웹 문서를 수집하는 단계;상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계;상기 생성된 정상 행위 모델을 이용하여, 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 단계; 및상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함하고, 상기 웹 문서는 HTML(HyperText Markup Language), 자바스크립트(JavaScript), Jscript 또는 ECMA Script 언어로 작성된 코드를 포함하는 웹 서버의 공격 탐지 방법.

삭제

제1항에 있어서,상기 정상 행위 모델을 생성하는 단계는,은닉 마르코프 모델을 초기화시키는 단계;상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하는 단계; 및상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시키는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제3항에 있어서,상기 수집된 웹 문서를 상기 관측열로 변환하는 단계는,상기 웹 문서를 준비하는 단계;상기 웹 문서에 포함된 적어도 하나 이상의 코드를 추상 구문 트리로 변환하는 단계; 및상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제1항에 있어서,상기 비정상 행위를 검출하는 단계는,상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계;상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계;상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하는 단계; 및상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제5항에 있어서,상기 복원된 웹 문서에 포함된 상기 코드를 상기 관측열로 변환하는 단계는,상기 복원된 웹 문서에 포함된 상기 코드를 추상 구문 트리로 변환하는 단계; 및상기 변환된 추상 구문 트리를 상기 관측열로 변환하는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제5항에 있어서,상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 단계는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단하는 웹 서버의 공격 탐지 방법.

웹 문서를 수집하는 단계;상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 단계;웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계;상기 소정의 악성코드 패턴과 일치하는 패턴이 검출된 경우 공격이 일어난 것으로 판단하는 단계;상기 생성된 정상 행위 모델을 이용하여, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 비정상 행위를 검출하는 단계; 및상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제8항에 있어서,상기 웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하는 단계는,상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하는 단계;상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하는 단계; 및상기 소정의 악성코드 패턴과 상기 변환된 관측열을 비교하는 단계를 포함하는 웹 서버의 공격 탐지 방법.

제8항에 있어서,상기 소정의 악성코드 패턴은 상기 웹 서버 내의 공격받지 않은 문서 내에는 존재하지 않는 코드 패턴인 웹 서버의 공격 탐지 방법.

웹 문서를 수집하는 웹 문서 수집부;상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부; 및생성된 상기 정상 행위 모델을 이용하여 웹 서버로부터 외부로 전송되는 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부를 포함하는 웹 서버의 공격 탐지 시스템.

제11항에 있어서,상기 웹 문서는 HTML(HyperText Markup Language), 자바스크립트(JavaScript), Jscript 또는 ECMA Script 언어로 작성된 코드를 포함하는 웹 서버의 공격 탐지 시스템.

제11항에 있어서,상기 정상 행위 모델 생성부는, 은닉 마르코프 모델을 초기화하고, 상기 수집된 웹 문서를 상기 은닉 마르코프 모델에 적용시킬 관측열로 변환하고, 상기 변환된 관측열 및 바움-웰치(Baum-Welch) 알고리즘을 이용하여 상기 은닉 마르코프 모델을 학습시키는 웹 서버의 공격 탐지 시스템.

제11항에 있어서,상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 적어도 하나의 패킷을 조립함으로써 상기 웹 문서를 복원하고, 상기 복원된 웹 문서에 포함된 코드를 관측열로 변환하고, 상기 정상 행위 모델을 이용하여, 상기 변환된 관측열에 대한 확률을 추정하고, 상기 추정된 확률을 이용하여 상기 관측열이 비정상 행위인지 여부를 판단하는 웹 서버의 공격 탐지 시스템.

제14항에 있어서,상기 공격 검출부는 상기 추정된 확률이 0인 경우에 상기 관측열이 상기 비정상 행위라고 판단하는 웹 서버의 공격 탐지 시스템.

제11항에 있어서,상기 공격 검출부는 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 웹 서버의 공격 탐지 시스템.

웹 문서를 수집하는 웹 문서 수집부;상기 수집된 웹 문서를 이용하여 정상 행위 모델을 생성하는 정상 행위 모델 생성부; 및웹 서버로부터 외부로 전송되는 웹 문서 중에서 소정의 악성코드 패턴과 일치하는 패턴을 검출하고, 생성된 상기 정상 행위 모델을 이용하여 상기 웹 문서 중에서 비정상 행위를 검출하는 공격 검출부를 포함하는 웹 서버의 공격 탐지 시스템.

제17항에 있어서,상기 공격 검출부는, 상기 웹 서버로부터 외부로 전송되는 상기 웹 문서 중에서, 상기 소정의 악성코드 패턴과 일치하는 상기 패턴 또는 상기 비정상 행위가 검출된 경우 공격이 일어난 것으로 판단하는 웹 서버의 공격 탐지 시스템.

제17항에 있어서,상기 소정의 악성코드 패턴은 상기 웹 서버 내의 공격받지 않은 문서 내에는 존재하지 않는 코드 패턴인 웹 서버의 공격 탐지 시스템.