• 정보과학회 논문지
• /
• 제44권1호
• /
• pp.1-12
• /
• 2017

지속적으로 증가하는 인터넷 서비스 요구사항을 만족하기 위하여 인터넷 서비스를 제공하는 시스템은 웹 서버와 DB(database) 서버로 구성된 multitier 구조로 변화되어왔다. 이러한 multitier 웹 어플리케이션 환경에서 기존의 IDS(intrusion detection system)는 웹 서버와 DB 서버에서 misused traffic pattern들이나 signature들을 매칭하여 이미 알려진 공격을 검출하고 해당 접속을 차단하는 방식으로 동작한다. 하지만 이러한 방식의 IDS는 정상적인 HTTP(hypertext transfer protocol) request를 이용하여 악의적으로 DB 서버의 내용의 변조를 시도하는 attacker의 공격을 DB 서버단에서 제대로 검출하지 못한다. 그 이유는 DB 서버는 웹 서버로부터 받은 SQL(structured query language) query가 어떤 사용자의 HTTP request에 의해 발생한 것인지 알지 못하는 상태에서 처리하며, 웹 서버는 SQL query 처리 결과 중 어떤 것이 악의적으로 DB 서버 변조를 시도한 SQL query에 의한 결과인지 알 수 없기 때문이다. 이런 공격을 검출하기 위해서는 HTTP request와 SQL query 사이의 상호작용관계를 명확히 파악하고, 이를 이용하여 악의적인 SQL query를 발생시킨 사용자를 추적해야 한다. 이를 위해서는 해당 시스템의 소스코드를 분석하거나 application logic을 완벽하게 파악해야 하므로 현실적으로 불가능하다. 본 논문에서는 웹 서버와 DB 서버에서 제공하는 로그만을 이용하여 모든 HTTP request와 SQL query간의 mapping 관계를 찾아내고, 이를 이용하여 특정 SQL query를 발생시킨 HTTP request를 추정하는 기법을 제안한다. 모의실험을 통하여 94%의 정확도로 HTTP request를 추정할 수 있음을 확인하였다.

• 정보처리학회논문지C
• /
• 제18C권3호
• /
• pp.127-134
• /
• 2011

악성 봇넷은 DDoS(Distributed Denial of Service) 공격이나 각종 스팸 메시지 발송, 개인 정보 탈취, 클릭 사기 등 많은 악성 행위에 이용되고 있다. 이를 방지하기 위해 많은 연구가 선행되었지만 악성 봇넷 또한 진화하여 탐지 시스템을 회피하고 있다. 특히 최근에는 어플리케이션 계층의 취약성을 공략한 HTTP GET 공격이 주로 사용되고 있다. 한국전자통신연구원에서 개발한 ALADDIN 시스템의 ALAB(Application Layer Attack detection Block)는 서비스 거부 공격 HTTP GET, Incomplete GET Request flooding 공격을 탐지하는 알고리즘이 적용된 탐지 시스템이다. 본 논문에서는 ALAB 탐지 알고리즘의 Incomplete GET 탐지 알고리즘을 확장하고 장기간 조사한 정상적인 패킷 및 공격 패킷들의 분석을 통해 최적 threshold를 도출하여 ALAB 알고리즘의 유효성을 검증한다.

• 정보과학회 논문지
• /
• 제43권7호
• /
• pp.827-833
• /
• 2016

HTTP 적응적 스트리밍은 네트워크 상태에 따라 비디오의 품질을 조절하여 사용자 체감 품질을 향상시키는 비디오 스트리밍 서비스이다. HTTP 적응적 스트리밍 서비스에서 비디오 콘텐츠는 여러 품질과 일정 길이를 가지는 비디오 세그먼트로 나누어지며, 클라이언트는 적절한 품질의 세그먼트를 요청한다. 그러나 기존의 세그먼트 스케줄러는 TCP에 대한 고려 없이 일정 간격으로 세그먼트를 요청하므로 TCP 연결이 초기화되어 Slow-start를 다시 수행해 비디오 전송률이 감소한다. 본 논문에서는 HTTP 적응적 스트리밍 서비스의 품질을 향상시키기 위한 TCP 인지형 세그먼트 스케줄링 기법을 제안한다. 제안하는 기법은 TCP 연결이 초기화되는 것을 방지하기 위해 비디오 세그먼트의 요청 시간을 조절하며, 세그먼트를 요청하는 시점을 고려하여 안정적인 비디오 스트리밍을 수행한다. 시뮬레이션을 통해 제안하는 기법이 끊김 현상 없이 HTTP 적응적 스트리밍 서비스의 품질을 향상시키는 것을 확인하였다.

• 정보과학회 논문지
• /
• 제45권2호
• /
• pp.175-186
• /
• 2018

최근 QoE를 향상시키기 위한 비디오 스트리밍 프로토콜로 HTTP 적응적 스트리밍이 주목받고있다. 높은 지연을 갖는 네트워크에서 HTTP 적응적 스트리밍은 하나의 세그먼트 요청에 하나의 세그먼트를 응답 받는 형식으로 동작하기 때문에 Lost RTT Cycle에 의해 평균 비디오 비트율이 감소한다. 하나의 요청에 다수의 세그먼트를 다운로드하는 Server-push 기반의 스트리밍 기법은 버퍼 언더플로우에 의한 QoE 저하가 발생한다. 본 논문에서는 높은 지연을 갖는 네트워크에서 HTTP 적응적 스트리밍의 QoE를 향상시키기 위한 VSSDS(Video Streaming Scheme based on Dynamic Server-push) 기법을 제안한다. 제안하는 기법은 가용대역폭을 예측하여 품질조절을 수행하고, 요청 주기마다 요청할 세그먼트의 개수를 결정한다. 실험을 통하여 제안하는 기법이 기존 기법에 비해 평균 비디오 비트율을 향상시키며, 버퍼 언더플로우를 방지하는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제21권1호
• /
• pp.39-52
• /
• 2011

서버의 응용계층에 대한 DDoS 공격은 매우 적은 량의 패킷으로 효과적인 공격이 가능하며, 공격 트래픽이 정상 트래픽과 유사하여 탐지가 매우 어렵다. 하지만 HTTP 응용계층 공격 트래픽에는 사용자 의도에 의한 특성이 있음을 찾았다. 정상 사용자와 DDoS 공격자는 동일하게 TCP 계층에서 세션을 맺는다. 이후 최소 한번의 HTTP Get 요구 패킷을 발생한다. 정상적인 HTTP 요구는 서버의 응답을 기다리지만 공격자는 Get 요청 직후 세션을 종료한다. 이러한 행위는 사용자 의도에 의한 차이로 해석할 수 있다. 본 논문에서는 이러한 차이를 기반으로 응용계층 분산서비스 거부 공격 탐지 알고리즘을 제안하였다. 제안된 알고리즘은 정상 네트워크와 봇 기반 분산서비스거부 공격 툴에서 발생한 트래픽으로 실험되었으며, 거의 오탐 없이 HTTP-Get 공격을 탐지함을 보여 주였다.

• 한국정보과학회논문지:시스템및이론
• /
• 제32권11_12호
• /
• pp.717-721
• /
• 2005

HTTP/l.0과 새로운 HTTP/1.1이 함께 사용됨으로써 단일 HTTP 연결이 단일 사용자 요청을 의미하던 환경에서 연구되었던 웹 서버 부하 분산 정책은 수정이 불가피하게 되었다. HTTP/l.0 환경에서는 사용자의 단일 요청만을 가지고 서버를 할당하였으나, 지속적인 HTTP 연결을 지원하게 되면서 하나의 HTTP 연결을 통해 여러 개의 요청을 서버에게 요구할 수 있으므로, 첫 번째로 도착한 요청 하나만으로는 앞으로 그 HTTP 연결을 통해 전송될 사용자의 요청이 서버의 자원을 얼마나 소비하게 될 것인지 전혀 예상할 수 없게 된다. 본 논문에서는 HTTP/1.1을 효율적으로 지원하는 부하 분산 정책을 제안하고자 한다. 이 정책은 사용자의 첫 번째 요청이 전달되면 그 요청의 내장 객체 정보와 현재 살아있는 HTTP 연결의 에이징(aging)을 고려하여 서버를 선택하는 알고리즘이다. 그리고 디스패처의 잘못된 분산 결정으로 인해 시스템의 성능에 누적되는 악영향을 최소화하기 위한 기법도 제시한다.

• 제어로봇시스템학회논문지
• /
• 제10권9호
• /
• pp.847-854
• /
• 2004

In this paper, It is studied to control and to monitor the remote system state using HTTP(Hyper Text Transfer Protocol) object communication. The remote control system is controlled by using a web browser or a application program. This system is organized by three different part depending on functionality-server part, client part, controller part. The java technology is used to composite the server part and the client part and C language is used for a controller. The server part is waiting for the request of client part and then the request is reached, the server part saves client data to the database and send a command set to the client part. The administrator can control the remote system just using a web browser. Remote part is worked by timer that is activated per 1 second. It gets the measurement data of the controller part, and then send the request to the server part and get a command set in the command repository of server part using the client ID. After interpreting the command set, the client part transfers the command set to the controller part. Controller part can be activated by the client part. If send command is transmitted by the client part, it sends sensor monitoring data to the client part and command set is transmitted then setting up the value of the controlled system.

• 정보과학회 논문지
• /
• 제45권1호
• /
• pp.86-93
• /
• 2018

다수의 클라이언트가 대역폭을 공유해 스트리밍 서비스를 받는 경우 HTTP 적응적 스트리밍(HTTP Adaptive Streaming)은 세그먼트 요청의 ON-OFF 패턴으로 인해 대역폭을 부정확하게 측정하는 문제가 있다. ON-OFF 패턴으로 인한 문제를 해결하기 위해 제안된 PANDA (Probe AND Adapt)는 목표 대역폭을 증가시키면서 요청할 세그먼트의 품질을 결정한다. 하지만 목표 대역폭을 고정된 양만큼 증가시키기 때문에 대역폭 활용도가 낮고 대역폭 변화에 느리게 반응하는 문제가 있다. 본 논문에서는 PANDA의 낮은 대역폭 활용도와 느린 반응성을 개선하기 위한 비디오 품질 조절 기법을 제안한다. 제안하는 기법은 세그먼트 다운로드 시간과 요청 간격을 비교해 대역폭 활용도를 판단한 후 대역폭 활용도에 따라 목표 대역폭을 증가시키는 양을 조절한다. 실험을 통하여 제안하는 기법이 대역폭을 충분히 활용하고 대역폭 변화에 빠르게 반응하는 것을 확인하였다.

• 한국정보과학회논문지:정보통신
• /
• 제28권1호
• /
• pp.126-135
• /
• 2001

HTTP 프로토콜은 WWW에서 HTML(HyperText Markup Language)문서를 송수신하기 위해 사용하고 있는 애플리케이션 프로토콜로서 TCP를 수송계층 프로토콜로 이용하여 이루어지는 애플리케이션 계층 프로토콜 가운데 하나이다[12]. HTTP/1.0은 동일한 서버로부터 각각의 개체에 대하여 개별적인 TCP연결은 생성하기 때문에 다중의 요구를 비효율적으로 처리한다. 이러한 문제를 해결하기 위한 방안으로 제안된 HTTP/1.1은 TCP연결을 지속적인 연결(Persistent connection)이라는 개념을 도입하여 하나의 TCP 연결 상에서 다중의 요구(Request)를 처리하도록 하고 있다[9]. 네트워크가 발전됨에 따라 사용자가 늘어나고 다양해지면서 서비스의 차별화 문제가 중요한 문제로 대두되었다.[3.5] 본논문에서 제시하는 Diff-HTTP은 웹 서버에 서비스를 요청한 클라이언트들에게 차별화 된 서비스를 제공하기 위해서 사용자를 두 등급 기본등급과 우선 순위를 고려한 상위 등급으로 구분한다. 각 등급은 제한시간으로 차별화되고 상위 등급에 속한 클라이언트에게 제한된 시간을 증가 시켜 지연을 최소로 함으로써 고품질의 서비스를 제공하는 방안을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권5호
• /
• pp.1801-1816
• /
• 2014

Because HTTP-related ports are allowed through firewalls, they are an obvious point for launching cyber attacks. In particular, malware uses HTTP protocols to communicate with their master servers. We call this an HTTP-based command and control (C&C) server. Most previous studies concentrated on the behavioral pattern of C&Cs. However, these approaches need a well-defined white list to reduce the false positive rate because there are many benign applications, such as automatic update checks and web refreshes, that have a periodic access pattern. In this paper, we focus on finding new discriminative features of HTTP-based C&Cs by analyzing HTTP activity sets. First, a C&C shows a few connections at a time (low density). Second, the content of a request or a response is changed frequently among consecutive C&Cs (high content variability). Based on these two features, we propose a novel C&C analysis mechanism that detects the HTTP-based C&C. The HAS-Analyzer can classify the HTTP-based C&C with an accuracy of more than 96% and a false positive rate of 1.3% without using any white list.