KR101003094B1 - 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 - Google Patents

스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 Download PDF

Info

Publication number
KR101003094B1
KR101003094B1 KR1020080100299A KR20080100299A KR101003094B1 KR 101003094 B1 KR101003094 B1 KR 101003094B1 KR 1020080100299 A KR1020080100299 A KR 1020080100299A KR 20080100299 A KR20080100299 A KR 20080100299A KR 101003094 B1 KR101003094 B1 KR 101003094B1
Authority
KR
South Korea
Prior art keywords
host
spy
dangerous
bot
packet
Prior art date
Application number
KR1020080100299A
Other languages
English (en)
Other versions
KR20090113745A (ko
Inventor
김종현
나중찬
유종호
김건량
장범환
손선경
정치윤
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20090113745A publication Critical patent/KR20090113745A/ko
Application granted granted Critical
Publication of KR101003094B1 publication Critical patent/KR101003094B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

본 발명은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템에 관한 것이다. 이를 위해 본 발명은, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 역추적 서버는, 각 위험 호스트를 통해 획득된 패킷정보를 참조하여 위험 호스트들을 경유하는 해킹 코드의 출발지점을 역 추적한다.
Figure R1020080100299
도메인, 호스트, 역추적, 스파이 봇 에이전트, 패킷

Description

스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템{Cyber attack traceback system by using spy-bot agent, and method thereof}
본 발명은 네트워크 공격자의 위치를 추적하는 방법, 및 시스템에 관한 것으로, 특히 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT 신성장동력핵심기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제 관리번호 2007-S-022-02, 과제명 : ALL-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].
네트워크를 통해 목표 호스트에 침입하고자 하는 공격자(해커)는 자신의 실제 네트워크 정보가 드러나지 않도록 하는데 많은 노력을 기울인다. 공격자는 목표 호스트에 직접 접속하지 않고 타 호스트를 경유하거나, 익명의 프록시 서버를 통해 우회하여 목표 호스트에 접근한다.
공격자가 목표 호스트에 접근하기 위해 타 호스트를 여럿 경유하는 경우, 공격자의 단말기에서 중간 경유지로 사용되는 호스트를 지날 때마다 패킷의 출발지점 과 목표지점이 계속 바뀌게 된다. 예컨대, 공격자의 단말기가 프록시 서버로 패킷을 전송할 때는 공격자의 단말기에 할당되는 IP가 출발지점이고, 프록시 서버의 주소가 목표지점이 되나, 공격자의 단말기에서 전송된 패킷을 프록시 서버가 목표 호스트로 전송할 때는 프록시 서버의 IP가 패킷의 출발지점이 되고, 목표 호스트의 IP가 목표지점이 된다. 만일, 공격자의 해킹이 성공하고, 추후, 목표 호스트의 관리자가 목표 호스트에 접속한 접속내역을 조사할 때, 관리자는 프록시 서버에서 접근했던 내역을 알 수 있을 뿐이다.
따라서, 공격자의 네트워크 공격을 차단하기 위해서 기본적으로 공격자의 위치가 어디인지, 공격자가 누구인지를 아는 것이 중요하다. 공격자가 해킹을 목적으로 목표 호스트로 접근할 때, 이를 실시간으로 인지하고 공격자의 위치를 탐지하는 과정이 요구되는데, 통상 이를 역추적(Traceback)이라 한다. 역추적은 TCP 연결 역추적(TCP Traceback), 및 IP 패킷 역추적(IP packer traceback) 방식 등이 주로 이용되며, IP 역추적 기술로는 Ingress Filtering, Logging, 해쉬 기반 IP 역추적, ICMP 역추적, IPsec 기반 역추적, 확률적 패킷 마킹 기술 등이 있다.
한편, 상기한 역추적 방법은 단일 도메인에 속하는 호스트 사이에서의 역추적은 용이한 반면, 서로 다른 도메인에 속하는 호스트에 대해서는 역추적이 어려운 문제가 있다. 만일 A 도메인에 속하는 호스트에서 B 도메인에 속하는 호스트로 해킹이 의심되는 패킷이 전송되었다면, B 도메인에 속하는 호스트는 A 도메인으로 패킷의 출발지점 정보를 요청하여야 한다. 해킹이 의심되는 패킷이 더 많은 수의 도메인을 경유하여 목표 호스트로 침입한 경우, B 도메인에 속하는 호스트는 패킷이 경유한 각 도메인의 협력을 얻어야 공격자의 실제 출발지점을 파악할 수 있다.
그러나, 각 도메인은 상호 협력적이지 않으며, 상대편 도메인에 대해 적대적인 경우도 많아 기존의 역추적 방법으로는 여러 도메인을 경유한 패킷의 실제 공격자 위치를 파악하는 것이 매우 어려운 실정이다. 이에 본 출원인은 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템을 제안하고자 한다.
따라서, 본 발명의 목적은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템을 제공함에 있다.
또한, 본 발명의 다른 목적은 동일 도메인, 또는 서로 다른 도메인에 속하는 각 호스트들 중 보안이 취약한 곳에 공격자의 공격 탐지를 위한 스파이 봇 에이전트를 이식하고, 이를 통해 보안이 취약한 곳을 지속적으로 감시함으로써 공격자에 의한 피해를 최소화하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적 방법, 및 시스템을 제공함에 있다.
상기한 목적은 본 발명에 따라, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 상기 역추적 서버는, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템에 의해 달성된다.
상기한 목적은 본 발명에 따라, 복수의 호스트와 네트워크 접속되며, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며, 상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계, 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계, 및 상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계에 의해 달성된다.
상기한 바와 같이 본 발명은 종래의 비 협조적인 도메인 협력관계에 의존하지 않고도 해킹, 또는 해킹이 의심되는 패킷의 진원지를 파악할 수 있다.
또한, 본 발명은 스파이 봇 에이전트를 각 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식하고, 원격지에서 각 호스트를 출입하는 패킷의 패킷정보를 획득함으로써 광범위한 지역에서 공격자를 추적, 및 탐지할 수 있다.
또한, 본 발명에 따른 스파이 봇 에이전트는 종래의 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식되어 공격자를 탐지할 뿐이므로, 종래의 네트워크 시스템을 전혀 변화시킬 필요가 없다.
또한, 본 발명은 각 호스트에 심어진 각 스파이 봇 에이전트를 통해 각 호스 트에 대한 접속 기록과 공격자 정보를 획득하므로 호스트에 대한 보안 사고가 발생 시, 책임소재의 규명이 용이하며, 이를 법적 증거물로 활용할 수 있다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템(이하 역 추적 시스템이라 한다.)의 전체 개념도를 나타낸다.
본 발명에 따른 역 추적 시스템은 스파이 봇 관리 서버(200), 및 역추적 서버(300)로 구성된다.
역 추적 서버(300)는 도메인에 소속되는 호스트(11, 12, 13, 도메인 A에 해당하는 호스트임)에 대해 호스트 스캐닝을 수행한다. 역 추적 서버(300)는 호스트 스캐닝을 통해 각 호스트(11, 12, 13)의 오픈 된 포트를 판단한다. 역추적 서버(300)는 각 호스트(11, 12, 13)의 오픈 된 포트의 수, 및 오픈 된 포트들 중 해킹 코드나 바이러스의 침투를 위해 흔히 사용되는 포트의 개방 여부를 판단한다.
통상 방화벽이 설치된 호스트에는 호스트의 서비스 제공을 위한 포트 이외의 포트들은 차단되거나 포트 접속을 위해서 호스트의 허가를 필요로 한다. 그렇지 않다면 호스트는 역 추적 서버(300)에서 포트의 개방 여부를 확인하기 위해 보내는 패킷에 대부분 응답할 것이다.
다른 한편, 본 발명의 호스트 스캐닝은 해킹 툴이 호스트의 취약점을 찾는 것과 유사한 과정을 통해 호스트의 취약한 포트를 찾을 수 있다. 통상, 해킹 툴은 아래에 기재된 포트에 패킷을 전송하고 그에 대한 호스트의 응답 여부를 통해 해킹 에 적합한 포트를 찾는다.
- 아래 -
80 (www), 23 (telnet), 143 (imap), 110 (pop3) [all three, or none, are probed], 111 (sunrpc), 6000 (x11), 79 (finger), 53 (domain), 31337 (unassigned by IANA), 2766 (Solaris listen/nlps_server). 물론 역추적 서버(300)는 언급된 것 외에 다른 포트에 대해서도 스캐닝을 수행할 수 있으며, 본 발명의 역추적 서버(300)는 포트의 응답 여부를 통해 해킹에 취약한 호스트(이하, 위험 호스트라 한다.)를 찾거나 해킹 툴이 주로 이용하는 포트의 존재 여부를 통해 위험 호스트를 찾는 방법을 이용할 수 있으며, 두 방법 모두를 적용할 수도 있다.
역추적 서버(300)는 위험 호스트(10)를 판단 후, 위험 호스트(10)의 IP를 획득한다. 획득한 IP는 스파이 봇 관리 서버(200)로 통보되며, 스파이 봇 관리 서버(200)는 역추적 서버(300)에서 통보한 IP의 호스트(10)로 스파이 봇 에이전트(100)를 전송, 및 설치한다. 스파이 봇 에이전트(100)는 위험 호스트(10)로 잠입하여 설치된 후, 위험 호스트(10)의 관리자 계정을 획득하고, 이를 통해, 위험 호스트(10)를 출입하는 패킷을 분석하여 해킹이 의심되는 패킷을 찾는다.
이후, 스파이 봇 에이전트(100)는 해킹이 의심되는 패킷(이하, 위험 패킷이라 한다)의 패킷정보를 스파이 봇 관리 서버(200)로 전송하고, 역추적 서버(300)는 스파이 봇 관리 서버(200)를 통해 이를 획득한 후, 패킷의 근원지 주소, MAC 주소, 및 목적지 주소를 참조하여 위험 패킷의 전달 경로를 판단한다. 이를 위해, 스파 이 봇 에이전트는 각 도메인(A, B, C)에 소속되는 각 호스트(예컨대 참조부호 10, 11, 12, 13 등)에 널리 분포됨이 바람직하다. 즉, 각 호스트(10 ∼ 13)에 분포된 스파이 봇 에이전트들이 위험 패킷이 자신의 호스트에 출입할 때마다 이를 스파이 봇 관리 서버(200)로 통보하고, 역추적 서버(300)는
만일 위험 패킷이 여러 호스트(10 ∼ 13 중 적어도 하나)를 경유하면서 위험 패킷의 실제 근원지 정보를 여러 호스트(10 ∼ 13)로 속인다 하더라도, 역추적 서버(300)가 각 호스트(10 ∼ 13)가 위험 패킷의 출입 내역을 알고 있다면 위험 패킷의 IP 세탁(패킷의 IP 주소를 변경하거나 속이는 것)을 즉각 판단할 수 있을 것이다.
여기서, 위험 패킷은,
- IP 스푸핑을 통해 IP 세탁을 시도하는 패킷(특정 호스트에 SYN 공격을 수행하는 패킷(들)),
- 호스트가 네트워크 통신에 이용하는 IP 범위를 벗어나는 패킷,
- 프록시 서버를 경유하여 자신의 실제 근원지 주소를 감추는 패킷, 및
- 통상의 어플리케이션이 이용하지 않으며, 해킹 툴이 주로 이용하는 포트에 접근하는 패킷이 이에 해당한다.
IP 스푸핑을 위해서는 호스트와 접속되는 실제 클라이언트가 호스트와 접속하지 못하도록 하여야 한다. 이를 위해, 공격자는 클라이언트에 다량의 SYN 패킷을 발송하여 호스트와 실제 클라이언트 사이의 통신을 일정시간 차단한다. 이는 도 2를 함께 참조하여 설명하도록 한다.
도 2는 IP 스푸핑을 위한 SYN 공격 방법을 개념적으로 나타낸다.
도시된 바와 같이, IP 스푸핑은 공격자(C)가 호스트(B)와 클라이언트(A) 사이의 통신을 차단하고, 자신이 클라이언트(A)를 대신하여 호스트(B)와 통신을 수행하는 방법이다. 공격자(C)는 클라이언트(A)에 다량의 SYN 패킷을 전송하여 클라이언트(A)를 마비시키고, 호스트(B)가 실제의 클라이언트(A)와 통신을 수행할 수 없도록 한다.
정상적인 상황이라면 호스트(B)와 클라이언트(A) 사이에는 서로 SYN 패킷을 주고 받은 후, 데이터를 상호 전송한다.
통상의 경우 호스트(B)와 클라이언트(A)가 하나의 데이터를 주고 받기 위해 필요한 SYN 패킷은 수 개에 불과하나, 공격자(C)가 SYN 공격을 할 때는 수백 ∼ 수천 개의 SYN 패킷을 연속하여 호스트(B)로 보내어 호스트(B)와 실제 클라이언트(C)의 통신을 차단한다. 이후, 공격자(C)는 호스트(B)로 적당한 ACK 패킷을 보냄으로써 클라이언트(A)를 대신하여 호스트(B)와 접속을 수행한다.
역추적 서버(300)는 각 호스트(10 ∼ 13)에 잠입한 스파이 봇이 스파이 봇 관리 서버(200)를 통해 전송하는 패킷의 패킷정보를 참조하여 위험 패킷의 전달 경로를 추적한다. 이는 도 3과 도 4를 함께 참조하여 설명하도록 한다.
먼저, 도 3은 위험 패킷이 공격자의 단말기(E)를 출발하여 공격자가 속하는 호스트(F)를 지나 타 도메인에 속하는 호스트(G)를 통해 목적 호스트(H)로 향하는 일 예를 나타낸다. 도면에서, 공격자의 단말기(E)에서 라우터(L0)를 경유하여 목적 호스트(H)로 향하는 위험 패킷의 패킷 정보(패킷의 헤더를 분석하여 얻을 수 있 다)에는 위험 패킷의 근원지 주소와 목적지 주소(호스트 E의 주소 -> 호스트 F의 주소), 및 라우터(L0)의 MAC 주소값(MAC_A)이 포함된다.
그러나, 위험 패킷이 호스트(F)에서 호스트(G)로 향하게 되면, 위험 패킷의 근원지 주소와 목적지 주소는 호스트 F의 주소 -> 호스트 G의 주소에 해당한다. 따라서, 위험 패킷이 경유하는 호스트의 수가 많아질수록 공격자의 실제 근원지는 파악하기 어려워진다. 그러나, 위험 패킷의 MAC 주소는 바뀌지 않는다. 만일 스파이 봇 에이전트가 각 호스트(F, G, 및 H)에 잠입한 상태일 경우, 역추적 서버(300)는 스파이 봇 에이전트를 통해 라우터(L0)의 MAC 주소를 기준으로 하여 위험 패킷의 IP 세탁을 모두 파악할 수 있으며, 위험 패킷의 근원지가 라우터(L0)에 속하는 단말기(E) 임을 알아낼 수 있다.
그러나, 모든 공격자가 자신의 MAC을 노출하지는 않는다. 이 경우는 도 4를 참조하여 설명하도록 한다.
도 4는 공격자가 라우터를 통해 호스트(N)에 침입하는 일 예를 나타낸다.
도면에서, 공격자는 단말기(J), 공격자가 속하는 호스트(K), 및 라우터(L1, L2)를 거쳐 스파이 봇 에이전트가 잠입한 호스트(M)와 호스트(N)에 침투하고 있다. 라우터(L2)는 위험 패킷의 MAC 주소를 "MAC_B"에서 "MAC_C"로 변경한다. 여기서, MAC_C는 라우터(L2) 자신에게 할당된 MAC 주소에 해당한다. 이러한 과정을 통해 위험 패킷의 MAC 주소가 세탁되고, 스파이 봇 에이전트가 호스트(M, N)에만 잠입했을 경우, 역추적 서버(300)는 라우터(L2) 까지만 추적할 수 있다. 만일, 스파이 봇 에이전트가 호스트(K) 까지 잠입한 상태라면 MAC 주소의 세탁이 발생한다 하더 라도 역추적 서버(300)가 이를 즉각 파악할 수 있을 것이다. 즉, 본 발명에서 언급하는 스파이 봇 에이전트는 여러 호스트에 널리 퍼질수록 위험 패킷에 대한 탐지 능력이 증가한다.
따라서, 스파이 봇 에이전트는 역추적 서버(300)가 찾아낸 위험 호스트(M, N) 이외에도, 스스로가 주변 네트워크를 스캐닝하여 새로운 위험 호스트를 찾아내고, 찾아낸 위험 호스트에 자신을 복제한 또 하나의 스파이 넷 에이전트를 심거나, 스파이 봇 관리 서버(200)로 새로이 찾아낸 위험 호스트의 정보를 보내어 새로운 스파이 봇 에이전트를 설치할 필요가 있다.
도 5는 스파이 봇 에이전트의 내부 블록개념도를 나타낸다.
도시된 스파이 봇 에이전트는, 스캐닝 모듈(110), 네트워크 정보 획득모듈(120), 패킷 분석모듈(130), 및 리포트 모듈(140)을 구비한다.
스캐닝 모듈(110)은 위험 호스트에 잠입한 후, 잠입한 위험 호스트의 주변 호스트에 대해 호스트 스캐닝을 수행한다. 스캐닝 모듈(110)은 역추적 서버(300)와 동일한 방법에 의해 주변 호스트의 포트들 중 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단한다. 판단결과, 위험 호스트로 분류되는 타 호스트를 발견 시, 그 결과를 스파이 봇 관리 서버(200)로 통보한다. 만일, 새로이 발견된 호스트가 스파이 봇 에이전트가 잠입한 위험 호스트와 유사한 운영체제, 및 조건을 갖추고 있을 경우, 스캐닝 모듈(110)은 위험 호스트에 잠입한 스파이 봇 에이전트를 복제하여 새로이 발견된 호스트로 전송하여 설치할 수 있다.
네트워크 정보 획득모듈(120)은 호스트가 주변 클라이언트(또는 주변 호스 트)와 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득한다. 호스트는 자신이 제공하는 서비스의 종류에 따라 주로 이용하는 통신 포트가 있으며, 호스트에 할당되었거나, 스스로 할당한 IP 범위 내에서 클라이언트(또는 타 호스트)와 통신을 수행한다. 반면, 해킹을 하고자 하는 공격자는 호스트에 할당된(또는 호스트가 설정하는) IP 범위와 관계없이 임의의 IP를 이용하여 공격을 하는 경우가 많다.
따라서, 네트워크 정보 획득모듈(120)은 위험 호스트가 주로 이용하는 통신 포트나 IP 범위에 대한 정보를 획득하고, 이를 토대로 공격자의 해킹 시도 여부를 판단할 근거 자료를 획득한다. 네트워크 정보 획득모듈(120)은 위험 호스트의 통신 포트, 및 IP 범위에 대한 정보를 생성 후, 이를 데이터(150)의 형태로 저장한다. 데이터(150)는 스파이 봇 에이전트가 잠입한 위험 호스트의 저장장치(메모리, 또는 하드디스크)에 마련되거나, 스파이 봇 관리 서버(200)로 전송하여 스파이 봇 관리 서버(200)에서 데이터베이스의 형태로 저장, 및 구축될 수 있다. 또한, 네트워크 정보 획득모듈(120)은 호스트를 출입하는 패킷의 출입 내역이 기록되는 LOG 파일을 획득한다.
LOG 파일은 추후 해킹과 같은 보안사고가 발생 시, 보안에 대한 책임 소재를 따질 때 이용될 수 있다.
패킷 분석모듈(130)은 네트워크 정보 획득모듈(120)을 통해 획득된 데이터(150)를 기준으로 하며, 호스트를 출입하는 패킷의 헤더를 분석하고, 분석된 패킷의 IP가 호스트 측 IP 범위에 해당하는지, 또는 벗어나는지를 판단한다. 또한, 패킷 분석모듈(130)은 호스트로 출입하는 패킷의 IP가 데이터(150)에 미리 정의된 프록시 서버의 주소에 해당하는지 판단하며, 스파이 봇 관리 서버(200)의 요청에 따라 특정한 MAC 주소를 갖는 패킷의 출입 여부, 및 출입 기록을 리포트 모듈(140)을 통해 스파이 봇 관리 서버(200)로 제공할 수 있다.
리포트 모듈(140)은 스파이 봇 관리 서버(200)와 통신을 수행하며, 스파이 봇 관리 서버(200)로 패킷 분석모듈(130)에서 판단한 위험 패킷, 위험 패킷의 근원지 주소, 목적지 주소, 및 MAC 주소, 및 호스트의 LOG 파일을 전송한다.
리포트 모듈(140)은 스캐닝 모듈(100)에 의해 발견된 새로운 위험 호스트에 대한 정보(IP)를 스파이 봇 관리 서버(200)로 전송한다.
또한, 리포트 모듈(140)은 스파이 봇 관리 서버(200)가 통보하는 MAC 주소나, IP 주소에 해당하는 패킷의 존재 여부, 및 해당 패킷의 접속 경로(근원지 주소, 목적지 주소)를 패킷 분석모듈(130)에 통보하고, 패킷 분석모듈(130)로부터 그 결과를 통보받아 스파이 봇 관리 서버(200)로 제공할 수 있다.
도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.
본 발명에 따른 역추적 시스템은 스파이 봇 관리 서버(200)와 역추적 서버(300)로 구성된다. 물론, 본 발명에 따른 역추적 시스템이 두 서버(200, 300)가 하나로 통합된 형태로 구현될 수도 있음은 물론이다. 따라서, 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법은 하나로 통합된 서버, 또는 두 개의 서버(200, 300)로 구획된 서버 중 어느 하나일 수 있으나, 그 동작 개념은 동일한 바, 따로 구분하여 설명하지는 않는다.
먼저, 역추적 시스템은 각 도메인에 위치하는 호스트로 호스트 스캐닝을 수행한다(S401). 역추적 시스템은 호스트 스캐닝을 통해 각 호스트의 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단할 수 있다. 오픈 된 포트가 많거나, 해킹에 취약한 포트가 오픈 된 호스트는 위험 호스트로 분류하며, 역추적 시스템은 해당 위험 호스트의 IP 정보를 획득한다(S402). 다음으로 역추적 시스템은 획득한 IP로 스파이 봇 에이전트를 전송하며, 스파이 봇 에이전트는 역추적 시스템이 지시한 IP로 잠입하고(S403), 잠입한 위험 호스트에서 관리자 권한을 획득한다(S404). 관리자 권한의 획득은 통상의 바이러스나 해킹 코드가 수행하는 것으로, 본 발명에 따른 스파이 봇 에이전트가 이와 동일한 기능을 수행하는 것이 일견 이상하게 보일 수 있다. 스파이 봇 에이전트는 호스트의 네트워크 정보를 획득하고, 호스트로 출입하는 위험 패킷을 조사하기 위해 관리자 권한이 필요한 것일 뿐, 호스트 자체에 대해 아무런 해도 끼치지 않는다. 다음으로, 스파이 봇 에이전트는 호스트를 출입하는 패킷을 분석하여 해킹이 의심되는 위험 패킷을 검출하고, 호스트를 출입한 패킷의 내역을 기록한 LOG 파일을 획득하여 스파이 봇 관리 서버(200)로 전송한다(S405). 이때, 스파이 봇 에이전트는 호스트가 주로 이용하는 TCP 통신 방식 대신 XML 소켓 통신 방식과 같이 잘 이용되지 않는 통신 방식을 이용하여 역추적 시스템과 데이터 통신을 수행하는 것이 바람직하다.
도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템의 전체 개념도,
도 2는 IP 스푸핑을 위한 SYN 공격을 개념적으로 나타내는 도면,
도 3은 위험 패킷이 공격자의 단말기를 출발하여 공격자가 속하는 호스트를 지나 타 도메인에 속하는 호스트를 통해 목적 호스트로 향하는 일 예를 개념적으로 나타내는 도면,
도 4는 공격자가 라우터를 통해 호스트에 침입하는 일 예를 나타내는 도면,
도 5는 스파이 봇 에이전트의 내부 블록개념도, 그리고
도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.
*도면의 주요 부분에 대한 부호의 설명*
100 : 스파이 봇 에이전트 110 : 스캐닝 모듈
120 : 네트워크 정보 획득모듈 130 : 패킷 분석모듈
140 : 리포트 모듈 200 : 스파이 봇 관리 서버
300 : 역추적 서버

Claims (10)

  1. 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버; 및
    상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버;를 포함하며,
    상기 역추적 서버는,
    상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  2. 제1항에 있어서,
    상기 스파이 봇 에이전트는,
    상기 위험 호스트가 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득하는 네트워크 정보 획득모듈;
    상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위에 해당하는지를 판단하는 패킷 분석모듈; 및
    상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위를 이탈 시, 이를 상기 스파이 봇 관리 서버로 통보하는 리포트 모듈;을 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  3. 제2항에 있어서,
    프록시 서버에 대한 IP 정보를 구비하는 데이터 저장모듈;을 더 포함하며,
    상기 패킷 분석모듈은,
    상기 위험 호스트를 출입하는 패킷의 발신 IP가 상기 프록시 서버에 해당하는지의 여부를 판단하고 그 결과를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  4. 제2항에 있어서,
    상기 스파이 봇 에이전트는,
    상기 위험 호스트와 동일 도메인에 속하는 적어도 하나의 타 호스트로 호스트 스캐닝을 수행하며,
    상기 호스트 스캐닝을 통해 해킹에 취약한 통신 포토의 개방 여부를 판단하고 이를 상기 스파이 봇 관리 서버로 통보하는 스캐닝 모듈;을 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  5. 제4항에 있어서,
    상기 스파이 봇 관리 서버는,
    상기 스파이 봇 에이전트의 호스트 스캐닝에 의해 해킹에 취약한 통신 포트 가 개방된 타 호스트로 새로운 스파이 봇 에이전트를 전송하여 설치하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  6. 제2항에 있어서,
    상기 네트워크 정보 획득모듈은,
    상기 위험 호스트에서, 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대해 조회하고, 조회된 결과를 상기 리포트 모듈을 통해 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  7. 제2항에 있어서,
    상기 네트워크 정보 획득모듈은,
    상기 위험 호스트로 향하는 SYN 패킷이 미리 정해진 개수를 초과하여 연속으로 인가될 시, 이를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.
  8. 복수의 호스트와 네트워크 접속되고, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며,
    상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계;
    상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계;
    상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계; 및
    상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계;를 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.
  9. 제8항에 있어서,
    상기 근원지 정보와 목적지 정보를 획득하는 단계는,
    상기 위험 호스트의 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대한 정보를 상기 스파이 봇 에이전트를 통해 획득하는 단계;를 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.
  10. 제8항에 있어서,
    상기 역 추적하는 단계는,
    상기 위험 패킷에 포함되는 MAC 어드레스를 기준으로 하여 상기 각 위험 호 스트를 경유하는 위험 패킷의 동질성 여부를 판단하며, 이를 토대로 상기 위험 패킷의 근원지를 추적하는 단계인 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.
KR1020080100299A 2008-04-28 2008-10-13 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 KR101003094B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020080039433 2008-04-28
KR20080039433 2008-04-28

Publications (2)

Publication Number Publication Date
KR20090113745A KR20090113745A (ko) 2009-11-02
KR101003094B1 true KR101003094B1 (ko) 2010-12-21

Family

ID=41555034

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100299A KR101003094B1 (ko) 2008-04-28 2008-10-13 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템

Country Status (1)

Country Link
KR (1) KR101003094B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102497362B (zh) * 2011-12-07 2018-01-05 北京润通丰华科技有限公司 异常网络流量的攻击源追踪方法及装置
KR102035582B1 (ko) 2013-11-26 2019-10-24 한국전자통신연구원 공격 근원지 추적 장치 및 방법
CN110297497B (zh) * 2019-06-11 2023-03-28 沈阳航空航天大学 网络攻击下基于混合触发机制的多智能体系统一致性的控制方法

Also Published As

Publication number Publication date
KR20090113745A (ko) 2009-11-02

Similar Documents

Publication Publication Date Title
US10587636B1 (en) System and method for bot detection
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
US7076803B2 (en) Integrated intrusion detection services
US8839442B2 (en) System and method for enabling remote registry service security audits
US7222366B2 (en) Intrusion event filtering
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
JP2020521383A (ja) 相関関係駆動型脅威の評価と修復
KR100426317B1 (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
US20060143709A1 (en) Network intrusion prevention
US20040073800A1 (en) Adaptive intrusion detection system
US20090044277A1 (en) Non-invasive monitoring of the effectiveness of electronic security services
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
US20170085577A1 (en) Computer method for maintaining a hack trap
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
Bhumika et al. Use of honeypots to increase awareness regarding network security
GB2418563A (en) Monitoring for malicious attacks in a communications network
Hashim et al. Computer network intrusion detection software development
Shiue et al. Countermeasure for detection of honeypot deployment
Kamal et al. Analysis of network communication attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141208

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151026

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 12