정적분석
정적 분석이란 MBUSTER API 요청이 들어오는 시점에 Request를 분석하여 매크로 여부를 판단하는 기법입니다.
MBUSTER API 호출시, 다음의 정보를 포함하게 됩니다.
| 정보 | 설명 | 필수 여부 |
|---|---|---|
| HTTP Request Header | API 요청시 사용되는 HTTP Request의 헤더 정보 | 필수 |
| 접속자의 IP | 접속자의 IP 주소를 나타냅니다. | 필수 |
| 접속자의 개인식별 아이디 | 단말을 식별하기 위해 단말별로 발급되는 개인식별 아이디 | 필수 |
| 로그인 아이디 | 대상 사이트에 로그인하여 세션 아이디가 존재하는 경우에만 사용 | 필수 |
WEB 서비스를 이용하는 모든 클라이언트는 일반 접속자, 매크로 이용자, 봇 구분 없이 HTTP 기반으로 통신하며 항상 Request-Response 관계로 WEB 서비스를 이용하며, 이 때의 Request 정보를 정적으로 분석하여 매크로를 탐지합니다.
Request 정보에 대하여 분석하는 방식과 목적에 따라 세부 정책들이 구분됩니다.
Header 분석을 통한 차단 (중요도 : 필수)
- 기본적으로 Header 정보에 악성 봇으로 규정된 user-agent 값이 포함된 경우를 탐지합니다.
- 다음의 탐지 모듈을 이용하여 탐지 정보를 Header 정보에 최종적으로 포함하여 Header 정보를 악의적으로 변조한 경우에도 최종적으로 탐지 가능합니다.
- 개발자도구 탐지모듈: 개발자 도구를 사용한 경우, 비정상적인 이용자로 간주하여 Header 정보에 개발자도구 탐지 식별 정보를 포함시킵니다.
- 셀레니움 탐지모듈: 셀레니움과 같은 자동화 도구(매크로)를 이용하여 접속한 경우를 탐지하여 Header 정보에 셀레니움 탐지 식별 정보를 포함시킵니다.
- 탐지 예시로는 셀레니움을 이용하여 접속한 경우가 있습니다.
아이피 관리를 통한 차단 (중요도 : 필수)
- MBUSTER 내부에는 악성 봇으로 분류된 원천지 IP가 약 3만 개 포함되어 있어, 악성행위 원천지로부터의 접속을 차단합니다.
- 관리자가 수동으로 차단을 원하는 아이피를 추가하여 차단합니다.
- 탐지 예시로는 차단 아이피로 접속한 경우가 있습니다.
접속통계 분석을 통한 차단 (중요도 : 권장)
- 접속자의 개인식별아이디를 이용하여 단말별 평균 접속량을 수집합니다. 이때의 통계자료를 기준으로 평균대비 과다접속의 비중(임계치 %)을 정하여 과다 접속자에게 2차 인증을 요구합니다.
- 접속 횟수의 기준은 최근 5분간의 수치를 기준으로 합니다.
- 탐지 예시로 평균 접속량이 20회이며 임계치가 100%인 경우, 접속횟수가 40회를 초과한 경우 탐지됩니다.