• Journal of the Korea Society of Computer and Information
• /
• v.12 no.2 s.46
• /
• pp.221-229
• /
• 2007

Security of the port TCP/80 has been demanded by reason that the others besides web services have been rapidly increasing use of the port. Existing traffic analysis approaches can't distinguish web services traffic from application services when traffic passes though the port. monitoring method based on protocol and port analysis were weak in analyzing harmful traffic using the web port on account of being unable to distinguish payload. In this paper, we propose a method of detecting harmful traffic by web traffic analysis. To begin, traffic Capture by real time and classify by web traffic. Classed web traffic sorts each application service details and apply weight and detect harmful traffic. Finally, method propose and implement through coding. Therefore have a purpose of these paper to classify existing traffic analysis approaches was difficult web traffic classified normal traffic and harmful traffic and improved performance.

• Journal of the Korea Society of Computer and Information
• /
• v.13 no.3
• /
• pp.139-146
• /
• 2008

Despite of information security installation, leakage of personal information in web services has not decreased. This is because traffics to web applications are still vulnerable by permitting external sources to access services in port HTTF 80 and HTTPS 443, even with firewall systems in place. This thesis analyzes various attack patterns resulted from web service environment and vulnerable traffic and categorizes the traffics into normal and abnormal traffics. Also this proposes ways to analyze web application attack patterns from those abnormal traffics based on weak points warned in OWASF(Open Web Application Security Project), design a system capable of detect and isolate attacks in real time, and increase efficiency of preventing attacks.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.25 no.3
• /
• pp.449-455
• /
• 2021

This paper proposes an encryption web transaction attack detection system based on the existing web application monitoring system. Although there was difficulty in detecting attacks on the encrypted web traffic because the existing web traffic security systems detect and defend attacks based on encrypted packets in the network area of the encryption section between the client and server, by utilizing the technology of the web application monitoring system, it is possible to detect various intelligent cyber-attacks based on information that is already decrypted in the memory of the web application server. In addition, since user identification is possible through the application session ID, statistical detection of attacks such as IP tampering attacks, mass web transaction call users, and DDoS attacks are also possible. Thus, it can be considered that it is possible to respond to various intelligent cyber attacks hidden in the encrypted traffic by collecting and detecting information in the non-encrypted section of the encrypted web traffic.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11a
• /
• pp.485-488
• /
• 2002

QoS를 보장하기 위해서는 웹 서버의 용량을 충분히 확보하는 것이 중요하다. 하지만 웹 서버의 용량을 충분히 확보한다고 하더라도 웹 트래픽의 돌발적인 속성으로 인해 서버 과부하는 거의 필연적으로 발생한다. 본 논문에서는 수락 제어 기법과 트래픽 셰이핑 기법을 하이브리드하여 웹 서버의 과부하를 방지하는 커널 레벨 메카니즘을 제안한다. 수락 제어에 의해 웹 서버로 유입되는 트래픽을 제한하고, 지속 연결이 서버 과부하에 미치는 영향에 대해서는 트래픽 셰이핑을 통해 제한하여 웹 서버가 최적의 상태에서 서비스를 계속할 수 있도록 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.11a
• /
• pp.1303-1306
• /
• 2008

전체 웹 트래픽 요소 중 가장 큰 비중을 차지하는 HTTP 트래픽을 대상으로 하여 과거의 데이터와 비교 분석해 보았다. 현재의 웹 페이지의 경우 최소 10개~ 20개 이상의 또 다른 객체를 요청 하게 되고 있음을 발견했다. 이는 텍스트가 주를 이루었던 과거의 객체들과 매우 다른 양상을 보인다. 최근의 웹 트레이스 로그를 분석하여 기존 알고리즘들의 문제점을 발견하여 지적 하며 새로운 캐싱 알고리즘의 개념을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.106-108
• /
• 2001

월드 와이드 웹은 인터넷을 이용한 정보 교환의 대표적 수단이지만 유명 웹 서버의 경우에는 웹 클라이언트들의 요청이 폭주하여 병목현상이 생기고 이로 인한 사용자 측면의 서비스 지연은 심각한 수준이다. 이에 대한 현실적인 대안으로 인터넷상의 중요 위치에 웹 문서의 복사본을 두어 웹 서버의 부담을 줄이고, 동시에 사용자에 대한 응답시간을 개선하는 웹 캐쉬가 대두되었다. 본 논문에서는 전세계적인 웹 캐쉬 프로젝트인 NLANR(National Laboratory for Applied Network Research)의 최상위 캐쉬들로부터 생성된 로그를 이용하여 웹 캐쉬 트래픽의 특성들에 관해 정리하고 이들을 분석하여 웹 캐쉬에서의 응답시간 개선 방향을 제시하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1998.10a
• /
• pp.486-488
• /
• 1998

인터넷 사용의 증가로 인한 정체 현상을 극복하기 위한 방안으로 캐시 서버를 사용하고 있다. 캐시 서버의 보다 효율적인 사용을 위해 할당 네트웍의 트래픽에 대한 이해는 매우 중요하다. 즉, 보다 적극적인 캐싱 전략을 수립하기 위해 트래픽 분석이 선행되어야한다. 본 논문에서는 URL- tree와 URL-net이라는 자료구조를 제안하고, 이것을 이용하여 웹 트래픽 분석을 수행한다. 이러한 자료구조를 통해 웹 트래픽에 존재하는 '참조의 연결성'이라는 성질을 찾을 수 있다. 본 논문에서는 위의 두 자료구조들이 인터넷 트래픽을 분석하는데 어떻게 도움을 주고 그러한 분석이 효율적인 캐싱 전략을 수립하는데 어떻게 사용될 수 있는가를 보여준다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.313-315
• /
• 2006

최근 인터넷 공격은 웹 서비스 환경에서 다양한 공격 유형들이 인터넷상에서 나타나고 있는 실정이다. 특히 인터넷 웜이나 기타 알려지지 않은 공격이 대중을 이루고 있어 기존의 정보 보호 기술로는 한계에 다다르고 있으며 이미 알려진 공격을 탐지하는 오용탐지 기술로는 적절하게 대응하기 어려워진 상태이다. 또한, 웹 서비스 이용이 확대되고 사용자 요구에 맞게 변화하면서 인터넷상의 노출된 웹 서비스는 공격자들에게 있어 주공격 대상이 되고 있다. 본 논문에서는 웹 기반의 트래픽 유형을 분석하고 각 유형에 따른 이상 징후를 파악할 수 있는 비정상 탐지 모델을 정의하여 정상 트래픽 모델과 비교함으로써 현재 트래픽의 이상 정도를 평가하고 탐지 및 규칙생성, 추가하는 HTTP 트래픽 기반의 비정상행위 탐지 시스템을 설계하고 구현하였다.

• The Journal of the Korea Contents Association
• /
• v.10 no.3
• /
• pp.44-52
• /
• 2010

The most popular world wide web traffic in the Internet uses TCP as the transport layer protocol. Since TCP utilizes the single path, it can not communicate with the correspondent host during the link-down. On the other hand, SCTP can still communicate with the other SCTP entity by using alternate path even while the primary path is down. Most of previous studies have conducted the performance comparison research between TCP and SCTP by using typical file transfer. Since web traffic with self-similarity is characterized by the packet inter-arrival times and shape parameter affecting the size of web file in the Pareto distribution, it is necessary to perform the experiments considering these parameters. This paper aims to compare the throughput between TCP and SCTP while varying parameters reflecting the web traffic characteristics in link-down environment. Experimental results for web traffic using NS-2 simulator show that the throughput of SCTP using multi-homing is better than that of TCP. Simulation also shows that TCP is more affected than SCTP by mean inter-arrival and shape parameters with regard to the web traffic. These results can be applied to estimate the performance variation of web traffic due to the duration of link-down.

• Proceedings of the Korea Contents Association Conference
• /
• 2003.11a
• /
• pp.144-148
• /
• 2003

A general administrator's response ability plunged in confusion as intrusion detection system like an existing Snort display much alert messages on administrator's screen. Also, there are some possibilities to cause false positive. In this paper, to solve these problems, we designed Web-based ID(Intrusion Detection) traffic analysis system using correlation, and implemented so that administrator can check easily whole intrusion traffic state in web which dividing into normal and intrusion traffic using Libpcap, Snort, ACID, Nmap and Nessus. As a simulation result, it is proved that alert message number and false positive rate are minimized.