Journal of Internet Computing and Services (인터넷정보학회논문지)

Korean Society for Internet Information (한국인터넷정보학회)
권호 표지

Design and Implementation of Web Attack Detection System Based on Integrated Web Audit Data

통합 이벤트 로그 기반 웹 공격 탐지 시스템 설계 및 구현

  • Received : 2010.10.25
  • Accepted : 2010.11.18
  • Published : 2010.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.

최근 웹 공격 기술의 발달로 인하여 기존 웹 로그 분석에 통한 공격 탐지 기술뿐만 아니라 웹 방화벽 로그, 웹 IDS 및 시스템 이벤트 로그 등과 같이 다수의 웹 관련 감사 자료를 이용하여 웹 시스템에 대한 공격 이벤트를 분석하고 비정상 행위를 탐지할 필요가 있다. 따라서 본 연구에서는 웹 서버에서 생성되는 IIS 웹 로그 정보와 웹 방화벽 및 웹 IDS 시스템에서 생성되는 이벤트 로그 정보 등을 이용하여 일차적으로 통합 로그를 생성하고 이를 이용하여 웹 공격을 탐지할 수 있는 시스템을 설계 및 구현하였다. 본 연구에서 제안한 시스템은 다중 웹 세션에 대한 분석 과정을 수행하고 웹 시스템 공격과 관련된 연관성을 분석하여 대용량의 웹 로그 및 웹 IDS/방화벽 정보를 대상으로 효율적 공격 탐지 기능을 제공하도록 하였다. 본 연구에서 제시한 시스템을 사용할 경우 능동적이고 효율적인 웹 로그 공격 이벤트 분석 및 웹 공격을 탐지할 수 있는 장점이 있다.

Keywords

References

  1. 윤준, "최신 웹 해킹기법에 대한 분석과 대응방법", 한국정보보호진흥원, 2004.
  2. 최성열, "웹 보안 동향 및 웹 방화벽 구축 전략", 파이오링크 기술지원센터, 2006.
  3. William Yurcik Samuel Patton and David Dos. An achillesi hell in signature-based ids: Squealing false positives in snort. In RAID 2001, 2001.
  4. Richard A.Kemmerer, "A Comprehensive App -roach to Intrusion Detection Alert Correlation", Computer Science Department University of California Santa Barbara, 2004.
  5. J.S. Seo. H.S. Kim. S.H. Cho and S.D. Cha. "Web Server Attack Categorization based on Root Causes and Their Locations." Internation Conference on Information Technology, April. 2004
  6. 한국정보보호진흥원(KISA), "네트워크 보안 기술 전망," 인터넷침해사고 대응지원센터, 2003.
  7. http://logger.co.kr, "2N9Soft Logger 사용자 매뉴얼", Basic, Standard, Professional Service, 2002.
  8. 박규형, 이민섭, 박종성, "IDS/Firewall/Router 로그 수집/변환/분석 기본시스템 개발", 한국정보보호진흥원, 2002.
  9. R. Cooley, B. Mobasher, and J. Srivastava, "Data preparation for mining world wide web browsing patterns," Knowledge and Information Systems, vol. 1, no. 1, pp.5-32, 1999. https://doi.org/10.1007/BF03325089
  10. Tsutomu Ohkura, Yoji Kiyota, Hiroshi Naka gawa, "Browsing System for Weblog Articles based on Automated Folksonomy", 2006.
  11. F. Masseglia, D. Tanasa, and B. Trousse, "Web Usage Mining : Sequential Pattern Extraction with a Very Low Support", INRIA Sophia Antipolis, 2004.
  12. Jiayun Guo, Vlado Keselj, and Qigang Gao, "Integrating Web Content Clustering into Web Log Association Rule Mining", Faculty of Computer Science, Dalhousie University, 2005.
  13. A. Valdes and K. Skinner, "Probabilistic alert correlation", RAID pages 54-68, 2001,