• 융합보안논문지
• /
• 제8권4호
• /
• pp.199-207
• /
• 2008

웹 서비스는 기능의 특성상 다른 서비스와는 달리 외부에 노출되어 있고 다양한 어플리케이션들이 웹 서비스와 연동되어 있어서 많은 보안 취약점들이 존재한다. 특히 새로운 웹 기술들이 개발되면서 전에 없던 새로운 형태의 보안 취약점들이 꾸준히 생겨나고 있다. 본 논문에서는 이러한 취약점들을 바탕으로, 가상화 환경을 이용하여 웹서버와 허니웹을 구축함으로써 어떤 공격에 대해서도 시스템의 하드웨어까지 영향을 미치지 않도록 구성되며 허니웹을 통하여 새로운 공격에 대해서도 정보를 수집할 수 있도록 웹 서버 보안시스템을 설계 및 구현 하였다. 이를 통하여 상호 통신의 웹 환경에서 적절한 보안을 제공 할 수 있다.

• 디지털융복합연구
• /
• 제13권10호
• /
• pp.279-285
• /
• 2015

본 논문은 DNS를 이용한 보안 위협에 대응하기 위한 웹 기반의 실시간 질의 분석 및 제어 시스템을 제안한다. 제안 시스템은 DMZ로 유입되는 DNS 질의를 미러링하여 데이터를 수집하고 분석한다. 그 결과로 DNS 보안 위협을 발견하면 방화벽 필터링 정보로 사용하며 DNS 질의의 통계정보를 실시간으로 웹 서비스한다. DNS특정 문제만을 해결하기 위한 기존의 시스템에 비해 제안 시스템은 DNS 스푸핑, DNS 플러딩 공격, DNS 증폭 공격 등 다양한 공격에 대응하며, 불법적인 DNS의 사용을 미리 차단함으로써 내부로부터 발생할 수 있는 불법적인 침해 사고를 예방한다. 웹으로 실시간 DNS 통계 정보를 제공하고 GeoIP를 이용한 위치정보와 Google API의 지도를 이용하여 DNS 질의 발생과 관련하여 위치 정보를 제공한다. 현재까지의 DNS 공격에 대한 경험과 지식이 부족하기 때문에 웹 서비스와의 보안 융합 시스템을 이용하여 구축한 데이터베이스는 DNS 관련 보안 침해 공격에 대한 연구에 있어 향후 중요한 자료로 사용될 수 있다.

• 중소기업융합학회논문지
• /
• 제4권1호
• /
• pp.47-53
• /
• 2014

DNS스푸핑은 DNS서버를 통해 특정 웹서버의 주소로 번역하는 과정에서 이를 가로채서 공격자가 원하는 위조된 웹서버로 접근하게 하는 방법이다. ARP 스푸핑은 ARP 프로토콜의 요청과 응답메시지에 대한 인증을 하지않고 잘못된 정보가 와도 ARP Cache Table에 그대로 저장하는 취약점을 이용해 자신의 MAC주소를 다른 컴퓨터의 MAC주소인 것처럼 속이는 기법이다. 이러한 DNS/ARP 스푸핑 공격 방법에 대해서 상세히 알아보고 이를 예방하는 방안을 제안하였다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.675-689
• /
• 2021

Nowadays, cloud computing is being adopted for more organizations. However, since cloud computing has a virtualized, volatile, scalable and multi-tenancy distributed nature, it is challenging task to perform attack detection in the cloud following conventional processes. This work proposes a solution which aims to collect web server logs by using Flume and filter them through Spark Streaming in order to only consider suspicious data or data related to denial-of-service attacks and reduce the data that will be stored in Hadoop Distributed File System for posterior analysis with the frequent pattern (FP)-Growth algorithm. With the proposed system, we can address some of the difficulties in security for cloud environment, facilitating the data collection, reducing detection time and consequently enabling an almost real-time attack detection.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권4호
• /
• pp.135-140
• /
• 2015

WDSS는 네트워크 연동구간을 이용한 DDoS 대피소 시스템에 L7 스위치와 웹캐시서버를 추가 구성하여 웹 응용계층 DDoS 공격에 대한 방어성능을 향상시킨 시스템이다. WDSS는 웹 DDoS 공격 발생 시 백본 네트워크로부터 트래픽을 우회한 뒤 비정상 요청은 DDoS 차단시스템과 L7 스위치에서 차단하고 정상적인 클라이언트의 요청에 대해서만 웹캐시서버가 응답하게 함으로써 소규모 트래픽 기반의 세션 고갈형 DDoS 공격에 대응하고 정상적인 웹서비스를 유지한다. 또한 정상 트래픽을 웹서버로 재전송하기 위한 IP 터널링 설정이 없이도 공격 대응이 가능하다. 본 논문은 WDSS를 국내 ISP 백본 네트워크상에 구축하여 시스템 작동에 대한 유효성과 웹 응용계층 DDoS 공격 방어성능을 검증한 결과를 다룬다. 웹 DDoS 방어성능 평가는 실제 봇넷과 동일한 공격 종류와 패킷수의 공격을 수행할 수 있는 좀비 PC로 구성한 DDoS 모의테스트 시스템을 이용하여 실시하였다. 웹 응용계층 DDoS 공격 종류와 강도를 달리하여 WDSS의 웹 DDoS 방어성능을 분석한 결과 기존의 DDoS 대피소 시스템에서 탐지/방어하지 못한 소규모 트래픽에 기반하며 동일 플로우를 반복적으로 발생하지 않는 웹 DDoS 공격을 탐지/방어할 수 있었다.

• 한국정보통신학회논문지
• /
• 제25권3호
• /
• pp.449-455
• /
• 2021

본 논문에서는 기존의 웹애플리케이션 모니터링 시스템을 기반으로 한 암호화 웹트랜잭션 공격탐지 시스템을 제안한다. 기존의 웹트래픽 보안 시스템들은 클라이언트와 서버간의 암호화 구간인 네트워크 영역에서 암호화된 패킷을 기반으로 공격을 탐지하고 방어하기 때문에 암호화된 웹트래픽에 대한 공격 탐지가 어려웠지만, 웹애플리케이션 모니터링 시스템의 기술을 활용하게 되면 웹애플리케이션 서버의 메모리 내에서 이미 복호화 되어 있는 정보를 바탕으로 다양한 지능적 사이버 공격에 대한 탐지가 가능해 진다. 또한, 애플리케이션 세션 아이디를 통한 사용자 식별이 가능해지기 때문에 IP 변조 공격, 대량의 웹트랜잭션 호출 사용자, DDoS 공격 등 사용자별 통계기반의 탐지도 가능해 진다. 이와 같이 암호화 웹트래픽에 대한 비 암호화 구간에서의 정보 수집 및 탐지를 통하여 암호화 트래픽에 숨어 있는 다양한 지능적 사이버공격에 대한 대응이 가능할 것으로 사료된다.

• 정보보호학회논문지
• /
• 제13권2호
• /
• pp.115-125
• /
• 2003

본웹 서비스는 일반적으로 침입 차단 시스템에 의해 통제되지 않은 채 외부에 공개되어 있어 공격의 수단으로 이용될 수 있고, 다양한 웹 어플리케이션의 특성에 따라 많은 형태의 취약성을 내포하고 있다. 본 논문에서는 웹 서비스의 정상적인 이용 사례를 모델링하고, 이와 다른 사용례를 보이는 이상 사례를 베이지언 추정 기법을 이용하여 통계적으로 찾아내는 SAD(Session Anomaly Detection)을 제안한다. SAD의 성능을 평가하기 위하여 1개월간 수집된 웹로그 자료를 이용하였고 침입은 웹 스캐너 프로그램(Whisker)을 이용하여 수행하였다. 기존 NIDS인 Snort를 이용한 실험 결과 평균적으로 36%의 탐지율을 보인 반면 SAD의 경우 윈도우 사이즈, 훈련데이터의 크기, 이상탐지 필터, 웹토폴로지 정보의 이용유무에 따라 다소 차이는 있지만 전반적으로 90%가 넘는 탐지율을 보여 주었다.

• 디지털산업정보학회논문지
• /
• 제16권1호
• /
• pp.79-92
• /
• 2020

As the number of systems increases and the network size increases, automated attack prediction systems are urgently needed to respond to cyber attacks. In this study, we developed four types of information gathering sensors for collecting asset and vulnerability information, and developed technology to automatically generate attack graphs and predict attack targets. To improve performance, the attack graph generation method is divided into the reachability calculation process and the vulnerability assignment process. It always keeps up to date by starting calculations whenever asset and vulnerability information changes. In order to improve the accuracy of the attack target prediction, the degree of asset risk and the degree of asset reference are reflected. We refer to CVSS(Common Vulnerability Scoring System) for asset risk, and Google's PageRank algorithm for asset reference. The results of attack target prediction is displayed on the web screen and CyCOP(Cyber Common Operation Picture) to help both analysts and decision makers.

• 한국정보통신학회논문지
• /
• 제7권1호
• /
• pp.90-99
• /
• 2003

인터넷을 통한 웹 서버로부터 다운로드 받은 자바 애플릿은 클라이언트 브라우저의 가상 머시인에 실행 하였다. 자바 애플릿을 실행하기 전에 자바 가상 머시인은 bytecode 수정자를 이용하여 bytecode 프로그램을 검색하며 해석기를 이용하여 실행시간 테스트를 수행한다. 그러나 이러한 테스트들은 서비스 거부 공격, 이메일 위조 공격, URL 추적 공격 또는 지속적인 사운드 공격과 같은 원하지 않는 실행시간 동작을 예방 할 수는 없다. 본 논문에서는 이러한 애플릿을 보호하기 위해 자바 바이트 코드 수정 기술이 사용되었다. 이러한 기술은 검사를 수행할 적절한 바이트 코드를 삽입함으로서 애플릿의 동작을 제한한다. 자바 바이트 수정은 두 개의 일반적인 형태로 분류되며, 클래스 레벨 수정은 마지막 클래스 아닌 서브클래스를 포함하고 메소드 레벨 수정은 마지막 클래스 또는 인터페이스로부터 객체를 제어할 때 사용된다. 본 논문은 악성 애플릿들이 프록시 서버를 이용한 자바 바이트 코드 수정에 의해 제어되는 것을 나타내고 있으며, 또한 이러한 구현은 웹 서버, JVM, 웹 브라우저상에서 어떠한 변화도 요구하지 않는다.

• 한국통신학회논문지
• /
• 제28권5C호
• /
• pp.523-531
• /
• 2003

웹 브라우저에서 자바 애플릿 파일은 시스템의 가상머신에 의해 클라이언트 브라우저의 가상 머시인을 실행한다 자바애플릿을 실행하기 전에 자바 가상머신은 bytecode 수정자를 이용하여 bytecode 프로그램을 검색하며 해석기를 이용하여 실시간 테스트를 수행한다. 그러나 이러한 테스트들은 서비스 거부공격, 이메일 위조 공격 URL 추적공격 또는 지속적인 사운드 공격과 같은 원하지 않은 실행시간 동작을 예방할 수 없다. 본 논문에서는 이러한 애플릿을 보호하기 위해 자바바이트 코드 수정기술이 사용한다 수정기술은 검사를 수행할 적절한 바이트코트를 삽입함으로서 애플릿 동작을 제안한다. 자바 바이트 수정은 두 개의 형태고 분류되며 클래스 레벨 수정은 마지막 크레스가 아닌 서브크레스를 포함하기 때문에 메소드 레벨수정은 마지막 클래스 아닌 서브크레스를 포함한다. 메소드 레벨 수정은 마지막 클래스 또는 인터페이스로부터 객체들을 제어할 수 있다. 본 논문은 악성 애플릿들이 프록시 서버를 이용한 자바 바이트 코트 수정에 의해 제어되는 것을 나타냈으며 이러한 구현은 웹 서버, JVM, 웹 브라우저상에서 악성 애플릿들의 공격이 제어됨을 입증한다.