KR101424504B1 - Integrated security control system using positive way - Google Patents
Integrated security control system using positive way Download PDFInfo
- Publication number
- KR101424504B1 KR101424504B1 KR1020120152740A KR20120152740A KR101424504B1 KR 101424504 B1 KR101424504 B1 KR 101424504B1 KR 1020120152740 A KR1020120152740 A KR 1020120152740A KR 20120152740 A KR20120152740 A KR 20120152740A KR 101424504 B1 KR101424504 B1 KR 101424504B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- url
- unit
- http
- url information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 웹 서버에 Agent 설치를 하지 않으면서 다수의 웹 서버에 존재하는 각 웹 페이지들을 학습하고, 이 각각의 페이지들에 대한 공격 위협 및 차단 상태, 실시간 서비스 동작, 응답 속도, 히트(hit)율 등의 통합 관제 정보를 제공하고, 페이지로의 접근을 제어하는 포지티브통합보안관제시스템에 관한 것이다.
이와 같은 본 발명의 특징은 사용자와 서버 사이의 패킷 정보 중 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석부; 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 저장하고 관리관제부에 업데이트된 정보를 전송하는 실시간정보관리부; 및 트랜잭션분석부로부터 수신받은 URL정보를 저장하고, 관리관제부에 URL 정보를 전송하는 URL정보관리부를 포함하는 것을 특징으로 한다.In the present invention, each web page existing in a plurality of web servers is learned without installing an agent in the web server, and an attack threat and blocking state, a real-time service operation, a response speed, a hit, Rate, and the like, and controls the access to the page.
According to an aspect of the present invention, a transaction analyzing unit classifies HTTP data into HTTP request and HTTP response among packet information between a user and a server, extracts information by parsing HTTP header and HTTP body, A real-time information management unit for storing detection information on HTTP data and web server request information received from the transaction analysis unit and transmitting the updated information to the manager unit; And a URL information management unit for storing the URL information received from the transaction analysis unit and transmitting the URL information to the manager information unit.
Description
본 발명은 웹 서버에 Agent 설치를 하지 않으면서 다수의 웹 서버에 존재하는 각 웹 페이지들을 학습하고, 이 각각의 페이지들에 대한 공격 위협 및 차단 상태, 실시간 서비스 동작, 응답 속도, 히트(hit)율 등의 통합 관제 정보를 제공하고, 페이지로의 접근을 제어하는 포지티브통합보안관제시스템에 관한 것이다.
In the present invention, each web page existing in a plurality of web servers is learned without installing an agent in the web server, and an attack threat and blocking state, a real-time service operation, a response speed, a hit, Rate, and the like, and controls the access to the page.
일반적으로 웹서버에 접속하는 사용자로는 정상사용자가 있고 서비스공격자가 있으며, 이러한 정상사용자의 정상접속정보 및 서비스공격자의 비정상접속정보를 구분하는 것이 필요하다.Generally, there are a normal user and a service attacker who access the web server, and it is necessary to distinguish the normal access information of the normal user and the abnormal access information of the service attacker.
하나의 네트워크에는 다수의 웹서버가 연결되고 웹서버로 접속하는 웹서비스 요청의 정보는 다양한 내용을 포함하기 때문에 패킷 정보의 선별 및 분석에 대한 관제시스템이 필요하다.Since a plurality of web servers are connected to one network and information of a web service request connected to the web server includes various contents, a control system for sorting and analyzing packet information is needed.
이에 기존의 관제 시스템들은 크게 agent 방식과 back bone 설치 방식으로 나뉜다.Therefore, existing control systems are divided into agent system and back bone installation system.
그리고 agent 방식은 각 웹 서버의 웹 페이지 구조를 파악하기 위에 각 웹 서버에 agent를 설치하여 웹 페이지 구조를 파악하고, 서비스 상태 정보 및 응답 속도 정보들을 제공받았으며, 보안 위협에 대한 정보 제공 기능이 없었다.In addition, agent method is to detect the web page structure of each web server, install the agent on each web server to identify the web page structure, receive service status information and response rate information, and provide no information about security threat .
반면 back bone 설치 방식은 전체 패킷을 수집하여 protocol 별로 분리하고 비율 분포를 확인할 수 있으나, 어플리케이션을 분석하지 못하고 단지 protocol 종류에 따라 분류만을 하기 때문에 HTTP의 전체 비율만 확인할 수 있을 뿐, 웹 페이지들의 상세한 정보 및 분류는 하지 못했다. 이 역시 보안 위협에 대한 정보 제공 기능은 없었다.On the other hand, the back bone installation method can collect the whole packets and isolate them according to the protocol and check the ratio distribution. However, since the application can not be analyzed but only classified according to the protocol type, Information and classification. This also did not provide information on security threats.
이처럼 종래기술들에서 agent 방식, back bone 설치 방식 등에 의해서도 웹서버에 대한 패킷의 정보분석 및 관제가 이루어지지 않으므로 인해서 웹서버 보안위협에 대한 대응방안이 필요하게 된다.As described above, according to the conventional technologies, since information analysis and control of packets for a web server are not performed even by an agent method, a back bone installation method, etc., a countermeasure against a web server security threat is needed.
아울러 근래에는 다양한 네트워크 이용단말기 및 어플리케이션들이 급속도로 증가하는 것에 대해서 많은 데이터를 효율적으로 송수신하기 위한 수단의 제시가 절실히 요구되고 있다.
In addition, in recent years, there has been an urgent need to provide means for efficiently transmitting and receiving a large amount of data in response to a rapid increase in various network-enabled terminals and applications.
상기와 같은 문제점을 해소하기 위한 본 발명은 서비스사용자의 단말기와 웹서버 사이에 위치되어 송수신되는 패킷정보를 분석하여, HTTP response 정보에서 응답정보를 확인하여 URL 정보에 대한 학습과정을 수행하고, 등록된 URL정보에 대한 탐지정보를 unique ID로 송수신하는 목적이 있다.In order to solve the above problems, the present invention analyzes packet information transmitted and received between a terminal of a service user and a web server, performs a learning process on URL information by checking response information in HTTP response information, And transmits the detection information of the URL information with a unique ID.
그리고 본 발명의 다른 목적은, 웹 페이지의 자동 학습에 의한 웹 페이지 구조 추출(포지티브 추출)이 이루어지는 것으로, 웹 페이지 요청 시 웹 서버의 응답 코드(ex: 200 OK)로 해당 페이지 실제 존재 유무를 확인하고, 정상적으로 이루어지고 있는 서비스 페이지만을 학습하는 것이다.Another object of the present invention is to extract a web page structure (positive extraction) by automatic learning of a web page. When a web page is requested, a response code (ex: 200 OK) , And only the service page that is normally performed is learned.
또한 본 발명의 또 다른 목적은, 각 페이지 별, 분석 및 위협 정보를 제공하는 것이며, 페이지 별 응답 속도, 접근량, 국가 별 통계, 응답히트 및 속도 TOP N 기능, 페이지 별 공격 유형 및 탐지/차단 정보 제공하는 것이다.
Another object of the present invention is to provide analysis and threat information for each page, and it is also possible to provide information on response speed, approach amount, statistics by country, response hit and speed TOP N function, attack type per page and detection / Information.
상기와 같은 목적을 달성하기 위한 본 발명은, 사용자와 서버 사이의 패킷 정보 중 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석부; 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 저장하고 관리관제부에 업데이트된 정보를 전송하는 실시간정보관리부; 및 트랜잭션분석부로부터 수신받은 URL정보를 저장하고, 관리관제부에 URL 정보를 전송하는 URL정보관리부를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템을 제공한다.According to an aspect of the present invention, there is provided a transaction analyzing apparatus, comprising: a transaction analyzing unit for classifying HTTP data into HTTP request and HTTP response among packet information between a user and a server and parsing an HTTP header and an HTTP body to extract information; A real-time information management unit for storing detection information on HTTP data and web server request information received from the transaction analysis unit and transmitting the updated information to the manager unit; And a URL information management unit for storing the URL information received from the transaction analysis unit and transmitting URL information to the manager information unit.
이에 본 발명의 바람직한 실시예에 있어서, 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집부; 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 탐지정보를 트랜잭션분석부에 전송하는 접근제어시스템; 및 URL정보관리부로부터 URL 정보를 수신받고 실시간정보관리부로부터 HTTP데이터, 탐지정보를 수신받는 관리관제부를 포함하는 것을 특징으로 한다.In a preferred embodiment of the present invention, a packet collector collects packets between a user and a server, classifies web traffic, and separates IP and TCP headers of the packets. An access control system for checking whether a signal of a service request from a user terminal is a normal request signal or an abnormal request for a web page, performing blocking or not, and transmitting the detection information to the transaction analysis unit; And a management control unit receiving URL information from the URL information management unit and receiving the HTTP data and the detection information from the real-time information management unit.
그리고 본 발명의 바람직한 실시예에 있어서, 상기 트랜잭션분석부는: HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고, 웹서버 요청정보가 서비스 차단정보일 경우 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부로 전송하는 것을 특징으로 한다.In a preferred embodiment of the present invention, the transaction analyzer determines whether URL information is stored in the real-time information management unit when there is a response code in the HTTP response data. If the URL information is not stored in the real- Transmits unique ID information on the URL information to the URL information management unit, and transmits the detection information on the web server request information to the real-time information management unit when the web server request information is the service blocking information.
또한 본 발명의 바람직한 실시예에 있어서, 상기 탐지정보는 차단공격유형, 패턴정보, 차단사유, 페이지히트수, 전체 페이지 중 히트율 중 어느 하나 이상의 정보를 포함하는 것을 특징으로 한다.Also, in a preferred embodiment of the present invention, the detection information includes at least one of a blocking attack type, pattern information, a blocking reason, a page hit count, and a hit ratio among all pages.
아울러 본 발명의 바람직한 실시예에 있어서, 상기 실시간정보관리부는: 트랜잭션분석부로부터 수신받은 HTTP데이터 웹서버 요청정보에 대한 탐지정보에 더하여 URL 정보와 URL 정보에 대한 unique ID 정보를 저장하고 관리관제부에 업데이트된 탐지정보를 unique ID 별로 소정 시간 간격으로 전송하는 것을 특징으로 한다.In addition, in a preferred embodiment of the present invention, the real-time information management unit stores unique ID information on URL information and URL information in addition to detection information on HTTP data web server request information received from the transaction analysis unit, And transmits updated detection information by unique ID at predetermined time intervals.
그리고 본 발명의 바람직한 실시예에 있어서, 상기 URL정보관리부는: 트랜잭션분석부로부터 수신받은 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 것을 특징으로 한다.In a preferred embodiment of the present invention, the URL information management unit stores unique ID information on URL information and URL information received from the transaction analysis unit, and stores unique ID information on the URL information and the URL information on the manager information unit .
이와 함께 본 발명의 바람직한 실시예에 있어서, 패킷수집부에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계; 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계; 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고 URL정보관리부에서 관리관제부로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 URL학습단계; 접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하고, 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하며, 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 URL관제단계를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.In addition, in a preferred embodiment of the present invention, a packet collecting step of collecting packets between a user and a server in a packet collecting unit, classifying web traffic, and separating IP and TCP headers of a packet; A transaction analysis step of classifying the HTTP data into HTTP request and HTTP response and parsing the HTTP header and the HTTP body to extract information from the transaction analysis unit; The transaction analyzing unit classifies the HTTP data into HTTP request and HTTP response, extracts information by parsing the HTTP header and the HTTP body, and if the response code exists in the HTTP response data, determines whether the URL information is stored in the real- In the case of URL information that is not stored in the information management unit, unique ID information on the URL information and URL information is transmitted to the URL information management unit, and if the URL information is URL information to the management control unit, unique ID information on the URL information and URL information is transmitted A URL learning step; When the access control system receives a service request signal from a user terminal for a web page, the access control system checks whether the request signal is a normal request signal or an abnormal request, performs blocking or not, and transmits detection information on the web service request information to the transaction analysis unit , The transaction analyzing unit transmits unique ID information about the detection information, the URL information, and the URL information to the real-time information management unit, and the real-time information management unit transmits the detection information about the HTTP data and the web server request information to the management control unit at predetermined time intervals And a URL control step of controlling the integrated security control system.
또한 본 발명의 바람직한 실시예에 있어서, 패킷수집부에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계; 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 URL ID추출단계; URL정보관리부에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 unique ID전송단계를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.In a preferred embodiment of the present invention, a packet collecting step of collecting packets between a user and a server in a packet collecting unit, classifying web traffic, and separating an IP and a TCP header of a packet; The transaction analyzing unit classifies the HTTP data into HTTP request and HTTP response, extracts information by parsing the HTTP header and the HTTP body, and if the response code exists in the HTTP response data, determines whether the URL information is stored in the real- A URL ID extracting step of transmitting unique ID information on the URL information and the URL information to the URL information management unit when the URL information is not stored in the information management unit; And a unique ID transmission step of storing unique ID information on URL information and URL information in the URL information management unit and transmitting unique ID information on the URL information and URL information to the manager information unit, Control method.
그리고 본 발명의 바람직한 실시예에 있어서, 패킷수집부에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계; 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계; 접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하는 접근탐지단계; 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하는 탐지정보전송단계; 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부에서 저장하고 관리관제부에 업데이트된 정보를 소정시간 간격으로 전송하는 실시간탐지관리단계를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.
본 발명은, 사용자와 서버 사이의 패킷 정보 중 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석부; 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집부; 및 URL정보관리부로부터 URL 정보를 수신받고 실시간정보관리부로부터 HTTP데이터, 탐지정보를 수신받는 관리관제부를 포함하고, 사용자와 서버 사이의 패킷을 수집하고 분석하는 시스템에 있어서, 트랜잭션분석부로부터 수신받은 URL정보를 저장하고, 관리관제부에 URL 정보를 전송하는 URL정보관리부; 및 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 저장하고 관리관제부에 업데이트된 정보를 전송하는 실시간정보관리부를 포함하고, 상기 트랜잭션분석부는, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고, 웹서버 요청정보가 서비스 차단정보일 경우 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부로 전송하며, 상기 URL정보관리부는, 상기 트랜잭션분석부에 의해 HTTP response 데이터에 응답코드가 있는 경우로 판별되고 실시간정보관리부에 URL정보가 저장되지 않은 URL 정보로 판별되는 경우 트랜잭션분석부로부터 URL정보와 URL 정보에 대한 unique ID 정보를 전송받아 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하고, 상기 실시간정보관리부는, 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보에 더하여 URL 정보와 URL 정보에 대한 unique ID 정보를 저장하고 관리관제부에 업데이트된 탐지정보를 unique ID 별로 소정 시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템을 제공한다.
본 발명은, 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 탐지정보를 트랜잭션분석부에 전송하는 접근제어시스템을 포함하고, 상기 트랜잭션분석부는, 접근제어시스템으로부터 전송받은 탐지정보를 실시간정보관리부로 전송하며, 상기 실시간정보관리부는, 트랜잭션분석부로부터 수신받은 탐지정보 및 URL 정보에 대한 unique ID 정보를 포함하는 정보를 관리관제부에 소정 시간 간격으로 전송하고, 상기 탐지정보는 차단공격유형, 패턴정보, 차단사유, 페이지히트수, 전체 페이지 중 히트율 중 어느 하나 이상의 정보를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템을 제공한다.
본 발명은, 패킷수집부에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계; 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계; URL정보관리부에서 관리관제부로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 URL학습단계; 및 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 URL관제단계를 포함하는 포지티브통합보안관제시스템 제어방법에 있어서, 상기 URL학습단계는, 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고 URL정보관리부에서 관리관제부로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하고, 상기 URL관제단계는, 접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하고, 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하며, 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.
본 발명은, 상기 URL학습단계는: 트랜잭션분석부에서 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 단계; 및 URL정보관리부에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 단계를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.
본 발명은, 패킷수집부에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계; 트랜잭션분석부에서 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 URL ID추출단계; 및 URL정보관리부에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 unique ID전송단계를 포함하는 포지티브통합보안관제시스템 제어방법에 있어서, 상기 URL ID추출단계는, 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.
본 발명은, 접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하고, 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하며, 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법을 제공한다.
In a preferred embodiment of the present invention, the packet collecting unit collects packets between a user and a server, classifies web traffic, and separates IP and TCP headers of a packet; A transaction analysis step of classifying the HTTP data into HTTP request and HTTP response and parsing the HTTP header and the HTTP body to extract information from the transaction analysis unit; When the access control system receives a service request signal from a user terminal with respect to a web page, the access control system checks whether the request signal is a normal request signal or an abnormal request, performs blocking or not, and transmits detection information on the web service request information to the transaction analysis unit An approach detection step; A detection information transmission step of transmitting unique ID information about detection information, URL information, and URL information to a real-time information management unit in a transaction analysis unit; And a real-time detection management step of storing detection information on HTTP data and web server request information received from the transaction analysis unit in a real-time information management unit and transmitting the updated information to the manager unit at predetermined time intervals. A security control system control method is provided.
The present invention relates to a transaction analyzer for classifying an HTTP request and an HTTP response in HTTP data among packet information between a user and a server and extracting information by parsing an HTTP header and an HTTP body; A packet collecting unit for collecting packets between a user and a server, classifying web traffic, and separating IP and TCP headers of packets; And a management control unit that receives URL information from a URL information management unit and receives HTTP data and detection information from a real-time information management unit, the system comprising: a system for collecting and analyzing packets between a user and a server, A URL information management unit for storing the information and transmitting the URL information to the manager unit; And a real-time information management unit for storing detection information on HTTP data and web server request information received from the transaction analysis unit and transmitting the updated information to the manager unit, wherein the transaction analysis unit has a response code If the URL information is not stored in the real-time information management unit, it transmits unique ID information about the URL information and the URL information to the URL information management unit. If the web server request information is the service blocking information The URL information management unit determines that the HTTP response data has a response code and the URL information is stored in the real time information management unit. If it is determined that the URL information is not the URL information, And transmits the URL information and the unique ID information on the URL information to the manager side, and the real-time information management unit transmits the unique ID information for the HTTP server and the web server request information And stores the unique ID information on the URL information and the URL information, and transmits the updated detection information to the manager information unit by unique ID at predetermined time intervals.
The present invention includes an access control system for checking whether a signal of a service request from a user terminal is a normal request signal or an abnormal request to a web page, performing blocking or not, and transmitting the detection information to the transaction analysis unit The transaction analyzer transmits the detection information received from the access control system to the real-time information manager. The real-time information manager includes information including unique ID information on the detection information and URL information received from the transaction analyzer Wherein the detection information includes at least one of a blocking attack type, a pattern information, a blocking reason, a page hit count, and a hit ratio among all pages. .
The present invention provides a packet collecting method comprising: a packet collecting step of collecting packets between a user and a server in a packet collecting unit, classifying web traffic, and separating IP and TCP headers of a packet; A transaction analysis step of classifying the HTTP data into HTTP request and HTTP response and parsing the HTTP header and the HTTP body to extract information from the transaction analysis unit; A URL learning step of transmitting unique ID information on URL information and URL information when the URL information management unit is URL information to the management control unit; And a URL control step of transmitting detection information on HTTP data and web server request information from the real-time information management unit to the management control unit at predetermined time intervals, wherein the URL learning step comprises: In the section, HTTP data is classified into http request and http response, and the HTTP header and the HTTP body are parsed to extract information. If there is a response code in the HTTP response data, it is determined whether the URL information is stored in the real- The unique ID information for the URL information and the URL information is transmitted to the URL information management unit. If the URL information is the URL information, the unique ID information for the URL information and the URL information is transmitted to the management control unit, Wherein the URL control step comprises the steps of: When a call is received, it is checked whether the signal is a normal request signal or an abnormal request, and the detection information about the web service request information is transmitted to the transaction analysis unit by performing blocking or not, and the transaction analysis unit detects the detection information, URL information, The unique ID information is transmitted to the real-time information management unit, and the real-time information management unit transmits the detection information of the HTTP data and the web server request information to the management control unit at predetermined time intervals. do.
In the present invention, the URL learning step may include: transmitting unique ID information on URL information and URL information to a URL information management unit in a transaction analysis unit; And a step of storing unique ID information on the URL information and the URL information in the URL information management unit and transmitting unique ID information on the URL information and the URL information to the manager information unit, .
The present invention provides a packet collecting method comprising: a packet collecting step of collecting packets between a user and a server in a packet collecting unit, classifying web traffic, and separating IP and TCP headers of a packet; A URL ID extraction step of transmitting unique ID information about URL information and URL information to a URL information management unit in a transaction analysis unit; And a unique ID security control method including a unique ID transmission step of storing unique ID information on URL information and URL information in the URL information management unit and transmitting unique ID information on the URL information and the URL information on the manager's side In the URL ID extracting step, the transaction analyzing unit classifies the HTTP data into HTTP request and HTTP response, extracts information by parsing the HTTP header and the HTTP body, and if there is a response code in the HTTP response data, And if the URL information is not stored in the real-time information management unit, transmits unique ID information about URL information and URL information to the URL information management unit .
In the present invention, when a signal of a service request is received from a user terminal for a web page in an access control system, it is checked whether the signal is a normal request signal or an abnormal request, and the detection information about the web service request information is transmitted And transmits the unique ID information on the detection information, the URL information, and the URL information to the real-time information management unit in the transaction analysis unit. The real-time information management unit transmits the detection information on the HTTP data and the web server request information to the management control unit And transmitting the information in a time interval.
상기와 같이 구성되는 본 발명은 서비스사용자의 단말기와 웹서버 사이에 위치되어 송수신되는 패킷정보를 분석하여, HTTP response 정보에서 응답정보를 확인하여 URL 정보에 대한 학습과정을 수행하고, 등록된 URL정보에 대한 탐지정보를 unique ID로 송수신되게 함으로써, 신호의 송수신이 양호하게 하면서 탐지의 효율도 향상되게 하는 효과가 있다.According to the present invention configured as described above, packet information transmitted and received between a terminal of a service user and a web server is analyzed, a response information is confirmed in HTTP response information to perform a learning process on URL information, So that the efficiency of detection can be improved while the transmission and reception of signals are improved.
이에 본 발명의 다른 효과는, 종래와 같이 agent 설치를 하지 않으면서 backbone 에 설치하여, 전체 패킷을 수집하고 HTTP 를 분석하여 웹 페이지 구조를 학습하는 것으로, 종래의 단점을 보완하며 동시에 보안 위협에 대한 정보를 제공하여 통합 관제 시스템을 구축하는 것이다.Another effect of the present invention is to install a web browser on a backbone without installing an agent as in the prior art, collecting all packets and analyzing HTTP to learn a web page structure, And provide information to build a integrated control system.
또한 본 발명의 또 다른 효과는, 서버에 agent 설치가 필요없는 Non-Agent 방식을 적용하는 것으로, back bone 방식으로 설치하여 HTTP 패킷을 수집/분석하여 전체 웹 서버 모니터링이 가능하며, 각 서버와 도메인을 전체 통합 관리한다.In addition, another effect of the present invention is to apply a non-agent method that does not require the installation of an agent to the server, and install the back bone method to collect / analyze HTTP packets to monitor the entire web server. .
그리고 본 발명의 또 다른 효과는, 각 페이지 별, 분석 및 위협 정보 제공하는 것이며, 페이지 별 응답 속도, 접근량, 국가 별 통계, 응답히트 및 속도 TOP N 기능, 페이지 별 공격 유형 및 탐지/차단 정보 제공하는 것이다.Further, another effect of the present invention is to provide analysis and threat information for each page, and it provides information such as response speed per page, approach amount, statistics by country, response hit and speed TOP N function, attack type per page and detection / .
아울러 본 발명의 또 다른 효과는, 엔진과 관리도구 통신 경량화를 위하여, 분석부(엔진) 와 관리도구 (관리자)의 통신은 실시간 정보를 업데이트하기 위해 소정 간격으로 잦은 통신을 하게 되는데, 이때 전체 URL 주소를 사용하는 것 대신에 URL 을 지칭하는 unique 한 ID 로 대신하여 실시간 통신 데이터 량을 최소화하여, 신호의 안정성 및 경량화를 이루게 되는 것이다.
Another advantage of the present invention is that communication between the analysis unit (engine) and the management tool (manager) is frequently performed at a predetermined interval in order to update real-time information, in order to lighten the communication between the engine and the management tool. Instead of using the address, the amount of real-time communication data is minimized instead of a unique ID indicating a URL, thereby achieving signal stability and light weight.
도 1은 본 발명에 따른 포지티브통합보안관제시스템에 대한 개략적인 연결 구성도이다.
도 2는 본 발명에 따른 포지티브통합보안관제시스템에 대한 개략적인 제어 구성도이다.
도 3은 본 발명에 따른 포지티브통합보안관제시스템에 있어서 전체적인 제어 순서도이다.
도 4는 본 발명에 따른 포지티브통합보안관제시스템에 있어서 URL 학습모드에 대한 순서도이다.
도 5는 본 발명에 따른 포지티브통합보안관제시스템에 있어서 URL 관제모드에 대한 순서도이다.1 is a schematic connection configuration diagram for a positive integrated security control system according to the present invention.
2 is a schematic control configuration diagram for a positive integrated security control system according to the present invention.
FIG. 3 is an overall control flowchart of the positive integrated security control system according to the present invention.
4 is a flow chart of the URL learning mode in the positive integrated security control system according to the present invention.
5 is a flowchart of a URL control mode in a positive integrated security control system according to the present invention.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
즉 본 발명에 따른 포지티브를 적용한 웹 페이지 포지티브통합보안관제시스템(20)은 첨부된 도 1 내지 도 5 등에서와 같이, 서비스사용자(10), 서비스공격자(11) 그리고 웹서버(15) 사이에 위치되어 인터넷에 연결되어 운영되는 시스템이다.That is, as shown in FIGS. 1 to 5, the web page positive integrated
이러한 포지티브통합보안관제시스템(20)은 정상 서비스사용자(10)가 웹서버(15)에 접속하는 HTTP 정보는 정상적으로 통과시키고, 반면 서비스공격자(11) 및 비정상적인 요청의 정보는 검출하여 관리관제부(27, 첨부 도면의 설명에서는 '관리도구'라고 기재됨) 측에서 웹서버(15)의 접속 탐지정보를 손쉽게 확인할 수 있도록 구성된 것이다.The positive integrated
본 발명에서의 탐지정보는 사용자가 웹서버의 정보를 요청함에 있어 요청정보를 분석한 결과에 대한 것으로, 차단공격유형, 패턴정보, 차단사유, 페이지히트수, 전체 페이지 중 히트율 중 어느 하나 이상의 정보를 포함하는 것이다.The detection information according to the present invention is a result of analyzing request information in requesting information of a web server by a user, and it may include at least one of blocking attack type, pattern information, blocking reason, page hits, Information.
이러한 본 발명에 따른 포지티브통합보안관제시스템(20)의 상세 구성예를 첨부도면을 참조하여 살펴보면 다음과 같다.Hereinafter, a detailed configuration example of the positive integrated
우선 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집부(22)가 구비된다.First, a
그리고 사용자와 서버 사이의 패킷 정보 중 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석부(23)가 구비된다. And a
즉 이러한 상기 트랜잭션분석부(23)는, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부(25)에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부(25)에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부(26)로 전송하고, 웹서버 요청정보가 서비스 차단정보일 경우 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부(25)로 전송하는 것이다.That is, if there is a response code in the HTTP response data, the
아울러 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 탐지정보를 트랜잭션분석부(23)에 전송하는 접근제어시스템(24)이 구비된다.In addition, an access control system (24) for checking whether a signal of a service request from a user terminal is a normal request signal or an abnormal request to a web page, performing blocking or not, and transmitting the detection information to the transaction analysis unit .
또한 트랜잭션분석부(23)로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 저장하고 관리관제부(27)에 업데이트된 정보를 전송하는 실시간정보관리부(25)가 마련된다. 이러한 상기 실시간정보관리부(25)는, 트랜잭션분석부(23)로부터 수신받은 HTTP데이터 웹서버 요청정보에 대한 탐지정보에 더하여 URL 정보와 URL 정보에 대한 unique ID 정보를 저장하고 관리관제부(27)에 업데이트된 탐지정보를 unique ID 별로 소정 시간 간격으로 전송하는 것이다.The real-time information management unit 25 stores detection information on HTTP data and web server request information received from the
그리고 트랜잭션분석부(23)로부터 수신받은 URL정보를 저장하고, 관리관제부(27)에 URL 정보를 전송하는 URL정보관리부(26)가 구비된다. 이러한 상기 URL정보관리부(26)는, 트랜잭션분석부(23)로부터 수신받은 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부(27)에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 것이다.And a URL information management unit 26 for storing the URL information received from the
아울러 URL정보관리부(26)로부터 URL 정보를 수신받고 실시간정보관리부(25)로부터 HTTP데이터, 탐지정보를 수신받는 관리관제부(27, 첨부 도면의 예에서는 '관리도구'로 기재됨)가 구비된다.
And a manager control unit 27 (described as 'management tool' in the example of the accompanying drawings) that receives the URL information from the URL information management unit 26 and receives the HTTP data and the detection information from the real-time information management unit 25.
이상에서와 같이 본 발명에 따른 포지티브통합보안관제시스템(20)은 서비스사용자(10)와 웹서버(15) 사이에 위치되어 웹서버(15)의 URL 정보를 분석하여 URL 정보를 unique ID로 구분하여 저장하고, 이러한 URL 정보에 대해 unique ID로 하여 트랜잭션분석부(23), 실시간정보관리부(25), URL정보관리부(26) 사이에 정보 교환 및 저장이 이루어지도록 하는 것이다. 특히 실시간정보관리부(25), URL정보관리부(26) 등에서 관리관제부(27)로 탐지정보, URL 정보 등을 전송함에 있어 unique ID로 하여 정보교환이 이루어지도록 하는 것이다.As described above, the positive integrated
이와 같이 마련된 본 발명에 따른 포지티브통합보안관제시스템(20)의 세부 구성인 패킷수집부(22), 트랜잭션분석부(23), 접근제어시스템(24), 실시간정보관리부(25), URL정보관리부(26) 그리고 관리관제부(27) 등은 아래의 설명에서와 같이 실시될 수도 있을 것이다.The
우선 패킷수집부(22)는 수 개의 웹 서버 앞단에 Inline 형태로 위치하여 지나가는 모든 패킷을 디바이스 포트로부터 수집하고 TCP 헤더의 서비스 포트를 분석(port 80 또는 port 443)하여 웹 트래픽을 분류하고 패킷의 IP, TCP 헤더를 분리하여 데이터를 트랜잭션분석부(23)에 전달한다.First, the
그리고 트랜잭션분석부(23)는 HTTP 데이터를 분석하여 http request 와 http response 로 분류하고 HTTP header 와 HTTP body 를 파싱하여 정보를 추출한다. (http version, domain, url, content length, type, body 등)The
이처럼 HTTP데이터를 분석하는 트랜잭션분석부(23)는 URL 학습모드와 URL 관제모드, 크게 두 가지 모드로 동작하며 각각의 모드에 따라 다음과 같이 동작한다.As described above, the
1. URL 학습모드 : 최초 설치 시 각 웹 서버의 페이지를 학습하는 단계이다. 페이지의 학습 시, 실재 존재하는 페이지와 존재하지 않는 페이지를 구분하기 위하여 HTTP response header에 return code가 200 OK (페이지가 있다는 응답 코드로 실제 존재하는 페이지만을 학습하는 것을 목적)이면, HTTP Request 때 미리 저장된 URL 정보를 확인하여 실시간정보관리부(25)에 있는지를 확인한다. 해당 URL정보가 실시간정보관리부(25)에 없다면 실시간정보관리부(25)와 URL정보관리부(26)에 각각 등록하고 unique 한 URL ID(unique ID)를 부여한다. 이 unique 한 URL ID는 관리관제부(27, 관리도구)와 경량화 통신 시 페이지 지정자로 사용된다.1. URL learning mode: It is a step to learn the page of each web server at initial installation. When learning the page, if the return code is 200 OK in the HTTP response header (to learn only the actual page with the response code that the page exists) in order to distinguish the existing page from the nonexistent page, And checks whether the URL information is stored in the real-time information management unit 25. [ If the corresponding URL information is not in the real-time information management unit 25, the real-time information management unit 25 and the URL information management unit 26 respectively register the unique URL ID (unique ID). This unique URL ID is used by the administrator (27, management tool) and the page designator for lightweight communication.
2. URL 관제 모드 : 서비스 사용자가 특정 웹 페이지에 서비스를 요구할 때 접근 제어 시스템에 의해 차단 유무를 결정하게 되고, 이 후 탐지 정보와 페이지 관련 정보(실시간 정보 관리부에 응답 속도, 페이지 히트 수, 전체 중 히트 비율... 등)를 업데이트한다. 단 접근제어시스템(24)에 의해 서비스 제공이 차단될 시 차단 된 공격 유형의 정보 그리고 페이지 히트 수 및 비율 등이 업데이트 되며, 응답 속도는 업데이트 되지 않는다. (차단되어 응답이 없기 때문)2. URL control mode: When a service user requests a service on a specific web page, the access control system determines whether or not to block it. Then, the detection information and the page related information (the response speed, page hits, The hit ratio ... etc). However, when service provision is blocked by the
아울러 접근제어시스템(24)은 웹 페이지에 대한 서비스 요청이 있을 때, 정상적인 요청인지 비정상적인 요청(위협)인지를 검사하고 판단하여 차단 유무를 수행하고 탐지정보를 트랜잭션분석부(23) 또는 실시간정보관리부(25)에 제공한다. 대표적인 접근 제어 시스템으로는 웹 어플리케이션 방화벽 등이 있다.In addition, when there is a service request for a web page, the
그리고 실시간정보관리부(25)는 URL 관제 모드에서 동작할 수 있다. 즉 사용자가 웹 서비스 요청 시 트랜잭션 분석부에서 제공한 URL 정보 및 응답 속도, 페이지 히트 수, 전체 중 히트 비율 정보 등을 매회 업데이트 된다. 또한 접근 제어 시스템에 의해 탐지된 정보도 업데이트 된다. 업데이트 된 정보는 관리도구에 의해 소정 시간 간격으로 정기적으로 참조되며, 이때 통신 데이터 량을 줄이기 위해 다소 긴 URL 정보대신 unique ID로 대신한다.The real-time information management unit 25 can operate in the URL control mode. That is, the URL information and the response speed provided by the transaction analyzing unit when the user requests the web service, the number of page hits, the hit ratio information of the entirety are updated every time. The information detected by the access control system is also updated. The updated information is periodically referenced by the management tool at predetermined time intervals. In order to reduce the amount of communication data, the unique ID is used instead of the somewhat long URL information.
이에 페이지 응답 속도의 측정은 특정 페이지에 정상적인 서비스 요청이 있을 경우 측정을 시작하여, 웹 서버에서 요청한 페이지의 응답이 올 경우 '응답 시간 - 측정 시작 시간'으로 구한다. 즉 본 시스템과 해당 웹 서버 사이의 통신 응답 속도로 한다.The page response speed measurement is started when there is a normal service request on a specific page, and is taken as 'response time - measurement start time' when a response of a page requested by the web server comes. That is, the communication response speed between the present system and the corresponding web server.
다음으로 URL정보관리부(26)는 URL 학습 모드 때 동작할 수 있다. 트랜잭션 분석부(23)에서 제공한 URL 정보를 unique ID 별로 저장하는 곳이다. URL정보관리부(26)는 관리관제부(27, 관리도구, 즉 원격 관리자의 단말기)가 운영되어 시작될 때 unique ID 와 URL 구조를 파악하기 위해 최초 참조되는 곳이다. 이렇게 하여 참조된 unique ID 는 관리관제부(27)와 실시간정보관리부(25)와의 경량화 통신(웹 페이지 URL 대신 unique ID 사용)을 위하여 사용된다.Next, the URL information management unit 26 can operate in the URL learning mode. And stores the URL information provided by the
그리고 관리관제부(27)는 원격 관리자의 단말기로, 관리도구는 원격 관리자 단말기에서 사용하는 관리 툴이다. 실시간정보관리부(25)에서 제공하는 웹 페이지 실시간 정보를 히트 율 그래프와 도메인 트리 정보 및 TOP N 등의 기능으로 표현하여 확인할 수 있다.
The manager-side controller 27 is a terminal of the remote manager, and the management tool is a management tool used in the remote manager terminal. The real time information of the web page provided by the real time information management unit 25 can be expressed by the function of the hit ratio graph, the domain tree information, and the TOP N, and can be confirmed.
이와 같이 마련된 본 발명에 따른 포지티브통합보안관제시스템(20)의 제어방법을 살펴보면 다음과 같이 실시될 것이다.A control method of the positive integrated
우선 도 1 내지 도 3 등에서와 같이, 패킷수집부(22)에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계(S01)가 수행된다.1 to 3, the
그리고 트랜잭션분석부(23)에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계(S02)가 수행된다.In the
그리하여 서비스사용자로부터 요청되는 웹서버(15)의 HTTP 데이터를 분석하여 트랜잭션분석부(23)에서 상세 분석을 하게 된다.Thus, the HTTP data of the
즉 트랜잭션분석부(23)에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부(25)에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부(25)에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부(26)로 전송하고 URL정보관리부(26)에서 관리관제부(27)로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 URL학습단계(S03)가 수행된다.That is, the
이처럼 URL학습단계(S03)를 통하여 등록되지 않은 URL정보를 unique ID로 분류 저장하게 되고, 이러한 URL 정보 및 unique ID 정보를 관리관제부(27)로 통합하여 전송하게 된다. 이러한 정보를 관리관제부(27, 원격지 관리자의 단말기)의 GUI화면에 표시되는 것이며, 이러한 원격지 관리자는 GUI 화면에 표시된 웹서버(15)의 정보를 확인하게 된다.The unregistered URL information is classified and stored as a unique ID through the URL learning step (S03), and the URL information and the unique ID information are integrated into the manager-side processing unit 27 and transmitted. This information is displayed on the GUI screen of the manager-side interface 27 (the terminal of the remote manager), and the remote manager confirms the information of the
또한 접근제어시스템(24)에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부(23)로 전송하고, 트랜잭션분석부(23)에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부(25)로 전송하며, 실시간정보관리부(25)에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부(27)로 소정시간 간격으로 전송하는 URL관제단계(S04)가 수행된다.When the
그리하여 관리하게 되는 웹서버(15)에 접속하는 사용자의 웹접속 정보를 관리관제부(27)에서 전송받아 GUI화면에 표시되는 것이다. 특히 복잡한 URL 정보를 단순한 형태의 unique ID로 송수신받기 때문에 송수신의 속도를 향상시키고 정보의 정확성도 높이게 될 것이다.
Thus, the web access information of the user accessing the
이와 같이 실시되는 본 발명에 따른 포지티브통합보안관제시스템(20) 제어방법에 의하면 URL 학습모드와 URL 관제모드로 나누어지며, 이에 우선 URL 학습모드에 대한 제어방법을 살펴보면 다음과 같다.According to the control method of the positive integrated
우선 패킷수집부(22)에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계(S11)가 수행된다.First, the
그리고 트랜잭션분석부(23)에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부(25)에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부(25)에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부(26)로 전송하는 URL ID추출단계(S12)가 수행된다.Then, the
즉 학습모드의 과정에서는 탐지분석하게 될 웹서버(15) URL 정보를 등록하게 되는 것이며, 이를 위해 실시간정보관리부(25)에 등록된 URL정보인지 판별하고, 등록되지 않은 URL 정보는 URL정보관리부(26)로 unique ID와 함께 전송하여 저장하게 된다.That is, in the course of the learning mode, URL information of the
또한 URL정보관리부(26)에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부(27)에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 unique ID전송단계(S13)가 수행된다.In addition, the URL information management unit 26 stores the unique ID information on the URL information and the URL information, and the unique ID transmission step (S13) for transmitting the URL information and the unique ID information on the URL information to the administrator control unit 27 is performed do.
그리하여 관리관제부(27)에서는 관리하게 될 웹서버(15)의 URL 정보를 unique ID 정보로써 관리하게 된다.
Thus, the manager-side component 27 manages URL information of the
다음으로 본 발명에 따른 포지티브통합보안관제시스템(20)에서의 URL 관제모드의 제어방법을 살펴본다.Next, a method of controlling the URL control mode in the positive integrated
우선 패킷수집부(22)에서 사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집단계(S21)가 수행된다.The
그리고 트랜잭션분석부(23)에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계(S22)가 수행된다.A transaction analysis step (S22) is performed in which the transaction analyzing unit (23) classifies the HTTP data into an http request and an http response and extracts information by parsing the HTTP header and the HTTP body.
아울러 접근제어시스템(24)에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부(23)로 전송하는 접근탐지단계(S23)가 수행된다.When the
따라서 웹서버에 접속요청하는 HTTP 정보가 정상정보인지, 비정상정보인지 판별하는 것으로, 악성코드탐지, 바이러스탐지, 서비스거부공격 등을 탐지하여 트랜잭션분석부(23)에 탐지정보를 전송한다.Accordingly, it is determined whether the HTTP information requesting access to the web server is normal information or abnormal information, and malicious code detection, virus detection, denial of service attack, and the like are detected and transmitted to the
이에 트랜잭션분석부(23)에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부(25)로 전송하는 탐지정보전송단계(S24)가 수행된다.The detection information transmission step S24 for transmitting the unique ID information about the detection information, the URL information, and the URL information to the real-time information management unit 25 is performed in the
나아가 트랜잭션분석부(23)로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부(25)에서 저장하고 관리관제부(27)에 업데이트된 정보를 소정시간 간격으로 전송하는 실시간탐지관리단계(S25)가 수행된다.In addition, the real-time information management unit 25 stores detection information on the HTTP data and the web server request information received from the
그리하여 원격지 관리자는 관리관제부(27)의 GUI 화면에 표시된 웹서버(15)의 탐지정보 확인을 손쉽게 할 수 있는 것이다. 특히 URL정보관리부(26)로부터 제공되는 URL정보 및 URL정보의 unique ID 데이터 등을 일괄 전송받고, 또한 실시간정보관리부(25)로부터 URL 정보 및 탐지정보를 소정 시간 간격으로 실시간 제공받기 때문에 웹서버의 접속 정보를 실시간 확인이 가능하고, 실시간 확인시 URL을 대치하여 unique ID로 구분된 정보를 수신받기 때문에 경량화된 데이터 송수신이 이루어질 수 있는 것이다.
Thus, the remote location manager can easily confirm the detection information of the
다음으로 본 발명에 따른 포지티브통합보안관제시스템(20)에 의한 URL 학습모드일 경우와 URL 관제모드일 경우의 바람직한 실시예를 살펴보면 다음과 같이 실시될 수 있을 것이다.Next, a preferred embodiment of the case of the URL learning mode and the URL control mode by the positive integrated
1. URL 학습 모드 일 때 data flow1. Data flow when in URL learning mode
최초 포지티브통합보안관제시스템(20)이 설치되어 웹 서버의 페이지 구조를 모를 때 소정시간 학습을 진행하게 된다. 본 발명에서의 학습이란 관리관제부(27)의 관리도구로 웹서버를 관리함에 있어 웹서버들의 URL 정보 및 URL 정보의 unique ID를 수집하여 저장하는 과정을 지칭하게 되며, 이에 이러한 URL 정보 및 URL 정보의 unique ID의 정보는 트랜잭션분석부(23), 실시간정보관리부(25), URL정보관리부(26) 및 관리관제부(27) 등에서 데이터 저장 및 정보의 처리에 사용될 것이다.When the first positive integrated
그리고 이러한 학습은 보통 짧게는 3일, 길게는 2주정도 진행될 수도 있을 것이고, 또는 상시적으로 실시될 수도 있는 등 사용자의 설치환경이나 웹서버의 운영, 네트워크의 환경 등에 따라 알맞게 정하여질 수 있을 것이다.Such learning may be normally conducted for a short time of three days, for a long time of two weeks, or may be performed at all times, and may be appropriately determined according to the user's installation environment, web server operation, network environment, .
일반 서비스사용자(10)(또는 서비스공격자(11) 등)가 브라우저에 A.com/main.html 이라고 입력을 하고 서비스를 요청한다면, 이 요청정보는 포지티브통합보안관제시스템(20)을 통과하여 A.com 에 서비스를 요청할 것이다. 이때 패킷수집부(22)에서는 이 요청정보를 가로채어 HTTP 트래픽인지 확인(port 80, port 443)을 하고 아니면 포워딩(그냥 통과)을, 맞다면 트랜잭션 분석부에 넘겨져 HTTP 파싱을 진행하여 URL 정보를 추출한다.If the general service user 10 (or the
추출된 URL 이 실시간 정보 관리부에 있는지 확인 한 후 있다면 포워딩(그냥 통과) 시키고, 없다면 새로운 페이지라 인식하고 트랜잭션분석부(23)에 임시 저장 후 포워딩한다. 포워딩 된 요청은 웹 서버에 도달하고 웹 서버는 이 페이지에 서비스를 제공한다. 이때 정상적으로 존재하는 페이지를 서비스한다면 웹 서버는 HTTP 응답 헤더에 '200 OK' 응답 코드를, 페이지가 존재하지 않는 경우 '404 Not Found' 등을 주게 된다. (페이지가 있다는 응답 코드로 실제 존재하는 페이지만을 학습하는 것을 목적) 앞에서 트랜잭션 분석부에 임시로 저장된 URL 주소는 HTTP 응답 코드 '200 OK'의 경우 완전하게 저장을, 그 외의 리턴 코드의 경우 임시 URL 주소는 폐기된다.If it is confirmed that the extracted URL is in the real-time information management unit, it is forwarded (passed). If not, the URL is recognized as a new page, and is temporarily stored in the
'200 OK'를 받아 트랜잭션분석부(23)에 완전하게 저장된 URL 페이지 정보는 URL정보관리부(26)에 따로 저장되며, 저장될 때 unique 한 URL ID 와 함께 저장된다. URL정보관리부(26)의 최종 목적은 관리관제부(27)의 관리도구(원격 관리자)가 시작 될 때 unique ID 와 URL 구조를 파악하기 위해 최초 참조 되는 곳이다. 이렇게 하여 관리도구 실행 시 최초 참조 된 unique ID 와 URL 정보는 관리도구 내에 웹 구조를 표현해내는데 사용되며, unique ID 는 관리관제부(27)의 관리도구와 실시간정보관리부(25)와의 경량화 통신(웹 페이지 URL 대신 ID 사용)을 위하여 사용된다. 보통 URL정보관리부(26)는 DB (Data Base) 가 사용된다.
The URL page information completely stored in the
2. URL 관제 모드 일 때 data flow2. Data flow when in URL control mode
URL 학습 모드로 실존하는 웹 페이지 구조 학습이 모두 끝나면, 학습된 URL 을 바탕으로 페이지 정보를 수집하고 실시간정보관리부(25)에 업데이트 한다.When the learning of the web page structure existing in the URL learning mode is completed, the page information is collected based on the learned URL and updated in the real-time information management unit 25.
일반 서비스 사용자가 브라우저에 A.com/main.html 이라고 입력을 하고 서비스를 요청한다면, 이 요청은 포지티브통합보안관제시스템(20)을 통과하여 A.com 에 서비스를 요청할 것이다. 이때 패킷수집부(22)에서는 이 요청정보를 가로채어 HTTP 트래픽인지 확인(port 80, port 443)을 하고 아니면 포워딩(그냥 통과)을, 맞다면 트랜잭션분석부(23)에 넘겨져 HTTP 파싱을 진행하여 URL 정보 및 HTTP 정보(HTTP header/body 정보)를 추출한다. 파싱이 완료 되고 HTTP 정보가 모두 추출되면, 접근제어시스템(24)에 넘겨져 보안 위협이 있는지를 분석을 하게 된다.If a regular service user enters A.com/main.html into the browser and requests a service, the request will pass through the positive unified
이에 주로 접근제어시스템의 예로는 웹 어플리케이션 방화벽 등이 사용될 수 있다.An example of an access control system is a web application firewall or the like.
접근제어시스템(24)에 의해 서비스 차단이 될 경우는 차단 공격 유형 및 패턴 정보, 차단 사유, 페이지 히트 수 및 전체 페이지 중 히트 률 등의 탐지정보가 실시간정보관리부(25)에 업데이트 되며, 이때에는 서비스가 완벽하게 이루어져야 제공되는 정보, 즉 서비스 응답이 이루어져야 나오는 정보인 응답 시간, 응답 평균 시간 등은 업데이트에서 제외된다.When the service is blocked by the
그리고 접근제어시스템(24)에 의해 서비스 위협이 없다고 판단이 되면, 추출 된 URL 이 실시간정보관리부(25)에 있는지 확인 한 후, URL이 존재한다면 서비스 요청(http request) 시 페이지 히트 수, 전체 중 히트 률 등을 업데이트하며 서비스 응답(http response) 시 응답 속도, 평균 응답 속도 등의 정보를 실시간정보관리부(25)에 업데이트 하게 된다.If it is determined by the
이렇게 실시간으로 실시간정보관리부(25)에 업데이트된 정보는 일정 시간의 간격으로 관리관제부(27)의 관리도구 측으로 보내지며, 대량의 정보를 경량화하기 위하여, 최근 업데이트 된 정보(즉 마지막으로 실시간 정보 관리부에 관리도구에 정보를 보낸 이후에 새로이 업데이트 된 URL 정보)만을 긴 URL 대신 짧은 unique ID 로 하여 대신하여 보내게 된다.The updated information in the real-time information management unit 25 in real time is sent to the management tool side of the manager-side management unit 27 at intervals of a predetermined time. In order to lighten a large amount of information, recently updated information The newly updated URL information after sending the information to the management tool) instead of the long URL.
학습이 된 이후의 새로운 페이지나 URL 주소는 수동으로 등록하거나 기존 URL 에 대한 삭제 또한 가능할 것이다.
New pages or URL addresses after learning can be manually registered or deleted from existing URLs.
이상에서와 같이 실시되는 본 발명에 따른 포지티브통합보안관제시스템(20)은 서비스사용자의 단말기와 웹서버(15) 사이에 위치되어 송수신되는 패킷정보를 분석하여, HTTP response 정보에서 응답정보를 확인하여 URL 정보에 대한 학습과정을 수행하고, 등록된 URL정보에 대한 탐지정보를 unique ID로 송수신되게 함으로써, 신호의 송수신이 양호하게 하면서 탐지의 효율도 가능하게 하는 것이다.The positive integrated
특히 종래와 같이 agent 설치를 하지 않으면서 backbone 에 설치하여, 전체 패킷을 수집하고 HTTP 를 분석하여 웹 페이지 구조를 학습하는 것으로, 종래의 단점을 보완하며 동시에 보안 위협에 대한 정보를 제공하여 통합 관제 시스템을 구축하는 것이다.In particular, it is installed in the backbone without installing the agent as in the past, and collects the entire packet and analyzes the HTTP to analyze the web page structure. It compensates the conventional shortcoming and provides information about the security threat, .
즉 서버에 agent 설치가 필요없는 Non-Agent 방식을 적용하는 것으로, back bone 방식으로 설치하여 HTTP 패킷을 수집/분석하여 전체 웹 서버 모니터링이 가능하며, 각 서버와 도메인을 전체 통합 관리한다.In other words, it adopts non-agent method which does not need to install agent on server, it is installed with back bone method and collects / analyzes HTTP packet to monitor whole web server, and manages each server and domain as a whole.
이로써 웹 페이지의 자동 학습에 의한 웹 페이지 구조 추출(포지티브 추출)이 이루어지는 것으로, 웹 페이지 요청 시 웹 서버의 응답 코드(ex: 200 OK)로 해당 페이지 실제 존재 유무를 확인하고, 정상적으로 이루어지고 있는 서비스 페이지만을 학습하는 것으로, 응답코드의 확인을 주요 기술적 요소로 하고 있다.In this way, the web page structure extraction (positive extraction) is performed by the automatic learning of the web page. When the web page is requested, the existence of the actual page is confirmed by the response code of the web server (ex: 200 OK) By learning only the page, confirmation of the response code is the main technical element.
그리고 각 페이지 별, 분석 및 위협 정보 제공하는 것이며, 페이지 별 응답 속도, 접근량, 국가 별 통계, 응답히트 및 속도 TOP N 기능, 페이지 별 공격 유형 및 탐지/차단 정보 제공하는 것이다.It provides analysis and threat information for each page. It provides page response speed, access amount, statistics by country, response hit and speed TOP N function, attack type per page and detection / blocking information.
아울러 엔진과 관리도구 통신 경량화를 위하여, 분석부(엔진) 와 관리도구 (관리자)의 통신은 실시간 정보를 업데이트하기 위해 소정 간격으로 잦은 통신을 하게 되는데, 이때 전체 URL 주소를 사용하는 것 대신에 URL 을 지칭하는 unique 한 ID 로 대신하여 실시간 통신 데이터 량을 최소화하여, 신호의 안정성 및 경량화를 이루게 된다.In addition, communication between the analysis unit (engine) and the management tool (manager) is frequently performed at a predetermined interval to update real-time information. In this case, instead of using the entire URL address, , The amount of real-time communication data is minimized and the signal is stabilized and lightened.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니 된다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. The technical idea of the present invention should not be construed as being limited.
10 : 서비스사용자 11 : 서비스공격자
15 : 웹서버 20 : 포지티브통합보안관제시스템
22 : 패킷수집부 23 : 트랜잭션분석부
24 : 접근제어시스템 25 : 실시간정보관리부
26 : URL정보관리부 27 : 관리관제부10: service user 11: service attacker
15: Web server 20: Positive integrated security control system
22: packet collecting unit 23:
24: access control system 25: real-time information management unit
26: URL information management unit 27:
Claims (9)
사용자와 서버 사이의 패킷을 수집하고 웹트래픽을 분류하며 패킷의 IP, TCP헤더를 분리하는 패킷수집부; 및
URL정보관리부로부터 URL 정보를 수신받고 실시간정보관리부로부터 HTTP데이터, 탐지정보를 수신받는 관리관제부를 포함하고, 사용자와 서버 사이의 패킷을 수집하고 분석하는 시스템에 있어서,
트랜잭션분석부로부터 수신받은 URL정보를 저장하고, 관리관제부에 URL 정보를 전송하는 URL정보관리부; 및
트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 저장하고 관리관제부에 업데이트된 정보를 전송하는 실시간정보관리부를 포함하고,
상기 트랜잭션분석부는, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고, 웹서버 요청정보가 서비스 차단정보일 경우 웹서버 요청정보에 대한 탐지정보를 실시간정보관리부로 전송하며,
상기 URL정보관리부는, 상기 트랜잭션분석부에 의해 HTTP response 데이터에 응답코드가 있는 경우로 판별되고 실시간정보관리부에 URL정보가 저장되지 않은 URL 정보로 판별되는 경우 트랜잭션분석부로부터 URL정보와 URL 정보에 대한 unique ID 정보를 전송받아 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하고,
상기 실시간정보관리부는, 트랜잭션분석부로부터 수신받은 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보에 더하여 URL 정보와 URL 정보에 대한 unique ID 정보를 저장하고 관리관제부에 업데이트된 탐지정보를 unique ID 별로 소정 시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템.
A transaction analyzer for classifying HTTP data into HTTP request and HTTP response among packet information between a user and a server and parsing HTTP header and HTTP body to extract information;
A packet collecting unit for collecting packets between a user and a server, classifying web traffic, and separating IP and TCP headers of packets; And
A system for collecting and analyzing packets between a user and a server, the system comprising a management control unit receiving URL information from a URL information management unit and receiving HTTP data and detection information from a real time information management unit,
A URL information management unit for storing the URL information received from the transaction analysis unit and transmitting the URL information to the manager unit; And
And a real-time information management unit for storing detection information on HTTP data and web server request information received from the transaction analysis unit and transmitting the updated information to the manager unit,
The transaction analyzer determines whether the URL information is stored in the real-time information management unit when the response code is included in the HTTP response data. If the URL information is not stored in the real-time information management unit, the transaction analyzing unit stores the URL information and the unique ID information of the URL information in the URL information If the web server request information is the service blocking information, the detection information of the web server request information is transmitted to the real-time information management unit.
The URL information management unit determines that the response code is included in the HTTP response data by the transaction analysis unit, and when it is determined that the URL information is not stored in the real-time information management unit, And transmits unique ID information about the URL information and the URL information to the controller unit,
The real-time information management unit stores unique ID information on the URL information and the URL information in addition to the detection information on the HTTP data and the web server request information received from the transaction analyzing unit, and transmits the updated detection information to the manager- Wherein the transmission is performed at a time interval.
웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 탐지정보를 트랜잭션분석부에 전송하는 접근제어시스템을 포함하고,
상기 트랜잭션분석부는, 접근제어시스템으로부터 전송받은 탐지정보를 실시간정보관리부로 전송하며,
상기 실시간정보관리부는, 트랜잭션분석부로부터 수신받은 탐지정보 및 URL 정보에 대한 unique ID 정보를 포함하는 정보를 관리관제부에 소정 시간 간격으로 전송하고,
상기 탐지정보는 차단공격유형, 패턴정보, 차단사유, 페이지히트수, 전체 페이지 중 히트율 중 어느 하나 이상의 정보를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템.
The method according to claim 1,
And an access control system for checking whether the web page is a signal of a normal request or an abnormal request when the service request signal is received from the user terminal and performing the presence or absence of blocking to transmit the detection information to the transaction analysis unit,
The transaction analyzing unit transmits the detection information transmitted from the access control system to the real-time information management unit,
The real-time information management unit transmits information including unique ID information about the detection information and the URL information received from the transaction analysis unit to the manager information unit at predetermined time intervals,
Wherein the detection information includes at least one of a blocking attack type, pattern information, blocking reason, page hits, and hit ratio among all pages.
트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하는 트랜잭션분석단계;
URL정보관리부에서 관리관제부로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 URL학습단계; 및
실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 URL관제단계를 포함하는 포지티브통합보안관제시스템 제어방법에 있어서,
상기 URL학습단계는, 트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하고 URL정보관리부에서 관리관제부로 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하고,
상기 URL관제단계는, 접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하고, 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하며, 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법.
A packet collecting step of collecting packets between the user and the server in the packet collecting unit, classifying the web traffic, and separating IP and TCP headers of the packets;
A transaction analysis step of classifying the HTTP data into HTTP request and HTTP response and parsing the HTTP header and the HTTP body to extract information from the transaction analysis unit;
A URL learning step of transmitting unique ID information on URL information and URL information when the URL information management unit is URL information to the management control unit; And
And a URL control step of transmitting detection information on HTTP data and web server request information from the real-time information management unit to the management control unit at predetermined time intervals, the method comprising:
In the URL learning step, the transaction analyzing unit classifies the HTTP data into HTTP request and HTTP response, parses the HTTP header and the HTTP body, extracts information, and if there is a response code in the HTTP response data, And if the URL information is not stored in the real-time information management unit, transmits unique ID information about the URL information and the URL information to the URL information management unit. If the URL information management unit determines that the URL information is URL information, And transmits the unique ID information to the terminal.
In the access control system, when a signal of a service request is received from a user terminal for a web page in the access control system, it is checked whether the signal is a normal request signal or an abnormal request, To the transaction analysis unit, the transaction analysis unit transmits unique ID information about the detection information, the URL information, and the URL information to the real-time information management unit, and the real-time information management unit transmits the detection information about the HTTP data and the web server request information to the management control unit Wherein the transmission is performed at predetermined time intervals.
상기 URL학습단계는:
트랜잭션분석부에서 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 단계; 및
URL정보관리부에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 단계를 포함하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법.
The method according to claim 6,
The URL learning step comprises:
Transmitting the unique ID information on the URL information and the URL information to the URL information management unit in the transaction analysis unit; And
Storing the URL information and the unique ID information on the URL information in the URL information management unit, and transmitting the URL information and the unique ID information on the URL information to the manager information unit.
트랜잭션분석부에서 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 URL ID추출단계; 및
URL정보관리부에서 URL정보와 URL 정보에 대한 unique ID 정보를 저장하고, 관리관제부에 URL 정보와 URL 정보에 대한 unique ID 정보를 전송하는 unique ID전송단계를 포함하는 포지티브통합보안관제시스템 제어방법에 있어서,
상기 URL ID추출단계는,
트랜잭션분석부에서 HTTP데이터에서 http request와 http response로 분류하고 HTTP header와 HTTP body를 파싱하여 정보를 추출하고, HTTP response 데이터에 응답코드가 있는 경우 실시간정보관리부에 URL정보가 저장되어 있는지 판별하여 실시간정보관리부에 저장되지 않은 URL 정보일 경우 URL 정보와 URL 정보에 대한 unique ID 정보를 URL정보관리부로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법.
A packet collecting step of collecting packets between the user and the server in the packet collecting unit, classifying the web traffic, and separating IP and TCP headers of the packets;
A URL ID extraction step of transmitting unique ID information about URL information and URL information to a URL information management unit in a transaction analysis unit; And
And a unique ID transmission step of storing unique ID information on the URL information and the URL information in the URL information management unit and transmitting unique ID information on the URL information and the URL information on the manager side, ,
In the URL ID extracting step,
The transaction analyzing unit classifies the HTTP data into HTTP request and HTTP response, extracts information by parsing the HTTP header and the HTTP body, and if the response code exists in the HTTP response data, determines whether the URL information is stored in the real- And transmits unique ID information on the URL information and the URL information to the URL information management unit when the URL information is not stored in the information management unit.
접근제어시스템에서 웹페이지에 대해 사용자단말기로부터 서비스 요청의 신호를 수신받은 경우 정상적인 요청의 신호인지 또는 비정상적인 요청인지를 검사하고 차단유무를 수행하여 웹서비스 요청정보에 대한 탐지정보를 트랜잭션분석부로 전송하고, 트랜잭션분석부에서 탐지정보, URL 정보, URL 정보에 대한 unique ID 정보를 실시간정보관리부로 전송하며, 실시간정보관리부에서 HTTP데이터 및 웹서버 요청정보에 대한 탐지정보를 관리관제부로 소정시간 간격으로 전송하는 것을 특징으로 하는 포지티브통합보안관제시스템 제어방법.
9. The method of claim 8,
When the access control system receives a service request signal from a user terminal for a web page, the access control system checks whether the request signal is a normal request signal or an abnormal request, performs blocking or not, and transmits detection information on the web service request information to the transaction analysis unit , The transaction analyzing unit transmits unique ID information about the detection information, the URL information, and the URL information to the real-time information management unit, and the real-time information management unit transmits the detection information about the HTTP data and the web server request information to the management control unit at predetermined time intervals Wherein the control unit is operable to control the integrated security control system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120152740A KR101424504B1 (en) | 2012-12-26 | 2012-12-26 | Integrated security control system using positive way |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120152740A KR101424504B1 (en) | 2012-12-26 | 2012-12-26 | Integrated security control system using positive way |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140083236A KR20140083236A (en) | 2014-07-04 |
| KR101424504B1 true KR101424504B1 (en) | 2014-08-01 |
Family
ID=51733700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120152740A KR101424504B1 (en) | 2012-12-26 | 2012-12-26 | Integrated security control system using positive way |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101424504B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200114487A (en) * | 2019-03-28 | 2020-10-07 | 네이버비즈니스플랫폼 주식회사 | Apparatus and method for analyzing vulnerabilities |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101949196B1 (en) * | 2017-04-24 | 2019-02-19 | (주)유엠로직스 | Method and System for providing Access Security in private Cloud Access Security Broker |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100939020B1 (en) | 2009-06-09 | 2010-01-27 | 주식회사 이븐스타 | Web source analysis system and method |
-
2012
- 2012-12-26 KR KR1020120152740A patent/KR101424504B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100939020B1 (en) | 2009-06-09 | 2010-01-27 | 주식회사 이븐스타 | Web source analysis system and method |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200114487A (en) * | 2019-03-28 | 2020-10-07 | 네이버비즈니스플랫폼 주식회사 | Apparatus and method for analyzing vulnerabilities |
| KR102231726B1 (en) * | 2019-03-28 | 2021-03-25 | 네이버클라우드 주식회사 | Apparatus and method for analyzing vulnerabilities |
| US11363054B2 (en) | 2019-03-28 | 2022-06-14 | Naver Cloud Corporation | Apparatus and method for analyzing security vulnerabilities |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140083236A (en) | 2014-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (en) | Network attack detection method and device | |
| CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
| KR101424490B1 (en) | Reverse access detecting system and method based on latency | |
| CN104937886B (en) | Log analysis device, information processing method | |
| EP2408166B1 (en) | Filtering method, system and network device therefor | |
| US20160323305A1 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| CN1330131C (en) | System and method for detecting network worm in interactive mode | |
| KR101095447B1 (en) | Apparatus and method for preventing distributed denial of service attack | |
| CN109347794A (en) | A kind of Web server safety defense method | |
| US20150281176A1 (en) | Method And Technique for Automated Collection, Analysis, and Distribution of Network Security Threat Information | |
| CN110708215B (en) | Deep packet inspection rule base generation method, device, network equipment and storage medium | |
| US20050182950A1 (en) | Network security system and method | |
| KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
| US10701076B2 (en) | Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources | |
| CN101589595A (en) | A containment mechanism for potentially contaminated end systems | |
| JP2014517593A (en) | Defense method against spoofing attacks using blocking server | |
| CN103916288B (en) | A kind of Botnet detection methods and system based on gateway with local | |
| KR101250899B1 (en) | Apparatus for detecting and preventing application layer distribute denial of service attack and method | |
| KR101281160B1 (en) | Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same | |
| KR101424504B1 (en) | Integrated security control system using positive way | |
| CN1983955A (en) | Method and system for monitoring illegal message | |
| KR100733830B1 (en) | DDoS Detection and Packet Filtering Scheme | |
| CN108206828B (en) | Dual-monitoring safety control method and system | |
| JP2006164038A (en) | Method for coping with dos attack or ddos attack, network device and analysis device | |
| KR20140117217A (en) | Method and apparatus of the traffic classification using big data analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170717 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180723 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190723 Year of fee payment: 6 |