• Review of KIISC
• /
• v.18 no.5
• /
• pp.62-72
• /
• 2008

인터넷 뱅킹은 인터넷을 통해 금융 업무를 처리하는 시스템으로, 시 공간적 제약이 없어 이용자가 크게 증가하고 있지만 인터넷을 기반으로 한 웹 공격으로 인하여 많은 위협을 받고 있다. 인터넷 뱅킹은 서비스를 제공하는 은행에 따라 사용자 인터페이스와 처리 방법이 매우 다양하므로, 인터넷 뱅킹 시스템을 목표로 한 웹 공격을 탐지하기 위해서는 해당 인터넷 뱅킹 서비스의 특징을 반영할 수 있는 고유의 패턴을 생성해야 한다. 본 논문에서는 서열 정렬 알고리즘을 이용하여 인터넷 뱅킹 이용에 대한 정상 및 비정상 패턴을 자동으로 생성하여 웹 공격을 탐지하고 분석하는 방법을 제안한다. 제시한 방법의 성능 평가를 위하여, 모의 인터넷 뱅킹 프로그램을 설치한 후 정상적인 이용과 웹 공격을 시도한 자료를 구분하여 수집하고 유사도를 측정하였다. 실험결과 제안된 기법이 오탐율이 낮고 탐지 성능 또한 뛰어남을 확인하였다. 그리고 전문가의 도움 없이 정상 패턴과 비정상 패턴을 생성할 수 있어 효율적으로 변형된 공격이나 새로운 공격을 차단하고 비정상 행위에 판단에 대한 근거를 제시할 수 있음을 보였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.313-315
• /
• 2006

최근 인터넷 공격은 웹 서비스 환경에서 다양한 공격 유형들이 인터넷상에서 나타나고 있는 실정이다. 특히 인터넷 웜이나 기타 알려지지 않은 공격이 대중을 이루고 있어 기존의 정보 보호 기술로는 한계에 다다르고 있으며 이미 알려진 공격을 탐지하는 오용탐지 기술로는 적절하게 대응하기 어려워진 상태이다. 또한, 웹 서비스 이용이 확대되고 사용자 요구에 맞게 변화하면서 인터넷상의 노출된 웹 서비스는 공격자들에게 있어 주공격 대상이 되고 있다. 본 논문에서는 웹 기반의 트래픽 유형을 분석하고 각 유형에 따른 이상 징후를 파악할 수 있는 비정상 탐지 모델을 정의하여 정상 트래픽 모델과 비교함으로써 현재 트래픽의 이상 정도를 평가하고 탐지 및 규칙생성, 추가하는 HTTP 트래픽 기반의 비정상행위 탐지 시스템을 설계하고 구현하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.969-972
• /
• 2007

국내 웹 사이트의 증가 및 초고속 인터넷의 보급으로 웹 사용자는 꾸준히 증가 추세에 있다. 그러나 사용자에 대한 정보 보호 실태는 심각한 수준이다. 그 피해 사항으로는 사용자 개인 신상정보의 유출, 피싱 사이트로 인한 개인정보 유출 등 그 유형 및 목적이 다양하다. 이런 웹 공격에 대한 기존의 대응책으로 IDS/IPS를 통한 네트워크 기반의 공격 탐지 및 방지가 주류를 이뤘다. 그러나 이런 대응책은 누구에게나 공개되는 웹서버 보안에는 적합한 시스템이 아니다. 본 논문에서는 웹 공격의 특성에 맞는 문자열 처리 중심의 로그 분석을 통해 대용량의 로그로부터 공격을 탐지하는 웹 로그 전처리 시스템을 제안한다.

• Journal of the Korea Society of Computer and Information
• /
• v.16 no.1
• /
• pp.125-132
• /
• 2011

A hierarchical Web Security System, which is a solution to various web-based attacks, seemingly is not able to keep up with the improvement of detoured or compound attacks. In this paper, we suggest an efficient detecting scheme for web-based attacks like Malware, XSS, Creating Webshell, URL Spoofing, and Exposing Private Information through monitoring HTTP outbound traffics in real time. Our proposed scheme detects web-based attacks by comparing the outbound traffics with the signatures of HTML tag or Javascript created by the attacks. Through the verification analysis under the real-attacked environment, we show that our scheme installed in a hierarchical web security system has superior detection capability for detoured web-based attacks.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.23 no.10
• /
• pp.1311-1319
• /
• 2019

Currently, the web environment is a commonly used area for sharing information and conducting business. It is becoming an attack point for external hacking targeting on personal information leakage or system failure. Conventional signature-based detection is used in cyber threat but signature-based detection has a limitation that it is difficult to detect the pattern when it is changed like polymorphism. In particular, injection attack is known to the most critical security risks based on web vulnerabilities and various variants are possible at any time. In this paper, we propose a novelty detection technique to detect abnormal state that deviates from the normal state on web-server log dataset(WSLD). The proposed method is a machine learning-based technique to detect a minor anomalous data that tends to be different from a large number of normal data after replacing strings in web-server log dataset with vectors using machine learning-based embedding algorithm.

• The Journal of the Korea Contents Association
• /
• v.8 no.5
• /
• pp.9-18
• /
• 2008

Web-services have originally been devised to share information as open services. In connection with it, hacking incidents have surged. Currently, Web-log analysis plays a crucial clue role in detecting Web-hacking. A growing number of cases are really related to perceiving and improving the weakness of Web-services based on Web-log analysis. Such as this, Web-log analysis plays a central role in finding out problems that Web has. Hence, Our research thesis suggests Web-DoS-hacking detective technique In the process of detecting such problems through SOM algorithm, the emergence frequency of BMU(Best Matching Unit) was studied, assuming the unit with the highest emergence frequency, as abnormal, and the problem- detection technique was recommended through the comparison of what's called BMU as input data.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.10a
• /
• pp.296-299
• /
• 2018

웹 3.0 시대를 맞으면서 인터넷과 PC의 발전은 웹 서비스 이용을 대폭 증가시켰고, 이러한 웹 환경에서 이용자가 인증 절차를 거치지 않고 임의로 접속하는 공격을 방어하기 위한 정보보호 대책이 중요하다. 쿠키는 웹사이트에 접속 시 웹 서버가 한번 발행하면 이후 이용자의 웹페이지 이동마다 인증 절차를 거쳐야 하는 번거로움을 간단하게 하는 편리한 수단이다. 그러나 공격자가 쿠키를 스니핑하여 웹페이지를 새로 고침 하는 공격으로 인증 절차를 우회하여 정상 이용자로 가장하는 위험이 있다. 본 논문은 이용자의 정상 로그인 시의 쿠키 등을 해시 함수로 암호화한 값을 데이터베이스에 저장하였다가 쿠키 재전송 공격이 의심되는 이벤트가 발생하면 현재 웹브라우저의 쿠키 등을 해시 함수로 암호화한 값과 서로 비교함으로써 쿠키 재전송 공격을 탐지하는 기법을 제안한다.

• Journal of the Korea Society of Computer and Information
• /
• v.12 no.1 s.45
• /
• pp.161-168
• /
• 2007

Web attack uses structural, logical and coding error or web application rather than vulnerability to Web server itself. According to the Open Web Application Security Project (OWASP) published about ten types of the web application vulnerability to show the causes of hacking, the risk of hacking and the severity of damage are well known. The detection ability and response is important to deal with web hacking. Filtering methods like pattern matching and code modification are used for defense but these methods can not detect new types of attacks. Also though the security unit product like IDS or web application firewall can be used, these require a lot of money and efforts to operate and maintain, and security unit product is likely to generate false positive detection. In this research profiling method that attracts the structure of web application and the attributes of input parameters such as types and length is used, and by installing structural database of web application in advance it is possible that the lack of the validation of user input value check and the verification and attack detection is solved through using profiling identifier of database against illegal request. Integral security management system has been used in most institutes. Therefore even if additional unit security product is not applied, attacks against the web application will be able to be detected by showing the model, which the security monitoring log gathering agent of the integral security management system and the function of the detection of web application attack are combined.

• Journal of Korea Multimedia Society
• /
• v.11 no.11
• /
• pp.1601-1614
• /
• 2008

The number of web service users has been increased rapidly as existing services are changed into the web-based internet applications. Therefore, it is necessary for us to use web log pre-processing technique to detect attacks on diverse web service transactions and it is also possible to extract web mining information. However, existing mechanisms did not provide efficient pre-processing procedures for a huge volume of web log data. In this paper, we proposed both a field based parsing and a high-speed log indexing mechanism based on the suggested B-tree Index Vector structure for performance enhancement. In experiments, the proposed mechanism provides an efficient web log pre-processing and search functions with a session classification. Therefore it is useful to enhance web attack detection function.

• Convergence Security Journal
• /
• v.8 no.3
• /
• pp.1-8
• /
• 2008

The pattern matching part of Intrusion Detection System based on misuse-detection mechanism needs much processing time and resources, and it has become a bottleneck in system performance. Moreover, it derives denial-of-service attack. In this paper, we propose (1) framework architecture that is strong against denial-of-service attack and (2) efficient pattern matching method especially for web server system. By using both of these 2 methods, we can maintain web server system efficiently secure against attacks including denial-of-service.