1 |
1
웹 로그에 저장된 로그 정보를 정형화된 웹 로그로 변환하는 웹 로그 전처리기;상기 정형화된 웹 로그를 저장하는 정형화된 웹 로그 데이터베이스; 및상기 정형화된 웹 로그의 상태 코드(status code)를 이용하여 사용자의 요청에 대한 비정상 행위를 판단하는 연결상태 분석기와, 상기 정형화된 웹 로그의 요청 질문 문자열과 상호연관분석 정보 데이터베이스에 저장된 질문 문자열 간의 유사도 검사를 수행하여 상기 사용자의 요청에 대한 비정상 행위를 판단하는 유사도 측정기를 포함하며, 상기 상태 코드와 질문 문자열의 상호연관분석을 통해 사용자의 요청에 대한 비정상 행위를 판단하는 웹 로그 상호연관기를 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
2 |
2
제1항에 있어서, 상기 유사도 측정기는 ratcliff의 패턴 매칭 알고리즘을 이용한 웹 로그 상호연관분석을 수행하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
3 |
3
제2항에 있어서, 상기 시스템은, 상기 웹 로그 상호연관기의 판단 결과 및 비정상 행위로 판단되는 경우의 상기 사용자의 요청 정보를 저장하는 상호연관분석 정보 데이터베이스를 더 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
4 |
4
제2항에 있어서, 상기 유사도 측정기에서 유사도 검사에 이용하는 질문 문자열(Query string)은 가변 길이 문자열로 특정 패턴을 가지지 않는 것을 이용하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
5 |
5
제2항에 있어서,상기 연결상태 분석기는 상기 정형화된 웹 로그의 상태 코드가 2xx이면 정상 접근으로, 상태 코드가 2xx가 아닌 4xx, 5xx이면 비정상 접근으로 판단하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
6 |
6
제5항에 있어서,상기 비정상 접근으로 판단되는 경우, 해당 사용자의 요청 정보는 상호연관분석 정보 데이터베이스에 저장되는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 시스템
|
7 |
7
(a) 특정 웹페이지에 대한 접근 요청에 대해 정형화된 웹 로그의 요청 질문 문자열에 대해 상호연관분석 정보 DB에 저장된 요청 질문 문자열과 유사도를 비교하여 사용자의 요청에 대한 비정상 행위를 판단하는 단계; 및(b) 상기 요청 질문 문자열과 유사한 유사 문자열이 존재하지 않으면, 상기 상호연관분석 정보 DB에 저장된 상태 코드를 확인하여 상기 사용자의 요청에 대한 비정상 행위를 판단하는 단계를 포함하여 구성되는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법
|
8 |
8
제7항에 있어서, 상기 (b)단계에서, 유사 문자열이 존재하면, 비정상 접근으로 판단하여 해당 사용자의 요청 정보를 상호연관분석 정보 데이터베이스에 저장하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법
|
9 |
9
제8항에 있어서, 상기 (b)단계에서, 상기 유사 문자열이 존재하지 않으면, 상태 코드가 2xx이면 정상 접근으로 판단하는 것을 특징으로 하는 웹 애플리케이션 공격의 비정상 행위 탐지 방법
|
10 |
10
제9항에 있어서, 상기 (b)단계에서, 상기 유사 문자열이 존재하지 않으며, 상태 코드가 2xx가 아니면, 비정상 접근으로 판단하여 해당 사용자의 요청 정보를 상호연관분석 정보 데이터베이스에 저장하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법
|
11 |
11
제7항에 있어서, 상기 방법은, 특정 웹페이지에 대한 접근 요청을 처리한 후 웹 로그에 저장된 정보를 정형화된 웹 로그로 변환하여 저장하는 단계를 상기 (a) 단계 이전에 포함하는 것을 특징으로 하는 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위 탐지 방법
|