한국컴퓨터정보학회논문지 (Journal of the Korea Society of Computer and Information)

  • 제14권12호
  • /
  • Pages.157-167
  • /
  • 2009
  • /
  • 1598-849X(pISSN)
  • /
  • 2383-9945(eISSN)
한국컴퓨터정보학회 (Korean Society of Computer Information)
권호 표지
DOI QR코드

DOI QR Code

다중 계층 웹 필터를 사용하는 웹 애플리케이션 방화벽의 설계 및 구현

Design and Implementation of a Web Application Firewall with Multi-layered Web Filter

  • 장성민 (어울림정보기술(주) 기술연구소) ;
  • 원유헌 (홍익대학교 컴퓨터공학과)
  • 발행 : 2009.12.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 인터넷 상에서 빈번하게 발생하는 내부 정보와 개인 정보 유출과 같은 보안 사고들은 보안을 고려하지 않고 개발된 웹 애플리케이션의 취약점을 이용하는 방법으로 빈번하게 발생한다. 웹 애플리케이션의 공격들에 대한 탐지는 기존의 방화벽과 침입 탐지 시스템들의 공격 탐지 방법으로는 탐지가 불가능하며 서명기반의 침입 탐지 방법으로는 새로운 위협과 공격에 대한 탐지에 한계가 있다. 따라서 웹 애플리케이션 공격 탐지 방법에 대한 많은 연구들이 웹 트래픽 분석을 이동하는 비정상행위 기반 탐지 방법을 이용하고 있다. 비정상행위 탐지 방법을 사용하는 최근의 웹 방화벽에 관한 연구들은 웹 트래픽의 정확한 분석 방법, 패킷의 애플리케이션 페이로드 검사로 인한 성능 문제 개선, 그리고 다양한 네트워크 보안장비들의 도입으로 발생하는 통합관리 방법과 비용 문제 해결에 중점을 두고 있다. 이를 해결하기 위한 방법으로 통합 위협 관리 시스템이 등장 하였으나 부족한 웹 보안 기능과 높은 도입 비용으로 최근의 애플리케이션 공격들에 대해 정확한 대응을 하지 못하고 있는 현실이다. 본 연구에서는 이러한 문제점들을 해결하기 위해 웹 클라이언트의 요청에 포함된 파라미터 값의 길이에 대한 실시간 분석을 이용하여 공격 가능성을 탐지하는 비정상행위 탐지방법을 제안하고, 애플리케이션 데이터 검사로 발생하는 성능 저하 문제를 해결할 수 있는 다중 계층 웹 필터를 적용한 웹 애플리케이션 방화벽 시스템을 설계하고 구현하였다. 제안된 시스템은 저가의 시스템이나 레거시 시스템에 적용 가능하도록 설계하여 추가적인 보안장비 도입으로 야기되는 비용 문제를 해결할 수 있도록 하였다.

Recently, the leakage of confidential information and personal information is taking place on the Internet more frequently than ever before. Most of such online security incidents are caused by attacks on vulnerabilities in web applications developed carelessly. It is impossible to detect an attack on a web application with existing firewalls and intrusion detection systems. Besides, the signature-based detection has a limited capability in detecting new threats. Therefore, many researches concerning the method to detect attacks on web applications are employing anomaly-based detection methods that use the web traffic analysis. Much research about anomaly-based detection through the normal web traffic analysis focus on three problems - the method to accurately analyze given web traffic, system performance needed for inspecting application payload of the packet required to detect attack on application layer and the maintenance and costs of lots of network security devices newly installed. The UTM(Unified Threat Management) system, a suggested solution for the problem, had a goal of resolving all of security problems at a time, but is not being widely used due to its low efficiency and high costs. Besides, the web filter that performs one of the functions of the UTM system, can not adequately detect a variety of recent sophisticated attacks on web applications. In order to resolve such problems, studies are being carried out on the web application firewall to introduce a new network security system. As such studies focus on speeding up packet processing by depending on high-priced hardware, the costs to deploy a web application firewall are rising. In addition, the current anomaly-based detection technologies that do not take into account the characteristics of the web application is causing lots of false positives and false negatives. In order to reduce false positives and false negatives, this study suggested a realtime anomaly detection method based on the analysis of the length of parameter value contained in the web client's request. In addition, it designed and suggested a WAF(Web Application Firewall) that can be applied to a low-priced system or legacy system to process application data without the help of an exclusive hardware. Furthermore, it suggested a method to resolve sluggish performance attributed to copying packets into application area for application data processing, Consequently, this study provide to deploy an effective web application firewall at a low cost at the moment when the deployment of an additional security system was considered burdened due to lots of network security systems currently used.

키워드

참고문헌

  1. Christopher Kruegel, Giovanni Vigna, "Anomaly detection for Web-based attacks," Proceedings of the 10th ACM Conference on Computer and Communication Security (CCS'03), ACM Press, pp. 251-261. 2003.
  2. InSeon Yoo, "Protocol Anomaly Detection and Verification," Proceedings of the 2004 IEEE Workshop on Information Assurance and Security, pp. 30-37, 2004.
  3. 황순길, 김관진, "웹 해킹 패턴과 대응," 사이텍미디어, 2005.
  4. 이병일, "네트워크 트래픽 추이 분석 웹기반 비정상행위 탐지시스템의 설계 및 구현," 홍익대학교 대학원 석사논문, 2005년 12월.
  5. Web Application Firewall Evaluation Criteria, Web Application Security Consortium , Jan. 2006.
  6. 장성민, 김효남, 원유헌, "HTTP 트래픽 기반의 비정상행위 탐지 시스템," 한국정보과학회 한국컴퓨터종합학술대회 논문집C, 33권, 313쪽, 2006년 6월.
  7. Jianning Mai , ChenNee Chuah , Ashwin Sridharan ,Tao Ye, Hui Zang, "Is Sample Data Sufficient for Anomaly Detection," IMC'6, Oct. 2006.
  8. 정보보호21C 4월호, Infothe Media Group, 46쪽. 2007년 4월
  9. 장성민, 오형준, 안현태, 원유헌, "내부자 감사를 위한 클라이언트-서버 구조의 네트워크 트래픽 포렌식 시스템의 설계," 한국정보과학회 한국컴퓨터종합학술대회 논문집 A, 34권, 113쪽, 2007년 6월.
  10. Karen Scarfone, Peter Mell, "Guide to Intrusion Detection and Prevention Systems," Recommendations of the National Institute of Standards and Technology, Feb. 2007.
  11. Richard Reiner, "Secure Software Development Methodology and Implementation," FISCON 2007, Oct. 2007.
  12. Sung-Min Jang, Yoo-Hun Won, 'Web Anomaly Detection System for Mobile Web Client," IEEE CS Conference FGCN2007, Dec. 2007.
  13. Hypertext Transfer Protocol - HTTP/1.1, R. Fielding et al., RFC 2008, June 1997.
  14. Angela Orebaugh, Gilbert Ramirez, and Jay Beale, Snort 2.1 Intrusion Detection, Second Edition, Syngress, May 2004.
  15. SANS Website, http://www.sans.org
  16. 정보보호21C 3월호, Infothe Media Group, 56쪽-58쪽, Mar. 2008.
  17. IXIA Aptixia IxLoad pages, http://www.ixiacom.com
  18. Alan Murphy and Ken SaIchow, "Applied Application Security- Positive and Negative Efficiency," F5 Networks, Oct. 2007.
  19. 정보보호21C 6월호, Infothe Media Group, 54쪽-62쪽, June 2008.
  20. Snort Home pages, http://www.snort.org
  21. OWASP's Ten Most Critical Web Application Security Vulnerabilities, http://www.owasp.org