Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Real-Time Visualization of Web Usage Patterns and Anomalous Sessions

실시간 웹 사용 현황과 이상 행위에 대한 시각화

  • 이병희 (한국과학기술원 전자전산학과) ;
  • 조상현 (한국과학기술원 전자전산학) ;
  • 차성덕 (한국과학기술원 전자전산학과)
  • Published : 2004.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

As modem web services become enormously complex, web attacks has become frequent and serious. Existing security solutions such as firewalls or signature-based intrusion detection systems are generally inadequate in securing web services, and analysis of raw web log data is simply impractical for most organizations. Visual display of "interpreted" web logs, with emphasis on anomalous web requests, is essential for an organization to efficiently track web usage patterns and detect possible web attacks. In this paper, we discuss various issues related to effective real-time visualization of web usage patterns and anomalies. We implemented a software tool named SAD (session anomaly detection) Viewer to satisfy such need and conducted an empirical study in which anomalous web traffics such as Misuse attacks, DoS attacks, Code-Red worms and Whisker scans were injected. Our study confirms that SAD Viewer is useful in assisting web security engineers to monitor web usage patterns in general and anomalous web sessions in particular.articular.

현재의 웹 규모는 과거와 비교할 수 없을 만큼 복잡해지고 사용자의 패턴 또한 다양해지고 있다. 웹에 대한 공격은 점차 증가하고 있으며 이에 대한 탐지는 점점 어려워지고 있다. 이러한 웹사이트의 효과적인 관리를 위하여 시각화를 통한 사용자들의 사용패턴과 보안 측면에서 이상행위 발생에 대한 신속하고 적절한 정보전달이 필요하다. 본 연구에서는 이러한 필요성에 기반을 두어 웹 서버의 access log를 분석하여 웹 사용 현황과 이상행위에 대한 효율적인 실시간 시각화를 위한 요구사항을 제안하고 이를 만족시키기 위해 SAD Viewer라는 툴을 개발하였다. 그리고 실제 시그네춰 위반 공격, DoS 공격, 코드레드 공격, Whisker 공격에 대한 실험을 통하여 구현된 Viewer가 효율적으로 사용자들의 사용패턴과 이상행위를 시각화함을 보여주었다.

Keywords

References

  1. Srivastava J. Cooley R. Deshpande M. Tan P N. 'Web Usage Mining: Discovery and Applications of Usage Patterns from Web Data.' ACM SIGKDD. Jan 2000
  2. J.S. Seo. B.S. Kim. S.H. Cho and S.D. Cha 'Web Server Attack Categorizationbased on Root Causes and Their Locations.' Internation Conference on Information Technology. April. 2004
  3. James E. Pitkow & Krishna A.Bharat. 'WEBVIZ : A Tool For World-Wide Web Access Log Analysis.' First International Worldwide Web Conference. 1994
  4. Myra Spiliopoulou and Lukas C. Faulstich. 'WUM : A Tool for Web Utilization Analysis.' EDBT Workshop WebDB'98. Valencia, Spain. Mar. 1998
  5. http://www .itl.nist. gov/iaui/vvrg/cugini/webmet/visvip/webvis-paper.html
  6. Jason I. Hong, James A. Landay. 'WebQuilt: a framework for capturing and visualizing the web experience.' International World Wide Web Conferences. pp 717-724. 2001
  7. Bowo Prasetyo, Iko Pramudiono. Katsumi Takahashi. Masaru Kitsuregawa. 'Naviz : Website Navigational Behavior Visualizer.' Pacific-Asia Conference on Knowledge Discovery and Data Mining pp 276-289. 2002
  8. http://www.silicondefense.com/software/snortsnarf/
  9. Sanghyun Cho and SungDeok Cha 'SAD : Web Session Anomaly detection based on parameter estimation.' Computers & Security Journal. Elsevier. 2004
  10. Alberto O. Mendelzon. 'Visualizing the World Wide Web.' Proc. AVI'96. May 1996
  11. Sougata Mukherjea. James D. Foley. 'Visualizing the World-Wide Web with the Navigational View Builder.' Computer Networks and ISDN Systems 27(6). pp 1075-1087. 1995 https://doi.org/10.1016/0169-7552(95)00023-Z
  12. http://www.research.att.com/sw/tools/graphviz/
  13. David Moore. Colleen Shannon. Jeffery Brown. 'Code-Red: a case study on the spread and victims of an Internet worm.' Internet Measurement Workshop. 2002
  14. Jee Yeon Lee. An Analysis of Information Visualization Problems using User Interface Design Principles. 정보관리연구. vol. 34. no. 2. 2003