KR101889500B1 - 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템 - Google Patents

네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템 Download PDF

Info

Publication number
KR101889500B1
KR101889500B1 KR1020140027202A KR20140027202A KR101889500B1 KR 101889500 B1 KR101889500 B1 KR 101889500B1 KR 1020140027202 A KR1020140027202 A KR 1020140027202A KR 20140027202 A KR20140027202 A KR 20140027202A KR 101889500 B1 KR101889500 B1 KR 101889500B1
Authority
KR
South Korea
Prior art keywords
network
tracking
information
flow
attack
Prior art date
Application number
KR1020140027202A
Other languages
English (en)
Other versions
KR20150105039A (ko
Inventor
최양서
김익균
한민호
김정태
김종현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140027202A priority Critical patent/KR101889500B1/ko
Priority to US14/635,962 priority patent/US9537887B2/en
Publication of KR20150105039A publication Critical patent/KR20150105039A/ko
Application granted granted Critical
Publication of KR101889500B1 publication Critical patent/KR101889500B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

본 발명은 인터넷 및 내부 네트워크에서 사이버 해킹 공격이 발생하였을 경우 네트워크의 새로운 장비의 추가나 표준 프로토콜의 수정없이 여러 사이트를 경유하는 사이버 해킹 공격에 대한 공격 근원지를 추적하기 위하여 네트워크 플로우 데이터를 이용해 네트워크의 연결 체인을 역추적하는 방법 및 시스템을 제공하는 데 있다.

Description

네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템{Method and System for Network Connection-Chain Traceback using Network Flow Data}
본 발명은 사이버 해킹 공격에 대한 추적 방법 및 장치에 관한 것으로서, 특히, 실제적인 공격 근원지 정보를 파악하기 위하여 네트워크 플로우 데이터를 이용해 네트워크의 연결 체인을 역추적하는 방법 및 시스템에 관한 것이다.
사이버 공격 역추적 기술은 공격 시스템의 위치와 실제 해킹을 시도하는 해커의 위치가 서로 다르다 하더라도 실제 해커의 위치, 즉, 공격의 근원지를 추적할 수 있는 기술을 의미한다. 기존의 역추적 기술은 통신 환경과 연결 방법에 따라 다양한 알고리즘들이 연구되고 있으며, 연결 방법에 따라 TCP 연결 역추적과 IP 역추적 기술로 크게 구분할 수 있다.
IP 역추적 기술은 비연결 지향성 통신 방식을 이용하기 때문에 공격을 당한시스템에 남겨진 로그를 분석하여 그 흔적으로 공격자의 위치를 추적하는 기술로 IP 패킷의 Header 및 Payload 부분에 추적 관련 정보의 삽입을 통한 전향적(Proactive) 방식과 트래픽 감시 및 필터링을 통한 대응적(Reactive) 방식 등이 있다.
TCP 연결 역추적은 TCP 통신 방식의 특성을 이용하여 연결 지향성 통신 방식에서 사용되는 역추적 기술이며, 주로 통신을 위한 연결 체인의 특성, 즉, 네트워크 라우터 장비나 호스트 PC 를 기반으로 한 방식으로 분류된다.
이러한 두 가지 방법, 즉, IP 기반 역추적, TCP 연결 기반 역추적의 경우 모든 네트워크 트래픽 패킷과 통신 연결(Connection)들을 모니터링 해야되는 오버헤드가 존재하며, 특히, 추적(Tracing) 기능을 제공하지 않는 네트워크 장비(예, 라우터) 혹은 다른 인터넷 공급자(Internet Service Provider, ISP)를 경유한 경우, 더 이상의 추적이 불가능한 단점이 있다. 또한, 연결 체인을 통한 공격 시 경유지(Intermediate Host) 들과 응용 레벨(Application Layer)에서 데이터를 주고 받으므로 네트워크 계층에서의 추적이 불가능 하게 된다.
또한, 현재까지 제안된 여러 추적 방법들은 인터넷 ISP가 라우터에 부가기능을 탑재하거나 모니터링을 위한 추가 시스템이 설치되어야 하는 오버헤드를 감수해야 하므로 이론적으로는 가능하다고 할 수 있으나 실제로 활용될 가능성은 낮다고 할 수 있다.
최근에 발생하는 사이버 표적 공격들은 프락시 서버, 혹은, 여러 경유 사이트를 거치면서 공격 근원지를 은닉시키는 방법이 대부분이므로 근원지 추적이 상당히 어렵다고 할 수 있다. 따라서, 새로운 장비의 추가나 IP 프로토콜의 표준 규격의 변경 등과 같은 네트워크의 오버헤드가 없으면서, 여러 사이트를 경유하는 공격자의 근원지를 추적하는 기술이 반드시 필요하다.
국내등록특허 제10-1225037호 (2013. 01. 16. 공고)
따라서, 본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은, 인터넷 및 내부 네트워크에서 사이버 해킹 공격이 발생하였을 경우 네트워크의 새로운 장비의 추가나 표준 프로토콜의 수정없이 여러 사이트를 경유하는 사이버 해킹 공격에 대한 공격 근원지를 추적하기 위하여 네트워크 플로우 데이터를 이용해 네트워크의 연결 체인을 역추적하는 방법 및 시스템을 제공하는 데 있다.
먼저, 본 발명의 특징을 요약하면, 상기의 목적을 달성하기 위한 본 발명의일면에 따른 네트워크 공격에 대한 역추적 시스템에서 네트워크 연결 체인 역추적 방법은, (A) 네트워크 상에 분산된 하나 이상의 각 추적 에이전트에서, 네트워크 플로우 정보에 대한 데이터베이스를 참조하여, 핑거 프린팅 정보에 포함된 추적주소를 목적지 주소로 포함하는 네트워크 세션을 검색하여 해당 소스 주소가 상기 추적주소로 대체된 핑거 프린팅 정보를 생성하는 단계; 및 (B) 상기 각 추적 에이전트에서, 상기 데이터베이스를 참조하여, 대체된 상기 핑거 프린팅 정보가 포함된 네트워크 플로우 정보를 검색하여, 검색된 네트워크 플로우 정보의 해당 목적지 주소에 상기 추적 주소를 포함하는 새로운 핑거 프린팅 정보를 생성하며, 이전까지의 네트워크 세션에 대한 ID에 해당 네트워크 세션에 대한 ID가 더 포함된 공격 연결 체인 리스트를 생성하는 단계를 포함한다.
상기 (A) 단계 전에, 네트워크 상의 추적 요청기에서 공격 네트워크 세션에 대한 핑거 프린팅 정보를 생성하여 추적을 요청하는 단계를 더 포함할 수 있다.
상기 (B) 단계 후에, 상기 새로운 핑거 프린팅 정보와 상기 공격 연결 체인 리스트를 상기 각 추적 에이전트로 전파하여 상기 새로운 핑거 프린팅 정보에 대하여 (A), (B) 단계를 1회 이상 더 반복하는 단계를 더 포함할 수 있다.
상기 전파가 P2P 방식으로 복수의 추적 에이전트에 대하여 이루어질 수 있다.
상기 (B) 단계는, 대체된 상기 핑거 프린팅 정보가 포함된 네트워크 플로우 정보가 검색되지 않으면, 현재까지에 대한 최종 공격 연결 체인 리스트를 생성하여 네트워크 상의 추적 요청기로 전송하는 단계를 포함할 수 있다.
상기 (B) 단계는, 상기 검색 시에 상기 추적 주소가 네트워크 플로우 정보에 목적지 주소로 포함여부 이외에, 대체된 상기 핑거 프린팅 정보의 플로우 시작시간으로부터 플로우 종료시간까지의 시간, 해당 패킷수, 및 해당 바이트수가 해당 네트워크 플로우 정보에 부분 집합 관계인지 여부를 판단하는 단계를 포함할 수 있다.
상기 추적 요청기에서 상기 최종 공격 연결 체인 리스트를 분석하여 최종적으로 추적된 네트워크 세션의 소스 IP 주소를 갖는 시스템을 근원지 시스템으로 결정하는 단계를 더 포함할 수 있다.
상기 핑거 프린팅 정보는 상기 추적주소 이외에, 플로우 시작시간, 플로우 종료시간, 패킷수, 및 바이트수를 포함할 수 있다.
그리고, 본 발명의 다른 일면에 따른 네트워크 공격에 대한 네트워크 연결 체인 역추적 시스템은, 네트워크 상의 시스템들 간의 라우팅을 위한 하나 이상의 라우터와 연동하여 네트워크 플로우 정보를 데이터베이스에 관리하기 위해 네트워크 상에 분산 배치된 하나 이상의 플로우 수집기를 포함하고, 상기 하나 이상의 플로우 수집기는, 상기 데이터베이스를 참조하여 네트워크 공격에 대한 네트워크 연결 체인을 역추적하기 위한 각각의 추적 에이전트를 포함하며, 상기 각각의 추적 에이전트는, 핑거 프린팅 정보에 포함된 추적주소를 목적지 주소로 포함하는 네트워크 세션을 검색하여 해당 소스 주소가 상기 추적주소로 대체된 핑거 프린팅 정보를 생성하며, 대체된 상기 핑거 프린팅 정보가 포함된 네트워크 플로우 정보를 검색하여, 검색된 네트워크 플로우 정보의 해당 목적지 주소에 상기 추적 주소를 포함하는 새로운 핑거 프린팅 정보를 생성하며, 이전까지의 네트워크 세션에 대한 ID에 해당 네트워크 세션에 대한 ID가 더 포함된 공격 연결 체인 리스트를 생성하는 추적부를 포함할 수 있다.
상기 네트워크 연결 체인 역추적 시스템은, 공격 네트워크 세션에 대한 핑거 프린팅 정보를 생성하여 상기 추적 에이전트로 추적을 요청하기 위한 네트워크 상의 추적 요청기를 더 포함할 수 있다.
상기 각각의 추적 에이전트는, 상기 새로운 핑거 프린팅 정보와 상기 공격 연결 체인 리스트를 상기 각각의 추적 에이전트로 전파하여 상기 새로운 핑거 프린팅 정보에 대하여 반복적으로 공격 연결 체인 리스트를 생성하도록 제어하는 공유부를 더 포함할 수 있다.
상기 공유부는 P2P 방식으로 복수의 추적 에이전트에 대하여 상기 전파를 수행할 수 있다.
상기 추적부는, 대체된 상기 핑거 프린팅 정보가 포함된 네트워크 플로우 정보가 검색되지 않으면, 현재까지에 대한 최종 공격 연결 체인 리스트를 생성하여 네트워크 상의 추적 요청기로 전송할 수 있다.
상기 추적부는, 상기 검색 시에 상기 추적 주소가 네트워크 플로우 정보에 목적지 주소로 포함여부 이외에, 대체된 상기 핑거 프린팅 정보의 플로우 시작시간으로부터 플로우 종료시간까지의 시간, 해당 패킷수, 및 해당 바이트수가 해당 네트워크 플로우 정보에 부분 집합 관계인지 여부를 판단할 수 있다.
상기 추적 요청기는, 상기 최종 공격 연결 체인 리스트를 분석하여 최종적으로 추적된 네트워크 세션의 소스 IP 주소를 갖는 시스템을 근원지 시스템으로 결정할 수 있다.
상기 핑거 프린팅 정보는 상기 추적주소 이외에, 플로우 시작시간, 플로우 종료시간, 패킷수, 및 바이트수를 포함할 수 있다.
본 발명의 네트워크 연결 체인을 역추적하는 방법 및 시스템에 따르면, 공격자근원지 추적을 위해 ISP가 라우터에 부가 기능을 탑재하거나 모니터링을 위한 추가 시스템이 설치되어야 하는 부담 때문에 이론적으로만 가능하고 실제 활용하기 어려운 대부분의 기존의 추적 방법 보다, 새로운 장비의 추가나 IP 프로토콜의 표준 규격의 변경 등과 같은 네트워크의 오버헤드가 없으면서, 프락시 서버 혹은 여러 사이트를 경유함으로써 근원지를 숨기려는 공격자 시스템의 최종 위치를 추적할 수 있다는 이점이 있다.
또한, 본 발명에 따르면 상이한 조직의 ISP 사이에서 정보 교환을 위한 새로운 프로토콜의 정의없이 추적 에이전트만 설치하면 분산형 P2P 기법으로 동적 관리가 가능하므로 설치 및 보급의 확장성이 우수하다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 연결 체인의 역추적에 기반이되는 네트워크 플로우 데이터를 설명하기 위한 도면이다.
도 2는 경유지 시스템을 경유하여 피해 시스템에 대한 해킹 공격을 한 근원지 시스템에 대한, 본 발명의 일 실시 예에 따른 역추적 방법의 개념을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격에 대한 네트워크 연결 체인 역추적 시스템을 설명하기 위한 도면이다.
도 4는 도 3의 추적 요청기와 추적 에이전트의 구체적인 블록도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크 공격에 대한 네트워크 연결 체인 역추적 시스템의 동작 설명을 위한 흐름도이다.
도 6은 도 5에서 P2P 방식의 추적 정보 전파를 나타내는 도면이다.
이하에서는 첨부된 도면들을 참조하여 본 발명에 대해서 자세히 설명한다. 이때, 각각의 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타낸다. 또한, 이미 공지된 기능 및/또는 구성에 대한 상세한 설명은 생략한다. 이하에 개시된 내용은, 다양한 실시 예에 따른 동작을 이해하는데 필요한 부분이 중점적으로 설명하며, 그 설명의 요지를 흐릴 수 있는 요소들에 대한 설명은 생략한다.
또한 도면의 일부 구성요소는 과장되거나 생략되거나 또는 개략적으로 도시될 수 있다. 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니며, 따라서 각각의 도면에 그려진 구성요소들의 상대적인 크기나 간격에 의해 여기에 기재되는 내용들이 제한되는 것은 아니다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 연결 체인의 역추적에 기반이되는 네트워크 플로우 데이터를 설명하기 위한 도면이다.
도 1과 같이 인터넷과 같은 네트워크 상에서 다양한 통신 노드들 간의 트래픽 라우팅을 위한 라우터(들)은 플로우 수집기를 이용해 트래픽 엔지니어링, DDos 대응, 네트워크 과금 등을 위해 발생되는 네트워크 플로우 정보(예, NetFlow, cflowd, sFlow, IPFIX 등)를 수집하며, 본 발명에서는 이와 같은 네트워크 플로우 정보를 응용하여 사이버 해킹 공격에 대한 공격 근원지를 추적할 수 있도록 하였다. 특히, 본 발명에서는 인터넷, 내부 로컬 네트워크 등 네트워크 상에서 사이버 해킹 공격이 발생하였을 경우 네트워크의 새로운 장비의 추가나 표준 프로토콜의 수정없이 또는 네트워크의 오버헤드 없이 용이하게 여러 사이트를 경유하는 사이버 해킹 공격에 대한 공격 근원지를 역추적할 수 있도록 하였다.
도 2는 경유지 시스템(G1, G2, G3..)을 경유하여 피해 시스템(V)에 대한 해킹 공격을 한 근원지 시스템(A)에 대한, 본 발명의 일 실시 예에 따른 역추적 방법의 개념을 설명하기 위한 도면이다.
여기서, 근원지 시스템(A), 경유지 시스템(G1, G2, G3..), 피해 시스템(V)은 인터넷, 이동통신망 등 네트워크 상의 서버나 컴퓨터일 수 있으며, 네트워크 장비(예, 라우터) 또는 인터넷 공급자(Internet Service Provider, ISP) 서버 등 일 수도 있다.
해킹 공격자가 근원지 시스템(A)에서 각 네트워크 세션(C1, C2, C3..)을 통한 각 경유지 시스템(G1, G2, G3..)과의 접속으로 우회하여 피해 시스템(V)에 DDos 공격이나, 바이러스 또는 악성코드를 감염시켜, 피해 시스템(V)이 다운되거나 동작이 느려지거나 파일이 제거되거나 기타 정상적인 운영이 유지될 수 없도록 해킹 공격을 당한 경우에, 먼저, 플로우 수집기의 해당 네트워크 플로우 정보에 대한 로그 분석으로 피해 시스템(V)에 직접 피해를 일으킨 경유지 시스템(G1)과의 네트워크 세션(C1)을 추출할 수 있다.
이때, 먼저, 하기하는 바와 같이 네트워크 상의 본 발명의 추적 모듈(하기의 추적 요청기)을 통해 피해 시스템(V)과 경유지 시스템(G1) 사이의 네트워크 세션(C1)의 네트워크 플로우 정보(예, ID, 소스 주소(SRC), 목적지주소(DST), 플로우 시작시간(Timestamp-S), 플로우 종료시간(Timestamp-E), 패킷수(Packets), 바이트수(Bytes) 등을 포함하는 Netflow 등)로부터 추적에 활용할 수 있는 플로우 핑거 프린팅 정보(이하 핑거 프린팅 정보라 함)(FUI(C1))를 생성할 수 있다.
핑거 프린팅 정보는 <추적주소(현재 세션의 소스주소, 또는 다음 세션의 목적지 주소), 플로우 시작시간, 플로우 종료시간, 패킷수, 바이트수>를 포함할 수 있으며, 각 플로우 수집기에 본발명의 추적 모듈(하기의 추적 에이전트)을 설치하여 역추적되는 각 공격 네트워크 세션(C2, C3, C4..)에 대한 핑거 프린팅 정보를 추적해 가면서 공격에 사용된 각 경유지 시스템을 차례로 알아내어 공격 근원지 시스템(A)를 찾아 낼 수 있도록 하였다. 예를 들어, 경유지 시스템들(G1, G2) 간의 공격 네트워크 세션(C2)에 대한 핑거 프린팅 정보(FUI(C2))가 공격 네트워크 세션(C1)에 대한 핑거 프린팅 정보(FUI(C1))를 포함하고 있으면, 공격 네트워크 세션(C2)은 공격 네트워크 세션(C1)에 대한 경유지 채널로 판단하는 방법을 이용한다.
현재 해킹 공격이 진행 중이거나 공격 네트워크 연결이 종료되었다면, 적어도 세션 C1에 대한 플로우 시작시간과 종료시간은, 세션 C2의 플로우 시작시간과 종료시간 내에 존재할 것이고, 이 특성을 만족하는 네트워크 플로우 중 패킷수와 바이트수의 특성정보가 유사한 플로우가 해당 세션과 밀접한 관련이 있다고 할 수 있다. 각 목적지주소에 대하여 이 과정이 반복되면 최종 근원지 시스템(A)까지 관련 세션을 찾을 수 있다. 경유지 시스템들 G1과 G2 사이에 가능한 한 많은 플로우 수집기가 배치되어 있다면 관련 세션을 찾을 확률은 높아진다. 추적 에이전트는 다수의 플로우 수집기에 응용 프로그램 형태로 설치될 수 있고, 각 플로우 수집기의 시간 동기는 중요하다. 최근의 네트워크 장비는 GPS(Global Positioning System) 기반의 클락을 사용하거나, IEEE1588 표준의 클럭 동기화 프로토콜을 사용하므로, 30μsec의 오차 범위에서 동작한다고 가정할 수 있다. 패킷 샘플에 대한 플로우 특성의 정확성을 높이기 위해서는 IETF RFC 5474, RFC 5476 (IP 패킷 샘플을 위한 프레임 워크 및 샘플링 방법) 규격을 이용하여 동기화하는 것이 바람직하다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격에 대한 네트워크 연결 체인 역추적 시스템(100)을 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명이 일 실시예에 따른 네트워크 연결 체인 역추적 시스템(100)은, 네트워크 상의 근원지 시스템(A), 경유지 시스템(G1, G2, G3..), 피해 시스템(V) 등 시스템들 간의 라우팅을 위한 라우터들과 연동되는 플로우 수집기(110)를 포함하며, 플로우 수집기(110)는 위와 같은 시스템들 사이에 하나 또는 2이상 복수로 가능한 한 많이 설치되어 시스템들 사이의 각 네트워크 세션에 대한 네트워크 플로우 정보(예, ID, 소스 주소(SRC), 목적지주소(DST), 플로우 시작시간(Timestamp-S), 플로우 종료시간(Timestamp-E), 패킷수(Packets), 바이트수(Bytes) 등을 포함하는 Netflow 등)를 수집하여 데이타베이스(112)에 기록 관리할 수 있다.
이외에도 본 발명이 일 실시예에 따른 네트워크 연결 체인 역추적 시스템(100)은, 플로우 수집기(110) 또는 추적 에이전트(111)와 연동하는 네트워크 상의 서버 형태인 추적 요청기(120)를 포함한다. 또한, 하기하는 바와 같이 추적 요청기(120)는 위와 같은 시스템들 또는 플로우 수집기(110)와 연동하여 네트워크 트래픽 양에 따른 피해 시스템(V)에 대한 해킹 공격 여부를 탐지하는 공격 탐지 시스템(도시하지 않음)과도 연동할 수 있다.
이와 같이 본 발명에서는 네트워크 플로우 정보를 데이타베이스(112)에 기록 관리하는 기존 네트워크 인프라에 구축되어 있는 플로우 수집기(110)를 그대로 활용하여, 본 발명의 해킹 공격에 대한 추적을 위하여 추가장비의 설치나 네트워크 프로토콜의 수정 없이도, 네트워크 상에서 연동하는 추적 요청기(120)만을 간단히 구현하여 효과적으로 경유지 시스템(G1, G2, G3..)을 경유한 근원지 시스템(A)의 해킹 공격을 역추적할 수 있도록 한다.
도 4는 도 3의 추적 요청기(120)와 추적 에이전트(111)의 구체적인 블록도이다.
도 4를 참조하면, 추적 요청기(120)는 추적 요청부(121) 및 추적 결과 분석부(122)를 포함할 수 있으며, 추적 에이전트(111)는 추적부(116), 공유부(117) 및 결과 전송부(118)를 포함할 수 있다.
이와 같은 추적 요청기(120) 및 추적 에이전트(111)의 각부 구성 요소들은 소프트웨어, 하드웨어, 또는 이들의 결합으로 구현될 수 있으며, 어느 하나의 유닛이 다른 유닛을 포함하도록 구현될 수도 있으며, 또한, 하나의 유닛에서의 세부 기능들은 서로 분리된 세부 유닛들에서 각각 구현되도록 할 수도 있다.
이하 도 5의 흐름도를 참조하여 본 발명의 일 실시예에 따른 추적 요청기(120) 및 추적 에이전트(111)를 포함하는 네트워크 연결 체인 역추적 시스템(100)의 동작을 좀 더 자세히 설명한다.
먼저, 피해 시스템(V)이 인지되면 입력(예, 수동 또는 공격 탐지 시스템의 통보 등)되는 피해 시스템(V)과 첫번째 경유지 시스템(G1) 사이의 공격 네트워크 세션(C1)에 대한 네트워크 플로우 정보에 따라, 추적 요청기(120)의 추적 요청부(121)는 최초로 네트워크 세션(C1)에 대한 핑거 프린팅 정보(FUI(C1))를 생성할 수 있다(도 5의 S110 참조). 이때, 플로우 수집기(110)와 연동을 통하여, 네트워크 플로우 정보(예, ID, 소스 주소(SRC), 목적지주소(DST), 플로우 시작시간(Timestamp-S), 플로우 종료시간(Timestamp-E), 패킷수(Packets), 바이트수(Bytes) 등을 포함하는 Netflow 등)가 기록 관리되는 데이타베이스(112)가 참조될 수 있다.
이와 같은 각 세션에 대한 핑거 프린팅 정보(FUI)는 해당 세션에 대한 <추적주소(현재 세션의 목적지 주소), 플로우 시작시간, 플로우 종료시간, 패킷수, 바이트수>를 포함하되, 여기서 추적주소(IP 주소)는 해당 현재 세션에서의 목적지주소(IP 주소)로서, FUI(C1)에서는 네트워크 세션(C1)에 대한 목적지 주소인 피해 시스템(V)의 IP 주소일 수 있다.
이와 같이 추적 요청부(121)는 핑거 프린팅 정보(FUI(C1))를 생성한 후, 네트워크 상에 분산되어 있는 소정의 하나 이상의 추적 에이전트(111)로 전송하여 추적을 요청하며, 핑거 프린팅 정보(FUI(C1))를 수신하는 하나 이상의 추적 에이전트(111)는 도 6과 같이 P2P(Peer-to-Peer) 방식으로 다른 추적 에이전트들로 핑거 프린팅 정보(FUI(C1))를 전파(전송)시켜 서로 공유함으로써 위와 같은 추적주소를 추적해 나가도록 할 수 있다(도 5의 S120).
이후 n=1로 되며(도 5의 S121), 먼저, 이와 같이 핑거 프린팅 정보(FUI(Cn), 예, FUI(C1))를 수신하는 각 추적 에이전트(111)의 추적부(116)는 수신하는 핑거 프린팅 정보(FUI(Cn), 예, FUI(C1))에 대하여, 데이타베이스(112)를 검색하여 각 네트워크 세션에 대한 네트워크 플로우 정보 중 핑거 프린팅 정보(FUI(Cn), 예, FUI(C1))가 포함된 네트워크 플로우 정보가 있는지 여부를 판단한다(도 5의 S130 참조). 다만, 여기서 (FUI(Cn), 예, FUI(C1))의 추적 주소인 해당 목적지 주소를 갖는 세션(Cn, 예, C1)을 검색하여 (FUI(Cn), 예, FUI(C1))의 소스 주소를 추출하고, 핑거 프린팅 정보(FUI(Cn), 예, FUI(C1)) 중 추적 주소를 (FUI(Cn), 예, FUI(C1))의 소스 주소로 대체한 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')의 해당 소스 주소를 목적지 주소로 포함하는 네트워크 플로우 정보가 있는지 여부를 판단한다.
예를 들어, 일반적인 세션 연결에서와 같이, 비교 대상 세션의 네트워크 플로우 정보에 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')가 포함되는 경우 FUI(Cn)'가FUI(Cn+1)의 부분 집합이 되는 관계를 만족한다. 이때, 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')의 소스주소가 해당 비교 대상 세션(Cn +1, 예, C2)의 네트워크 플로우 정보 중의 목적지 주소로 포함되고, 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')의 플로우 시작시간으로부터 플로우 종료시간까지의 시간이 해당 비교 대상 세션(Cn +1, 예, C2)의 네트워크 플로우 정보 중의 플로우 시작시간(Timestamp-S)으로부터 플로우 종료시간(Timestamp-E)까지의 시간에 포함된다. 또한, 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')의 패킷수와 바이트수 역시, 볼륨이 더 큰 해당 비교 대상 세션(Cn +1, 예, C2)의 네트워크 플로우 정보의 패킷수(Packets)와 바이트수(Bytes) 보다 작아야 한다.
이때 핑거 프린팅 정보(FUI(Cn)', 예, FUI(C1)')가 포함된 해당 네트워크 세션(예, C2)에 대한 해당 네트워크 플로우 정보가 검색되면, 추적부(116)는 공격 연결 체인 리스트(예, 최초 세션부터 현재까지의 세션들의 순차적 ID로서 C1-C2)를 생성한다(도 5의 S140 참조).
또한, 추적부(116)는 다음 세션에 대한 추적을 위한 정보로서, <추적주소(현재 세션(Cn +1, 예, C2)의 목적지 주소), 플로우 시작시간, 플로우 종료시간, 패킷수, 바이트수>를 포함하는 해당 네트워크 세션(예, C2)에 대한 핑거 프린팅 정보(FUI(Cn +1), 예, FUI(C2))를 생성한다(도 5의 S150 참조).
이에 따라 해당 추적 에이전트의 공유부(117)는 도 6과 같이 P2P(Peer-to-Peer) 방식으로 다른 추적 에이전트들로 재생성된 핑거 프린팅 정보(FUI(Cn +1), 예, FUI(C2))와 공격 연결 체인 리스트를 전파(전송)시켜 서로 공유함으로써 위와 같은 추적주소를 추적해 나가도록 할 수 있다(도 5의 S160).
이 후 n이 1씩 증가하며(도 5의 S161 참조) 위와 같은 과정이 1회 이상 더 반복될 수 있고, S130 단계에서 이와 같은 핑거 프린팅 정보(FUI(Cn))를 수신하는 각 추적 에이전트(111)의 추적부(116)가 수신하는 핑거 프린팅 정보(FUI(Cn))에 대하여, 데이타베이스(112)를 검색하여 각 네트워크 세션에 대한 네트워크 플로우 정보중 핑거 프린팅 정보(FUI(Cn)')(목적지 주소가 소스 주소로 대체된 핑거 프린팅 정보)가 포함된 네트워크 플로우 정보가 없으면, 추적부(116)는 현재까지의 공격 연결 체인 리스트(예, 최초 세션부터 현재까지의 세션들의 순차적 ID로서 C1-C2-C3-..)를 전송할 최종적인 리스트로 결정할 수 있다(도 5의 S131 참조).
이에 따라 결과 전송부(118)는 추적부(116)가 결정한 현재까지의 공격 연결 체인 리스트(예, 최초 세션부터 현재까지의 세션들의 순차적 ID로서 C1-C2-C3-..)에 대한 정보를 추적 요청기(120)로 전송한다(도 5의 S132 참조).
추적 요청기(120)의 추적 결과 분석부(122)는 공격 연결 체인 리스트에 대한 정보를 수신하면, 이를 분석하여 최종적으로 추적된 세션(Ca)의 소스 IP 주소를 갖는 시스템을 근원지 시스템(A)으로 결정할 수 있다. 이와 결정된 근원지 시스템(A)에 대한 IP 주소, 위치, 서버 소유자 등 해당 시스템에 대한 관련 정보를 디스플레이 장치에 표시할 수 있다. 이외에도 추적 결과 분석부(122)는 공격 탐지 시스템(도시하지 않음)이나 기타 관리자 시스템 등으로 근원지 시스템(A)에 대한 관련 정보를 이메일, 푸시 메시지 등으로 통보할 수도 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
플로우 수집기(110)
추적 요청기(120)
추적 요청부(121)
추적 결과 분석부(122)
추적 에이전트(111)
추적부(116)
공유부(117)
결과 전송부(118)

Claims (16)

  1. 네트워크 공격에 대한 역추적 시스템에서 네트워크 연결 체인 역추적 방법에 있어서,
    (A) 네트워크 상에 분산된 하나 이상의 각 추적 에이전트에서, 네트워크 플로우 정보에 대한 데이터베이스를 참조하여, 핑거 프린팅 정보에 포함된 추적주소를 목적지 주소로 포함하는 이전 네트워크 세션을 검색하여 해당 소스 주소가 상기 추적주소로 대체된 제1 핑거 프린팅 정보를 생성하는 단계; 및
    (B) 상기 각 추적 에이전트에서, 상기 데이터베이스를 참조하여, 대체된 상기 제1 핑거 프린팅 정보가 포함된 다음 네트워크 세션의 네트워크 플로우 정보를 검색하여, 검색된 상기 네트워크 플로우 정보의 해당 목적지 주소에 상기 추적 주소를 포함하는 새로운 제2 핑거 프린팅 정보를 생성하며, 상기 이전 네트워크 세션에 대한 ID에 상기 다음 네트워크 세션에 대한 ID가 더 포함된 공격 연결 체인 리스트를 생성하는 단계
    를 포함하고,
    상기 핑거 프린팅 정보는,
    플로우 시작시간 및 플로우 종료시간을 포함하며,
    상기 (B) 단계는,
    상기 다음 네트워크 세션의 네트워크 플로우 정보가 상기 목적지 주소로 상기 추적 주소를 포함하고, 대체된 상기 제1 핑거 프린팅 정보의 상기 플로우 시작시간부터 상기 플로우 종료시간까지의 시간이 상기 다음 네트워크 세션의 상기 플로우 시작시간부터 상기 플로우 종료시간까지의 시간의 부분집합인 경우, 상기 다음 네트워크 세션을 네트워크 공격에 대한 경유지 채널로 판단하여 상기 공격 연결 체인 리스트를 생성하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  2. 제1항에 있어서,
    상기 (A) 단계 전에,
    네트워크 상의 추적 요청기에서 공격 네트워크 세션에 대한 핑거 프린팅 정보를 생성하여 추적을 요청하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  3. 제1항에 있어서,
    상기 (B) 단계 후에,
    상기 제2 핑거 프린팅 정보와 상기 공격 연결 체인 리스트를 상기 각 추적 에이전트로 전파하여 상기 제2 핑거 프린팅 정보에 대하여 (A), (B) 단계를 1회 이상 더 반복하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  4. 제3항에 있어서,
    상기 전파가 P2P 방식으로 복수의 추적 에이전트에 대하여 이루어지는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  5. 제1항에 있어서,
    상기 (B) 단계는,
    대체된 상기 제1 핑거 프린팅 정보가 포함된 네트워크 플로우 정보가 검색되지 않으면, 현재까지에 대한 최종 공격 연결 체인 리스트를 생성하여 네트워크 상의 추적 요청기로 전송하는 단계
    를 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  6. 제1항에 있어서,
    상기 (B) 단계는,
    대체된 상기 제1 핑거 프린팅 정보의 해당 패킷수, 및 해당 바이트수가 상기 다음 네트워크 세션에 상응하는 상기 네트워크 플로우 정보와 부분 집합 관계인지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  7. 제5항에 있어서,
    상기 추적 요청기에서 상기 최종 공격 연결 체인 리스트를 분석하여 최종적으로 추적된 네트워크 세션의 소스 IP 주소를 갖는 시스템을 근원지 시스템으로 결정하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  8. 제1항에 있어서,
    상기 핑거 프린팅 정보는 패킷수, 및 바이트수를 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 방법.
  9. 네트워크 공격에 대한 네트워크 연결 체인 역추적 시스템에 있어서,
    네트워크 상의 시스템들 간의 라우팅을 위한 하나 이상의 라우터와 연동하여 네트워크 플로우 정보를 데이터베이스에 관리하기 위해 네트워크 상에 분산 배치된 하나 이상의 플로우 수집기를 포함하고, 상기 하나 이상의 플로우 수집기는, 상기 데이터베이스를 참조하여 네트워크 공격에 대한 네트워크 연결 체인을 역추적하기 위한 각각의 추적 에이전트를 포함하며,
    상기 각각의 추적 에이전트는, 핑거 프린팅 정보에 포함된 추적주소를 목적지 주소로 포함하는 이전 네트워크 세션을 검색하여 해당 소스 주소가 상기 추적주소로 대체된 제1 핑거 프린팅 정보를 생성하며, 대체된 상기 제1 핑거 프린팅 정보가 포함된 다음 네트워크 세션의 네트워크 플로우 정보를 검색하여, 검색된 상기 네트워크 플로우 정보의 해당 목적지 주소에 상기 추적 주소를 포함하는 새로운 제2 핑거 프린팅 정보를 생성하며, 상기 이전 네트워크 세션에 대한 ID에 상기 다음 네트워크 세션에 대한 ID가 더 포함된 공격 연결 체인 리스트를 생성하는 추적부
    를 포함하고,
    상기 핑거 프린팅 정보는,
    플로우 시작시간 및 플로우 종료시간을 포함하며,
    상기 추적부는,
    상기 다음 네트워크 세션의 네트워크 플로우 정보가 상기 목적지 주소로 상기 추적 주소를 포함하고, 대체된 상기 제1 핑거 프린팅 정보의 상기 플로우 시작시간부터 상기 플로우 종료시간까지의 시간이 상기 다음 네트워크 세션의 상기 플로우 시작시간부터 상기 플로우 종료시간까지의 시간의 부분집합인 경우, 상기 다음 네트워크 세션을 네트워크 공격에 대한 경유지 채널로 판단하여 상기 공격 연결 체인 리스트를 생성하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  10. 제9항에 있어서,
    공격 네트워크 세션에 대한 핑거 프린팅 정보를 생성하여 상기 추적 에이전트로 추적을 요청하기 위한 네트워크 상의 추적 요청기
    를 더 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  11. 제9항에 있어서,
    상기 각각의 추적 에이전트는,
    상기 제2 핑거 프린팅 정보와 상기 공격 연결 체인 리스트를 상기 각각의 추적 에이전트로 전파하여 상기 제2 핑거 프린팅 정보에 대하여 반복적으로 공격 연결 체인 리스트를 생성하도록 제어하는 공유부
    를 더 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  12. 제11항에 있어서,
    상기 공유부는 P2P 방식으로 복수의 추적 에이전트에 대하여 상기 전파를 수행하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  13. 제9항에 있어서,
    상기 추적부는,
    대체된 상기 제1 핑거 프린팅 정보가 포함된 네트워크 플로우 정보가 검색되지 않으면, 현재까지에 대한 최종 공격 연결 체인 리스트를 생성하여 네트워크 상의 추적 요청기로 전송하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  14. 제9항에 있어서,
    상기 추적부는,
    대체된 상기 제1 핑거 프린팅 정보의 해당 패킷수, 및 해당 바이트수가 상기 다음 네트워크 세션에 상응하는 상기 네트워크 플로우 정보와 부분 집합 관계인지 여부를 판단하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  15. 제13항에 있어서,
    상기 추적 요청기는, 상기 최종 공격 연결 체인 리스트를 분석하여 최종적으로 추적된 네트워크 세션의 소스 IP 주소를 갖는 시스템을 근원지 시스템으로 결정하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
  16. 제9항에 있어서,
    상기 핑거 프린팅 정보는 패킷수, 및 바이트수를 포함하는 것을 특징으로 하는 네트워크 연결 체인 역추적 시스템.
KR1020140027202A 2014-03-07 2014-03-07 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템 KR101889500B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140027202A KR101889500B1 (ko) 2014-03-07 2014-03-07 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
US14/635,962 US9537887B2 (en) 2014-03-07 2015-03-02 Method and system for network connection chain traceback using network flow data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140027202A KR101889500B1 (ko) 2014-03-07 2014-03-07 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20150105039A KR20150105039A (ko) 2015-09-16
KR101889500B1 true KR101889500B1 (ko) 2018-09-20

Family

ID=54018596

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140027202A KR101889500B1 (ko) 2014-03-07 2014-03-07 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템

Country Status (2)

Country Link
US (1) US9537887B2 (ko)
KR (1) KR101889500B1 (ko)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
JP6906928B2 (ja) 2015-11-09 2021-07-21 韓國電子通信研究院Electronics and Telecommunications Research Institute ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法
KR102462830B1 (ko) 2016-03-02 2022-11-04 한국전자통신연구원 플로우 정보를 이용한 분산 반사 서비스 거부 공격 검출 장치 및 방법
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10379990B2 (en) 2016-06-29 2019-08-13 Oracle International Corporation Multi-dimensional selective tracing
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
EP3276891B1 (en) * 2016-07-29 2019-02-27 Deutsche Telekom AG Techniques for establishing a communication connection between two network entities via different network flows
KR102088299B1 (ko) * 2016-11-10 2020-04-23 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
KR102588642B1 (ko) 2017-02-14 2023-10-11 한국전자통신연구원 스텝핑 스톤 검출 장치 및 방법
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439170B1 (ko) 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100439169B1 (ko) 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법
AU2003261154A1 (en) * 2002-07-12 2004-02-02 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
KR100571994B1 (ko) * 2004-03-31 2006-04-17 이화여자대학교 산학협력단 근원지 아이피 주소 변조 패킷의 탐지 및 패킷 근원지지적 방법
US20080127324A1 (en) * 2006-11-24 2008-05-29 Electronics And Telecommunications Research Institute DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD
KR100922582B1 (ko) 2007-07-20 2009-10-21 한국전자통신연구원 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
KR20110040152A (ko) * 2009-10-13 2011-04-20 한국전자통신연구원 공격자 패킷 역추적 방법 및 이를 위한 시스템
KR101144368B1 (ko) 2010-05-07 2012-05-10 한양대학교 산학협력단 라우터 시스템에서 공격자 단말기 역추적 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack

Also Published As

Publication number Publication date
KR20150105039A (ko) 2015-09-16
US9537887B2 (en) 2017-01-03
US20150256555A1 (en) 2015-09-10

Similar Documents

Publication Publication Date Title
KR101889500B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
Lu et al. An end-to-end, large-scale measurement of dns-over-encryption: How far have we come?
EP3304853B1 (en) Detection of malware and malicious applications
Chen et al. Measuring TCP round-trip time in the data plane
JP4759389B2 (ja) パケット通信装置
US7636305B1 (en) Method and apparatus for monitoring network traffic
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
US20070248084A1 (en) Symmetric connection detection
JP2007074734A (ja) 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム
JP2017092963A (ja) ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法
EP3484102B1 (en) Cloud computing environment system for automatically determining over-the-top applications and services
EP3484101A1 (en) Automatically determining over-the-top applications and services
CN107070851B (zh) 基于网络流的连接指纹生成和垫脚石追溯的系统和方法
JP2006191433A (ja) 踏み台パケット・進入中継装置特定装置
Shi et al. On capturing DDoS traffic footprints on the Internet
KR100439170B1 (ko) 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
EP3328032B1 (en) Network proxy detection
Gao et al. Protecting router cache privacy in named data networking
JP2010239392A (ja) サービス不能攻撃制御システム、装置、および、プログラム
Li et al. A study of traffic from the perspective of a large pure IPv6 ISP
Mugitama et al. An evidence-based technical process for openflow-based SDN forensics
Tian et al. A flow-based traceback scheme on an AS-level overlay network
Ensafi et al. Large-scale Spatiotemporal Characterization of Inconsistencies in the World's Largest Firewall
Kiremire et al. A prediction based approach to ip traceback
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right