• 한국컴퓨터정보학회논문지
• /
• 제21권7호
• /
• pp.1-8
• /
• 2016

Nowadays, distributed denial of service (DDoS) attacks on web sites reward attackers financially or politically because our daily lifes tightly depends on web services such as on-line banking, e-mail, and e-commerce. One of DDoS attacks to web servers is called HTTP-GET flood attack which is becoming more serious. Most existing techniques are running on the application layer because these attack packets use legitimate network protocols and HTTP payloads; that is, network-level intrusion detection systems cannot distinguish legitimate HTTP-GET requests and malicious requests. In this paper, we propose a practical detection technique against HTTP-GET flood attacks, based on the access behavior of inline objects in a webpage using NetFlow data. In particular, our proposed scheme is working on the network layer without any application-specific deep packet inspections. We implement the proposed detection technique and evaluate the ability of attack detection on a simple test environment using NetBot attacker. Moreover, we also show that our approach must be applicable to real field by showing the test profile captured on a well-known e-commerce site. The results show that our technique can detect the HTTP-GET flood attack effectively.

• ETRI Journal
• /
• 제42권3호
• /
• pp.433-445
• /
• 2020

A denial-of-service (DoS) attack is a serious attack that targets web applications. According to Imperva, DoS attacks in the application layer comprise 60% of all the DoS attacks. Nowadays, attacks have grown into application- and business-layer attacks, and vulnerability-analysis tools are unable to detect business-layer vulnerabilities (logic-related vulnerabilities). This paper presents the business-layer dynamic application security tester (BLDAST) as a dynamic, black-box vulnerability-analysis approach to identify the business-logic vulnerabilities of a web application against DoS attacks. BLDAST evaluates the resiliency of web applications by detecting vulnerable business processes. The evaluation of six widely used web applications shows that BLDAST can detect the vulnerabilities with 100% accuracy. BLDAST detected 30 vulnerabilities in the selected web applications; more than half of the detected vulnerabilities were new and unknown. Furthermore, the precision of BLDAST for detecting the business processes is shown to be 94%, while the generated user navigation graph is improved by 62.8% because of the detection of similar web pages.

• 중소기업융합학회논문지
• /
• 제5권1호
• /
• pp.19-23
• /
• 2015

분산 서비스 거부 공격은 공격자가 한 지점에서 서비스 공격을 수행하는 형태를 넘어서 광범위한 네트워크를 이용하여서 다수의 공격 지점에서 한 곳을 집중적이게 공격을 하는 형태의 서비스 거부 공격이다. 특정 서버나 클라이언트에게 많은 접속 시도를 만들어서 정상적인 서비스를 사용하지 못하게 하는 방법 등등의 공격이 있다. DDoS 공격의 대응 방법에는 관리적 측면과 기술적 측면의 대응 이 두 가지를 제안 하였다.

• 정보처리학회논문지A
• /
• 제15A권3호
• /
• pp.181-188
• /
• 2008

오늘날 대부분의 웹사이트는 웹 응용 프로그램이 적절한 웹 페이지를 생성하여 전송하는 형태인 동적 웹페이지를 사용하고 있다. 이에 대하여, 취약한 웹 응용 프로그램에 악의적인 문자열을 전달하는 공격의 형태가 증가하고 있다. 본 논문에서는 대표적인 문자열 삽입 공격인 SQL 삽입(SQL Injection) 공격과 크로스 사이트 스크립팅(Cross Site Scripting, XSS) 공격에 대하여 웹 응용 프로그램내의 보안 취약성을 자동으로 찾아 주는 프로그램 정적 분석기를 개발하였다. 요약 해석을 사용한 프로그램 분석을 위하여 가능한 문자열 값을 제외 문자열들과 함께 표현하는 요약 자료 공간과 PHP 언어의 요약된 의미 규칙을 설계하였으며, 이를 기반으로 분석기를 구현하였다. 또한 개발된 분석기가 기존의 연구 결과와 비교하여 경쟁력 있는 분석 속도와 정밀도를 가짐을 실험을 통하여 보였다.

• 한국멀티미디어학회논문지
• /
• 제11권11호
• /
• pp.1601-1614
• /
• 2008

최근 대부분의 인터넷 환경이 쳅 기반 시스템으로 발전하면서 웹 서비스 사용자 수는 꾸준히 증가하고 있다. 따라서 일반 사용자가 대형 포털 사이트 웹 서버 접속시 생성되는 로그 정보를 분석하여 웹 서버에 대한 공격을 탐지하거나 웹 마이닝 기술과 접목하기 위해서는 대용량의 웹 로그 정보에 대한 효율적인 분석 기법이 필요하다. 기존 웹 로그 전처리 기법은 로그 문자열의 순차적인 탐색을 수행하므로 대용량의 웹 로그 고속화 처리에 적합하지 않다. 본 연구에서는 대용량 웹 로그 정보에 대해 B-트리 인덱싱 벡터 구조를 이용하여 필드별 분류 및 고속 검색 알고리즘을 개발하였다 이를 통해 효율적으로 대용량 로고로부터 효율적인 세션 분석 기능과 개선된 검색 성능을 제공할 수 있었으며 웹 서버에 대한 공격 탐지에도 활용할 수 있었다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 춘계학술대회
• /
• pp.303-306
• /
• 2010

웹사이트를 통한 해커들의 악의적인 웹 취약점 공격으로 개인정보와 개인자산이 유출되고 있다. 일부국가에서는 해커부대가 운용되어, 타 국가의 웹사이트를 통해 기밀정보 및 개인정보를 불법적으로 접근하여 자료를 획득하고 있다. 국내 웹사이트들은 프로그램뿐만 아니라 웹사이트 관리의 문제로 인해 많은 취약점을 갖고 있다. 본 논문에서는 국내뿐만 아니라 전 세계적으로 유행하는 XSS, SQL Injection, Web Shell 공격에 대한 취약점을 분석하고, XSS, SQL Injection, Web Shell 공격을 직접 공격한다. 공격 후에 해킹을 시연한 자료를 수집, 분석을 하여 보안 대응책을 제시한다. 본 연구는 웹사이트 보안과 안전한 웹사이트 관리를 향상 시킬 수 있는 기술연구에 이바지 할 것이다.

• Wind and Structures
• /
• 제30권5호
• /
• pp.499-509
• /
• 2020

The aeroelastic stability of a long-span suspension footbridge with a bluff deck (prototype section) was examined through static and dynamic wind tunnel tests using a 1:10 scale sectional model of the main girder, and the corresponding aerodynamic countermeasures were proposed in order to improve the stability. First, dynamic tests of the prototype sectional model in vertical and torsional motions were carried out at three attack angles (α = 3°, 0°, -3°). The results show that the galloping instability of the sectional model occurs at α = 3° and 0°, an observation that has never been made before. Then, the various aerodynamic countermeasures were examined through the dynamic model tests. It was found that the openings set on the vertical web of the prototype section (web-opening section) mitigate the galloping completely for all three attack angles. Finally, static tests of both the prototype and web-opening sectional models were performed to obtain the aerodynamic coefficients, which were further used to investigate the galloping mechanism by applying the Den Hartog criterion. The total damping of the prototype and web-opening models were obtained with consideration of the structural and aerodynamic damping. The total damping of the prototype model was negative for α = 0° to 7°, with the minimum value being -1.07%, suggesting the occurrence of galloping, while that of the web-opening model was positive for all investigated attack angles of α = -12° to 12°.

• 정보보호학회논문지
• /
• 제31권3호
• /
• pp.365-371
• /
• 2021

인터넷 사용자의 급증으로 웹 어플리케이션은 해커의 주요 공격대상이 되고 있다. 웹 공격을 막기 위한 기존의 WAF(Web Application Firewall)는 공격자의 전반적인 행위보다는 HTTP 요청 패킷 하나하나를 탐지 대상으로 하고 있으며, 새로운 유형의 공격에 대해서는 탐지하기 어려운 것으로 알려져 있다. 본 연구에서는 알려지지 않은 패턴의 공격을 탐지하기 위해 기계학습을 활용한 사용자 행위 기반의 웹 공격 탐지 기법을 제안한다. 공격자가 정상적인 사용자인 것처럼 위장할 수 있는 부분을 제외한 영역에 집중하여 사용자 행위 정보를 정의였으며, 벤치마크 데이터셋인 CSIC 2010을 활용하여 웹 공격 탐지 실험을 수행하였다. 실험결과 Decision Forest 알고리즘에서 약 99%의 정확도를 얻었고, 동일한 데이터셋을 활용한 기존 연구와 비교하여 본 논문의 효율성을 증명하였다.

• 인터넷정보학회논문지
• /
• 제9권5호
• /
• pp.23-34
• /
• 2008

웹 기반 서비스가 다양한 형태로 제공되면서 웹 서비스 사용자 수는 꾸준히 증가하고 있다. 그러나 웹 서버에 대한 SQL Injection, Parameter Injection 및 DoS 등의 공격 등의 취약점이 발견되고 있다. 이와 같은 형태의 웹 공격에 능동적으로 대응하기 위해 현재 웹 IDS 시스템을 구축하여 룰 기반 대응 시스템을 구축하고 있으나, 웹 서버에서 생성되는 로그 정보에 대한 전처리 과정 없이 룰 기반 IDS 시스템이 구동되기 때문에 효율적인 웹 공격 대응체계가 구축되지 못하고 있다. 이에 본 연구에서는 웹 로그 정보를 웹 IDS 기반 공격 탐지 시스템의 룰 비교 특성에 적합한 형태로 전처리하는 알고리즘을 제시하고 이를 구현하였다. 제안한 알고리즘은 웹 로그 정보에 대한 필드 단위 파싱 및 중복 문자열 처리 과정을 고속으로 수행하여 대용량의 로그 처리시 성능을 향상시켜 개선된 웹 IDS 시스템 구축이 가능하다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권7호
• /
• pp.2512-2531
• /
• 2014

We propose a new Distributed Denial of Service (DDoS) defense mechanism that protects http web servers from application-level DDoS attacks based on the two methodologies: whitelist-based admission control and busy period-based attack flow detection. The attack flow detection mechanism detects attach flows based on the symptom or stress at the server, since it is getting more difficult to identify bad flows only based on the incoming traffic patterns. The stress is measured by the time interval during which a given client makes the server busy, referred to as a client-induced server busy period (CSBP). We also need to protect the servers from a sudden surge of attack flows even before the malicious flows are identified by the attack flow detection mechanism. Thus, we use whitelist-based admission control mechanism additionally to control the load on the servers. We evaluate the performance of the proposed scheme via simulation and experiment. The simulation results show that our defense system can mitigate DDoS attacks effectively even under a large number of attack flows, on the order of thousands, and the experiment results show that our defense system deployed on a linux machine is sufficiently lightweight to handle packets arriving at a rate close to the link rate.