- 통합 이벤트 로그 기반 웹 공격 탐지 시스템 설계 및 구현
- ㆍ 저자명
- 이형우,Lee. Hyung-Woo
- ㆍ 간행물명
- 인터넷정보학회논문지
- ㆍ 권/호정보
- 2010년|11권 6호|pp.73-86 (14 pages)
- ㆍ 발행정보
- 한국인터넷정보학회
- ㆍ 파일정보
- 정기간행물| PDF텍스트
- ㆍ 주제분야
- 기타
이 논문은 한국과학기술정보연구원과 논문 연계를 통해 무료로 제공되는 원문입니다.
최근 웹 공격 기술의 발달로 인하여 기존 웹 로그 분석에 통한 공격 탐지 기술뿐만 아니라 웹 방화벽 로그, 웹 IDS 및 시스템 이벤트 로그 등과 같이 다수의 웹 관련 감사 자료를 이용하여 웹 시스템에 대한 공격 이벤트를 분석하고 비정상 행위를 탐지할 필요가 있다. 따라서 본 연구에서는 웹 서버에서 생성되는 IIS 웹 로그 정보와 웹 방화벽 및 웹 IDS 시스템에서 생성되는 이벤트 로그 정보 등을 이용하여 일차적으로 통합 로그를 생성하고 이를 이용하여 웹 공격을 탐지할 수 있는 시스템을 설계 및 구현하였다. 본 연구에서 제안한 시스템은 다중 웹 세션에 대한 분석 과정을 수행하고 웹 시스템 공격과 관련된 연관성을 분석하여 대용량의 웹 로그 및 웹 IDS/방화벽 정보를 대상으로 효율적 공격 탐지 기능을 제공하도록 하였다. 본 연구에서 제시한 시스템을 사용할 경우 능동적이고 효율적인 웹 로그 공격 이벤트 분석 및 웹 공격을 탐지할 수 있는 장점이 있다.
In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.