격의 유형을 그룹화하여 정의된 항목에서 각 웹공격의 유형 에 따라 웹공격을 차단할 수 있는 솔루션을 구축하는 것으로서, 예를 들어, 본 발명에서는 웹공격에 따른 차단 방법을 다수개의 보안규칙으로 구축할 수 있다. 즉, 본 발명은 수신된 웹트래픽이 웹트래픽 분류기준에 따라 분류된 웹트래픽 분류 중 어느 분류에 해당하는지를 판단하여, 판단된 웹트래픽 분류에 적용가능한 보안규칙들을 이용하여 웹공격을 탐지한 후, 탐지결과, 웹공격으로 판단되는 경우, 웹트래픽 보안위반 대응 과정(500)을 통해 차단함으로써, 웹서버를 보호하는 방법에 관한 것이다. In addition, the
웹공격의 유형은 다음과 같이, 권한 획득(상위자 권한 획득 또는 권한 조종 등), Data 수집(중요 자료 및 정보 수집 등), Data 파괴(웹서비스 파괴, 중단 또는 변조 등), Data 배포(악성코드, 웜 등의 배포) 등으로 구분될 수 있으며, 이러한 구분에 따라 실질적으로 웹공격을 차단할 수 있는 보안규칙에 대하여는 이하에서 도 4를 참조하여 상세히 설명된다. 한편, 웹트래픽 분류기준에 의해 분류된 웹트래픽은 상기 웹공격 유형 중에서 일부 또는 전부의 공격이 가능한바, 보안규칙이 구축되어 있는 경우, 하나의 웹트래픽에 대하여는 적어도 하나 이상의 보안규칙이 적용되어 웹공격 여부를 판단할 수 있다. 예를 들어, 수신된 웹트래픽이 웹트래픽 분류 중 Database에 해당되고, Database에 대해 가능한 웹공격을 차단할 수 있는 보안규칙이 5개인 경우에는, 수신된 웹트래픽에 대하여 5개의 보안규칙을 이용하여 웹공격 여부를 판단하며, Database에 대해 가능한 웹공격을 차단할 수 있는 보안규칙이 10개인 경우에는, 수신된 웹트래픽에 대하여 10개의 보안규칙을 이용하여 웹공격 여부를 판단할 수 있다.The types of web attacks are as follows: Acquisition (such as acquiring superior authority or manipulating authority), Data collection (eg, collection of important data and information), Data destruction (Web service destruction, interruption or tampering, etc.), Data distribution (malware) , Distribution of worms, etc.), and security rules that can substantially block web attacks according to this classification will be described in detail with reference to FIG. 4 below. On the other hand, web traffic classified by the web traffic classification criteria can be attacked in part or all of the web attack types, when security rules are constructed, at least one security rule is applied to one web traffic web Can determine whether an attack. For example, if the received web traffic corresponds to a database during web traffic classification, and there are five security rules that can block possible web attacks against the database, the web traffic is received using five security rules for the received web traffic. If there are 10 security rules that can block the web attack possible against the database, the web attack can be determined using the 10 security rules for the received web traffic.
제2단계로서, 웹트래픽을 수신하는 단계(200)는, 웹서비스 시스템(20)이 실질적인 서비스를 제공하는 경우에, 사용자 단말기 및 웹서버 간에 전송되는 웹트래픽을 수신하는 과정을 말한다. 즉, 웹트래픽을 수신하는 단계(200)는 보안서버가 웹트래픽을 수신하는 것으로서, 수신된 웹트래픽은 사용자 단말기로부터 네트워크를 통해 전송되어온 요청이거나, 또는 요청에 응대하여 웹서버로부터 네트워크로 전송되어질 응답일 수도 있다.As a second step, the
제3단계로서, HTTP 표준 부합 검사 단계(300)는, 보안서버가 수신된 웹트래픽에 대하여 HTTP 표준 검사 과정을 통해 HTTP 요청이나 응답이, HTTP 표준에 맞지 않은 경우를 검사하는 것으로서, 표준에 적합할 경우는 다음 단계(400)로 웹트래픽을 다음 단계로 통과 시키며, 표준에 적합하지 않을 경우에는 보안 위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다. 한편, 이하의 도 4에 대한 설명에서 언급되는 보안규칙의 하나의 예인 invalid HTTP 보안규칙은 HTTP 표준 부합 검사 단계에서 적용될 수 있다. As a third step, the HTTP standard
즉, 본 발명은 보안규칙 위반 탐지 단계(500)에서 보안규칙이 적용됨을 특징으로 하고 있으나, 그 범위가 확대될 경우, HTTP 표준 부합 검사 단계에서도 보안규칙이 적용될 수 있으며, 이 경우 invalid HTTP 보안규칙이 적용될 수 있다. 이러한 invalid HTTP 보안규칙은 수신된 웹트래픽 중, HTTP 규격이 아닌 경우 이를 차단하기 위한 것이다. 이러한 HTTP 규격이 아닌 웹트래픽은, 웜을 비롯한 각종 공격 도구들로부터 생성되어 비정상적으로 발생되는 요청이나 응답인 경우에 해당된다. 이러한 invalid HTTP 보안규칙이 적용되지 않는다면, 유해 웹트래픽으로 인해 웹 서비스가 정상적으로 이루어지지 못하고, 서비스가 다운되기도 하며, 웜에 의한 웹트래픽인 경우, 웜에 감염될 수도 있다. 이러한 경우, 웜의 확산은 짧은 시간동안 다량의 다른 시스템에 대해 이루어질 수도 있다.That is, the present invention is characterized in that the security rule is applied in the security rule
제4단계로서, URI 접근 제어 단계(400)는, 보안서버가 웹트래픽 유형 정의 과정(100)을 통해 각 URI에 대해서, 접근 가능한 부분들을 미리 화이트 리스트로 관리할 수 있으며, URI 접근 제어 과정을 통해 화이트리스트에 포함된 URI는 다음 단계(500)로 통과시키고, 잘못된 URI가 탐지되면 보안 위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다. As a fourth step, the URI
한편, 이하의 도 4에 대한 설명에서 언급되는 보안규칙의 하나의 예인 URI access control 보안규칙은 URI 접근 제어 단계에서 적용될 수 있다. 즉, 본 발명은 보안규칙 위반 탐지 단계(500)에서 보안규칙이 적용됨을 특징으로 하고 있으나, 그 범위가 확대될 경우, URI 접근 제어 단계에서도 보안규칙이 적용될 수 있으며, 이 경우 URI access control 보안규칙이 적용될 수 있다. 이러한, URI access control 보안규칙은 사용자에게 정상적인 URI만을 접근할 수 있도록 허용하는 기능을 수행하는 것으로서, 이에 의해, 사전에 허가되지 않은 URI는 접속할 수 없다. 즉, URI access control 보안규칙이 적용되지 않는다면, 관리가 되고 있지 않거나, 관리자가 알지 못하는 위험한 URI를 공격자가 이용할 수 있으며, 공격자는 백도어를 심거나, 웹 서버가 동작하는 시스템의 관리권을 획득할 수도 있다.Meanwhile, the URI access control security rule, which is one example of the security rule mentioned in the description of FIG. 4 below, may be applied in the URI access control step. That is, the present invention is characterized in that the security rule is applied in the security rule
제5단계로서, 보안규칙 위반 탐지 단계(500)는, 수신된 웹트래픽의 웹공격 여부를 보안규칙을 이용하여 탐지하는 과정으로서, 탐지결과 수신된 웹트래픽이 보 안규칙에 위반되지 않는 경우에는 정상적으로 웹트래픽을 전송하며, 보안규칙에 위반되는 경우에는 보안위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다. As a fifth step, the security rule
제6단계로서, 보안위반 대응 단계(600)는, 보안서버가 상기 과정들(300, 400, 500)을 통해 웹공격으로 판단된 수신 웹트래픽에 대하여, 사용자 단말기 또는 웹서버로 전송하지 않는 한편, 보안규칙에서 규정하고 있는 방법으로 수신 웹트래픽을 처리하는 과정을 말한다.As a sixth step, the security
제7단계로서, 탐지로그 저장 단계(700)는, 보안서버가 상기 과정들(300, 400, 500, 600, 700)을 통해 발생된 각종 결과들을 로그로 저장하는 것으로서, 탐지 로그는 보안서버(웹 방화벽)의 내부 데이터베이스로 관리될 수 있으며, 로그 항목에는 탐지 규칙, 탐지 근거, 공격 IP, 대상 URL, 탐지 시각, 대응 종류 등이 포함될 수 있다. As a seventh step, the detection
한편, 상기한 바와 같은 웹서버 보안 방법 중 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법은, 특히, 웹트래픽 유형 및 웹공격 유형을 정의한 상태에서(100), 웹트래픽이 수신되면(200), 보안규칙을 이용하여 보안규칙 위반여부를 탐지하는 일련의 과정을 핵심으로 하는 것으로서, 보안규칙 위반여부 탐지 과정에서는 예외처리 패턴을 판단하는 과정이 추가될 수 있다. Meanwhile, the security rule-based web attack detection method according to the present invention among the web server security methods as described above, in particular, in the state in which the web traffic type and the web attack type are defined (100) and the web traffic is received (200). In this case, the process of detecting whether a security rule is violated using a security rule is the core. In the process of detecting a security rule violation, a process of determining an exception handling pattern may be added.
또한, 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법은 상기한 바와 같이 보안규칙 및 예외처리 패턴을 적용하여 웹공격 여부를 탐지하는 것으로서, HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 웹공격을 탐지하기 위해 적용될 수 있는 보안규칙이 설정되어 있다면, 상기 모든 과정, 즉, 도 3에 도시 된 웹서버 보안 방법은 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법이 될 수도 있다.In addition, the security rule-based web attack detection method according to the present invention is to detect whether or not the web attack by applying the security rule and exception processing pattern, as described above, HTTP standard
도 4는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법에 적용되는 보안정책의 구성을 나타낸 예시도로서, 보안정책은 본 발명에 적용되는 보안규칙들을 총칭하는 것이다.4 is an exemplary view showing the configuration of a security policy applied to the security rule-based web attack detection method according to the present invention, the security policy is a general term for the security rules applied to the present invention.
상기한 바와 같이, 본 발명은 수신되는 웹트래픽을 기 설정된 분류 기준에 따라 분류한 후, 선택된 분류와 매칭되어 있는 보안규칙을 적용하여 웹공격의 유무를 판단하는 것으로서, 보안규칙이란, 현재까지 밝혀진 웹공격 및 웹기술의 발전에 따라 가능한 웹공격을 분석 및 통계처리하여, 앞으로 발생될 웹공격을 차단할 수 있는 솔루션을 말하는 것이다. 즉, 보안규칙은 어느 하나의 특정 웹공격을 파악하여 차단하기 위한 것이 아니라, 예상되는 웹공격의 유형별로 차단하기 위한 것으로서, 상기한 바와 같이, 현재까지 발생된 웹공격들 및 예상되는 웹공격을 분석하여, 도출된 결과물이다. As described above, the present invention classifies the received web traffic according to a predetermined classification criterion, and then determines whether there is a web attack by applying a security rule matched to the selected classification. It refers to a solution that can block web attacks in the future by analyzing and statistically processing possible web attacks according to the development of web attacks and web technologies. That is, the security rule is not to identify and block any one specific web attack, but to block by type of anticipated web attack. As described above, the web attack and the anticipated web attack are generated. It is the result of analysis.
한편, 본 발명은 이러한 보안규칙의 예로서, 이중 몇 개의 보안규칙을 예로 하여 설명하면 다음과 같다.On the other hand, the present invention is described as an example of such a security rule, some of the security rules as follows.
첫 번째 예로서, Request Method Filtering 보안규칙은, HTTP 요청 가운데 불필요하거나 공격에 악용될 수 있는 HTTP Method를 사용하지 않도록 하는 것으로서, 이러한, Request Method Filtering 보안규칙이 적용되지 않는다면, 실행 가능한 요청이 제한 없이 받아들여져, 웹서버는 공격자의 모든 요청에 대해서 정확한 정보를 제공하게 되어 중요 정보에 대한 유출이 발생될 수 있으며, 공격자는 Put, Delete 등의 method를 통하여 서버의 데이터를 조작하거나 제거할 수도 있다. 즉, Request Method Filtering 보안규칙은 수신된 웹트래픽의 분류가 Request Method Filtering 보안규칙이 적용되는 경우에 보안서버에서 활성화되어, 상기한 바와 같이, 불필요하거나 공격에 악용될 수 있는 HTTP Method를 사용하지 않도록 하는 기능을 수행한다.As a first example, the Request Method Filtering security rule prevents the use of HTTP methods that are unnecessary or can be exploited in an HTTP request. Accepted, the web server provides accurate information for every request of the attacker, which can lead to the leakage of important information. The attacker can also manipulate or remove the server data through methods such as Put and Delete. That is, the Request Method Filtering security rule is activated in the security server when the classification of the received web traffic is applied to the Request Method Filtering security rule, so as not to use an HTTP method that is unnecessary or exploitable in an attack as described above. It performs the function.
두 번째 예로서, SQL Injection 보안규칙은, 웹 애플리케이션에 강제로 SQL 구문을 삽입하여 삽입된 SQL이 실행되도록 하는 공격을 막기 위한 것이다. 즉, 최근의 웹 애플리케이션은 대부분 DBMS와 연결되어 다양한 Web Service를 구현하고 있는바, 이러한 웹 애플리케이션에 강제로 SQL 구문을 삽입하여 삽입된 SQL이 실행되도록 하는 공격을 막기 위한 것으로서, 이러한 SQL Injection 보안규칙이 적용되지 않는다면, 공격자는 데이터베이스에서 임의의 데이터를 생성, 수정, 삭제할 수 있으며, 추가적으로 애플리케이션을 완전히 손상시키고, 시스템을 다운시킬 수도 있다.As a second example, the SQL Injection security rule is designed to prevent attacks that force embedded SQL statements into a web application to execute the embedded SQL. In other words, most recent web applications are connected to DBMS to implement various web services. This is to prevent attacks that force SQL statements to be executed by inserting SQL statements into these web applications. If this doesn't work, the attacker can create, modify, and delete arbitrary data from the database, further corrupting the application completely and bringing the system down.
세 번째 예로서, File Upload 보안규칙은, 실행 가능한 파일의 업로드를 막기 위한 것이다. 즉, 웹서버에 asp, php, css 등과 같은 실행 가능한 파일을 upload 할 수 있을 경우, 이러한 실행 파일들이 잠재적으로 공격에 이용될 수 있는바, File Upload 보안규칙이 적용되지 않는다면, Upload된 실행 파일이 웹서버에서 실행되어 공격자에게 웹서버의 관리권이 넘어갈 수도 있다. As a third example, the File Upload security rule is to prevent uploading of executable files. In other words, if an executable file such as asp, php, css, etc. can be uploaded to a web server, these executable files could potentially be used for an attack. If the File Upload security rules do not apply, the uploaded executable file will be It can run on a web server, giving the attacker control over the web server.
한편, 본 발명에서는 상기한 바와 같은 보안규칙들 외에도, Buffer Overflow, Cookie Poisoning, Cross Site Scripting, Directory Listing, Error Handling, Extension Filtering, Input Content Filtering, Include Injection, Invalid URI, IP Filtering, Parameter Tampering, Privacy File Filtering, Privacy Input/Output Filtering, Request Header Filtering, Response Header Filtering, Suspicious Access, Unicode Directory Traversal, User Defined, Web Site Defacement, IP Block 등과 같은 다수의 보안규칙들이 구축되어 있는바, 보안서버(30)는 웹트래픽이 수신되면, 각 단계(300 내지 500) 별로, 수신된 웹트래픽이 해당되는 분류에서 활성화되는 보안규칙을 구동함으로써, 웹공격을 차단할 수 있다.Meanwhile, in the present invention, in addition to the security rules as described above, Buffer Overflow, Cookie Poisoning, Cross Site Scripting, Directory Listing, Error Handling, Extension Filtering, Input Content Filtering, Include Injection, Invalid URI, IP Filtering, Parameter Tampering, Privacy A number of security rules such as File Filtering, Privacy Input / Output Filtering, Request Header Filtering, Response Header Filtering, Suspicious Access, Unicode Directory Traversal, User Defined, Web Site Defacement, IP Block, etc. have been established. When the web traffic is received, for each step (300 to 500), by running a security rule that is activated in the classification of the received web traffic can block the web attack.
한편, 본 발명에서는 상기한 바와 같은 보안규칙들을 총칭하는 의미로서, 보안정책을 이용하고 있다. 즉, 보안정책은 다양한 보안규칙의 집합으로서, 상기한 세션 검열 정책 모듈을 통해서 관리 및 실행될 수 있다.On the other hand, in the present invention, as a generic term for the security rules as described above, the security policy is used. That is, the security policy is a set of various security rules, and can be managed and executed through the session censoring policy module.
도 5는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법 중 보안규칙 위반 탐지 과정을 상세히 나타낸 예시도로서, 도 3에 도시된 보안규칙 위반 탐지 과정(500)을 상세하게 나타낸 것이다.5 is a detailed view illustrating a security rule violation detection process in the security rule-based web attack detection method according to the present invention, and shows the security rule
본 발명에 적용되는 보안규칙 위반 탐지 과정은 도 5에 도시된 바와 같이, 수신된 웹트래픽을 분류하는 과정(502), 웹트래픽 이상 여부를 탐지하는 과정(504) 및 컨텐츠를 평가하는 과정(506)으로 구분될 수 있으며, 상기 모든 과정을 통해 웹공격으로 판단되지 않는 웹트래픽만이 정상적으로 웹서버를 통해 수신되거나 웹서버를 통해 사용자 단말기로 전송될 수 있다. 여기서 웹트래픽 이상 여부를 탐지하는 과정은 접근 이상 탐지, Request 이상탐지, Response 이상 탐지를 포함한다.Security rule violation detection process applied to the present invention, as shown in Figure 5, the process of classifying the received web traffic (502), the process of detecting whether the web traffic abnormality (504) and the process of evaluating the content (506) Only web traffic that is not determined to be a web attack through the above process may be normally received through a web server or transmitted to a user terminal through a web server. The process of detecting web traffic anomaly includes access anomaly detection, request anomaly detection, and response anomaly detection.
한편, 상기 판단과정 중 웹공격으로 판단되는 경우에는 웹공격 유형에 따른 보안위반 대응 과정(600)이 실행된 후, 탐지로그가 저장될 수 있다(700). On the other hand, if it is determined that the web attack during the determination process, after the security
한편, 도 5에 도시된 과정은 도 3에 도시된 제1단계(100) 및 제2단계(200)를 필수적으로 거친 웹트래픽에 대하여 이루어진다. 또한, 도 3에 도시된 제3단계(300) 및 제4단계(400)는 제5단계(도 5에 도시된 과정)의 전단계 또는 후단계에 추가될 수 있으나, 전단계에 추가되는 것이 바람직하다.On the other hand, the process shown in FIG. 5 is performed for the web traffic essentially passed through the
우선, 도 3에 도시된 과정을 통해 웹트래픽이 수신되면(200), 보안서버는 수신된 웹트래픽이 도 3의 제1단계(100)에서 정의된 웹트래픽 유형 중 어떤 분류에 해당되는지를 판단하여 분류한다. 한편, 상기한 바와 같이 도 3에 도시된 제3단계(300) 및 제4단계(400)가 제5단계(500) 전에 실행되는 경우, 수신된 웹트래픽을 분류하는 과정(502)은 제3단계 또는 제4단계의 실행 시에 이미 이루어져 있을 수도 있음으로 생략될 수 있다.First, when a web traffic is received through the process illustrated in FIG. 3 (200), the security server determines which category of the web traffic types defined in the
수신된 웹트래픽에 대한 분류가 결정되면, 보안서버는 수신된 웹트래픽에 대하여 보안규칙을 이용하여 웹트래픽 이상탐지 과정을 진행한다(504). 이상탐지(Anomaly Detection) 과정은, 웹트래픽이 잠재적으로 웹공격(새로운 형태의 공격과 변종 공격을 포함)을 내포하고 있기 때문에, 웹트래픽에 웹공격이 존재하는지, 실행 가능한지에 대해 알아보는 절차로서, 다음과 같은 세가지 항목에 대한 검사를 수행한다. If the classification of the received web traffic is determined, the security server proceeds to detect the web traffic abnormality using the security rules for the received web traffic (504). The Anomaly Detection process is a process to find out whether a web attack exists and is feasible because web traffic potentially contains web attacks (including new types of attacks and variant attacks). In this case, the following three items are checked.
첫 번째 검사 항목은, 사용자가 보낸 REQUEST 웹트래픽이 정상적인 접근인지를 확인하는 것이다. 두 번째 검사 항목은, 사용자가 보낸 REQUEST가 일반적인 형 태의 HTTP REQUEST인지를 확인한다.셋 번째 검사 항목은, 일반적인 HTTP RESPONSE를 응답하는지를 확인하는 것이다. 이때, 보안서버는, 상기 각 절차 별 검사 조건을, 웹트래픽 유형별로 매칭되어 있는 웹트래픽 유형에 따라 특화된 조건, 즉, 보안규칙을 이용하여 검사한다. 예를 들어, HTTP REQUEST에는 파일 전송 요청과 함께 다양한 옵션을 설정할 수 있는 HTTP Header가 포함되어 있으며, 이러한 파일 전송 요청과 header를 의도적으로 조작할 경우 권한 획득, Data 수집 등의 예상치 못한 공격이 가능할 수 있다. 따라서, 이러한 경우를 미연에 방지하기 위하여 본 발명은 첫 번째 검사 항목에서는, 인증정보가 없거나 비정상적 인증(Client 정보를 변조했는지)으로 접근 시도를 했는지의 여부를 검사하고, 두 번째 검사 항목에서는, 파일 전송 요청이 비정상적으로 최상위 경로(../..)를 포함하는지, User-Agent의 Browser Type 정보(Mozilla/5.0, Opera/9.02 등)가 비정상적이거나 제거되었는지 등을 검사하며, 세 번째 항목에서는, RESPONSE로 요구되는 정보에 시스템 정보(웹 서버의 내부 정보) 또는 개인 정보(주민등록 번호, 신용카드 번호 등)가 포함되어 있는지의 여부를 검사한다. The first check is to verify that the REQUEST web traffic sent by the user is a normal approach. The second check checks to see if the REQUEST sent by the user is a normal HTTP REQUEST. The third check checks to see if it responds with a normal HTTP RESPONSE. At this time, the security server checks the inspection condition for each procedure using a condition specific to the web traffic type that matches each web traffic type, that is, a security rule. For example, HTTP REQUEST includes an HTTP Header that allows you to set various options with file transfer requests. If you intentionally manipulate these file transfer requests and headers, unexpected attacks such as privilege acquisition and data collection can be possible. have. Therefore, in order to prevent such a case in advance, the present invention checks whether the first inspection item has no authentication information or attempts to access with abnormal authentication (when the client information has been tampered with), and in the second inspection item, Check if the transfer request contains abnormal top level (../ ..), User-Agent Browser Type information (Mozilla / 5.0, Opera / 9.02, etc.) is abnormal or removed. It is checked whether the information required by RESPONSE contains system information (internal information of the web server) or personal information (resident registration number, credit card number, etc.).
웹트래픽 이상탐지 과정에서 웹공격이 탐지되지 않았다면, 다음 단계로, 보안서버는, 수신된 웹트래픽에 대하여 컨텐츠 평가 과정을 수행한다(506). 즉, 이상탐지 절차를 통과한 웹트래픽 일지라도, 정상적인 서비스가 아닌 웹트래픽일 수 있다. 따라서, 본 발명은 컨텐츠 평가 과정을 통해 웹트래픽이 서비스 수행 가능한 내용인지를 평가하여 정상적인 웹트래픽인지의 여부를 검증한다. 웹트래픽에 대한 컨텐츠 평가 과정은 다음의 절차를 따라 진행된다. If a web attack is not detected in the web traffic abnormality detection process, the security server performs a content evaluation process on the received web traffic (506). That is, even if the web traffic passes the abnormal detection procedure, it may be a web traffic rather than a normal service. Therefore, the present invention verifies whether the web traffic is normal web traffic by evaluating whether the web traffic is a service executable content through a content evaluation process. The content evaluation process for web traffic proceeds according to the following procedure.
첫 번째 절차는, REQUEST/RESPONSE 쌍이 서로 다른지의 여부를 판단한다. 두 번째 절차는, 사용자 단말기(CLIENT)가 처음 웹서버(40)에 접속하여 SESSION을 맺을 때 생성된 COOKIE정보가 변조되었는지의 여부를 판단한다. 예를 들어, REQUEST의 HEADER와 관련된 웹트래픽이 “이상탐지”를 무리없이 통과하여더라도, 본 발명은 첫 번째 절차에서 REQUEST HEADER의 내용과 구성이 RESPONSE HEADER의 내용과 일치하는지를 확인하며, 두 번째 절차에서 사용자 단말기(CLIENT)와 웹서버의 SESSION 정보를 기억하고 있는 COOKIE의 정보가 REQUEST/RESPONSE가 왔다갔다하는 사이에 변조되거나, HEADER의 정보와 불일치할 경우를 감시한다. The first procedure determines whether the REQUEST / RESPONSE pairs are different. The second procedure determines whether the COOKIE information generated when the user terminal CLIENT first connects to the
한편, 상기와 같은 이상탐지(504) 및 컨텐츠 평가(506) 과정은 다수의 보안규칙들 중 적어도 어느 하나의 보안규칙에 의하여 실행된다. 즉, 이상탐지 및 컨텐츠 평가 과정은, 보안규칙들 중에서, 수신된 웹트래픽 및 이와 매칭되어 있는 웹공격 유형별로 필요한 보안규칙들만을 선택하여 여러 개의 보안규칙들을 순차적으로 검사하는 것으로서, 보안서버는 수신된 웹트래픽이 선택된 모든 보안규칙들에 위배되지 않을 경우, 수신된 웹트래픽을 통과시키며, 보안규칙에 위반되는 사항이 탐지될 경우, 수신된 웹트래픽을 보안 위반 대응 과정(600)을 통해 처리할 수 있다. Meanwhile, the
상기한 바와 같이, 보안서버는 수신된 웹트래픽이 웹트래픽 분류 기준 중 어떤 분류에 해당되는지를 판단하며, 판단된 분류에 해당되는 보안규칙을, 이상탐지(504) 및 컨텐츠 평가(506) 과정에 적용하여, 수신된 웹트래픽을 구체적으로 평가함으로써, 수신된 웹트래픽이 웹공격을 위한 트래픽인지의 여부를 판단한다. 부연하여 설명하면, 수신된 웹트래픽은 잠재적으로 웹공격(새로운 형태의 공격과 변 종 공격을 포함)을 내포하고 있는바, 본 발명은 잠재된 웹공격이 가능한지에 대해 알아보기 위하여 우선, 수신된 웹트래픽의 기본정보들을 검사한 후, 각 분류별로 설정되어 있는 보안규칙을 적용하여 구체적으로 웹공격 여부를 판단하여 웹공격을 차단할 수 있다. 예를 들어, 게시판, Parameter, SQL query 등을 이용하여 Database 검색 및 결과를 요청하는 분류의 웹트래픽은 권한 획득, Data 수집 등의 공격을 시도할 수 있는바, 상기 분류에 해당되는 웹트래픽으로 판단되면, 보안서버는 이상탐지(504) 및 컨텐츠 평가(506) 과정에서, 상기 분류에 해당하는 보안규칙을 적용하여 웹트래픽의 웹공격 여부를 구체적으로 판단한다. 즉, 상기 예에서, 수신된 웹트래픽에 대해 SQL Injection 보안 규칙을 적용하도록 설정되어 있는 경우, 이상탐지(504) 및 컨텐츠 평가(506) 과정에서, 보안서버는 단순히 SQL Injection 패턴이 아닌 SQL 문법 규칙을 검사함으로써, 가능한 모든 SQL Injection에 대하여 대응할 수 있게 된다. 즉, 본 발명에 적용되는 보안규칙은 웹공격 패턴에 대한 1대1로 매칭되어 있는 것이 아니라, 변형 공격에 대응이 가능한 구축된 것으로서, 이러한 보안규칙의 집합은 보안정책으로서 관리된다. As described above, the security server determines which category of the web traffic classification criteria is received, and the security rule corresponding to the determined classification in the
또한, 보안 규칙은 도 4에 도시된 바와 같이, 탐지 방법, 대응 방법, 적응수준, 관련 패턴 등으로 구성된 것으로서, 탐지 방법 및 관련 패턴은 이상탐지 과정(504) 및 컨텐츠 평가 과정(506)에서 적용될 수 있으며, 대응방법은 보안 위반 대응 과정(600)을 통해 적용될 수 있다. 한편, 상기한 바와 같이, 보안규칙들은 HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 적용될 수 있는 것이나, 대부분의 보안규칙들은 보안규칙 위반 탐지 과정(500), 즉, 웹트래픽 이상 탐지 과정(504) 및 컨텐츠 평가 과정(506)에서 이용될 수 있다. 즉, HTTP 표준 부합 검사 또는 URI 접근 제어의 경우에는 웹트래픽의 기본적인 웹공격 성향을 파악하기 위한 것이나, 보안규칙 위반 탐지 과정은 웹트래픽에 대하여 구체적이고 엄격한 기준을 이용하여 웹공격 여부를 판단하기 위한 것으로서 다수의 보안규칙들이 적용된다.In addition, the security rule is composed of a detection method, a response method, an adaptation level, a related pattern, and the like, as shown in FIG. 4, and the detection method and the related pattern are applied in the
한편, 상기 이상탐지 및 컨텐츠 평가 과정(504, 506)을 통해 정상적인 웹트래픽이 아닌 것으로 판단된 웹트래픽에 대하여, 보안서버는 사용자 단말기 또는 웹서버로 전송하지 않는 한편, 보안규칙에서 규정하고 있는 방법으로 수신 웹트래픽을 처리한다(600). 즉, 보안서버는 세션 검열 정책 모듈의 보안규칙에 설정된 사항을 기준으로, 탐지된 보안 위반에 대해 대응하는바, 예를 들어, 연결을 차단(연결 끊기, 에러 코드 보냄, 다른 웹 페이지로 이동)하거나 보안규칙을 위반한 HTTP 요청 또는 응답이 보안 문제를 일으킬 수 없도록 웹트래픽의 내용을 변경할 수도 있으며, 블랙 리스트를 이용하여 보안 문제를 일으킨 웹 클라이언트의 IP주소를 관리할 수도 있다. 즉, 각 보안규칙은 도 4에 도시된 바와 같이, 상기와 같은 판단 과정에서 이용될 수 있도록 탐지방법이 규정되어 있을 뿐만 아니라, 보안 위반 대응 과정에서 이용될 수 있도록 대응방법이 규정되어 있다. 이때, 각 보안규칙은 적용 수준을 0~M까지 설정할 수 있으며, 0일 때는 보안 규칙을 적용하지 않고 큰 수 일 때는 더욱 엄격하게 보안 규칙을 적용하도록 할 수도 있다. On the other hand, for the web traffic that is determined to be not normal web traffic through the abnormality detection and content evaluation process (504, 506), the security server does not transmit to the user terminal or the web server, while the method prescribed in the security rules In
한편, 상기 이상탐지 및 컨텐츠 평가 과정(504, 506)을 통해 정상적인 웹트래픽이 아닌 것으로 판단된 웹트래픽에 대하여, 상기한 바와 같이 바로, 보안 위반 대응 과정(600)을 통해 처리할 수도 있으나, 본 발명은 부적합한 웹트래픽으로 판단된 웹트래픽에 대하여 다시 한번 부적합 여부를 판단하도록 하는 예외처리 패턴 과정을 더 포함할 수도 있다. 즉, 상기 탐지 과정들(504, 506)에 의해서 웹공격으로 판단되어 탐지되었지만, 웹서비스의 특성으로 발생한 특이한 형태의 웹컨텍스트(웹트래픽)의 경우 웹공격이 아닐 수도 있다. 즉, 일반적인 웹서비스 환경에서는 웹공격임에도 불구하고, 해당 사이트의 서비스 성격상 웹공격 형태의 절차, 방법 등을 사용하거나, 취약한 구조를 보완할 수 없는 경우가 발생할 수도 있다. 따라서, 본 발명은 이러한 경우를 대비하여, 웹서비스 시스템을 운영하는 관리자가, 예외처리 패턴을 직접 웹트래픽 유형 및 웹공격 유형 정의 과정(100)에서 등록할 수 있도록 함으로써, 특정 웹서버에서만 발생할 수 있는 오탐을 방지하고 있다. 부연하여 설명하면, 특정 웹서버의 경우에는, 일반적으로 웹공격으로 판단될 수 있는 웹트래픽을 이용하는 경우도 있을 수 있는바, 이러한 웹서버의 관리자는 이러한 특수한 웹트래픽에 대한 예외 패턴을 미리 설정해 둠으로써, 정상적인 웹트래픽이 웹공격으로 판단되어 차단되는 경우를 방지할 수 있다. 상기와 같은 예외 처리 패턴에 해당되는지의 여부 판단 결과, 예외 처리 패턴에 해당되지 않는 경우, 보안서버는 보안 위반 대응 과정(600)을 수행하며, 예외 처리 패턴에 해당되는 경우, 보안서버는 정상적인 웹트래픽으로 간주하여 수신된 웹트래픽을 네트워크를 통해 사용자 단말기로 전송하거나 웹서버로 전송한다. 이러한, 예외 처리 패턴을 판단하는 과정은 상기한 바와 같이 HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 실행될 수 있다.Meanwhile, the web traffic determined to be not normal web traffic through the abnormality detection and
따라서, HTTP 표준 부합 검사 과정, URI 접근 제어 과정 및 보안규칙 위반 탐지 과정을 통해 정상적인 웹트래픽으로 판단된 경우 및, 상기 판단들을 통해 부적합한 웹트래픽으로 판단되었으나, 예외 처리 패턴에 해당되는지의 여부를 판단하는 과정에 의해 다시 정상적인 웹트래픽으로 판단된 경우, 보안서버는, 수신된 웹트래픽을 네트워크를 통해 사용자 단말기로 전송하거나 웹서버로 전송함으로써, 사용자 단말기와 웹서버 간에 정상적인 통신이 이루어지도록 한다. Therefore, if it is judged as normal web traffic through the HTTP standard conformance check process, URI access control process, and security rule violation detection process, and it is determined as inappropriate web traffic through the above judgments, it is determined whether it is an exception handling pattern. When it is determined that the web traffic is normal again, the security server transmits the received web traffic to the user terminal through the network or to the web server, thereby allowing normal communication between the user terminal and the web server.
상기와 같은 도 5에 도시된 과정들 및, 도 3에 도시된 보안위반 대응 과정(600)이 진행되면, 보안서버는 도 3에 도시된 탐지로그 저장 과정(700)을 통해, 보안 위반 탐지 및 대응 상태를 탐지 로그로 저장한다. 여기서, 탐지 로그는 보안서버(웹 방화벽)의 내부 데이터베이스로 관리될 수 있으며, 로그 항목에는 탐지 규칙, 탐지 근거, 공격 IP, 대상 URL, 탐지 시각, 대응 종류가 포함될 수 있다. When the processes shown in FIG. 5 and the
본 발명은 지능적인 웹 방화벽을 구축하기 위한 것으로서, 본 발명은 Black List와 White List의 물리적인 결합이 아닌 웹 어플리케이션과 웹공격에 대한 최적의 방어 엔진을 설계하고 엔진 내부의 기능이 자연스럽게 Black List와 White List의 결합된 구현을 포함하고 있는 형태이다. The present invention is to build an intelligent web firewall, the present invention is to design an optimal defense engine for web applications and web attacks, not a physical combination of the black list and white list, and the internal function of the engine is naturally Contains a combined implementation of the White List.
이상 설명한 내용을 통해 당업자라면 본 발명의 기술사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다. 따라서, 본 발명의 기술적 범위는 명세서의 상세한 설명에 기재된 내용으로 한정되는 것이 아니라 특허 청구의 범위에 의해 정하여 져야만 할 것이다. Those skilled in the art will appreciate that various changes and modifications can be made without departing from the technical spirit of the present invention. Therefore, the technical scope of the present invention should not be limited to the contents described in the detailed description of the specification, but should be defined by the claims.
도 1은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템의 일실시예에 대한 구성도.1 is a block diagram of an embodiment of a communication system to which a security rule-based web attack detection method according to the present invention is applied.
도 2는 본 발명에 적용되는 보안서버의 구성을 나타낸 예시도이다. 2 is an exemplary view showing a configuration of a security server applied to the present invention .
도 3은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법의 일실시예에 대한 흐름도. 3 is a flowchart illustrating an embodiment of a web server security method to which a security rule-based web attack detection method according to the present invention is applied.
도 4는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법에 적용되는 보안정책의 구성을 나타낸 예시도.Figure 4 is an exemplary view showing the configuration of a security policy applied to a security rule-based web attack detection method according to the present invention.
도 5는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법 중 보안규칙 위반 탐지 과정을 상세히 나타낸 예시도.5 is an exemplary view showing in detail the security rule violation detection process of the security rule-based web attack detection method according to the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
10 : 사용자 단말기 20 : 웹서비스 시스템10: user terminal 20: web service system
30 : 보안서버 40 : 웹서버30: security server 40: web server
Claims (8)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090077410A KR100989347B1 (en) | 2009-08-21 | 2009-08-21 | Method for detecting a web attack based on a security rule |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090077410A KR100989347B1 (en) | 2009-08-21 | 2009-08-21 | Method for detecting a web attack based on a security rule |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100989347B1 true KR100989347B1 (en) | 2010-10-25 |
Family
ID=43135711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020090077410A KR100989347B1 (en) | 2009-08-21 | 2009-08-21 | Method for detecting a web attack based on a security rule |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100989347B1 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101175667B1 (en) | 2011-07-14 | 2012-08-22 | 시큐아이닷컴 주식회사 | Network access management method for user terminal using firewall |
| KR101533020B1 (en) * | 2013-09-30 | 2015-07-02 | 한국전력공사 | Apparatus and method for security policy management |
| KR101587845B1 (en) * | 2014-09-26 | 2016-01-22 | 주식회사 엘지유플러스 | Method for detecting distributed denial of services attack apparatus thereto |
| KR101750447B1 (en) | 2017-04-19 | 2017-06-27 | 주식회사 나온웍스 | Method, apparatus and system for payload analysis of an open automated demand response protocol |
| US10200409B2 (en) | 2016-04-07 | 2019-02-05 | Korea Electric Power Corporation | Apparatus and method for security policy management |
| KR102258956B1 (en) * | 2020-11-20 | 2021-06-02 | (주)시큐레이어 | Method for detecting attack in environment with using sql for managing relational database, and server using the same |
| CN113904829A (en) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | Application firewall system based on machine learning |
| CN114301689A (en) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | Campus network security protection method and device, computing equipment and storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040110986A (en) * | 2003-06-06 | 2004-12-31 | 마이크로소프트 코포레이션 | Method for managing network filter based policies |
| KR20060013120A (en) * | 2004-08-06 | 2006-02-09 | 학교법인 포항공과대학교 | Method of visualizing intrusion detection using correlation of intrusion detection alert message |
| KR20060056231A (en) * | 2004-11-19 | 2006-05-24 | 마이크로소프트 코포레이션 | Method and system for distributing security policies |
| KR20080036706A (en) * | 2006-10-24 | 2008-04-29 | 박재철 | Web security module using regulation expression of web attack and include function of script language |
-
2009
- 2009-08-21 KR KR1020090077410A patent/KR100989347B1/en active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040110986A (en) * | 2003-06-06 | 2004-12-31 | 마이크로소프트 코포레이션 | Method for managing network filter based policies |
| KR20060013120A (en) * | 2004-08-06 | 2006-02-09 | 학교법인 포항공과대학교 | Method of visualizing intrusion detection using correlation of intrusion detection alert message |
| KR20060056231A (en) * | 2004-11-19 | 2006-05-24 | 마이크로소프트 코포레이션 | Method and system for distributing security policies |
| KR20080036706A (en) * | 2006-10-24 | 2008-04-29 | 박재철 | Web security module using regulation expression of web attack and include function of script language |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101175667B1 (en) | 2011-07-14 | 2012-08-22 | 시큐아이닷컴 주식회사 | Network access management method for user terminal using firewall |
| KR101533020B1 (en) * | 2013-09-30 | 2015-07-02 | 한국전력공사 | Apparatus and method for security policy management |
| KR101587845B1 (en) * | 2014-09-26 | 2016-01-22 | 주식회사 엘지유플러스 | Method for detecting distributed denial of services attack apparatus thereto |
| US10200409B2 (en) | 2016-04-07 | 2019-02-05 | Korea Electric Power Corporation | Apparatus and method for security policy management |
| KR101750447B1 (en) | 2017-04-19 | 2017-06-27 | 주식회사 나온웍스 | Method, apparatus and system for payload analysis of an open automated demand response protocol |
| KR102258956B1 (en) * | 2020-11-20 | 2021-06-02 | (주)시큐레이어 | Method for detecting attack in environment with using sql for managing relational database, and server using the same |
| CN113904829A (en) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | Application firewall system based on machine learning |
| CN113904829B (en) * | 2021-09-29 | 2024-01-23 | 上海市大数据股份有限公司 | Application firewall system based on machine learning |
| CN114301689A (en) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | Campus network security protection method and device, computing equipment and storage medium |
| CN114301689B (en) * | 2021-12-29 | 2024-02-23 | 北京安天网络安全技术有限公司 | Campus network security protection method and device, computing equipment and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100989347B1 (en) | Method for detecting a web attack based on a security rule | |
| Le et al. | DoubleGuard: Detecting intrusions in multitier web applications | |
| US9430646B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US7979368B2 (en) | Systems and methods for processing data flows | |
| US8010469B2 (en) | Systems and methods for processing data flows | |
| RU2680736C1 (en) | Malware files in network traffic detection server and method | |
| US10693901B1 (en) | Techniques for application security | |
| US20080098476A1 (en) | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks | |
| US20080229415A1 (en) | Systems and methods for processing data flows | |
| US20120240185A1 (en) | Systems and methods for processing data flows | |
| US20070192863A1 (en) | Systems and methods for processing data flows | |
| KR101951730B1 (en) | Total security system in advanced persistent threat | |
| RU2762528C1 (en) | Method for processing information security events prior to transmission for analysis | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| RU2739864C1 (en) | System and method of correlating events for detecting information security incident | |
| KR20170091989A (en) | System and method for managing and evaluating security in industry control network | |
| CN111131168A (en) | Self-adaptive protection method based on Web application | |
| Barnett | Web Application Defender's Cookbook: Battling Hackers and Protecting Users | |
| CN110177113B (en) | Internet protection system and access request processing method | |
| Lin et al. | The automatic defense mechanism for malicious injection attack | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Agarwal et al. | First, Do No Harm: Studying the manipulation of security headers in browser extensions | |
| CN113824678B (en) | System, method, and non-transitory computer readable medium for processing information security events | |
| Xu et al. | Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM | |
| Surendhar et al. | Detection of payload injection in Firewall Using Machine Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20131015 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20160816 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20170911 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20181015 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20190524 Year of fee payment: 10 |