KR102035582B1 - 공격 근원지 추적 장치 및 방법 - Google Patents

공격 근원지 추적 장치 및 방법 Download PDF

Info

Publication number
KR102035582B1
KR102035582B1 KR1020130144690A KR20130144690A KR102035582B1 KR 102035582 B1 KR102035582 B1 KR 102035582B1 KR 1020130144690 A KR1020130144690 A KR 1020130144690A KR 20130144690 A KR20130144690 A KR 20130144690A KR 102035582 B1 KR102035582 B1 KR 102035582B1
Authority
KR
South Korea
Prior art keywords
server
tracking
attack
information
tracking agent
Prior art date
Application number
KR1020130144690A
Other languages
English (en)
Other versions
KR20150060351A (ko
Inventor
한민호
김정태
김익균
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130144690A priority Critical patent/KR102035582B1/ko
Priority to US14/518,623 priority patent/US9374382B2/en
Publication of KR20150060351A publication Critical patent/KR20150060351A/ko
Application granted granted Critical
Publication of KR102035582B1 publication Critical patent/KR102035582B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Abstract

TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하는 공격 근원지 추적 장치 및 방법이 개시된다. 본 발명에 따른 공격 근원지 추적 장치는, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 서버 정보 추출부, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 추적 에이전트 설치부 및 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 추적부를 포함한다.

Description

공격 근원지 추적 장치 및 방법{APPARATUS AND METHOD FOR ATTACK SOURCE TRACEBACK}
본 발명은, 공격 근원지 추적 장치 및 방법에 관한 것이다. 더욱 상세하게는 본 발명은, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하는 공격 근원지 추적 장치 및 방법에 관한 것이다.
현재 인터넷(internet) 기술의 비약적인 발전으로 인해 산업구조가 재편되고, 업무 효율의 향상을 이끌어 내는 긍정적인 측면이 존재하고 있으나, 그 이면에는 인터넷의 익명성을 악용하여 다양한 범죄, 인신 공격 및 개인 정보 유출과 같은 사이버 테러가 일어 나고 있는 등 부정적인 측면도 함께 존재하고 있는 실정이다.
물론, 이와 같은 문제점을 해결하기 위해 다양한 역추적 기술이 논의되고 있는 실정이며, 극히 제한적인 환경하에서는 인터넷의 웹(Web)을 이용해 접속해오는 범죄자나 크래커(Cracker)의 위치를 실시간으로 추적하는 것이 가능하며 해당 구축 시스템에서는 웹 해킹 공격 용의자를 역추적 하려는 시도가 있어왔다.
아울러, 공격자(해커)는 자신의 존재(위치)를 숨기기 위해 네트워크 상에 존재하는 다수의 경유지, 즉 서버를 경유하여 공격을 시도하며, 이러한 형태의 공격에 대해 공격 근원지, 즉 해커를 추적하여 찾고자 하는 다양한 연구가 현재 진행 중에 있다. 그러나 기존의 연구들은 공격 근원지에서 경유지를 거처 피해 시스템까지 TCP Connection 상의 연결성을 유지할 경우에만 추적이 가능하며, 추적 기능을 제공하지 않는 네트워크 장비 (서버, 라우터 및 기타 보안 장비) 혹은 ISP를 경유한 공격의 경우 더 이상의 추적이 불가능한 단점이 존재한다.
따라서, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하는 공격 근원지 추적 장치 및 방법이 필요한 실정이다. 관련 기술로는 한국공개특허 제10-2003-0021338호가 존재한다.
본 발명의 목적은, 상기 문제점을 해결하기 위한 것으로, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하기 위하여 서버에 대한 정보를 추출하여 서버에 추적 에이전트를 설치함으로써 상기 추적 에이전트로부터 획득된 서버의 네트워크 정보를 분석하여 공격의 근원지를 색출하는 것을 가능케 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 공격 근원지 추적 장치는, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 서버 정보 추출부, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 추적 에이전트 설치부 및 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 추적부를 포함한다.
이 때, 상기 서버는, C & C 서버(Command & Control server)일 수 있다.
이 때, 상기 서버에 대한 정보는, 상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함할 수 있다.
이 때, 상기 추적 에이전트 설치부는, 복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치할 수 있다.
이 때, 상기 추적부는, 상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출할 수 있다.
이 때, 상기 추적 에이전트 설치부는, 상기 서버에 추적 에이전트를 설치하되, 공격자가 상기 추적 에이전트가 설치된 것을 알아차리지 못하도록 상기 추적 에이전트의 실행 결과를 감출 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 공격 근원지 추적 방법은, 서버 정보 추출부에 의하여, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 단계, 추적 에이전트 설치부에 의하여, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 단계 및 추적부에 의하여, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 단계를 포함한다.
이 때, 상기 서버는, C & C 서버(Command & Control server)일 수 있다.
이 때, 상기 서버에 대한 정보는, 상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함할 수 있다.
이 때, 상기 서버에 추적 에이전트를 설치하는 단계는, 복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치할 수 있다.
이 때, 상기 시스템을 향한 공격의 근원지를 색출하는 단계는, 상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출할 수 있다.
이 때, 상기 서버에 추적 에이전트를 설치하는 단계는, 상기 서버에 추적 에이전트를 설치하되, 공격자가 상기 추적 에이전트가 설치된 것을 알아차리지 못하도록 상기 추적 에이전트의 실행 결과를 감출 수 있다.
본 발명에 의하면, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적함에 따라 상기 문제점을 해결하는 효과가 있다.
또한, 본 발명에 의하면, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하기 위하여 서버에 대한 정보를 추출하여 서버에 추적 에이전트를 설치함으로써 상기 추적 에이전트로부터 획득된 서버의 네트워크 정보를 분석하여 공격의 근원지를 색출할 수 있다.
도 1은 본 발명에 따른 공격 근원지 추적 장치의 시스템 구성도이다.
도 2는 본 발명에 따른 공격 근원지 추적 장치의 블록도이다.
도 3은 본 발명에 따른 공격 근원지 추적 방법의 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다.
본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a),(b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
이하, 본 발명에 따른 공격 근원지 추적 장치에 대한 개념을 설명하기 위하여 사이버 표적 공격에 대한 일반적인 개념을 설명하도록 한다.
사이버 표적 공격은 특정 기업이나 조직의 네트워크에 침투하여 활동 거점을 마련한 후 기밀 정보를 수집하여 지속적으로 유출하는 은밀한 형태의 공격으로 정의되며, 보안장비의 탐지를 회피하기 위하여 은밀하고 천천히 공격하기 때문에 긴 시간 동안 진행된다.
구체적으로, 사이버 표적 공격은, 공격 준비 단계와 공격 단계로 나눌 수 있는데, 공격 준비 단계는 아래와 같다.
1) Attacker(공격자)가 공격 경유지(C&C 서버) 및 악성코드 유포지(Web 혹은 Mail 서버)를 확보하고, 확보된 악성코드 유포지에 악성코드(피해 시스템과 C&C 서버간 통신을 위한 코드)를 설치하는 과정.
2) 피해 시스템이 접속한 Web 혹은 Mail 서버(악성코드 유포지)로부터 자신도 모르게 악성코드가 다운로드 되는 과정.
3) 피해 시스템에 다운로드 된 악성코드가 설치 및 실행되어 피해시스템의 정보를 C&C 서버(공격 경유지)에게 보고하는 과정.
또한, 상기 공격 단계는, 공격자가 C&C 서버를 경유하여 이미 확보된 피해시스템 혹은 피해시스템이 속해 있는 기업이나 조직의 정보를 유출/파괴하는 과정이다.
이 때, 사이버 표적 공격의 공격 단계에서 공격자는 자신의 존재(위치)를 숨기기 위해 C&C 서버를 이용하며, 공격자와 피해 시스템은 TCP Connection 상의 연결성을 가지지 않으므로 피해 시스템은 공격을 탐지하더라도 C&C 서버 배후에 존재하는 공격자를 추적할 수 없다.
여기서 언급한 TCP Connection 상의 연결성이란 공격자가 Proxy Server의 개념으로 C&C 서버를 경유하여 직접 피해 시스템을 제어하는 것을 말한다.
사이버 표적 공격에서 공격자는 직접 피해시스템을 제어하는 대신 C&C 서버에 명령을 전달하여 C&C 서버가 피해 시스템을 공격하도록 하고, 공격을 통해 획득한 피해시스템의 정보를 C&C 서버로부터 가져가는 TCP Connection 상의 비 연결성 방법을 이용한다.
따라서, 본 발명에서는 기존의 연구들로 해결할 수 없었던 TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 뒤에 존재하는 공격자, 즉 공격 근원지를 추적할 수 있는 방안을 제시하고자 한다.
이하, 도면을 참조하여 본 발명에 따른 공격 근원지 추적 장치에 대하여 설명하도록 한다.
도 1은 본 발명에 따른 공격 근원지 추적 장치의 시스템 구성도이다. 도 2는 본 발명에 따른 공격 근원지 추적 장치의 블록도이다.
도 1을 참조하여 본 발명에 따른 공격 근원지 추적 장치의 시스템 구성도를 상세히 살펴보면, 공격 근원지(해커)(10)에서 C&C 서버(20)를 경유하여 피해 시스템(30)을 공격하는 모습을 확인할 수 있다.
우선, 상기 공격 근원지(10)는 악성 코드 유포지(50)에 악성 코드(피해 시스템(30)과 C & C 서버(20) 간 통신을 위한 코드)를 설치하여, 상기 피해 시스템(30)이 상기 악성 코드 유포지(50)에 접속하면, 악성 코드가 상기 피해 시스템(30)에 다운로드되어 상기 피해 시스템(30)과 C & C 서버(20) 간의 통신을 할 수 있는 루트가 확보된다.
본 발명에 따른 공격 근원지 추적 장치(100)는, 공격 근원지(해커)(10)가 상기 C&C 서버(20)를 경유하여 피해 시스템(30)을 공격하는 것을 탐지하게 된다.
이처럼, 공격을 탐지한 이후에는 상기 C&C 서버(20)에 대한 정보를 추출하고, 추출된 상기 서버에 대한 정보를 기초로 하여 상기 C&C 서버(20)에 추적 에이전트를 설치하게 된다.
이 후, 설치된 추적 에이전트로부터 본 발명에 따른 공격 근원지 추적 장치(100)는 상기 C&C 서버(20)의 네트워크 정보를 분석함으로써 상기 피해 시스템(30)을 향한 공격의 근원지를 색출할 수 있게 되는 것이다.
도 2를 참조하여, 본 발명에 따른 공격 근원지 추적 장치의 각 구성요소에 대하여 구체적으로 설명하면, 본 발명에 따른 공격 근원지 추적 장치(100)는, 서버 정보 추출부(110), 추적 에이전트 설치부(120) 및 추적부(130)를 포함한다.
더욱 상세하게, 본 발명에 따른 공격 근원지 추적 장치(100)는, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 서버 정보 추출부(110), 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 추적 에이전트 설치부(120) 및 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 추적부(130)를 포함한다.
상기 서버 정보 추출부(110)는, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 기능을 수행한다.
여기서, 상기 시스템이란, 공격을 받는 피해 시스템을 의미한다. 구체적으로 공격자가 서버를 경유하여 시스템을 공격하게 되면, 상기 서버 정보 추출부(110)는 이러한 침입을 탐지하게 되며, 침입을 탐지한 이후에는 경유된 서버에 대한 정보를 추출하게 되는 것이다.
이 때, 상기 서버는 C & C 서버(Command & Control server)가 될 수 있다. 상기 C & C 서버란, 원격에서 좀비 PC를 관리하고, 공격 명령을 내리는 사이버 공격의 두뇌 역할을 수행하는 서버를 의미한다. 즉, 해커가 미리 악성 코드를 배포하여 '좀비' 상태로 PC를 감염시키면, 상기 C & C 서버의 명령을 받게 되는 것이다. 따라서, 해커는 상기 C & C 서버를 통해 원격에서 PC를 자신의 PC 처럼 다룰 수 있게 되는 것이다.
또한, 상기 서버에 대한 정보는, 상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함하는 개념이다.
즉, 상기 서버에 대한 정보를 추출함으로써 상기 서버의 위치를 추적할 수 있게 되는 것이다.
상기 추적 에이전트 설치부(120)는, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 기능을 수행한다.
상기 살펴본 바와 같이 서버에 대한 정보를 획득하게 되면, 상기 서버의 위치를 추적할 수 있게 되면, 상기 서버의 위치를 추적한 이후에는 상기 서버에 추적 에이전트를 설치하게 되는 것이다.
아울러, 상기 추적 에이전트 설치부(120)는, 공격자가 알아차리지 못하도록 상기 서버에 추적 에이전트를 설치하는 것이 바람직하다. 즉, 상기 서버에 추적 에이전트가 설치된 것을 공격자가 인지하게 되면, 공격자는 더 이상 공격하지 않을 수 있게 되므로 공격자의 위치를 추적할 수 없는 결과를 야기하기 때문이다.
따라서, 상기 추적 에이전트 설치부(120)는, 상기 서버에 추적 에이전트를 설치하되, 공격자가 상기 추적 에이전트가 설치된 것을 알아차리지 못하도록 상기 추적 에이전트의 실행 결과를 감출 수 있다.
이 때, 상기 추적 에이전트 설치부(120)는, 복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치할 수 있다.
즉, 공격자로부터 하나의 서버를 경유하여 공격을 수행하는 것이 아니라, 공격자가 복수개의 서버를 순차적으로 경유하여 시스템을 공격하는 경우에는 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에서 가장 가까운 서버부터 차례대로 추적 에이전트를 설치하는 것이다.
상기 추적부(130)는, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 기능을 수행한다.
구체적으로, 상기 추적부(130)는. 상기 추적 에이전트 설치부(120)에 의하여 서버에 설치된 추적 에이전트로부터 상기 서버의 네트워크 정보를 실시간 수신하게 된다. 이 때, 실시간 수신한 상기 서버의 네트워크 정보를 분석함으로써 공격 근원지를 색출할 수 있게 되는 것이다.
또한, 상기 추적부(130)는, 공격자가 복수개의 서버를 경유하여 시스템을 공격한 경우, 상기 추적 에이전트 설치부(120)에 의하여 상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출할 수 있게 된다.
이하, 본 발명에 따른 공격 근원지 추적 방법에 대하여 설명하도록 한다. 상기 살펴본 바와 같이, 본 발명에 따른 공격 근원지 추적 장치(100)와 중복되는 기술 내용에 대한 설명은 생략하도록 한다.
도 3은 본 발명에 따른 공격 근원지 추적 방법의 흐름도이다.
도 3을 참조하면, 본 발명에 따른 공격 근원지 추적 방법은 먼저, 서버 정보 추출부에 의하여, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출한다(S100).
이 때, 상기 서버는, C & C 서버(Command & Control server)일 수 있으며, 상기 서버에 대한 정보는, 상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함할 수 있다.
상기 S100 단계 이후에는, 추적 에이전트 설치부에 의하여, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하게 된다(S110).
이 때, 상기 S110 단계는, 복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치할 수 있다.
상기 S110 단계 이 후, 추적부에 의하여, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하게 된다(S120).
이 때, 상기 S120 단계는, 복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우, 상기 S110 단계에서 상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하게 되는 것이다.
상기 살펴본 바와 같이, 본 발명에 따른 공격 근원지 추적 장치(100) 및 방법에 의하면, TCP Connection 상의 비 연결성을 가지는 사이버 표적 공격에서 C&C 서버의 배후에 존재하는 공격자, 즉, 공격 근원지를 추적하기 위하여 서버에 대한 정보를 추출하여 서버에 추적 에이전트를 설치함으로써 상기 추적 에이전트로부터 획득된 서버의 네트워크 정보를 분석하여 공격의 근원지를 색출할 수 있는 장점이 있다.
이상에서와 같이 본 발명에 따른 공격 근원지 추적 장치(100) 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 공격 근원지 20: C & C 서버
30: 피해 시스템 40: 추적 에이전트
50: 악성 코드 유포지
100: 공격 근원지 추적 장치
110: 서버 정보 추출부 120: 추적 에이전트 설치부
130: 추적부

Claims (12)

  1. 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 서버 정보 추출부;
    상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 추적 에이전트 설치부; 및
    상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 추적부를 포함하고,
    상기 추적 에이전트 설치부는 상기 서버에 추적 에이전트를 설치하되, 공격자가 상기 추적 에이전트가 설치된 것을 알아차리지 못하도록 상기 추적 에이전트의 실행 결과를 감추는 것을 특징으로 하는 공격 근원지 추적 장치.
  2. 청구항 1에 있어서,
    상기 서버는,
    C & C 서버(Command & Control server)인 것을 특징으로 하는 공격 근원지 추적 장치.
  3. 청구항 1에 있어서,
    상기 서버에 대한 정보는,
    상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함하는 것을 특징으로 하는 공격 근원지 추적 장치.
  4. 청구항 1에 있어서,
    상기 추적 에이전트 설치부는,
    복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우,
    상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치하는 것을 특징으로 하는 공격 근원지 추적 장치.
  5. 청구항 4에 있어서,
    상기 추적부는,
    상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 것을 특징으로 하는 공격 근원지 추적 장치.
  6. 삭제
  7. 서버 정보 추출부에 의하여, 서버를 경유하여 발생한, 시스템을 향한 공격을 탐지하여 상기 서버에 대한 정보를 추출하는 단계;
    추적 에이전트 설치부에 의하여, 상기 서버에 대한 정보를 기반으로 상기 서버에 추적 에이전트를 설치하는 단계; 및
    추적부에 의하여, 상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 단계를 포함하고,
    상기 서버에 추적 에이전트를 설치하는 단계는,
    상기 서버에 추적 에이전트를 설치하되, 공격자가 상기 추적 에이전트가 설치된 것을 알아차리지 못하도록 상기 추적 에이전트의 실행 결과를 감추는 단계를 포함하는 것을 특징으로 하는 공격 근원지 추적 방법.
  8. 청구항 7에 있어서,
    상기 서버는,
    C & C 서버(Command & Control server)인 것을 특징으로 하는 공격 근원지 추적 방법.
  9. 청구항 7에 있어서,
    상기 서버에 대한 정보는,
    상기 서버의 IP(Internet Protocol) 주소 및 시스템 정보를 포함하는 것을 특징으로 하는 공격 근원지 추적 방법.
  10. 청구항 7에 있어서,
    상기 서버에 추적 에이전트를 설치하는 단계는,
    복수개의 서버를 경유하여 발생한, 시스템을 향한 공격의 경우,
    상기 추적 에이전트에 의하여 획득된 상기 서버의 네트워크 정보를 분석하여 상기 복수개의 서버 중 상기 시스템에 최근접한 서버부터 순차적으로 추적 에이전트를 설치하는 것을 특징으로 하는 공격 근원지 추적 방법.
  11. 청구항 10에 있어서,
    상기 시스템을 향한 공격의 근원지를 색출하는 단계는,
    상기 복수개의 서버 각각에 설치된 추적 에이전트에 의하여 획득된 상기 복수개의 서버의 네트워크 정보를 순차적으로 분석함으로써 상기 시스템을 향한 공격의 근원지를 색출하는 것을 특징으로 하는 공격 근원지 추적 방법.
  12. 삭제
KR1020130144690A 2013-11-26 2013-11-26 공격 근원지 추적 장치 및 방법 KR102035582B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130144690A KR102035582B1 (ko) 2013-11-26 2013-11-26 공격 근원지 추적 장치 및 방법
US14/518,623 US9374382B2 (en) 2013-11-26 2014-10-20 Apparatus and method for attack source traceback

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130144690A KR102035582B1 (ko) 2013-11-26 2013-11-26 공격 근원지 추적 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150060351A KR20150060351A (ko) 2015-06-03
KR102035582B1 true KR102035582B1 (ko) 2019-10-24

Family

ID=53183875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130144690A KR102035582B1 (ko) 2013-11-26 2013-11-26 공격 근원지 추적 장치 및 방법

Country Status (2)

Country Link
US (1) US9374382B2 (ko)
KR (1) KR102035582B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102462830B1 (ko) 2016-03-02 2022-11-04 한국전자통신연구원 플로우 정보를 이용한 분산 반사 서비스 거부 공격 검출 장치 및 방법
KR102088299B1 (ko) * 2016-11-10 2020-04-23 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
KR102588642B1 (ko) 2017-02-14 2023-10-11 한국전자통신연구원 스텝핑 스톤 검출 장치 및 방법
US11238459B2 (en) * 2020-01-07 2022-02-01 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100422802B1 (ko) 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR20030069241A (ko) * 2002-02-19 2003-08-27 한국전자통신연구원 침입자의 근원지 추적 장치 및 방법
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
KR100577829B1 (ko) 2005-03-11 2006-05-12 (주)아이넷캅 웹 접속자 위치 추적 시스템 및 그 추적 방법
KR101003094B1 (ko) 2008-04-28 2010-12-21 한국전자통신연구원 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
KR100960111B1 (ko) * 2008-07-30 2010-05-27 한국전자통신연구원 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템
US8176173B2 (en) * 2008-09-12 2012-05-08 George Mason Intellectual Properties, Inc. Live botmaster traceback
EP2737742A4 (en) * 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
KR20130049336A (ko) 2011-11-04 2013-05-14 한국전자통신연구원 공격 근원지 및 공격 유포지 추적 방법 및 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Traceback Attacks in Cloud -- Pebbletrace Botnet", Wenjie Lin 외1, 2012 32nd International Conference on Distributed Computing Systems Workshops, 2012.06.21*

Also Published As

Publication number Publication date
US20150150133A1 (en) 2015-05-28
US9374382B2 (en) 2016-06-21
KR20150060351A (ko) 2015-06-03

Similar Documents

Publication Publication Date Title
Brewer Advanced persistent threats: minimising the damage
Mazurczyk et al. Information hiding as a challenge for malware detection
Vukalović et al. Advanced persistent threats-detection and defense
Tsikerdekis et al. Approaches for preventing honeypot detection and compromise
Ghafir et al. Malicious ssl certificate detection: A step towards advanced persistent threat defence
CN105915532B (zh) 一种失陷主机的识别方法及装置
CN101621428B (zh) 一种僵尸网络检测方法及系统以及相关设备
Baykara et al. A survey on potential applications of honeypot technology in intrusion detection systems
KR102035582B1 (ko) 공격 근원지 추적 장치 및 방법
Ghafir et al. Botnet command and control traffic detection challenges: a correlation-based solution
CN104978519A (zh) 一种应用型蜜罐的实现方法及装置
Li et al. The research and design of honeypot system applied in the LAN security
Vasilomanolakis et al. Did you really hack a nuclear power plant? An industrial control mobile honeypot
Lin et al. Implementation of an SDN-based security defense mechanism against DDoS attacks
Fraunholz et al. Cloxy: A context-aware deception-as-a-service reverse proxy for web services
Kulshrestha et al. A literature reviewon sniffing attacks in computernetwork
CN106209867B (zh) 一种高级威胁防御方法及系统
Chen et al. Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions
Ahmad et al. Detection and Analysis of Active Attacks using Honeypot
Mudgerikar et al. Iot attacks and malware
Asgarkhani et al. A strategic approach to managing security in SCADA systems
Rajkumar et al. Evolution for a secured path using NexGen firewalls
CN115150140A (zh) 一种基于集中统一布防的分布式攻击诱捕系统及方法
Ferguson Observations on emerging threats
Mims The Botnet Problem

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right