[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR100989347B1 - 보안규칙 기반의 웹공격 탐지 방법 - Google Patents

보안규칙 기반의 웹공격 탐지 방법 Download PDF

Info

Publication number
KR100989347B1
KR100989347B1 KR1020090077410A KR20090077410A KR100989347B1 KR 100989347 B1 KR100989347 B1 KR 100989347B1 KR 1020090077410 A KR1020090077410 A KR 1020090077410A KR 20090077410 A KR20090077410 A KR 20090077410A KR 100989347 B1 KR100989347 B1 KR 100989347B1
Authority
KR
South Korea
Prior art keywords
web
security
attack
traffic
web traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020090077410A
Other languages
English (en)
Inventor
이석우
이충우
김덕수
박영인
김동인
문성현
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to KR1020090077410A priority Critical patent/KR100989347B1/ko
Application granted granted Critical
Publication of KR100989347B1 publication Critical patent/KR100989347B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 웹서버의 보안 방법에 관한 것으로서, 특히, 웹트래픽 유형을 그룹화하여 분류하고, 분류된 웹트래픽 유형별로 웹공격을 차단할 수 있는 보안규칙을 구축한 상태에서 웹트래픽이 수신되면, 수신된 웹트래픽이 해당되는 분류를 선택하며, 선택된 분류에서 제공되는 보안규칙을 이용해 웹공격을 탐지하여 차단할 수 있는, 보안규칙 기반의 웹공격 탐지 방법에 관한 것이다.
웹서버, 보안규칙, 웹트래픽, 웹공격, 이상탐지, 컨텐츠평가, 예외처리패턴

Description

보안규칙 기반의 웹공격 탐지 방법{METHOD FOR DETECTING A WEB ATTACK BASED ON A SECURITY RULE}
본 발명은 웹서버의 보안 방법에 관한 것으로서, 특히, 보안규칙을 기반으로 하여 웹공격을 탐지하는 방법에 관한 것이다.
인터넷과 같은 네트워크 환경은 서로 다른 위치에 있는 다수의 접속자들에게 개방형 통신망을 제공한다. 즉, 네트워크 상의 컴퓨터 시스템은 개방성, 범용성과 이진 논리성을 가지는데, 이러한 개방성, 범용성과 이진 논리성은 시스템의 운영 및 이용을 쉽게 만든다는 장점이 있지만, 보안 측면에서는 효과적이지 못하다는 단점을 가지고 있다.
한편, 네트워크 상의 컴퓨터 시스템에 대한 가장 완벽한 보안은 그 컴퓨터 시스템을 다른 네트워크와 완전히 차단하는 것이다. 그러나, 수많은 컴퓨터 시스템들이 개방형으로 연결되어 있는 현재의 네트워크 구조에서 자신이 운영하는 컴퓨터 시스템을 다른 네트워크와 완전히 차단시킨다는 것은 불가능에 가까운 일이며, 더욱이, 보안을 위해 네크워크를 통해 유통되는 모든 데이터의 흐름을 감시하고 비정상적인 조건에 대해 실시간으로 대응하여 침입이나 공격을 정확하게 선별한다는 것 은 결코 쉽지 않은 문제이다.
따라서, 네트워크 환경에서 웹서비스를 제공하고 있는 업체들은 다양한 방법을 이용하여 자신의 웹서버에 대한 보안을 유지하고 있는바, 이러한 웹서버 보안 방법 중 현재 널리 이용되고 있는 방법으로는, 웹 방화벽(패턴 매칭 웹방화벽)을 통해 이용되고 있는 패턴 매칭 엔진에 의한 웹서비스 보안 방법(이하, 간단히 '패턴 매칭 엔진'이라 함)이 있다.
종래의 패턴 매칭 엔진은, 웹서비스를 제공하는 웹(애플리케이션)서버와, 서비스를 이용하려는 사용자 컴퓨터 사이에 위치하여, 웹트래픽을 가로채어 저장된 웹공격 패턴과 1:1 패턴 매칭 방식으로 웹공격을 탐지하는 방법이다.
이러한 종래의 패턴 매칭 엔진은 웹공격과 형태의 일치뿐만 아니라, 웹공격이 실행되는 공격 위치와도 일치하여야 웹공격을 차단할 수 있다. 즉, 웹서비스를 제공하는 웹서버의 방대한 자료에서 웹공격이 가능한 부분을 사전에 파악하고 그 위치에 예상되는 웹공격을 패턴으로 제작하여 관리하여야 한다.
이를 위하여 웹방화벽이 방어할 대상이 화이트 리스트(white List)로 구성된다. 즉, 웹서비스의 내용을 검토하고 관리자가 웹트래픽이 지나가는 경로(타겟)를 지정하여 패턴으로 검사할 대상을 사전에 정의하여야 한다.
또한, 화이트 리스트(White list)의 범위에 들어오는 웹트래픽을 검사할 블랙 리스트(Black list)를 구성하여야 한다. 즉, 블랙 리스트(Black list)는 웹공격을 탐지할 수 있는 패턴과 정규식으로 구성된 데이터베이스(database)를 말하는 것이다. 여기서, 패턴이란 웹트래픽을 단순 데이터(data)로 취급하여 웹공격에 사용 될 수 있는 주요 명령어, 단어, data 등을 검사할 수 있는 요소이고, 정규식은 단순 패턴보다 발전된 형식으로서 패턴을 문법으로 구성하여 다양한 조건의 패턴 검사가 가능하도록 한 것이다. 이하에서는 상기에서 언급된 패턴 및 정규식을 통칭하여 간단히 패턴이라 한다. 즉, 이하의 설명에서 블랙 리스트란, 패턴 및 정규식을 모두 포함하는 의미로 사용된다.
한편, 상기한 바와 같이 종래의 패턴 매칭 엔진은, 화이트 리스트(white list)로부터 탐지대상을 분류하고 블랙 리스트(black list)로 웹트래픽을 검사하는 방법으로서, 종래의 패턴 매칭 엔진은 다음과 같은 문제점을 내포하고 있다.
첫째, 종래의 패턴 매칭 엔진은 지속적인 패턴 관리(유지, 관리 비용 증가)가 요구된다. 즉, 신규 공격, 기존 공격의 변형 공격이 발생할 경우에 대비한 패턴 업데이트와 같은 패턴 추가가 요구된다. 또한, 패턴이 많아질수록 웹 방화벽의 성능저하가 발생되는 구조로서, 웹방화벽은 일정수준의 웹서비스 성능을 보장하기 위하여 전체 등록 가능한 패턴의 양이 한정되어 있고, 따라서, 비사용 패턴을 주기적으로 제거해야 신규 공격을 탐지할 패턴을 추가할 수 있는바, 패턴 제거과정과 같은 패턴 관리가 요구된다.
둘째, 종래의 패턴 매칭 엔진은 웹서버의 공격에 대한 근본적인 취약성을 내포하고 있다. 즉, 종래의 패턴 매칭 엔진은 해당 패턴과 정확히 일치하는 웹공격만을 탐지할 수 있기 때문에, 약간의 변형이나 새로운 구성 및 배열로 이루어진 웹공격에 대해서는 새로운 패턴으로 탐지해야 한다. 즉, 웹공격에 대한 출현이 발생해야만 탐지 가능한 패턴이 생성될 수 있다. 이것은, 새로운 형태의 웹공격이 웹서버 를 공격할 경우 웹방화벽이 이를 방어하지 못함을 의미한다. 또한, 화이트 리스트(White list)를 구축하기 위한 최소 기간이 필요하며, 이 기간 동안 웹 방화벽은 정상적인 방어기능을 수행할 수 없다. 즉, 웹서비스가 변경될 경우마다 화이트 리스트(ite list)를 갱신해야 하며, 이러한 갱신은 웹서비스를 실행시킨 상태에서 해야하므로(웹트래픽의 흐름을 추적해서 구축해야 하므로) 이 시간동안 웹서비스는 웹공격에 그대로 노출될 수 있다. 또한, 화이트 리스트(White list)는 웹서비스별로 다르기 때문에 관리자가 직접 구축해야하며, 이 과정에서 많은 문제점이 발생할 수 있다. 즉, 관리자가 등록하지 못한 탐지 대상으로 웹공격이 침입 시 탐지하지 못하는 문제가 발생될 수 있다.
셋째, 웹서비스 성능과 웹공격 방어 능력 중 어느 하나를 선택해야 한다는 문제점이 있다. 즉, 패턴 매칭 엔진의 웹 방어 효과는 패턴의 개수와 비례하고 있으나, 웹트래픽을 모든 패턴과 1:1로 비교하는 패턴 매칭 엔진의 웹트래픽 처리 성능은 패턴과 반비례하고 있기 때문에, 둘 중 어느 하나의 성능이 저하될 수 밖에 없다. 따라서, 웹서비스 품질(서비스 제공 속도)과 웹서비스 보안 중 어느 하나를 포기해야 하는 문제점이 발생한다.
상기한 바와 같은 종래의 웹서버 보안 방법의 문제점을 간단히 요약하면, 우선, 패턴 매칭 방식을 활용하고 있기 때문에 새로운 공격 방식에 대응하기 어렵고, 주기적으로 패턴을 업데이트해야 하기 때문에 패턴이 많아질수록 동작 성능저하의 우려가 커지고, 관리자가 일일이 정책을 설정해야 하기 때문에 매우 숙련된 관리자가 아닐 경우 복잡한 기능은 사용하지 않게 되며, 빈번한 오탐으로 인해 대량의 로 그가 발생하기 때문에 관리자가 대량의 로그를 일일이 확인하고 대응하기 어려우며, 정책 설정을 위해 보안 모듈의 긴 학습이 필요한 경우가 많다는 문제점을 가지고 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 웹트래픽 유형을 그룹화하여 분류하고, 분류된 웹트래픽 유형별로 웹공격을 차단할 수 있는 보안규칙을 구축한 상태에서 웹트래픽이 수신되면, 수신된 웹트래픽이 해당되는 분류를 선택하며, 선택된 분류에서 제공되는 보안규칙을 이용해 웹공격을 탐지하여 차단할 수 있는, 보안규칙 기반의 웹공격 탐지 방법을 제공하는 것이다.
상기 목적을 달성하기 위한 본 발명은, 웹트래픽 유형 및 웹공격 유형을 정의하고, 웹트래픽 분류별로 웹공격을 차단할 수 있는 보안규칙들을 구축하는 정의 단계; 사용자 단말기 및 웹서버 간에 전송되는 웹트래픽을 수신하는 수신 단계; 상기 수신 웹트래픽을 상기 웹트래픽 유형에 따라 분류하는 분류 단계; 상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽에 웹공격이 존재하는지 또는 실행 가능한 웹공격이 존재하는지에 대하여 탐지하는 이상탐지 단계; 상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽이 서비스 수행이 가능한 내용 인지를 평가하여 정상적인 웹트래픽인지의 여부를 검증하는 컨텐츠 평가 단계; 및 상기 이상탐지 단계 및 상기 컨텐츠 평가 단계에서 웹공격으로 판단되지 않은 경우에는, 상기 수신 웹트래픽을 정상적으로 전송하며, 상기 이상탐지 단계 또는 상기 컨텐츠 평가 단계에서 웹공격으로 판단된 경우에는 상기 수신 웹트래픽의 전송을 차단하는 대응 단계를 포함한다.
본 발명은 웹트래픽 유형을 그룹화하여 분류하고, 분류된 웹트래픽 유형별로 웹공격을 차단할 수 있는 보안규칙을 구축한 상태에서 웹트래픽이 수신되면, 수신된 웹트래픽이 해당되는 분류를 선택하며, 선택된 분류에서 제공되는 보안규칙을 이용해 웹공격을 탐지하여 차단함으로써, 반복적인 패턴 업데이트 없이도 다양한 웹공격으로부터 웹서버를 보호하여, 웹서버의 보안 상태를 유지할 수 있다는 효과를 가지고 있다.
즉, 본 발명은 웹서버의 동작에 부정적 영향을 줄 우려가 있는 사항들을, 보안규칙의 집합체인 보안정책을 이용해 이상 현상을 탐지함으로써, 알려진 공격이 아니더라도 미리 웹서버의 취약점을 보호할 수 있으며, 새로운 공격에도 융통성 있게 대응할 수 있다는 효과를 가지고 있다.
부연하여 설명하면, 본 발명은 반복적인 패턴 업데이트 없이도 새로운 공격에 대응이 가능하며, 따라서, 빈번한 공격 패턴 업데이트로 인한 관리 부담을 줄일 수 있다는 효과를 가지고 있다.
또한, 본 발명은 웹트래픽을 일정한 분류 체계에 의해 자동적으로 분류하여 처리하므로, 방어할 대상을 일일이 지정할 필요가 없기 때문에, 관리자의 개입이 불필요하며, 관리자의 실수에 의한 휴먼 에러(human error) 발생이 없다는 효과를 가지고 있다. 즉, 본 발명은 보안 엔진의 학습 시간을 줄이거나 없애는 방법으로서, 빠른 시간 안에 웹 방화벽을 설정하여 사용할 수 있게 한다는 효과를 가지고 있다.
또한, 본 발명은 단계별 세션 검열을 통해 오탐율을 낮출 수 있다. 즉, 본 발명은 다양한 보안규칙과 진보된 웹방화벽 엔진을 활용하여 오탐(웹공격이 아닌 웹트래픽을 웹공격으로 오인하여 탐지) 및 미탐(웹공격임에도 불구하고 이를 탐지하지 못함)율을 줄일 수 있도록 한다는 효과를 가지고 있다.
이하, 첨부된 도면을 참조하여 본 발명이 상세히 설명된다.
도 1은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템의 일실시예에 대한 구성도이다. 도 2는 본 발명에 적용되는 보안서버(30)의 구성을 나타낸 예시도이다.
본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은, 인터넷과 같은 네트워크 상에서 다양한 서비스를 제공하고 있는 웹서버를 다양한 형태의 웹공격으로부터 보호하기 위한 것으로서, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템은 도 1에 도시된 바와 같이, 온라인 쇼핑몰, 온라인 금융, 전자도서관 등과 같은 다양한 웹서비스를 제공하는 웹서비스 시스템(20) 및 웹서비스 시스템에 접속하기 위하여 사용자들이 이용하는 사용자 단말기(10)들로 구성되어 있다.
웹서비스 시스템(20)은 상기한 바와 같이 다양한 웹서비스를 제공하고자 하는 관리자가 운영하는 시스템으로서, 웹서비스 시스템은 도 1에 도시된 바와 같이, 실질적으로 서비스(컨텐츠)를 제공하는 하나 이상의 웹서버(40)들을 포함하여 구성되어 있으며, 또한, 네트워크와 웹서버들 사이에는 방화벽으로 이용되고 있는 보안서버(30)가 구비되어 있을 수도 있다. 한편, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 웹서비스 시스템 중 웹서버(40)에서 개별적으로 구현될 수도 있으나, 보안서버(웹방화벽)가 구축되어 있는 웹서비스 시스템의 경우에는 보안서버(30)를 통해 구현될 수도 있다. 즉, 별도의 보안서버가 구축되어 있지 않은 웹서비스 시스템에서는 웹서버를 통해 일반적인 서비스 제공과 함께 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 구현할 수 있으며, 별도의 보안서버가 구축되어 있는 웹서비스 시스템의 경우에는 실질적으로 서비스를 제공하는 웹서버와 분리된 보안서버를 통해 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 구현할 수도 있다.
이하에서는 설명의 편의상, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 보안서버(웹 방화벽)에서 실행되는 것으로 설명되겠으나, 상기한 바와 같이 웹서버 자체에서도 동일한 방법으로 실행될 수 있다. 또한, 본 발명에서 보안서버란 웹 방화벽을 말하는 것으로서, 이하에서는 간단히 웹 방화벽을 보안서버라 통일하여 칭하겠다.
보안서버(30)는 상기한 바와 같이 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법을 실현시키는 주체로서, 일반적인 웹서버 또는 컴퓨터 등과 같이 제어부, 입력부, 출력부, 저장부 등을 기본적으로 구비하고 있다. 한편, 본 발명은 오탐율이 매우 낮은 고성능 웹방화벽 개발을 위한 것으로서, 본 발명에 적용되는 보안서버는 도 2에 도시된 바와 같이, 네트워크 플랫폼(201), 다단계 세션 검열 엔진(202), 세션 검열 정책 모듈(203), 사용자 인터페이스 모듈(204), 내부데이터베이스(205)로 구성될 수 있다.
우선, 네트워크 플랫폼(201)은 효율적인 패킷 처리를 위한 모듈로서, 보안서버(웹 방화벽) 전용 운영체제로 구현될 수 있고, 네트워크 플랫폼에서 관리되는 패킷은 세션 정보로 관리되며, 다단계 세션 검열 엔진에서 이상 유무가 판단될 수 있다.
다음으로, 다단계 세션 검열 엔진(202)은 HTTP 요청과 HTTP 응답에 대해서 동작하는 것으로서, 세션 검열 단계를 5단계로 세분화하고 있는바, HTTP 표준 부합 검사 단계, URI 접근 제어 단계, 보안규칙 위반 탐지 단계, 보안위반 대응 단계 및 탐지로그 저장 단계로 구분될 수 있으며, 특히, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은, 보안규칙 위반 탐지 단계에 해당하는 것이다. 이러한, 다단계 세션 검열 과정은 이하에서 도 3을 참조하여 상세히 설명된다. 한편, 본 발명은 상기한 바와 같이 세션 검열 단계가 적절히 모듈화 되어 있기 때문에, 향후 세션 검열 엔진 업데이트를 효과적으로 수행할 수 있으며, 단계별로 HTTP 요청을 검사함으로써, 동작 성능을 향상시킬 수 있다.
다음으로, 세션 검열 정책 모듈(203)은 웹트래픽 유형 및 웹공격 유형을 정 의하고, 웹트래픽 유형별 웹공격 유형을 매칭시키며, 예외처리 패턴을 등록시키는 기능을 수행한다.
다음으로, 사용자 인터페이스 모듈(204)은 다양한 형태의 인터페이스를 제공하는 기능을 수행한다.
마지막으로, 내부데이터베이스(205)는 보안 위반 탐지 및 대응 상태를 탐지로그로 저장한다. 로그 항목에는 탐지규칙, 탐지근거, 공격IP, 대상URL, 탐지시각, 대응 종류가 있다.
사용자 단말기(10)는 사용자들이 웹서버에 접속하기 위해 사용하는 단말기로서, 현재 널리 이용되고 있는 개인용 컴퓨터가 될 수 있으며, 그 외에도 네트워크를 통해 웹서버와 통신이 가능한 다양한 종류의 유무선 단말기들이 적용될 수도 있다.
도 3은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법의 일실시예에 대한 흐름도이다.
본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법은, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100), 웹트래픽 수신 단계(200), HTTP 표준 부합 검사 단계(300), URI 접근 제어 단계(400), 보안규칙 위반 탐지 단계(500), 보안위반 대응 단계(600) 및 탐지로그 저장 단계(700)를 포함하여 구성된다. 여기서, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 특히, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100), 웹트래픽 수신 단계(200) 및 보안규칙 위반 탐지단계(500)를 포함하고 있으나, 그 범위를 확장하면, 상기 모든 단계를 포함할 수도 있다. 한편, 상기한 바와 같이, 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법은 웹서버 자체에서도 실행될 수 있으나, 이하에서는 설명의 편의상 보안서버(웹 방화벽)에서 실행되는 것을 일예로 하여 본 발명이 설명된다.
제1단계로서, 웹트래픽 유형 및 웹공격 유형을 정의하는 단계(100)는, 기 설정된 기준에 의해, 웹 컨텍스트(Web context)의 성향(웹서비스의 내용, 종류 등)에 따라 웹트래픽을 분류하고, 웹공격 유형을 그 특성 또는 종류에 따라 분류하고, 웹트래픽 유형별로 웹공격 유형을 매칭시키며, 예외처리 패턴을 등록하는 과정이다. 즉, 사용자가 웹서비스를 이용하기 위해 웹서버(또는 웹서비스 시스템)에 웹트래픽을 요청(request)하고 웹트래픽을 응답(response)받는 과정에서 사용되는 웹트래픽은 웹서비스의 목적, 대상, 결과 등의 성향에 따라 분류될 수 있는바, 본 발명을 실행하기에 앞서 이러한 분류 기준이 설정되어야 한다. 부연하여 설명하면, 종래의 패턴 매칭 엔진에서 사용하는 화이트 리스트(white list)의 경우에는, 웹서비스를 수행하는 웹사이트의 페이지별 세부 항목이 정확히 지정되어야 하는데, 이것은, 탐지 패턴을 모든 웹트래픽과 비교할 때 발생하는 서비스 부하 등을 막기 위하여 미리 정의한 탐지대상(화이트 리스트)을 이용하는 웹트래픽만을 검사하려는 것이다. 즉, 종래의 패턴 매칭 엔진은 무수히 많이 발생하는 웹트래픽 중 탐지 대상을 사용하는 웹트래픽에 대해서만 패턴 검사를 수행함으로써 패턴 검사의 시간을 절약하여 전체적인 웹서비스 품질 저하를 막으려는 것이나, 이러한 대상 지정은 관리자가 직접 지정해야 하며, 웹서비스의 규모에 따라 그 양이 무수히 많을 수 있기 때문에, 관리자의 실수로 인하여 잘못된 대상 리스트를 구축할 수 있으며 전체적인 보안 성능이 소수 관리자 능력에 의지하는 불안전한 모습을 보이게 된다. 그러나, 본 발명에서는 관리자가 웹서비스 컨텐츠의 성향(웹컨텍스트)에 따라 웹트래픽을 분류하는 기준을 설정해 놓으면, 보안서버가 상기 기준에 따라 웹트래픽을 분류하게 됨으로, 관리자의 인위적인 실수로 인해 발생할 수 있는 화이트 리스트(white list)의 오류(타겟이 빠지거나 잘못된 타겟을 지정하는 경우 등) 걱정 없이 모든 웹트래픽을 검사할 수 있으면서도 분류된 항목에 특화된 웹공격 탐지 기법(보안규칙)을 적용하여 어떠한 환경에서도 일정한 웹서비스 품질을 보장할 수 있도록 하고 있다. 이러한 웹트래픽 분류 방법은 다음과 같다. 즉, 웹트래픽은 방향성에 따라 사용자가 웹서비스를 요청하는 요청(request)과, 요청(request)의 결과로 웹서버가 웹서비스를 제공하는 응답(response)으로 크게 구분된다. 또한, 요청(request)은 다시 웹컨텍스트에 따라 URI, Cookie, Parameter, script, SQL Query, File upload, Browser Type 등으로 세분화될 수 있고, 응답(Response)은 다시 웹컨텍스트에 따라 HTML 웹 페이지, 게시판, File download, Database, Cookie 등으로 세분화될 수 있다. 즉, 본 발명은 웹트래픽을 전수검사 하면서도 상기와 같은 분류 기준으로 웹트래픽을 체계적으로 분류하여, 분류별로 최적화된 탐지절차로 넘김으로써 탐지 속도 저하를 방지할 수 있다.
또한, 상기 과정(100)에는 웹트래픽 분류별로 웹공격을 차단할 수 있는 보안규칙(룰, RULE)을 구축하는 과정도 포함된다. 즉, 보안규칙을 구축한다는 것은 각 웹트래픽 분류별로 웹공격의 유형을 그룹화하여 정의된 항목에서 각 웹공격의 유형 에 따라 웹공격을 차단할 수 있는 솔루션을 구축하는 것으로서, 예를 들어, 본 발명에서는 웹공격에 따른 차단 방법을 다수개의 보안규칙으로 구축할 수 있다. 즉, 본 발명은 수신된 웹트래픽이 웹트래픽 분류기준에 따라 분류된 웹트래픽 분류 중 어느 분류에 해당하는지를 판단하여, 판단된 웹트래픽 분류에 적용가능한 보안규칙들을 이용하여 웹공격을 탐지한 후, 탐지결과, 웹공격으로 판단되는 경우, 웹트래픽 보안위반 대응 과정(500)을 통해 차단함으로써, 웹서버를 보호하는 방법에 관한 것이다.
웹공격의 유형은 다음과 같이, 권한 획득(상위자 권한 획득 또는 권한 조종 등), Data 수집(중요 자료 및 정보 수집 등), Data 파괴(웹서비스 파괴, 중단 또는 변조 등), Data 배포(악성코드, 웜 등의 배포) 등으로 구분될 수 있으며, 이러한 구분에 따라 실질적으로 웹공격을 차단할 수 있는 보안규칙에 대하여는 이하에서 도 4를 참조하여 상세히 설명된다. 한편, 웹트래픽 분류기준에 의해 분류된 웹트래픽은 상기 웹공격 유형 중에서 일부 또는 전부의 공격이 가능한바, 보안규칙이 구축되어 있는 경우, 하나의 웹트래픽에 대하여는 적어도 하나 이상의 보안규칙이 적용되어 웹공격 여부를 판단할 수 있다. 예를 들어, 수신된 웹트래픽이 웹트래픽 분류 중 Database에 해당되고, Database에 대해 가능한 웹공격을 차단할 수 있는 보안규칙이 5개인 경우에는, 수신된 웹트래픽에 대하여 5개의 보안규칙을 이용하여 웹공격 여부를 판단하며, Database에 대해 가능한 웹공격을 차단할 수 있는 보안규칙이 10개인 경우에는, 수신된 웹트래픽에 대하여 10개의 보안규칙을 이용하여 웹공격 여부를 판단할 수 있다.
제2단계로서, 웹트래픽을 수신하는 단계(200)는, 웹서비스 시스템(20)이 실질적인 서비스를 제공하는 경우에, 사용자 단말기 및 웹서버 간에 전송되는 웹트래픽을 수신하는 과정을 말한다. 즉, 웹트래픽을 수신하는 단계(200)는 보안서버가 웹트래픽을 수신하는 것으로서, 수신된 웹트래픽은 사용자 단말기로부터 네트워크를 통해 전송되어온 요청이거나, 또는 요청에 응대하여 웹서버로부터 네트워크로 전송되어질 응답일 수도 있다.
제3단계로서, HTTP 표준 부합 검사 단계(300)는, 보안서버가 수신된 웹트래픽에 대하여 HTTP 표준 검사 과정을 통해 HTTP 요청이나 응답이, HTTP 표준에 맞지 않은 경우를 검사하는 것으로서, 표준에 적합할 경우는 다음 단계(400)로 웹트래픽을 다음 단계로 통과 시키며, 표준에 적합하지 않을 경우에는 보안 위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다. 한편, 이하의 도 4에 대한 설명에서 언급되는 보안규칙의 하나의 예인 invalid HTTP 보안규칙은 HTTP 표준 부합 검사 단계에서 적용될 수 있다.
즉, 본 발명은 보안규칙 위반 탐지 단계(500)에서 보안규칙이 적용됨을 특징으로 하고 있으나, 그 범위가 확대될 경우, HTTP 표준 부합 검사 단계에서도 보안규칙이 적용될 수 있으며, 이 경우 invalid HTTP 보안규칙이 적용될 수 있다. 이러한 invalid HTTP 보안규칙은 수신된 웹트래픽 중, HTTP 규격이 아닌 경우 이를 차단하기 위한 것이다. 이러한 HTTP 규격이 아닌 웹트래픽은, 웜을 비롯한 각종 공격 도구들로부터 생성되어 비정상적으로 발생되는 요청이나 응답인 경우에 해당된다. 이러한 invalid HTTP 보안규칙이 적용되지 않는다면, 유해 웹트래픽으로 인해 웹 서비스가 정상적으로 이루어지지 못하고, 서비스가 다운되기도 하며, 웜에 의한 웹트래픽인 경우, 웜에 감염될 수도 있다. 이러한 경우, 웜의 확산은 짧은 시간동안 다량의 다른 시스템에 대해 이루어질 수도 있다.
제4단계로서, URI 접근 제어 단계(400)는, 보안서버가 웹트래픽 유형 정의 과정(100)을 통해 각 URI에 대해서, 접근 가능한 부분들을 미리 화이트 리스트로 관리할 수 있으며, URI 접근 제어 과정을 통해 화이트리스트에 포함된 URI는 다음 단계(500)로 통과시키고, 잘못된 URI가 탐지되면 보안 위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다.
한편, 이하의 도 4에 대한 설명에서 언급되는 보안규칙의 하나의 예인 URI access control 보안규칙은 URI 접근 제어 단계에서 적용될 수 있다. 즉, 본 발명은 보안규칙 위반 탐지 단계(500)에서 보안규칙이 적용됨을 특징으로 하고 있으나, 그 범위가 확대될 경우, URI 접근 제어 단계에서도 보안규칙이 적용될 수 있으며, 이 경우 URI access control 보안규칙이 적용될 수 있다. 이러한, URI access control 보안규칙은 사용자에게 정상적인 URI만을 접근할 수 있도록 허용하는 기능을 수행하는 것으로서, 이에 의해, 사전에 허가되지 않은 URI는 접속할 수 없다. 즉, URI access control 보안규칙이 적용되지 않는다면, 관리가 되고 있지 않거나, 관리자가 알지 못하는 위험한 URI를 공격자가 이용할 수 있으며, 공격자는 백도어를 심거나, 웹 서버가 동작하는 시스템의 관리권을 획득할 수도 있다.
제5단계로서, 보안규칙 위반 탐지 단계(500)는, 수신된 웹트래픽의 웹공격 여부를 보안규칙을 이용하여 탐지하는 과정으로서, 탐지결과 수신된 웹트래픽이 보 안규칙에 위반되지 않는 경우에는 정상적으로 웹트래픽을 전송하며, 보안규칙에 위반되는 경우에는 보안위반 대응 과정(600)을 통해 웹트래픽이 처리되도록 한다.
제6단계로서, 보안위반 대응 단계(600)는, 보안서버가 상기 과정들(300, 400, 500)을 통해 웹공격으로 판단된 수신 웹트래픽에 대하여, 사용자 단말기 또는 웹서버로 전송하지 않는 한편, 보안규칙에서 규정하고 있는 방법으로 수신 웹트래픽을 처리하는 과정을 말한다.
제7단계로서, 탐지로그 저장 단계(700)는, 보안서버가 상기 과정들(300, 400, 500, 600, 700)을 통해 발생된 각종 결과들을 로그로 저장하는 것으로서, 탐지 로그는 보안서버(웹 방화벽)의 내부 데이터베이스로 관리될 수 있으며, 로그 항목에는 탐지 규칙, 탐지 근거, 공격 IP, 대상 URL, 탐지 시각, 대응 종류 등이 포함될 수 있다.
한편, 상기한 바와 같은 웹서버 보안 방법 중 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법은, 특히, 웹트래픽 유형 및 웹공격 유형을 정의한 상태에서(100), 웹트래픽이 수신되면(200), 보안규칙을 이용하여 보안규칙 위반여부를 탐지하는 일련의 과정을 핵심으로 하는 것으로서, 보안규칙 위반여부 탐지 과정에서는 예외처리 패턴을 판단하는 과정이 추가될 수 있다.
또한, 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법은 상기한 바와 같이 보안규칙 및 예외처리 패턴을 적용하여 웹공격 여부를 탐지하는 것으로서, HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 웹공격을 탐지하기 위해 적용될 수 있는 보안규칙이 설정되어 있다면, 상기 모든 과정, 즉, 도 3에 도시 된 웹서버 보안 방법은 본 발명에 따른 보안규칙 기반의 웹공격 탐지방법이 될 수도 있다.
도 4는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법에 적용되는 보안정책의 구성을 나타낸 예시도로서, 보안정책은 본 발명에 적용되는 보안규칙들을 총칭하는 것이다.
상기한 바와 같이, 본 발명은 수신되는 웹트래픽을 기 설정된 분류 기준에 따라 분류한 후, 선택된 분류와 매칭되어 있는 보안규칙을 적용하여 웹공격의 유무를 판단하는 것으로서, 보안규칙이란, 현재까지 밝혀진 웹공격 및 웹기술의 발전에 따라 가능한 웹공격을 분석 및 통계처리하여, 앞으로 발생될 웹공격을 차단할 수 있는 솔루션을 말하는 것이다. 즉, 보안규칙은 어느 하나의 특정 웹공격을 파악하여 차단하기 위한 것이 아니라, 예상되는 웹공격의 유형별로 차단하기 위한 것으로서, 상기한 바와 같이, 현재까지 발생된 웹공격들 및 예상되는 웹공격을 분석하여, 도출된 결과물이다.
한편, 본 발명은 이러한 보안규칙의 예로서, 이중 몇 개의 보안규칙을 예로 하여 설명하면 다음과 같다.
첫 번째 예로서, Request Method Filtering 보안규칙은, HTTP 요청 가운데 불필요하거나 공격에 악용될 수 있는 HTTP Method를 사용하지 않도록 하는 것으로서, 이러한, Request Method Filtering 보안규칙이 적용되지 않는다면, 실행 가능한 요청이 제한 없이 받아들여져, 웹서버는 공격자의 모든 요청에 대해서 정확한 정보를 제공하게 되어 중요 정보에 대한 유출이 발생될 수 있으며, 공격자는 Put, Delete 등의 method를 통하여 서버의 데이터를 조작하거나 제거할 수도 있다. 즉, Request Method Filtering 보안규칙은 수신된 웹트래픽의 분류가 Request Method Filtering 보안규칙이 적용되는 경우에 보안서버에서 활성화되어, 상기한 바와 같이, 불필요하거나 공격에 악용될 수 있는 HTTP Method를 사용하지 않도록 하는 기능을 수행한다.
두 번째 예로서, SQL Injection 보안규칙은, 웹 애플리케이션에 강제로 SQL 구문을 삽입하여 삽입된 SQL이 실행되도록 하는 공격을 막기 위한 것이다. 즉, 최근의 웹 애플리케이션은 대부분 DBMS와 연결되어 다양한 Web Service를 구현하고 있는바, 이러한 웹 애플리케이션에 강제로 SQL 구문을 삽입하여 삽입된 SQL이 실행되도록 하는 공격을 막기 위한 것으로서, 이러한 SQL Injection 보안규칙이 적용되지 않는다면, 공격자는 데이터베이스에서 임의의 데이터를 생성, 수정, 삭제할 수 있으며, 추가적으로 애플리케이션을 완전히 손상시키고, 시스템을 다운시킬 수도 있다.
세 번째 예로서, File Upload 보안규칙은, 실행 가능한 파일의 업로드를 막기 위한 것이다. 즉, 웹서버에 asp, php, css 등과 같은 실행 가능한 파일을 upload 할 수 있을 경우, 이러한 실행 파일들이 잠재적으로 공격에 이용될 수 있는바, File Upload 보안규칙이 적용되지 않는다면, Upload된 실행 파일이 웹서버에서 실행되어 공격자에게 웹서버의 관리권이 넘어갈 수도 있다.
한편, 본 발명에서는 상기한 바와 같은 보안규칙들 외에도, Buffer Overflow, Cookie Poisoning, Cross Site Scripting, Directory Listing, Error Handling, Extension Filtering, Input Content Filtering, Include Injection, Invalid URI, IP Filtering, Parameter Tampering, Privacy File Filtering, Privacy Input/Output Filtering, Request Header Filtering, Response Header Filtering, Suspicious Access, Unicode Directory Traversal, User Defined, Web Site Defacement, IP Block 등과 같은 다수의 보안규칙들이 구축되어 있는바, 보안서버(30)는 웹트래픽이 수신되면, 각 단계(300 내지 500) 별로, 수신된 웹트래픽이 해당되는 분류에서 활성화되는 보안규칙을 구동함으로써, 웹공격을 차단할 수 있다.
한편, 본 발명에서는 상기한 바와 같은 보안규칙들을 총칭하는 의미로서, 보안정책을 이용하고 있다. 즉, 보안정책은 다양한 보안규칙의 집합으로서, 상기한 세션 검열 정책 모듈을 통해서 관리 및 실행될 수 있다.
도 5는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법 중 보안규칙 위반 탐지 과정을 상세히 나타낸 예시도로서, 도 3에 도시된 보안규칙 위반 탐지 과정(500)을 상세하게 나타낸 것이다.
본 발명에 적용되는 보안규칙 위반 탐지 과정은 도 5에 도시된 바와 같이, 수신된 웹트래픽을 분류하는 과정(502), 웹트래픽 이상 여부를 탐지하는 과정(504) 및 컨텐츠를 평가하는 과정(506)으로 구분될 수 있으며, 상기 모든 과정을 통해 웹공격으로 판단되지 않는 웹트래픽만이 정상적으로 웹서버를 통해 수신되거나 웹서버를 통해 사용자 단말기로 전송될 수 있다. 여기서 웹트래픽 이상 여부를 탐지하는 과정은 접근 이상 탐지, Request 이상탐지, Response 이상 탐지를 포함한다.
한편, 상기 판단과정 중 웹공격으로 판단되는 경우에는 웹공격 유형에 따른 보안위반 대응 과정(600)이 실행된 후, 탐지로그가 저장될 수 있다(700).
한편, 도 5에 도시된 과정은 도 3에 도시된 제1단계(100) 및 제2단계(200)를 필수적으로 거친 웹트래픽에 대하여 이루어진다. 또한, 도 3에 도시된 제3단계(300) 및 제4단계(400)는 제5단계(도 5에 도시된 과정)의 전단계 또는 후단계에 추가될 수 있으나, 전단계에 추가되는 것이 바람직하다.
우선, 도 3에 도시된 과정을 통해 웹트래픽이 수신되면(200), 보안서버는 수신된 웹트래픽이 도 3의 제1단계(100)에서 정의된 웹트래픽 유형 중 어떤 분류에 해당되는지를 판단하여 분류한다. 한편, 상기한 바와 같이 도 3에 도시된 제3단계(300) 및 제4단계(400)가 제5단계(500) 전에 실행되는 경우, 수신된 웹트래픽을 분류하는 과정(502)은 제3단계 또는 제4단계의 실행 시에 이미 이루어져 있을 수도 있음으로 생략될 수 있다.
수신된 웹트래픽에 대한 분류가 결정되면, 보안서버는 수신된 웹트래픽에 대하여 보안규칙을 이용하여 웹트래픽 이상탐지 과정을 진행한다(504). 이상탐지(Anomaly Detection) 과정은, 웹트래픽이 잠재적으로 웹공격(새로운 형태의 공격과 변종 공격을 포함)을 내포하고 있기 때문에, 웹트래픽에 웹공격이 존재하는지, 실행 가능한지에 대해 알아보는 절차로서, 다음과 같은 세가지 항목에 대한 검사를 수행한다.
첫 번째 검사 항목은, 사용자가 보낸 REQUEST 웹트래픽이 정상적인 접근인지를 확인하는 것이다. 두 번째 검사 항목은, 사용자가 보낸 REQUEST가 일반적인 형 태의 HTTP REQUEST인지를 확인한다.셋 번째 검사 항목은, 일반적인 HTTP RESPONSE를 응답하는지를 확인하는 것이다. 이때, 보안서버는, 상기 각 절차 별 검사 조건을, 웹트래픽 유형별로 매칭되어 있는 웹트래픽 유형에 따라 특화된 조건, 즉, 보안규칙을 이용하여 검사한다. 예를 들어, HTTP REQUEST에는 파일 전송 요청과 함께 다양한 옵션을 설정할 수 있는 HTTP Header가 포함되어 있으며, 이러한 파일 전송 요청과 header를 의도적으로 조작할 경우 권한 획득, Data 수집 등의 예상치 못한 공격이 가능할 수 있다. 따라서, 이러한 경우를 미연에 방지하기 위하여 본 발명은 첫 번째 검사 항목에서는, 인증정보가 없거나 비정상적 인증(Client 정보를 변조했는지)으로 접근 시도를 했는지의 여부를 검사하고, 두 번째 검사 항목에서는, 파일 전송 요청이 비정상적으로 최상위 경로(../..)를 포함하는지, User-Agent의 Browser Type 정보(Mozilla/5.0, Opera/9.02 등)가 비정상적이거나 제거되었는지 등을 검사하며, 세 번째 항목에서는, RESPONSE로 요구되는 정보에 시스템 정보(웹 서버의 내부 정보) 또는 개인 정보(주민등록 번호, 신용카드 번호 등)가 포함되어 있는지의 여부를 검사한다.
웹트래픽 이상탐지 과정에서 웹공격이 탐지되지 않았다면, 다음 단계로, 보안서버는, 수신된 웹트래픽에 대하여 컨텐츠 평가 과정을 수행한다(506). 즉, 이상탐지 절차를 통과한 웹트래픽 일지라도, 정상적인 서비스가 아닌 웹트래픽일 수 있다. 따라서, 본 발명은 컨텐츠 평가 과정을 통해 웹트래픽이 서비스 수행 가능한 내용인지를 평가하여 정상적인 웹트래픽인지의 여부를 검증한다. 웹트래픽에 대한 컨텐츠 평가 과정은 다음의 절차를 따라 진행된다.
첫 번째 절차는, REQUEST/RESPONSE 쌍이 서로 다른지의 여부를 판단한다. 두 번째 절차는, 사용자 단말기(CLIENT)가 처음 웹서버(40)에 접속하여 SESSION을 맺을 때 생성된 COOKIE정보가 변조되었는지의 여부를 판단한다. 예를 들어, REQUEST의 HEADER와 관련된 웹트래픽이 “이상탐지”를 무리없이 통과하여더라도, 본 발명은 첫 번째 절차에서 REQUEST HEADER의 내용과 구성이 RESPONSE HEADER의 내용과 일치하는지를 확인하며, 두 번째 절차에서 사용자 단말기(CLIENT)와 웹서버의 SESSION 정보를 기억하고 있는 COOKIE의 정보가 REQUEST/RESPONSE가 왔다갔다하는 사이에 변조되거나, HEADER의 정보와 불일치할 경우를 감시한다.
한편, 상기와 같은 이상탐지(504) 및 컨텐츠 평가(506) 과정은 다수의 보안규칙들 중 적어도 어느 하나의 보안규칙에 의하여 실행된다. 즉, 이상탐지 및 컨텐츠 평가 과정은, 보안규칙들 중에서, 수신된 웹트래픽 및 이와 매칭되어 있는 웹공격 유형별로 필요한 보안규칙들만을 선택하여 여러 개의 보안규칙들을 순차적으로 검사하는 것으로서, 보안서버는 수신된 웹트래픽이 선택된 모든 보안규칙들에 위배되지 않을 경우, 수신된 웹트래픽을 통과시키며, 보안규칙에 위반되는 사항이 탐지될 경우, 수신된 웹트래픽을 보안 위반 대응 과정(600)을 통해 처리할 수 있다.
상기한 바와 같이, 보안서버는 수신된 웹트래픽이 웹트래픽 분류 기준 중 어떤 분류에 해당되는지를 판단하며, 판단된 분류에 해당되는 보안규칙을, 이상탐지(504) 및 컨텐츠 평가(506) 과정에 적용하여, 수신된 웹트래픽을 구체적으로 평가함으로써, 수신된 웹트래픽이 웹공격을 위한 트래픽인지의 여부를 판단한다. 부연하여 설명하면, 수신된 웹트래픽은 잠재적으로 웹공격(새로운 형태의 공격과 변 종 공격을 포함)을 내포하고 있는바, 본 발명은 잠재된 웹공격이 가능한지에 대해 알아보기 위하여 우선, 수신된 웹트래픽의 기본정보들을 검사한 후, 각 분류별로 설정되어 있는 보안규칙을 적용하여 구체적으로 웹공격 여부를 판단하여 웹공격을 차단할 수 있다. 예를 들어, 게시판, Parameter, SQL query 등을 이용하여 Database 검색 및 결과를 요청하는 분류의 웹트래픽은 권한 획득, Data 수집 등의 공격을 시도할 수 있는바, 상기 분류에 해당되는 웹트래픽으로 판단되면, 보안서버는 이상탐지(504) 및 컨텐츠 평가(506) 과정에서, 상기 분류에 해당하는 보안규칙을 적용하여 웹트래픽의 웹공격 여부를 구체적으로 판단한다. 즉, 상기 예에서, 수신된 웹트래픽에 대해 SQL Injection 보안 규칙을 적용하도록 설정되어 있는 경우, 이상탐지(504) 및 컨텐츠 평가(506) 과정에서, 보안서버는 단순히 SQL Injection 패턴이 아닌 SQL 문법 규칙을 검사함으로써, 가능한 모든 SQL Injection에 대하여 대응할 수 있게 된다. 즉, 본 발명에 적용되는 보안규칙은 웹공격 패턴에 대한 1대1로 매칭되어 있는 것이 아니라, 변형 공격에 대응이 가능한 구축된 것으로서, 이러한 보안규칙의 집합은 보안정책으로서 관리된다.
또한, 보안 규칙은 도 4에 도시된 바와 같이, 탐지 방법, 대응 방법, 적응수준, 관련 패턴 등으로 구성된 것으로서, 탐지 방법 및 관련 패턴은 이상탐지 과정(504) 및 컨텐츠 평가 과정(506)에서 적용될 수 있으며, 대응방법은 보안 위반 대응 과정(600)을 통해 적용될 수 있다. 한편, 상기한 바와 같이, 보안규칙들은 HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 적용될 수 있는 것이나, 대부분의 보안규칙들은 보안규칙 위반 탐지 과정(500), 즉, 웹트래픽 이상 탐지 과정(504) 및 컨텐츠 평가 과정(506)에서 이용될 수 있다. 즉, HTTP 표준 부합 검사 또는 URI 접근 제어의 경우에는 웹트래픽의 기본적인 웹공격 성향을 파악하기 위한 것이나, 보안규칙 위반 탐지 과정은 웹트래픽에 대하여 구체적이고 엄격한 기준을 이용하여 웹공격 여부를 판단하기 위한 것으로서 다수의 보안규칙들이 적용된다.
한편, 상기 이상탐지 및 컨텐츠 평가 과정(504, 506)을 통해 정상적인 웹트래픽이 아닌 것으로 판단된 웹트래픽에 대하여, 보안서버는 사용자 단말기 또는 웹서버로 전송하지 않는 한편, 보안규칙에서 규정하고 있는 방법으로 수신 웹트래픽을 처리한다(600). 즉, 보안서버는 세션 검열 정책 모듈의 보안규칙에 설정된 사항을 기준으로, 탐지된 보안 위반에 대해 대응하는바, 예를 들어, 연결을 차단(연결 끊기, 에러 코드 보냄, 다른 웹 페이지로 이동)하거나 보안규칙을 위반한 HTTP 요청 또는 응답이 보안 문제를 일으킬 수 없도록 웹트래픽의 내용을 변경할 수도 있으며, 블랙 리스트를 이용하여 보안 문제를 일으킨 웹 클라이언트의 IP주소를 관리할 수도 있다. 즉, 각 보안규칙은 도 4에 도시된 바와 같이, 상기와 같은 판단 과정에서 이용될 수 있도록 탐지방법이 규정되어 있을 뿐만 아니라, 보안 위반 대응 과정에서 이용될 수 있도록 대응방법이 규정되어 있다. 이때, 각 보안규칙은 적용 수준을 0~M까지 설정할 수 있으며, 0일 때는 보안 규칙을 적용하지 않고 큰 수 일 때는 더욱 엄격하게 보안 규칙을 적용하도록 할 수도 있다.
한편, 상기 이상탐지 및 컨텐츠 평가 과정(504, 506)을 통해 정상적인 웹트래픽이 아닌 것으로 판단된 웹트래픽에 대하여, 상기한 바와 같이 바로, 보안 위반 대응 과정(600)을 통해 처리할 수도 있으나, 본 발명은 부적합한 웹트래픽으로 판단된 웹트래픽에 대하여 다시 한번 부적합 여부를 판단하도록 하는 예외처리 패턴 과정을 더 포함할 수도 있다. 즉, 상기 탐지 과정들(504, 506)에 의해서 웹공격으로 판단되어 탐지되었지만, 웹서비스의 특성으로 발생한 특이한 형태의 웹컨텍스트(웹트래픽)의 경우 웹공격이 아닐 수도 있다. 즉, 일반적인 웹서비스 환경에서는 웹공격임에도 불구하고, 해당 사이트의 서비스 성격상 웹공격 형태의 절차, 방법 등을 사용하거나, 취약한 구조를 보완할 수 없는 경우가 발생할 수도 있다. 따라서, 본 발명은 이러한 경우를 대비하여, 웹서비스 시스템을 운영하는 관리자가, 예외처리 패턴을 직접 웹트래픽 유형 및 웹공격 유형 정의 과정(100)에서 등록할 수 있도록 함으로써, 특정 웹서버에서만 발생할 수 있는 오탐을 방지하고 있다. 부연하여 설명하면, 특정 웹서버의 경우에는, 일반적으로 웹공격으로 판단될 수 있는 웹트래픽을 이용하는 경우도 있을 수 있는바, 이러한 웹서버의 관리자는 이러한 특수한 웹트래픽에 대한 예외 패턴을 미리 설정해 둠으로써, 정상적인 웹트래픽이 웹공격으로 판단되어 차단되는 경우를 방지할 수 있다. 상기와 같은 예외 처리 패턴에 해당되는지의 여부 판단 결과, 예외 처리 패턴에 해당되지 않는 경우, 보안서버는 보안 위반 대응 과정(600)을 수행하며, 예외 처리 패턴에 해당되는 경우, 보안서버는 정상적인 웹트래픽으로 간주하여 수신된 웹트래픽을 네트워크를 통해 사용자 단말기로 전송하거나 웹서버로 전송한다. 이러한, 예외 처리 패턴을 판단하는 과정은 상기한 바와 같이 HTTP 표준 부합 검사 과정(300) 및 URI 접근 제어 과정(400)에서도 실행될 수 있다.
따라서, HTTP 표준 부합 검사 과정, URI 접근 제어 과정 및 보안규칙 위반 탐지 과정을 통해 정상적인 웹트래픽으로 판단된 경우 및, 상기 판단들을 통해 부적합한 웹트래픽으로 판단되었으나, 예외 처리 패턴에 해당되는지의 여부를 판단하는 과정에 의해 다시 정상적인 웹트래픽으로 판단된 경우, 보안서버는, 수신된 웹트래픽을 네트워크를 통해 사용자 단말기로 전송하거나 웹서버로 전송함으로써, 사용자 단말기와 웹서버 간에 정상적인 통신이 이루어지도록 한다.
상기와 같은 도 5에 도시된 과정들 및, 도 3에 도시된 보안위반 대응 과정(600)이 진행되면, 보안서버는 도 3에 도시된 탐지로그 저장 과정(700)을 통해, 보안 위반 탐지 및 대응 상태를 탐지 로그로 저장한다. 여기서, 탐지 로그는 보안서버(웹 방화벽)의 내부 데이터베이스로 관리될 수 있으며, 로그 항목에는 탐지 규칙, 탐지 근거, 공격 IP, 대상 URL, 탐지 시각, 대응 종류가 포함될 수 있다.
본 발명은 지능적인 웹 방화벽을 구축하기 위한 것으로서, 본 발명은 Black List와 White List의 물리적인 결합이 아닌 웹 어플리케이션과 웹공격에 대한 최적의 방어 엔진을 설계하고 엔진 내부의 기능이 자연스럽게 Black List와 White List의 결합된 구현을 포함하고 있는 형태이다.
이상 설명한 내용을 통해 당업자라면 본 발명의 기술사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다. 따라서, 본 발명의 기술적 범위는 명세서의 상세한 설명에 기재된 내용으로 한정되는 것이 아니라 특허 청구의 범위에 의해 정하여 져야만 할 것이다.
도 1은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 통신 시스템의 일실시예에 대한 구성도.
도 2는 본 발명에 적용되는 보안서버의 구성을 나타낸 예시도이다.
도 3은 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법이 적용되는 웹서버 보안 방법의 일실시예에 대한 흐름도.
도 4는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법에 적용되는 보안정책의 구성을 나타낸 예시도.
도 5는 본 발명에 따른 보안규칙 기반의 웹공격 탐지 방법 중 보안규칙 위반 탐지 과정을 상세히 나타낸 예시도.
<도면의 주요부분에 대한 부호의 설명>
10 : 사용자 단말기 20 : 웹서비스 시스템
30 : 보안서버 40 : 웹서버

Claims (8)

  1. 웹트래픽 유형 및 웹공격 유형을 정의하고, 웹트래픽 분류별로 웹공격을 차단할 수 있는 보안규칙들을 구축하는 정의 단계;
    사용자 단말기 및 웹서버 간에 전송되는 웹트래픽을 수신하는 수신 단계;
    상기 수신 웹트래픽을 상기 웹트래픽 유형에 따라 분류하는 분류 단계;
    상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽에 웹공격이 존재하는지 또는 실행 가능한 웹공격이 존재하는지에 대하여 탐지하는 이상탐지 단계;
    상기 보안규칙들 중, 상기 수신 웹트래픽이 해당하는 분류와 매칭되어 있는 웹공격을 탐지할 수 있는 보안규칙들을 이용하여, 상기 수신 웹트래픽이 서비스 수행이 가능한 내용인지를 평가하여 정상적인 웹트래픽인지의 여부를 검증하는 컨텐츠(Content)평가 단계;
    상기 이상탐지 단계 및 상기 컨텐츠(Content)평가 단계에서 웹공격으로 판단되지 않은 경우에는, 상기 수신 웹트래픽을 정상적으로 전송하며, 상기 이상탐지 단계 또는 상기 컨텐츠 평가 단계에서 웹공격으로 판단된 경우에는 상기 수신 웹트래픽의 전송을 차단하는 대응 단계;
    상기 이상탐지 단계 및 컨텐츠평가 단계에서 웹공격으로 판단된 경우에는, 상기 수신 웹트래픽이 상기 정의 단계에서 정의되어 있는 예외 처리 패턴에 해당되는지의 여부를 판단하는 예외 처리 패턴 판단 단계;
    상기 예외 처리 패턴 판단 결과, 예외 처리 패턴에 해당하는 경우에는 차단되었던 상기 수신 웹트래픽을 다시 전송하는 전송 단계를 포함하는 보안규칙 기반의 웹공격 탐지 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 보안규칙들은,
    웹컨텐츠 성향에 따른 웹트래픽 분류 기준, 웹공격 목적에 따른 공격 성향 분류 기준 및 웹트래픽 분류별로 가능한 공격 분류 기준으로 정의되어 있는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
  4. 제 1 항에 있어서,
    상기 보안규칙들은,
    HTTP 요청 가운데 불필요하거나 공격에 악용될 수 있는 HTTP 방법을 사용하지 않도록 하는 보안규칙, 웹 애플리케이션에 강제로 SQL 구문을 삽입하여 삽입된 SQL이 실행되도록 하는 공격을 막기 위한 보안규칙, 실행 가능한 파일의 업로드를 막기 위한 보안규칙, 수신된 웹트래픽 중, HTTP 규격이 아닌 경우 이를 차단하기 위한 보안규칙, 사용자에게 정상적인 URI만을 접근할 수 있도록 허용하는 기능을 수행하는 보안규칙 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
  5. 제 1항에 있어서,
    상기 이상탐지 단계는,
    접근 이상 탐지, Request 이상탐지, Response 이상 탐지를 포함하는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
  6. 제 1 항에 있어서,
    상기 보안규칙들 각각은, 탐지 방법, 대응 방법, 적용수준, 관련 패턴 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
  7. 제 1 항에 있어서,
    상기 수신 웹트래픽에 대하여 URI 접근이 허용되는지의 여부를 판단하여, 상기 수신된 웹트래픽을 전송할지의 여부를 결정하는 URI 접근 제어 단계를 더 포함하며,
    상기 보안규칙들 중 적어도 어느 하나는, 상기 URI 접근 제어 과정에 적용되는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
  8. 제 1 항에 있어서,
    상기 수신 웹트래픽이 HTTP 표준에 부합하는지의 여부를 판단하여, 상기 수신된 웹트래픽을 전송할지의 여부를 결정하는 HTTP 표준 부합 검사 단계를 더 포함하며,
    상기 보안규칙들 중 적어도 어느 하나는, 상기 HTTP 표준 부합 검사 과정에 적용되는 것을 특징으로 하는 보안규칙 기반의 웹공격 탐지 방법.
KR1020090077410A 2009-08-21 2009-08-21 보안규칙 기반의 웹공격 탐지 방법 Active KR100989347B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090077410A KR100989347B1 (ko) 2009-08-21 2009-08-21 보안규칙 기반의 웹공격 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090077410A KR100989347B1 (ko) 2009-08-21 2009-08-21 보안규칙 기반의 웹공격 탐지 방법

Publications (1)

Publication Number Publication Date
KR100989347B1 true KR100989347B1 (ko) 2010-10-25

Family

ID=43135711

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090077410A Active KR100989347B1 (ko) 2009-08-21 2009-08-21 보안규칙 기반의 웹공격 탐지 방법

Country Status (1)

Country Link
KR (1) KR100989347B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101175667B1 (ko) 2011-07-14 2012-08-22 시큐아이닷컴 주식회사 방화벽을 이용한 사용자 단말의 네트워크 접속 관리 방법
KR101533020B1 (ko) * 2013-09-30 2015-07-02 한국전력공사 보안 정책 관리 장치 및 방법
KR101587845B1 (ko) * 2014-09-26 2016-01-22 주식회사 엘지유플러스 디도스 공격을 탐지하는 방법 및 장치
KR101750447B1 (ko) 2017-04-19 2017-06-27 주식회사 나온웍스 개방형 자동 수요 반응 프로토콜의 페이로드 분석 방법, 장치 및 시스템
US10200409B2 (en) 2016-04-07 2019-02-05 Korea Electric Power Corporation Apparatus and method for security policy management
KR102258956B1 (ko) * 2020-11-20 2021-06-02 (주)시큐레이어 관계형 데이터베이스를 관리하기 위한 언어인 SQL(Structured Query Language)이 사용되는 환경에서 공격을 탐지하기 위한 방법 및 이를 사용한 서버
CN113904829A (zh) * 2021-09-29 2022-01-07 上海市大数据股份有限公司 一种基于机器学习的应用防火墙系统
CN114301689A (zh) * 2021-12-29 2022-04-08 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110986A (ko) * 2003-06-06 2004-12-31 마이크로소프트 코포레이션 네트워크 필터 기반 정책을 관리하기 위한 방법
KR20060013120A (ko) * 2004-08-06 2006-02-09 학교법인 포항공과대학교 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
KR20060056231A (ko) * 2004-11-19 2006-05-24 마이크로소프트 코포레이션 보안 정책 배포 방법 및 시스템
KR20080036706A (ko) * 2006-10-24 2008-04-29 박재철 웹 공격 정규표현과 스크립트 파일의 포함 기능을 이용한웹 보안 모듈

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110986A (ko) * 2003-06-06 2004-12-31 마이크로소프트 코포레이션 네트워크 필터 기반 정책을 관리하기 위한 방법
KR20060013120A (ko) * 2004-08-06 2006-02-09 학교법인 포항공과대학교 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
KR20060056231A (ko) * 2004-11-19 2006-05-24 마이크로소프트 코포레이션 보안 정책 배포 방법 및 시스템
KR20080036706A (ko) * 2006-10-24 2008-04-29 박재철 웹 공격 정규표현과 스크립트 파일의 포함 기능을 이용한웹 보안 모듈

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101175667B1 (ko) 2011-07-14 2012-08-22 시큐아이닷컴 주식회사 방화벽을 이용한 사용자 단말의 네트워크 접속 관리 방법
KR101533020B1 (ko) * 2013-09-30 2015-07-02 한국전력공사 보안 정책 관리 장치 및 방법
KR101587845B1 (ko) * 2014-09-26 2016-01-22 주식회사 엘지유플러스 디도스 공격을 탐지하는 방법 및 장치
US10200409B2 (en) 2016-04-07 2019-02-05 Korea Electric Power Corporation Apparatus and method for security policy management
KR101750447B1 (ko) 2017-04-19 2017-06-27 주식회사 나온웍스 개방형 자동 수요 반응 프로토콜의 페이로드 분석 방법, 장치 및 시스템
KR102258956B1 (ko) * 2020-11-20 2021-06-02 (주)시큐레이어 관계형 데이터베이스를 관리하기 위한 언어인 SQL(Structured Query Language)이 사용되는 환경에서 공격을 탐지하기 위한 방법 및 이를 사용한 서버
CN113904829A (zh) * 2021-09-29 2022-01-07 上海市大数据股份有限公司 一种基于机器学习的应用防火墙系统
CN113904829B (zh) * 2021-09-29 2024-01-23 上海市大数据股份有限公司 一种基于机器学习的应用防火墙系统
CN114301689A (zh) * 2021-12-29 2022-04-08 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质
CN114301689B (zh) * 2021-12-29 2024-02-23 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质

Similar Documents

Publication Publication Date Title
KR100989347B1 (ko) 보안규칙 기반의 웹공격 탐지 방법
Le et al. DoubleGuard: Detecting intrusions in multitier web applications
US9430646B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US10693901B1 (en) Techniques for application security
US7979368B2 (en) Systems and methods for processing data flows
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US20080098476A1 (en) Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks
US20080229415A1 (en) Systems and methods for processing data flows
US20080262990A1 (en) Systems and methods for processing data flows
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
RU2762528C1 (ru) Способ обработки событий информационной безопасности перед передачей на анализ
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
CN110290114A (zh) 一种基于预警信息的漏洞自动化防护方法及系统
CN117811783A (zh) 一种基于内生安全的工业控制网络动态防御方法及系统
CN117319019A (zh) 一种基于智能决策的电力网络动态防御系统
Deng et al. Lexical analysis for the webshell attacks
Surendhar et al. Detection of payload injection in firewall using machine learning
RU2739864C1 (ru) Система и способ корреляции событий для выявления инцидента информационной безопасности
CN111131168A (zh) 基于Web应用的自适应防护方法
Ma et al. Determining risks from advanced multi-step attacks to critical information infrastructures
CN110177113B (zh) 互联网防护系统及访问请求处理方法
Barnett Web Application Defender's Cookbook: Battling Hackers and Protecting Users
CN118138362A (zh) Llm驱动的自适应工业网络安全防护方法及防火墙装置
Lin et al. The automatic defense mechanism for malicious injection attack
CN117319064A (zh) 基于可信计算的网络空间安全管控系统

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20090821

A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20100709

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20090821

Comment text: Patent Application

A302 Request for accelerated examination
PA0302 Request for accelerated examination

Patent event date: 20100728

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20090821

Patent event code: PA03021R01I

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20100830

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20100929

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20101015

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20101015

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20131015

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20131015

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20160816

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20160816

Start annual number: 7

End annual number: 7

FPAY Annual fee payment

Payment date: 20170911

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20170911

Start annual number: 8

End annual number: 8

FPAY Annual fee payment

Payment date: 20181015

Year of fee payment: 9

PR1001 Payment of annual fee

Payment date: 20181015

Start annual number: 9

End annual number: 9

FPAY Annual fee payment

Payment date: 20190524

Year of fee payment: 10

PR1001 Payment of annual fee

Payment date: 20190524

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20201012

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20211012

Start annual number: 12

End annual number: 12

PR1001 Payment of annual fee

Payment date: 20221017

Start annual number: 13

End annual number: 13

PR1001 Payment of annual fee

Payment date: 20231004

Start annual number: 14

End annual number: 14

PR1001 Payment of annual fee

Payment date: 20240730

Start annual number: 15

End annual number: 15