Frequency of attacks on web services and resulting damage continue to grow as web services become popular. Unfortunately, existing signature-based intrusion detection techniques are inadequate in providing reasonable degree of web security. Web attacks are diverse in nature, and typical web architecture consists of complex and hierarchically organized components. Because attack strategies often vary depending on the web contents, it is impossible to develop fixed patterns capturing unknown attacks. Protection mechanisms such as anomaly based intrusion detection and application-level IDS, tailored to web services, are need to detect web attacks. In this dissertation, we propose a Session Anomaly Detection (SAD) that can detect anomalous web session through the statistical approach to model the visiting sequences of static pages and input parameter values. We empirically demonstrate that a SAD is effective in analyzing web logs and detecting anomalous sessions. Our technique, SAD, modelling page sequence, works by first developing normal usage profile and comparing the web logs, as they generated, against the probabilities. It detected nearly all such attacks without having to rely on attack signatures at all. SAD-Dynamic, modelling parameter values, also works by classifying all parameters requested. To evaluate SAD-Dynamic, we made an experiment on three real web sites through attack simulation. Our research indicates that SAD has the potential of detecting previously unknown web attacks and that the proposed approach would play a key role in developing an integrated environment to provide secure and reliable web services and a good adaptive method to traditional intrusion detection system. In addition, the experiment results show that page sequences and parameter values are one of critical features to develop web application IDS.

최근의 공격들은 기존의 침입 대응 기법으로는 다루기 힘들 만큼 자동화, 지능화된 특성을 띄며, 특정 서비스를 목표로 하는 경우가 많다. 특히 웹 서비스 취약성을 이용한 다양한 형태의 공격들이 발생하고 있고 이로 인해 경제, 사회적인 피해가 지속적으로 증가하고 있다. 웹 서비스 보안을 위해서 기존의 침입 차단 기법과 침입 탐지 기법을 활용할 수 있다. 그러나, 웹 서비스 보호는 개방성과 웹 어플리케이션의 고유한 복잡성으로 인해 다양한 형태의 취약성이 존재하며, 이를 기존의 접근 방법과 같이 개별적으로 대응하기 어렵다. 이 논문에서는 웹 서비스를 보호하기 위해 통계적인 접근 방법인 세션 이상 탐지 기법을 제안하고 있다. 세션 이상 탐지는 정상적인 웹 서비스 유형을 정적인 리소스의 요청 순서와 동적인 리소스에 전달되는 파라미터 특성에 기반하여 모델링 하고, 훈련 자료에 근거하여 특정 웹 서비스 요청의 발생 확률을 추정하여, 정의된 임계값 보다 낮은 확률의 서비스 요청이 발견될 경우 이상으로 탐지하였다. 제안 방법을 실제 운영 중인 웹 사이트를 대상으로, 웹 취약점 분석 도구와 알려진 공격 기법에 기초한 공격 자료를 통해 실험한 결과, 매우 우수한 탐지율과 오류율을 보였다. 따라서, 제안 방법은 기존에 많이 사용되고 있는 오용 기반 침입 탐지시스템의 좋은 보완 방법이 될 수 있다. 특히 웹 어플리케이션에 특화된 침입 탐지 시스템을 설계하는데 있어서 웹 서비스 고유의 취약성에 대한 심층적인 분석이 필요함을 확인할 수 있었으며, 웹 페이지 방문 순서와 입력 인자값의 유형이 좋은 속성이 될 수 있음을 보였다.