선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 본 논문에서는 인터넷 뱅킹 보안을 위해 웹 공격을 탐지하고 분석하는 방법을 제시하였다. 인터넷 뱅킹의구조적인 특징을 갖는 매개변수를 순차적으로 추출하여 알파벳으로 이루어진 정상 서열 패턴을 만든 후, 유사도를 측정하여 공격을 탐지하였다.
- 이번 절에서는 인터넷 뱅킹의 정상 패턴과 비정상 패턴을 생성하고 유사도를 측정하기 위해 사용하는 서열 정렬 방법에 대해 기술한다. 서열 정렬은 서열의 유사도를 검사하기 위하여 사용하는 방법을 말하며, 이 때 정렬이란 유사한 부분과 다른 부분을 구분지어 표시한 두서 열 간의 상호배열을 의미한다.
가설 설정
- . 악성파일 실행 : 원격 파일 삽입(RFI)에 취약한 코드는 공격자가 악의적인 코드와 자료의 삽입을 허용함으로써 발생하며 PHP, XML, 그리고 사용자로부터 파일명이나 파일을 받아들이는 프레임워크에 영향을 준다.
제안 방법
- 제안된 모델은 크게 PPU(Packet Processing Unit)와 SPU(Statistical Processing Unit) 로구성된다. PPU는 시스템으로 전송된 네트워크 패킷 혜더의 스트링 값을 이용하여 프로토콜과 서비스를 분류하고 SPU는 일정 시간 동안 나타난 요청 타입, 요청 길이 그리고 패킷 자료 분포를 분석한다. 유사도 측정을 위하여 패킷 자료에서 요청 문자의 분포를 내림차순으로 정렬한 후, 가중치를 적용하여 산출한 점수를 통하여 비정상행위를 판단하였다.
- 결과적으로 웹 공격 탐지를 위한 일치율은 서열 전체 구조의 변화를 파악하기 위해 일치되는 키워드 수를 정상 패턴의 공백을 포함한 전체 길이로 나누고, 공격 분석을 위한 일치율은 코드의 부분적 기능을 유추하기 위해 일치되는 키워드 수를 공백을 제외한 공격 패턴의 전체 길이로 나누는 방법을 사용한다.
- 줄였다. 공격 코드 추출을 통해 생성된 비정상 패턴은 서열 정렬을 이용하여 유사도를 측정하기 때문에 오용 탐지의 단점인 부정오류 발생율을 낮추고 공격의 분석과 분류를 위해 공격의 유사도를 정량적인 수치로 제공하였다. 하지만 인터넷 뱅킹의 입력 값 검증이 약할 경우 정상 패턴의 개수가 많아져 오탐 발생 가능성이 높아질 수 있고 숫자나 단순한 문자열 변조는 탐지할 수 없다는 한계가 있다.
- 인터넷 뱅킹의구조적인 특징을 갖는 매개변수를 순차적으로 추출하여 알파벳으로 이루어진 정상 서열 패턴을 만든 후, 유사도를 측정하여 공격을 탐지하였다. 그리고 비정상 자료에서 공격 코드를 추출하여 비정상 패턴을 만든 후, 공격에 공통적으로 사용되는 코드의 유사도를 측정하여 공격의 특성을 파악하였다.
- 본 논문에서는 기존 연구에서 고려되지 않았던 POST 방식의 자료까지 이용함으로써 GET 방식에 제한적이었던 웹 공격 탐지 영역을 확장시켰고 인터넷 뱅킹의 정상 패턴을 자동으로 생성하여 관리의 효율성을 높이고 비정상행위 탐지의 단점인 긍정오류를 줄였다. 공격 코드 추출을 통해 생성된 비정상 패턴은 서열 정렬을 이용하여 유사도를 측정하기 때문에 오용 탐지의 단점인 부정오류 발생율을 낮추고 공격의 분석과 분류를 위해 공격의 유사도를 정량적인 수치로 제공하였다.
- 위해 지역정렬로 실험한 결과이다. 비정상 집합자료에서 공격 코드를 추출한 후 생성된 공격 패턴과 취약점 별 테스트 서열을 지역 정렬하고 유사도를 측정하였다. 유사도를 계산하는 방법은 3장의 식 (6)에서 언급한 일치 코드 개수를 생성된 서열 패턴의 전체 길이로 나누어주는 방법을 사용하였다.
- 실험에 사용된 인터넷 뱅킹 서비스는 사용자 웹 브라우저, 웹 서버, 인터넷뱅킹, 데이터베이스로 구성되어 동작된다. 사용자 요청을 위한 입력 값은 앞서 언급했던 GET과 POST 방법을 이용하여 다양하게 부호화되어 웹 서버에 전송되는데, 본 논문에서는 POST 자료를 GET 형식(질의 문자열) 에맞추어 수집하고 텍스트 파일에 기록하였다.
- 서열의 전체 길이 인 P CodeLength와 S CodeLength 를 측정한 후, 두 문자로 이루어진 한 쌍의 문자열 P CodeProbability와 S CodeProbability의 서열에 따른 문자열의 발생 확률을 측정하고 각 서열에서 나타난 문자들의 발생 확률을 같은 문자열별로 비교하여 그 차이를 합한다. 결론적으로 CodeProbabilityDiff는 0에 가까울수록 최적의 서열 쌍이 된다.
- 매개변수를 실험 자료로 사용하였다. 수집된 자료는 키워드 치환 행렬을 사용하여 알파벳 문자로 이루어진 서열로 가공하고 축약한다. 키워드 치환 행렬은 웹 공격에 주로 이용되는 특수문자, 시스템 명령어, 중요한 함수명, 디렉터리, 매개변수명과 같은 키워드를 등록시키고 두 문자로 이루어진 알파벳 문자열로 대응시켜 불필요한 자료를 제거하는 기능을 한다.
- 실험 자료의 구성은 인터넷 뱅킹에 대한 정상적 인사용과 비정상적 인 사용으로 구분하였고 비정상적 인 사용은 OWASP에서 중요 취약점으로 선정한 10가지 취약점 중 직접적인 공격에 해당하면서 가장 많이 발생하는 웹 공격 방법 4가지(XSS, 인젝션 취약점, 악성 파일 실행, 직접 객체 접근)로 구분하여 수집하였다. 정상 패턴 생성을 위하여 400개의 정상적인 사용자 요청 자료와 공격 패턴 생성을 위한 120개(공격 별 30개)의 비정상 자료를 수집하였다.
- 웹 공격을 탐지하기 위한 오용 탐지와 비정상행위 탐지 방법은 앞서 언급하였듯이 각각 장점과 단점을 갖고 있으며, 본 논문에서는 2가지 방법을 혼합하여 사용한다. 구체적으로 기술하자면 변형되거나 새로운 공격을 탐지 할 수 있도록 정상적인 이용에 대한 트랜잭션을 학습하여 정상 패턴을 생성하고, 웹 공격의 특성 파악과 분석을 위해 공격 코드를 추출하여 비정상 패턴을 생성하는 방법을 함께 사용한다.
- PPU는 시스템으로 전송된 네트워크 패킷 혜더의 스트링 값을 이용하여 프로토콜과 서비스를 분류하고 SPU는 일정 시간 동안 나타난 요청 타입, 요청 길이 그리고 패킷 자료 분포를 분석한다. 유사도 측정을 위하여 패킷 자료에서 요청 문자의 분포를 내림차순으로 정렬한 후, 가중치를 적용하여 산출한 점수를 통하여 비정상행위를 판단하였다. 하지만 이 방법은 GET 방식으로 전달되는 자료만 이용하기 때문에 특정 CGI 취약점을 이용한 공격이나 로그인 인증 우회, 허용되지 않는 페이지로의 접근, 인자 값의 악의적인 조작과 같은 공격 탐지가 어렵다는 단점이 있다.
- 이번 장에서는 인터넷 뱅킹 보안을 위해 정상 및 비정상 패턴을 생성한 실험 환경과 본 논문에서 제안한 웹 공격 탐지 성능과 취약점 분석 기법의 정확성을 검증하고 그 결과를 분석한다.
- 분석하는 방법을 제시하였다. 인터넷 뱅킹의구조적인 특징을 갖는 매개변수를 순차적으로 추출하여 알파벳으로 이루어진 정상 서열 패턴을 만든 후, 유사도를 측정하여 공격을 탐지하였다. 그리고 비정상 자료에서 공격 코드를 추출하여 비정상 패턴을 만든 후, 공격에 공통적으로 사용되는 코드의 유사도를 측정하여 공격의 특성을 파악하였다.
- 전체적인 실험 구성은 웹 공격 탐지를 위해 정상 서열과 비정상 서열의 유사도를 측정하는 실험과, 공격 분석을 위해 공격 코드의 유사도를 측정하는 실험으로 구성된다. 유사도를 측정할 때 지역 정렬 방법과 전역 정렬 방법을 달리 적용하고 그 결과를 비교함으로써, 본 논문에서 유사도 측정 방법을 달리한 이유를 확인할 수 있다.
- Kmege忡은 웹 브라우저를 통해 서버로 전달된 GET 요청 인자의 ASCII값 빈도를 이용해 마코프 모델(Marcov model)을 생성하고 웹 공격을 탐지하였다. 제안된 모델은 크게 PPU(Packet Processing Unit)와 SPU(Statistical Processing Unit) 로구성된다. PPU는 시스템으로 전송된 네트워크 패킷 혜더의 스트링 값을 이용하여 프로토콜과 서비스를 분류하고 SPU는 일정 시간 동안 나타난 요청 타입, 요청 길이 그리고 패킷 자료 분포를 분석한다.
- 이 때 정렬 대상이 되는 최적 서열 선택은 서열에 나타날 수 있는 문자열의 발생 확률을 이용한다. 즉, 서열의 전체 길이에 따른 문자열 발생의 상대 빈도를 측정하여 문자열의 발생 확률을 구하고 프로파일에서 최적의 유사 서열을 선택할 수 있도록 한다. 수집된 자료의 프로파일 서열을 P, 검사 대상 서열을 S라고 하였을 때 최적서열 찾기 Optimal Sequence Detection (OSD)는 아래의 식 (7)과 같다.
- 현재의 인터넷 뱅킹은 서버에 중요한 기능이 집중되어 있고 중요한 개인 정보가 저장되어 있기 때문에 본연구에서는 서버 보안에 초점을 맞추었다. 본 논문은 다음과 같이 구성되어있다.
대상 데이터
- 정상 패턴 생성을 위하여 400개의 정상적인 사용자 요청 자료와 공격 패턴 생성을 위한 120개(공격 별 30개)의 비정상 자료를 수집하였다. 또한 생성된 패턴의 정확성을 검증하기 위해 정상 사용 자료 50개와 비정상 패턴 검증을 위해 패턴 생성에 사용되지 않은 공격 코드 80개(공격 별 20개)를 수집하여 구성하였다.
- 실험을 위해 모의 인터넷 뱅킹의 트랜잭션을 수집하고 사용자 요청 자료를 추출하였다. 실험에 사용된 인터넷 뱅킹 서비스는 사용자 웹 브라우저, 웹 서버, 인터넷뱅킹, 데이터베이스로 구성되어 동작된다.
- 웹 공격의 유사도 측정을 위해 본 논문에서는 인터넷뱅킹의 매개변수를 실험 자료로 사용하였다. 수집된 자료는 키워드 치환 행렬을 사용하여 알파벳 문자로 이루어진 서열로 가공하고 축약한다.
- 실험 자료의 구성은 인터넷 뱅킹에 대한 정상적 인사용과 비정상적 인 사용으로 구분하였고 비정상적 인 사용은 OWASP에서 중요 취약점으로 선정한 10가지 취약점 중 직접적인 공격에 해당하면서 가장 많이 발생하는 웹 공격 방법 4가지(XSS, 인젝션 취약점, 악성 파일 실행, 직접 객체 접근)로 구분하여 수집하였다. 정상 패턴 생성을 위하여 400개의 정상적인 사용자 요청 자료와 공격 패턴 생성을 위한 120개(공격 별 30개)의 비정상 자료를 수집하였다. 또한 생성된 패턴의 정확성을 검증하기 위해 정상 사용 자료 50개와 비정상 패턴 검증을 위해 패턴 생성에 사용되지 않은 공격 코드 80개(공격 별 20개)를 수집하여 구성하였다.
데이터처리
- 실험을 위해 400개의 정상 자료를 알파벳 문자로 이루어진 서열로 변환하고 중복되는 서열을 제외한 93개의 정상 패턴을 생성한 후 각 공격 서열과 정렬하여 일치율을 구하였다’ [그림 5]는 정상 서열과 비정상 서열을 전역 정렬과 지역 정렬의 방법으로 정렬하고 일치율의 평균을 구한 실험 결과이다. 정상과의 일치율이 높을수록 오탐율은 높아지는 반면 공격 탐지율은 낮아지는데, 실험 결과를 살펴보면 4가지 공격 모두 전역 정렬을 이용한 유사도 측정에서 정상과의 일치율이 낮은 걸 볼 수 있다.
이론/모형
- 발생되는 단점이 있다. Kmege忡은 웹 브라우저를 통해 서버로 전달된 GET 요청 인자의 ASCII값 빈도를 이용해 마코프 모델(Marcov model)을 생성하고 웹 공격을 탐지하였다. 제안된 모델은 크게 PPU(Packet Processing Unit)와 SPU(Statistical Processing Unit) 로구성된다.
성능/효과
- 각 공격 영역의 분포를 통하여 해당 공격 코드가 다른 공격 코드와 어느 정도 유사한지 비교할 수 있다. XSS 공격과 직접 객체 참조 취약점을 이용한 공격이 가장 넓은 분포를 보이고있어 다른 공격과 동일한 코드를 많이 사용한다는 것을 알 수 있고 인젝션 취약점에 사용되는 공격 코드는 상대적으로 다른 공격 영역에 좁게 분포함을 알 수 있다. 공격 코드 분석 결과 인젝션 취약점을 이용한 공격은 SQL 질의어나 시스템 명령어와 같이 다른 취약점에 잘 이용되지 않는 키워드를 사용했기 때문이며 악성 파일 실행은 .
- 따라서 전송 자료를 조작하거나 HTTP 헤더가 아닌 URI에 직접 입력 값을 삽입하여 GET 방식처럼 자료를 전송하여도 매개변수와 사용자 입력 값은 전달된다. 결과적으로 응용계층에서 GET/POST 방법으로 전달되는 매개변수와 URI의 분석은 악의적인 사용자가 공격을 시도하기 위한 과정일 뿐만 아니라 취약성 분석 및 웹 해킹 탐지를 위한 핵심이다.
- 합한다. 결론적으로 CodeProbabilityDiff는 0에 가까울수록 최적의 서열 쌍이 된다.
- 한편 전역 정렬을 이용한 실험 결과 중에 악성 파일 실행과 직접 객체 참조에서 정상과의 일치율이 100%가 되어 탐지하지 못하는 경우가 발생하였다. 공격을 시도한 비정상 자료 확인 결과, XSS와 인젝션 취약점을 이용해 사용자 인증을 무력화시킨 후 은행 이자율과 고객 등급의 변조를 시도한 공격이었다. 이러한 공격은 숫자나 알파벳으로 이루어진 인자 값만을 변경하는 방법으로 해당 인자 값이 키워드 치환이 되지 않기 때문에, 본 논문에서 제안한 방법으로 탐지하기 어려웠다.
- 탐지율을 계산한 결과이다. 비정상적인 사용자 요청을 탐지하기 위해서는 전역 정렬을 이용하여 유사도를 측정하는 방법이 지역 정렬 보다 높은 탐지율을 보였다. 자료 분석 결과 지역 정렬은 연속적인 부분 열을 찾는 특성 상 매개변수의 길이가 길수록 높은 일치율을 보이고 오탐율이 높아졌다.
- 같은 종류의 공격을 수행한 테스트 서열 코드와 공격패턴 서열 코드의 일치율이 다른 공격 코드들 보다 높다는 것은 공격의 분류가 성공적으로 되었다는 것을 나타낸다. 실험 결과 XSS 공격이 84.9%, 직접 객체 참조 공격이 83.5%로 동일한 공격 코드를 많이 사용하여 유사도가 높은 것으로 나타났고, 악성 파일 실행이 69.1%로 가장 낮은 유사도를 보였다. 괄호 안의 값은 공격 분류의 정확성을 나타낸 값으로 인젝션 취약점이 91.
- 유사도를 측정할 때 지역 정렬 방법과 전역 정렬 방법을 달리 적용하고 그 결과를 비교함으로써, 본 논문에서 유사도 측정 방법을 달리한 이유를 확인할 수 있다.
- 비정상적인 사용자 요청을 탐지하기 위해서는 전역 정렬을 이용하여 유사도를 측정하는 방법이 지역 정렬 보다 높은 탐지율을 보였다. 자료 분석 결과 지역 정렬은 연속적인 부분 열을 찾는 특성 상 매개변수의 길이가 길수록 높은 일치율을 보이고 오탐율이 높아졌다. 한편 전역 정렬을 이용한 실험 결과 중에 악성 파일 실행과 직접 객체 참조에서 정상과의 일치율이 100%가 되어 탐지하지 못하는 경우가 발생하였다.
- 평균을 구한 실험 결과이다. 정상과의 일치율이 높을수록 오탐율은 높아지는 반면 공격 탐지율은 낮아지는데, 실험 결과를 살펴보면 4가지 공격 모두 전역 정렬을 이용한 유사도 측정에서 정상과의 일치율이 낮은 걸 볼 수 있다. 지역 정렬은 변조된 매개변수의 순서에 영향을 받기 때문에 공격자가 매개변수의 위치를 서열의 앞이나 끝부분으로 변경하여 요청을 할 경우 유사도가 높게 나타나게 된다는 것을 알 수 있었다.
- 정상과의 일치율이 높을수록 오탐율은 높아지는 반면 공격 탐지율은 낮아지는데, 실험 결과를 살펴보면 4가지 공격 모두 전역 정렬을 이용한 유사도 측정에서 정상과의 일치율이 낮은 걸 볼 수 있다. 지역 정렬은 변조된 매개변수의 순서에 영향을 받기 때문에 공격자가 매개변수의 위치를 서열의 앞이나 끝부분으로 변경하여 요청을 할 경우 유사도가 높게 나타나게 된다는 것을 알 수 있었다.
후속연구
- 하지만 인터넷 뱅킹의 입력 값 검증이 약할 경우 정상 패턴의 개수가 많아져 오탐 발생 가능성이 높아질 수 있고 숫자나 단순한 문자열 변조는 탐지할 수 없다는 한계가 있다. 하지만 기존 보안장비와의 충돌 없이 응용계층에서 독립적인 운용이 가능하고 자동화된 패턴 생성으로 관리의 효율성을 높일 수 있어 인터넷 뱅킹 보안을 위한 효과적인 방법이 되리라 확신한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.