• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• v.9 no.2
• /
• pp.845-851
• /
• 2005

웹 서비스는 매우 가깝고 편리한 인터넷 서비스중의 하나이다. 이러한 웹 서비스의 이용이 증가함으로써 웹을 이용한 공격과 취약점 분석으로 위한 위험성이 급격하게 증가하고 있다. 이는 웹 서비스가 가지고 있는 공개성 때문이다. 이에 본 논문에는 웹 공격과정에서 필요한 정보를 얻거나 어플리케이션의 취약점을 찾는 웹 스캔공격을 탐지하기 위한 방법으로 웹 서버의 파일 리스트를 이용하는 방법을 제안하고자 한다. 시스템의 설계와 구현을 위해 사용한 감사 데이터는 Snort에서 일차적으로 탐지된 것을 제외한 웹 서버의 접근로그를 사용한다. 생성된 감사 데이터와 파일 리스트를 비교하여 사용자 요청의 존재여부로 공격을 탐지하도록 설계하였다. 이와 같은 방법은 제안시스템의 실험을 통하여 웹 스캔 공격의 탐지에 효과가 있는 것으로 밝혀졌다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.25 no.3
• /
• pp.449-455
• /
• 2021

This paper proposes an encryption web transaction attack detection system based on the existing web application monitoring system. Although there was difficulty in detecting attacks on the encrypted web traffic because the existing web traffic security systems detect and defend attacks based on encrypted packets in the network area of the encryption section between the client and server, by utilizing the technology of the web application monitoring system, it is possible to detect various intelligent cyber-attacks based on information that is already decrypted in the memory of the web application server. In addition, since user identification is possible through the application session ID, statistical detection of attacks such as IP tampering attacks, mass web transaction call users, and DDoS attacks are also possible. Thus, it can be considered that it is possible to respond to various intelligent cyber attacks hidden in the encrypted traffic by collecting and detecting information in the non-encrypted section of the encrypted web traffic.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.511-514
• /
• 2006

비정상행위 탐지를 위한 프로파일 기술은 침임탐지시스템의 성능 향상을 위한 핵심기술로서, 높은 공격 탐지율과 침입탐지시스템의 수행 시간 단축을 위해 반드시 요구되는 기술이다. 최근 인터넷의 보급과 활성화로 웹 어플리케이션 보안을 위한 연구가 활발히 진행되고 있으나, 웹 애플리케이션의 개발 언어와 공격 특성을 반영하지 못해 그 효율성이 저하되고 있다. 본 논문에서는 웹 공격 탐지를 위해 연구 되었던 서열정렬 알고리즘을 이용한 웹 공격 탐지의 성능 개선을 위하여 웹 애플리케이션 개발에 주로 사용되는 스크립트파일을 기반으로 한 프로파일 방법을 제안하고 실험 결과를 기술하였다.

• Journal of Internet Computing and Services
• /
• v.11 no.6
• /
• pp.73-86
• /
• 2010

In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.283-285
• /
• 2012

2009년 7.7 DDoS 공격을 기점으로 DDOS 공격에 HTTP-GET 프로토콜이 공격에 주로 사용되고 있다. 본 논문에서는 클라이언트에서 개인사용자의 웹 브라우징 패턴을 분석함으로써 HTTP-GET 공격을 탐지하는 방법을 제안한다. 웹 브라우징 패턴 분석에는 Markov Model을 사용하여 사용자의 정상적인 행동패턴을 계산하고, 공격을 탐지하는데 사용한다. 제안한 방법은 클라이언트에서 개인사용자에 대한 개별적인 웹 브라우징 패턴을 분석하기 때문에 서버에서보다 계산량이 적으며, 클라이언트 레벨에서 DDoS 공격을 조기에 탐지/차단함으로써 서버에서의 DDoS 공격 탐지에 의한 부하를 줄일 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.313-315
• /
• 2004

인터넷 사용이 보편화됨에 따라 기존의 방화벽만으로는 탐지가 불가능한 웹 서비스의 취약점을 이용한 공격이 증가하고 있다. 그 중에서도 특히 웹 어플리케이션의 프로그래밍 오류를 이용한 침입이 공격 수단의 대부분을 차지하고 있다. 본 논문에서는 웹 어플리케이션의 동작을 분석한 후 취약점 발생 부분에 대해 웹 로그 마이닝 기법을 사용하여 실시간으로 로그를 분석함으로서 공격 패턴을 비교ㆍ분석한다. 또한 프로세스 분석기를 통한 결정(decision) 과정을 통해 침입으로 판단되면 해당 접속 프로세스(pid)를 제거 한 후 공격 아이피를 차단함으로서 침입을 탐지하는 메커니즘을 제시한다.

• Proceedings of the Korea Information Assurance Society Conference
• /
• 2004.05a
• /
• pp.15-19
• /
• 2004

인터넷 사용이 보편화됨에 따라 기존의 방화벽만으로는 탐지가 불가능한 웹 서버의 취약점을 이용한 공격이 나날이 증가하고 있고, 그 중에서도 특히 웹 어플리케이션의 프로그래밍 오류를 이용한 침입이 공격 수단의 대부분을 차지하고 있다. 본 논문에서는 웹 어플리케이션의 취약점을 분석한 후 취약점 발생 부분에 대해 웹 서버 전용으로 로그 분석을 해 주는 실시간 에이전트를 도입하였다. 실시간 에이전트는 공격 패턴을 비교ㆍ분석한 후 프로세스 분석기를 통한 결정(decision) 과정을 통해 침입으로 판단되면 해당 접속 프로세스(pid)를 제거한 후 공격 아이피를 차단함으로서 침입을 탐지하는 모델을 제시한다.

• Journal of KIISE:Information Networking
• /
• v.30 no.1
• /
• pp.97-116
• /
• 2003

Frequency of attacks on web services and the resulting damage continue to grow as web services become popular. Techniques used in web service attacks are usually different from traditional network intrusion techniques, and techniques to protect web services are badly needed. Unfortunately, conventional intrusion detection systems (IDS), especially those based on known attack signatures, are inadequate in providing reasonable degree of security to web services. An application-level IDS, tailored to web services, is needed to overcome such limitations. The first step in developing web application IDS is to analyze known attacks on web services and characterize them so that anomaly-based intrusion defection becomes possible. In this paper, we classified known attack techniques to web services by analyzing causes, locations where such attack can be easily detected, and the potential risks.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.31 no.3
• /
• pp.365-371
• /
• 2021

With the rapid growth in Internet users, web applications are becoming the main target of hackers. Most previous WAFs (Web Application Firewalls) target every single HTTP request packet rather than the overall behavior of the attacker, and are known to be difficult to detect new types of attacks. In this paper, we propose a web attack detection system based on user behavior using machine learning to detect attacks of unknown patterns. In order to define user behavior, we focus on features excluding areas where an attacker can camouflage as a normal user. The experimental results shows that by using the path and query information to define users' behaviors, best results for an accuracy of 99% with Decision forest.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.637-640
• /
• 2006

본 논문에서는 HTTP 요청, 응답 헤더정보 분석을 통해, 실시간으로 웹 공격을 탐지하는 시각화도구를 제안한다. 공격 탐지기법은 이상, 오용 탐지 기법을 통합한 방식이다. 이상 탐지는 헤더정보의 Refer와 Uri 필드를 이용한 베이지언 분포를 통한 확률 값을 이용하였으며, 오용탐지는 Snort의 공격 시그너쳐의 웹 공격부분을 사용하였다. 공격 탐지 정보의 효율적인 전달을 위해, 시각화를 GUI로 구현하였다. 본 논문에서는 사용자 에이전트의 비정상 행위 감시, 빈도 분석, 공격 에이전트 위치추적을 실시간으로 시각화하여 표현하는 기법을 제안한다.