[논문]웹 모니터링 기반 암호화 웹트래픽 공격 탐지 시스템

이석우; 박순모; 정회경

doi:10.6109/jkiice.2021.25.3.449

웹 모니터링 기반 암호화 웹트래픽 공격 탐지 시스템
Web Monitoring based Encryption Web Traffic Attack Detection System 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.25 no.3, 2021년, pp.449 - 455

이석우 (Department of Computer Engineering, Paichai University) , 박순모 (Department of Computer Engineering, Paichai University) , 정회경 (Department of Computer Engineering, Paichai University)

초록
AI-Helper

본 논문에서는 기존의 웹애플리케이션 모니터링 시스템을 기반으로 한 암호화 웹트랜잭션 공격탐지 시스템을 제안한다. 기존의 웹트래픽 보안 시스템들은 클라이언트와 서버간의 암호화 구간인 네트워크 영역에서 암호화된 패킷을 기반으로 공격을 탐지하고 방어하기 때문에 암호화된 웹트래픽에 대한 공격 탐지가 어려웠지만, 웹애플리케이션 모니터링 시스템의 기술을 활용하게 되면 웹애플리케이션 서버의 메모리 내에서 이미 복호화 되어 있는 정보를 바탕으로 다양한 지능적 사이버 공격에 대한 탐지가 가능해 진다. 또한, 애플리케이션 세션 아이디를 통한 사용자 식별이 가능해지기 때문에 IP 변조 공격, 대량의 웹트랜잭션 호출 사용자, DDoS 공격 등 사용자별 통계기반의 탐지도 가능해 진다. 이와 같이 암호화 웹트래픽에 대한 비 암호화 구간에서의 정보 수집 및 탐지를 통하여 암호화 트래픽에 숨어 있는 다양한 지능적 사이버공격에 대한 대응이 가능할 것으로 사료된다.

Abstract ▼ AI-Helper

This paper proposes an encryption web transaction attack detection system based on the existing web application monitoring system. Although there was difficulty in detecting attacks on the encrypted web traffic because the existing web traffic security systems detect and defend attacks based on encrypted packets in the network area of the encryption section between the client and server, by utilizing the technology of the web application monitoring system, it is possible to detect various intelligent cyber-attacks based on information that is already decrypted in the memory of the web application server. In addition, since user identification is possible through the application session ID, statistical detection of attacks such as IP tampering attacks, mass web transaction call users, and DDoS attacks are also possible. Thus, it can be considered that it is possible to respond to various intelligent cyber attacks hidden in the encrypted traffic by collecting and detecting information in the non-encrypted section of the encrypted web traffic.

주제어

표/그림 (11)

그림 Fig. 1 Web Application Monitoring System
그림 Fig. 2 User-agent blacklist detection system configuration diagram
그림 Fig. 3 Configuration of statistics-based detection system
그림 Fig. 4 System configuration diagram
그림 Fig. 5 Detection event setting screen
그림 Fig. 6 User-Agent blacklist management screen
표 Table. 1 Database structure
표 Table. 2. System implementation environment
그림 Fig. 7 Telegram bot creation and search screen
표 Table. 3 Test scenario
표 Table. 4 False positive rate by detection item

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 HTTP 요청 정보 중에 요청한 클라이언트의 웹브라우저 및 OS의 종류와 버전 정보를 담고 있는 user-agent 정보에서 이미 공격 패턴으로 알려진 user-agent 블랙리스트 정보와 매칭 하여 탐지하도록 설계 하였다.
본 논문에서는 웹애플리케이션 모니터링 시스템에서 수집하는 데이터 조회건수, 입력건수, 수정건수, 삭제 건수 등의 데이터 액세스 정보를 수집하여 실제 데이터베이스에 발생된 비정상 행위에 대한 탐지가 가능하다.
본 논문에서는 웹애플리케이션 모니터링 시스템을 활용하여 암호화 웹트래픽을 경로로 이용하는 지능적 사이버 공격에 대한 명확한 탐지가 가능한 웹 애플리케이션 모니터링 기반 암호화 웹트랜잭션 공격 탐지 시스템에 대해 연구를 하였다. 웹방화벽 등 기존 보안 시스템은 네트워크 영역에서 암호화된 패킷을 수집할 때 복호화 및 L7 계층 디코딩 과정이 필요하였지만 웹 애플리케이션 모니터링 시스템을 활용하면 복호화가 이미 되어 있는 웹애플리케이션 서버의 메모리 내에서 웹 트랜잭션 정보를 수집하게 되므로 부하가 거의 없이 웹 트랜잭션 정보 전수 수집 및 저장, 정확한 사용자 식별, 통계기반의 탐지 등을 통하여 다양한 지능적 사이버 공격에 대응이 가능하다.
만약 카운트 도중 관리자가 설정한 임계값을 초과하게 되면 탐지되는 방식이다. 이에 본 논문에서는 DDoS 공격 탐지, IP 변조공격 탐지, 대량의 웹트랜잭션 호출 사용자 탐지 등의 기능을 구현하였다.

제안 방법

DDoS 공격 탐지는 웹클라이언트에서 애플리케이션 세션 아이디를 유지하지 않고 요청되는 클라이언트 IP 를 카운트함으로서 탐지할 수 있도록 구현하였다. 이를 통하여 웹애플리케이션 세션 아이디를 유지하지 않고 요청하는 클라이언트 IP 별로 호출건수를 집계 할 수 있도록 구현하였다.
IP 변조 공격은 동일 애플리케이션 세션 아이디에 대한 클라이언트 IP 종류를 카운트함으로써 IP 변조 공격을 하는 애플리케이션 세션 아이디를 탐지할 수 있도록 구현하였다. 이를 통하여 동일 웹애플리케이션 세션 아이디별로 클라이언트 IP 변경 건수를 집계 할 수 있도록 구현하였다.
나타낸 것이다. User-Agent 블랙리스트 탐지를 위해서 User-Agent 블랙리스트를 관리하는 화면을 구현하였다. 기존에 알려진 다양한 User-Agent 블랙리스트를 기본 값으로 데이터베이스에 등록하였으며 User-Agent 블랙리스트의 타입을 Browser, Link, Bookmark, Checking, Download, Proxy, Web Filter, Robot, Crawler, Spider, Spam, Bed bot 등으로 구분하도록 하였다.
구현하였다. select, insert, update, delete 건수가 수집될 때, 보안관리자가 지정한 임계치를 넘는 트랜잭션을 식별하게 되고, 해당 트랜잭션을 유발시킨 애플리케이션 세션 아이디를 탐지하도록 구현하였다.
기존 웹애플리케이션 모니터링 시스템을 활용하여본 논문에 필요한 기능들을 추가하여 시스템을 구성하였다. 그림 4는 시스템 전체 구성도를 나타낸다.
User-Agent 블랙리스트 탐지를 위해서 User-Agent 블랙리스트를 관리하는 화면을 구현하였다. 기존에 알려진 다양한 User-Agent 블랙리스트를 기본 값으로 데이터베이스에 등록하였으며 User-Agent 블랙리스트의 타입을 Browser, Link, Bookmark, Checking, Download, Proxy, Web Filter, Robot, Crawler, Spider, Spam, Bed bot 등으로 구분하도록 하였다. 추가적으로 User-Agent 블랙리스트를 등록하거나, 삭제할 수 있으며 특정 항목만 일시적으로 제외시킬 수 있는 기능을 포함한다.
대량의 데이터 액세스 탐지 기능은 웹 애플리케이션모니터링 시스템에서 수집한 DML 정보를 기반으로 탐지하도록 구현하였다. select, insert, update, delete 건수가 수집될 때, 보안관리자가 지정한 임계치를 넘는 트랜잭션을 식별하게 되고, 해당 트랜잭션을 유발시킨 애플리케이션 세션 아이디를 탐지하도록 구현하였다.
대량의 웹트랜잭션 호출은 동일 세션 아이디로 1분 동안 100회 이상 요청되었을 경우 탐지한다. 대량의 데이터 엑세스는 DML 건수가 100,000회 이상일 경우 탐지하도록 하였다.
대량의 트랜잭션을 요청하는 사용자를 탐지하기 위해서는 클라이언트 IP가 아닌 애플리케이션 세션 아이디를 통하여 정확한 사용자 식별이 필수적인 요소이며, 지정된 단위 시간동안 요청한 웹트랜잭션 건수를 애플리케이션 세션 아이디별로 카운트하여 임계치를 넘었을 경우 탐지하는 방식으로 구현하였다. 이를 통하여 웹 애플리케이션 세션 아이디별로 호출건수를 집계 할 수 있도록 구현하였다.
모든 항목에서 오탐률이 0%로서 매우 정확하게 탐지되는 것으로 확인되었다. 또한 본 제안 시스템은 웹 애플리케이션모니터링 시스템이 수집한 웹트랜잭션 정보를 별도의 매니저 서버로 전송한 정보를 활용하였고, 탐지를 위한 통계 프로세싱은 매니저 서버에서 수행하기 때문에 본 시스템 적용으로 인한 운영서버에 대한 추가적인 부하가 전혀 없었다. 또한 클라이언트 IP가 아닌 애플리케이션 세션 아이디를 통하여 사용자를 식별하므로 정확한 사용자 식별 및 통계를 기반으로 한 사용자 행위 기반탐지가 가능해 졌다.
본 논문에서는 웹애플리케이션 모니터링 시스템에서 수집한 웹트랜잭션 정보를 통하여 문자열 매칭 기반의 User Agent 블랙리스트 탐지와 통계 기반의 DDoS 공격 탐지, IP변조 공격 탐지, 대량의 웹트랜잭션 호출 사용자 탐지와 DML 정보 기반의 대량의 데이터 액세스 탐지 등 총 5가지의 탐지 기능을 구현 및 각 탐지 기능별 10회의 테스트를 진행하였다.
본 장에서는 웹애플리케이션 모니터링 시스템을 기반으로 한 암호화 웹트랜잭션 공격 탐지 시스템의 구현을 다룬다.
하지만, user-agent 블랙리스트가 많아질 경우 일일이 텍스트 비교를 하는데 시스템 리소스를 많이 소요하게 되므로 성능 문제를 발생시킬 수 있다. 이러한 성능 문제를 해결하기 위하여 해시테이블을 통한 탐지방식으로 설계하였다.
이를 통하여 동일 웹애플리케이션 세션 아이디별로 클라이언트 IP 변경 건수를 집계 할 수 있도록 구현하였다.
경우 탐지하는 방식으로 구현하였다. 이를 통하여 웹 애플리케이션 세션 아이디별로 호출건수를 집계 할 수 있도록 구현하였다.
이를 통하여 웹애플리케이션 세션 아이디를 유지하지 않고 요청하는 클라이언트 IP 별로 호출건수를 집계 할 수 있도록 구현하였다.
탐지 이벤트 관리 기능은 기존 웹애플리케이션 모니터링 시스템의 이벤트 관리 기능에 암호화 웹 트랜잭션 공격 탐지 이벤트를 추가하는 방식으로 구현하였다. 현재 발생 이벤트 관리 기능과 이벤트 이력 관리 기능으로 구분된다.
탐지 이벤트가 발생되었을 때 이를 보안 관리자에게 전송하여 알려주는 기능을 텔레그램 API를 통하여 구현하였다. 그림 7은 텔레그램 봇 생성 및 검색 화면을 나타낸 것이다.
탐지 항목별 탐지 기준을 설정할 수 있는 화면 구현하였다. 탐지 항목은 User-Agent 블랙리스트 탐지, DDoS 공격 탐지, IP 변조 공격탐지, 대량의 웹트랜잭션 호출 사용자 탐지, 대량의 데이터 액세스 탐지 등이 있다.

성능/효과

구축할 수 있었다. 또한 웹애플리케이션 모니터링시스템 기반으로 개발하여 본 시스템 적용으로 인한 운영 서버에 대한 부하가 전혀 없었고, 기존 보안 시스템에서 암호화 웹트랜잭션 복호화, 사용자 식별, 통계기반탐지 등의 문제점을 해결할 수 있었다.
표 4는 탐지 항목별 오탐률을 나타낸 표이다. 모든 항목에서 오탐률이 0%로서 매우 정확하게 탐지되는 것으로 확인되었다. 또한 본 제안 시스템은 웹 애플리케이션모니터링 시스템이 수집한 웹트랜잭션 정보를 별도의 매니저 서버로 전송한 정보를 활용하였고, 탐지를 위한 통계 프로세싱은 매니저 서버에서 수행하기 때문에 본 시스템 적용으로 인한 운영서버에 대한 추가적인 부하가 전혀 없었다.
이를 위해 본 논문에서는 웹애플리케이션 모니터링시스템에서 수집한 웹트랜잭션 정보를 기반으로 문자열 매칭 기반의 User Agent 블랙리스트 탐지와 통계 기반의 DDoS공격 탐지, IP변조 탐지, 대량의 웹 트랜잭션 호출 사용자 탐지와 DML 정보 기반의 대량의 데이터액세스 탐지 등 총 5가지의 탐지 기능을 구현 및 각 탐지기능별 10회의 테스트를 진행한 결과 오탐률이 0%로서 매우 신뢰할 수 있는 암호화 웹트랜잭션 공격 탐지 시스템을 구축할 수 있었다. 또한 웹애플리케이션 모니터링시스템 기반으로 개발하여 본 시스템 적용으로 인한 운영 서버에 대한 부하가 전혀 없었고, 기존 보안 시스템에서 암호화 웹트랜잭션 복호화, 사용자 식별, 통계기반탐지 등의 문제점을 해결할 수 있었다.
또한 클라이언트 IP가 아닌 애플리케이션 세션 아이디를 통하여 사용자를 식별하므로 정확한 사용자 식별 및 통계를 기반으로 한 사용자 행위 기반탐지가 가능해 졌다. 이를 통해 기존 보안 시스템에서의 암호화 웹트랜잭션 복호화, 사용자 식별, 통계기반 탐지 등의 문제점을 해결할 수 있게 되었다.

후속연구

것이다. 또한 탐지의 정확도가 100%에 달하기 때문에 탐지 후 자동으로 차단하는 기능 통하여 기존에 보안담당자가 탐지 이벤트를 수작업으로 분석 및 차단하던 부분을 자동화 할 수 있을 것으로 사료된다.
향후 연구로는 보다 다양한 탐지를 위한 연구를 해야 할 것이다. 또한 탐지의 정확도가 100%에 달하기 때문에 탐지 후 자동으로 차단하는 기능 통하여 기존에 보안담당자가 탐지 이벤트를 수작업으로 분석 및 차단하던 부분을 자동화 할 수 있을 것으로 사료된다.

참고문헌 (7)

HUSTON III and B. Lawrence, "IEKEL-JOHNSON, Scott. Scalable DDoS protection of SSL-encrypted services," U.S. Patent No 10,116,692, 2018.
W. Chen, S. H. Jeong, and H. K. Jung, "WiFi-Based Home IoT Communication System," Journal of Information and Communication Convergence Engineering, vol. 18, no. 1, pp. 8-15, Mar. 2020.

원문보기 상세보기
S. E. Yang, K. Y. Park, and H. K. Jung, "A convergence implementation of realtime traffic shapping and IPS on small integrated security router for IDC," Journal of the Korea Institute of Information and Communication Engineering, vol. 23, no. 7, pp. 861-868, 2019.

원문보기 상세보기
T. Junwei, "Detecting SSL security vulnerabilities of android applications based on a novel automatic traversal method," Security and Communication Networks, 2019.
T. Adrian, "Decrypting SSL traffic: best practices for security, compliance and productivity," NETWORK SECURITY, vol. 2019, no. 8, pp. 17-19, Aug. 2019.

상세보기
J. H. Hyun and H. J. Kim, "Security operation implementation through big data analysis by using open source ELK stack," Journal of Digital Contents Society, vol. 19, no. 1, pp. 181-191, Jan. 2018.

원문보기 상세보기
D. K. Kim, S. B. Pyo, and C. H. Kim, "Study on APT attack response techniques based on big data analysis," The Society of Convergence Knowledge Transactions, vol. 4, no. 1, pp. 29-34, Jan. 2016.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증