公开(公告)号：KR1020080044145A

公开(公告)日：2008-05-20

申请号：KR1020070059535

申请日：2007-06-18

Applicant: 한국전자통신연구원

Inventor： 장문수 ,  강정민 ,  김장하 ,  손기욱

IPC: G06F11/00

Abstract: A system and a method for detecting web application attacks by using a web log correlation analysis are provided to detect unknown attacks according as determining whether an access to a specific web page is normal or not, and to reduce false positive rate. A system for detecting web application attacks includes a web log preprocessor(110), a web log database(120), a web log correlation unit(130), and a correlation analysis information database(133). The web log preprocessor converts log information stored at a web log into formatted web log, constructs the formatted web log in a formatted log and stores the formatted web log at the web log database. The formatted web log stored at the web log database is transferred to a web log correlation unit. The web log correlation unit, including a connection state analysis unit(131) and a similarity measurement unit(132), calls the formatted web log, analyzes the formatted web log, and detects an intrusion with respect to a client request by using the analysis result. The connection state analysis unit manages site topology information, namely detects an abnormal access to a site by maintaining information on a state of connection between web pages. The connection state analysis unit determines an abnormal access or not by using a status code of the formatted web log in the formatted log table. Then, the connection state analysis unit stores a query string of a user to the correlation analysis information database in case of determining that an access to the web site is abnormal. The similarity measurement unit checks whether there exists string similar to query string of an attacker at the correlation analysis information database by calculating similarity of the query string of the attacker on the basis of the Ratcliff pattern matching algorithm.

Abstract translation: 提供了一种通过使用Web日志关联分析来检测Web应用程序攻击的系统和方法，用于根据对特定网页的访问是否正常以及是否减少假阳性率来检测未知攻击。 一种用于检测web应用攻击的系统，包括Web日志预处理器（110），Web日志数据库（120），Web日志相关单元（130）和相关分析信息数据库（133）。 Web日志预处理器将存储在Web日志中的日志信息转换为格式化的Web日志，在格式化的日志中构建格式化的Web日志，并将格式化的Web日志存储在Web日志数据库中。 存储在Web日志数据库中的格式化的Web日志被传送到Web日志相关单元。 包括连接状态分析单元（131）和相似度测量单元（132）的Web日志相关单元调用格式化的Web日志，分析格式化的Web日志，并通过使用分析来检测关于客户端请求的入侵 结果。 连接状态分析单元管理站点拓扑信息，即通过维护关于网页之间的连接状态的信息来检测对站点的异常访问。 连接状态分析单元通过在格式化的日志表中使用格式化的Web日志的状态码来确定异常访问。 然后，在确定对网站的访问异常的情况下，连接状态分析单元将用户的查询字符串存储到相关分析信息数据库。 相似性测量单元通过基于Ratcliff模式匹配算法计​​算攻击者的查询字符串的相似度来检查在相关分析信息数据库中是否存在与攻击者的查询字符串相似的字符串。

公开(公告)号：KR100894331B1

公开(公告)日：2009-04-24

申请号：KR1020070059535

申请日：2007-06-18

Applicant: 한국전자통신연구원

Inventor： 장문수 ,  강정민 ,  김장하 ,  손기욱

IPC: G06F11/00

Abstract: 본 발명은 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위를 탐지하는 시스템 및 방법을 제공하는 것으로, 본 발명에 따른 침입 탐지 시스템은 웹 요청과 웹 서버의 응답에 대한 정보와 저장된 웹 로그의 문자열을 Ratcliff와 Metzener의 패턴 매칭 알고리즘을 사용하여 웹 로그 문자열의 유사도를 분석함으로써 특정 웹 페이지로의 접근에 대한 정상 유무를 판단함에 따라 알려지지 않은 공격을 탐지할 수 있고, 오탐지(false positive)율도 낮출 수 있다.
웹 애플리케이션, 웹 로그, 침입 탐지, 상호연관분석, 웹 로그 문자열의 유사도