KR20030052843A - 네트웍 침입자 역추적 시스템 및 방법 - Google Patents

네트웍 침입자 역추적 시스템 및 방법 Download PDF

Info

Publication number
KR20030052843A
KR20030052843A KR1020010082960A KR20010082960A KR20030052843A KR 20030052843 A KR20030052843 A KR 20030052843A KR 1020010082960 A KR1020010082960 A KR 1020010082960A KR 20010082960 A KR20010082960 A KR 20010082960A KR 20030052843 A KR20030052843 A KR 20030052843A
Authority
KR
South Korea
Prior art keywords
module
router
session
connection session
input
Prior art date
Application number
KR1020010082960A
Other languages
English (en)
Inventor
김철우
박승언
김성환
김현숙
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020010082960A priority Critical patent/KR20030052843A/ko
Publication of KR20030052843A publication Critical patent/KR20030052843A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트웍에 침입한 침입자의 근원지를 역추적하기 위한 시스템 및 방법에 관한 것이다. 본 발명은, ISP(Internet Service Provider) 네트웍에 연결되어 있는 라우터들과, 상기 라우터에 수용되고 침입자의 경유지로 이용될 수 있는 시스템들의 연결세션을 비교하여 침입자의 근원지 네트웍을 역추적하는데, 역추적 시스템이 경유지 시스템을 수용하는 라우터의 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내고, 이 연결세션 통계정보 수집 및 비교 동작을 반복적으로 수행하여 침입자의 근원지를 찾아낸다. 본 발명은 경유지 시스템의 경우 해당 경유지 시스템을 수용하는 라우터에는 통계정보가 동일한 연결세션이 한 쌍이라는 점을 이용한 것이다. 본 발명에 따르면 ISP 사업자의 가입자 네트웍에 있는 시스템에게 침입한 침입자의 근원지를 역추적함으로써, 사고 재발을 방지하고 안전하고 신뢰성있는 인터넷 서비스를 제공할 수 있는 효과가 있다.

Description

네트웍 침입자 역추적 시스템 및 방법 {System and method for inverse tracing a intruder}
본 발명은 네트웍에 침입한 침입자의 근원지를 역추적하는 시스템 및 방법에 관한 것으로서, 특히 ISP(internet service provider) 사업자가 관리하는 라우터를 분석하여 네트웍 침입자의 근원지를 역추적하는 시스템 및 방법에 관한 것이다.
최근, 해킹에 대한 피해가 확산됨에 따라, 침입자의 해킹경로를 분석하여 그 근원지를 찾아내고, 우회경로로 이용된 시스템의 해킹 피해 유무를 점검하여 해킹으로 인한 피해확산을 방지하는 업무가 인터넷 망 사업자의 중요한 업무의 하나로 대두되고 있다. 침입자를 추적하고 해킹사고를 예방하고자 하는 노력은 국제적인 해킹 침해 사고 협력기구인 FIRST(Forum of Incident Response and Security Teams)를 주축으로, 각 국가에서는 침해사고 대응팀(CERT)을 구성하여 침입자 추적과 사고 재발방지를 위한 노력에 동참하고 있다.
종래의 침입자 역추적 방법은 도 1에 도시된 바와 같이 공격자의 공격경로를 역으로 한 단계씩 추적하는 방식을 사용한다. 즉, 네트웍 침입자의 근원지 시스템(11)이 1차 경유지 시스템(12), 2차 경유지 시스템(13), 3차 경유지 시스템(14)을 거쳐 피해 시스템(15)을 공격했을 경우, 피해자 측의 역추적 시스템(16)이 역으로 한 단계씩 추적하는데, 이때 각 단계에서 해당 경유지 시스템 시스템의 해당 시스템 관리자의 도움을 받아 시스템을 분석하고 조사하는 과정을 거치면서 최종적으로 네트웍 침입자의 근원지 시스템을 역추적하게 된다. 따라서,각 역추적 단계에서 해당 시스템 관리자의 도움을 받고 시스템을 분석, 조사하여야 하기 때문에 실시간 역추적이 불가능하고 많은 시간이 소요되는 문제점이 있다.
또 다른 방안으로, CIS(Caller Identification System)를 이용하는 방법이 있는데, 이는 TCP 래퍼(Wrapper)의 필터링 개념을 도입하여 어떤 시스템에 로그인하고자 하는 이용자는 자신이 그 이전에 거쳐왔던 시스템과 해당 시스템의 로그인 ID 정보를 함께 제공하여야 로그인할 수 있도록 하는 프로토콜이다. 이러한 방식을 이용할 경우 최종 시스템에서는 어떤 이용자가 거쳐온 모든 시스템의 기록정보를 확인할 수 있다. 또한, 위의 CIS와 유사한 개념으로서 신원확인서버를 이용하는 방식이 있는데, 이 신원확인서버가 사용자가 거쳐온 시스템의 모든 신원정보를 확인하도록 하는 방식이다. 이러한 CIS와 신원확인서버에 의한 역추적은 국내에서 일부 연구가 시도되었으나 실용적이지 못한 관계로 더 이상의 연구가 진행되지 않고 있다.
그밖에, 역공격 대응을 통한 침입자 추적방법이 있는데, 이는 네트웍 침입자가 경유한 시스템들을 역으로 공격하면서 네트웍 침입자의 근원지를 찾아내는 방법이다. 이 방법은 네트웍 침입자가 자신의 시스템으로부터 N개의 경유지 시스템들을 해킹하여 피해자의 시스템에 마지막으로 공격하였다고 가정하면, 네트웍 침입자의 시스템까지 역추적하기 위해서는 N개의 경유지 시스템들을 역으로 해킹을 실시함으로 추적하는 방식으로서, 비윤리적이고 실제 적용하기 어렵다.
또 다른 방법으로 에이전트 이동방식이 있는데, 해킹 당한 시스템에 에이전트를 설치하고 이 해킹 당한 시스템의 각종 흔적을 분석하면, 네트웍 침입자들이남긴 침입시간, 침입 후 활동내역, 공격한 시스템 정보들을 획득할 수 있다. 이때, 공격한 시스템이 N개의 경로상의 시스템 중의 하나라면 이 공격 시스템에 에이전트를 설치하고, 이러한 과정을 최종 네트웍 침입자의 첫째 경유지 서버까지 반복하여 네트웍 침입자의 경유지를 추적한다. 이 방법 역시 여러 기관의 관리자의 협조가 이루어져야 하고 그 과정에 많은 시간이 필요하므로 역추적에 많은 어려움을 가지는 문제점이 있다.
따라서, 종래 기술의 문제점을 해결하기 위하여 안출된 본 발명의 목적은, ISP(internet service provider) 사업자가 관리하는 라우터 분석을 통해 네트웍에 침입한 침입자의 근원지를 역추적함으로써, 해킹 사고 재발을 예방하고 안전하고 신뢰성있는 인터넷 서비스를 제공할 수 있도록 하는 네트웍 침입자 역추적시스템 및 방법을 제공하는 데 그 목적이 있다.
도 1은 종래의 네트웍 침입자 역추적 방식의 개념도,
도 2는 본 발명의 한 실시예에 따른 네트웍 침입자 역추적 시스템을 포함한 망 구성도,
도 3은 본 발명의 역추적 원리를 설명하기 위하여 도시한 구성도,
도 4는 본 발명의 한 실시예에 따른 네트웍 침입자 역추적 시스템을 도시한 상세 구성도,
도 5는 본 발명의 한 실시예에 따른 네트웍 침입자 역추적 방법을 도시한 동작 흐름도이다.
※ 도면의 주요부분에 대한 부호의 설명 ※
260 : 역추적 시스템 261 : 입출력 모듈
262 : 라우터 인증 데이터베이스 263 : 역추적 처리모듈
264 : 라우터 제어모듈 265 : 세션 검사모듈
266 : 역추적 결과 데이터베이스
상술한 목적을 달성하기 위한 본 발명에 따른, 운영자의 제어를 받아 임의의 경유지 시스템을 수용하는 라우터로부터 상기 경유지 시스템과 연결된 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내는 동작을 모든 경유지 시스템에 반복적으로 수행하여 네트웍 침입자의 근원지 시스템을 찾아내는 역추적 시스템은,
상기 운영자로부터 추적대상 IP 주소와, 상기 라우터에 접근하기 위한 인증정보와, 역추적 제어 명령을 입력받는 입력모듈과;
상기 입력모듈을 통해 입력된 추적대상 IP 주소를 수용하는 상기 라우터에 접근하여, 상기 경유지 시스템으로 입출력되는 패킷을 감시하기 위한 연결세션 접근제어리스트(ACL)와 로깅(Logging) 기능을 설정하는 라우터 제어모듈과;
상기 라우터로부터 상기 접근제어리스트의 각 연결세션에 대한 패킷 통계정보와 발신지 주소와 수신지 주소와 패킷 길이 정보가 입력되면, 상기 입력된 접근제어리스트 중 현재 추적하는 연결세션의 통계정보와 동일한 통계정보를 가지는 목적 연결세션을 찾는 세션검사모듈과;
상기 입력모듈을 통해 입력되는 입출력 제어명령에 따라 상기 라우터 제어모듈과 세션검사모듈을 제어하고, 상기 세션검사모듈로부터 상기 목적 연결세션 정보가 입력되면 상기 목적 연결세션의 출발지 주소를 이용하여 상기 이전 경유지 시스템을 알아내고 이전 경유지 시스템에 대해 상기 라우터 제어모듈과 세션검사모듈을 제어하는 역추적 처리모듈과;
상기 역추적 처리모듈의 추적 진행상태와 추적 결과를 출력하는 출력모듈을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른, 운영자의 제어를 받아 임의의 경유지 시스템을 수용하는 라우터로부터 상기 경유지 시스템과 연결된 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내는 동작을 모든 경유지 시스템에 반복적으로수행하여 네트웍 침입자의 근원지 시스템을 찾아내는 역추적 방법은,
상기 운영자로부터 추적대상 IP 주소와, 상기 라우터에 접근하기 위한 인증정보와, 역추적 제어 명령을 입력받는 입력단계와;
상기 입력모듈을 통해 입력된 추적대상 IP 주소를 수용하는 상기 라우터에 접근하여, 상기 경유지 시스템으로 입출력되는 패킷을 감시하기 위한 연결세션 접근제어리스트(ACL)와 로깅(Logging) 기능을 설정하는 라우터 제어단계와;
상기 라우터로부터 상기 접근제어리스트의 각 연결세션에 대한 패킷 통계정보와 발신지 주소와 수신지 주소와 패킷 길이 정보가 입력되면, 상기 입력된 접근제어리스트 중 현재 추적하는 연결세션의 통계정보와 동일한 통계정보를 가지는 목적 연결세션을 찾는 세션검사단계와;
상기 세션검사단계에서 상기 목적 연결세션이 찾아지면 상기 목적 연결세션의 출발지 주소를 이용하여 상기 이전 경유지 시스템을 알아내고 이전 경유지 시스템에 대해 상기 라우터 제어단계와 세션검사단계를 반복적으로 수행하는 역추적 처리단계와;
상기 세션검사단계에서 상기 목적 연결세션이 찾아지지 않으면 현재 추적하는 연결세션의 출발지 주소를 상기 네트웍 침입자의 근원지 시스템으로 인지하는 단계를 포함한 것을 특징으로 한다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하면 다음과 같다.
도 2는 본 발명의 한 실시예에 따른 네트웍 침입자 역추적 시스템을 포함하는 망 구성도이다.
네트웍 침입자가 자신의 시스템(210)을 이용하여 1, 2, 3차 경유지 시스템(220, 230, 240)을 거쳐 탐지노드(250)에 침입하면, 탐지노드(250)는 이를 발견하고 ISP 사업자에게 역추적 초기 주소값인 3차 경유지 시스템의 IP주소에 대해 역추적을 의뢰한다. 그러면 ISP 사업자는 운영자 역추적 시스템(260)을 이용하여 해당 IP주소를 역추적하여, 3차 경유지 시스템을 수용하고 있는 가입자 수용 라우터(241)를 찾을 수 있다.
가입자 수용 라우터(241)는 T-V3간 연결세션과 동일한 통계정보를 가진 V3-이전 경유지 시스템(V2)간의 연결세션을 찾기 위한 접근제어리스트(Access Control List : 이하, ACL 이라 함)와 로깅(Logging)을 설정하고, 원격의 운영자 역추적 시스템(260)에서 찾고자 하는 연결세션을 찾아 2차 경유지 시스템의 IP주소를 찾아낸다. 운영자 역추적 시스템(260)은 2차 경유지 시스템(230)의 IP 주소에 대해 다시 이를 수용하고 있는 가입자 수용 라우터(231)에 연결한다. 이러한 과정을 반복하여 1차 경유로드(220)와 가입자 수용 라우터(221)를 찾아내고, 최종적으로 네트웍 침입자의 근원지 시스템(210)과 그 가입자 수용 라우터(211)를 찾아낸다.
도 3은 본 발명의 실시예에 따른 네트웍 침입자 역추적 원리를 설명하기 위하여 도시한 도면으로서, 3차 경유지 시스템을 예로 들어 설명한다.
경유지 시스템의 경우, 해당 경유지 시스템(240)의 가입자 수용 라우터(241)에는 한 쌍의 연결세션이 발생하는데, 본 발명에 따른 역추적 시스템은 이 경유지 시스템의 가입자 수용 라우터(241)에 발생한 연결세션을 이용하여 이전 경유지 시스템 또는 네트웍 침입자의 근원지를 역추적한다. 이렇게 하면 3차 경유지 시스템(240)이 관여하지 않더라도 네트웍 침입자의 경로를 역추적할 수 있다.
도 4는 본 발명의 실시예에 따른 네트웍 침입자를 역추적하는 운영자 역추적 시스템의 상세 구성도이다. 이 역추적 시스템은 경유지 시스템을 수용하는 가입자 수용 라우터의 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내며, 이전 경유지 시스템의 가입자 수용 라우터에 대해 연결세션 통계정보 수집하는 동작을 반복적으로 수행하여 네트웍 침입자의 근원지 시스템을 찾아낸다.
이 역추적 시스템(260)은 입출력 모듈(261)과, 라우터 인증 데이터베이스(262), 역추적 처리모듈(263), 라우터 제어모듈(264), 세션검사모듈(265), 역추적 결과 데이터베이스(266)를 포함한다. 이 역추적 시스템(260)은 라우터(241)의 라우터제어설정모듈(242)을 원격 제어하고, 세션통계전달모듈(243)로부터 세션통계 정보를 원격 수집한다.
입출력 모듈(261)은 운영자로부터 추적대상 IP 주소와, 관리 도메인에 설치된 라우터들의 인증정보와, 역추적 처리모듈(263)을 제어하는 신호를 입력받고, 추적진행상태와 추적결과를 운영자에게 출력한다. 라우터 인증 데이터베이스(262)는 입출력 모듈(261)을 통해 입력되는 인증정보를 이용하여 라우터의 접근 권한을 가지기 위한 사용자 명 및 패스워드를 저장한다. 라우터 제어모듈(264)은 라우터 인증 데이터베이스에 저장된 정보를 이용하여 추적대상 IP 주소를 수용하는라우터(241)에 접근하여, 연결세션 감시를 위한 ACL(Access Control List)을 설정하고, 해당 경유지 시스템으로 입출력되는 패킷의 감시를 위한 로깅(Logging) 기능을 설정하는 등의 제어 명령을 출력한다.
라우터의 라우터 제어 설정모듈(242)은 역추적시스템(260)의 라우터 제어모듈(264)의 제어 명령을 라우팅 처리모듈(244)에 전달하는 CLI(Command Line Interface)로서, 라우팅 처리모듈(244)의 환경을 설정한다. 라우팅 처리모듈(244)은 목적지 주소로 패킷을 전달하는 라우터의 기본적인 라우팅을 수행하는 모듈로서, 라우터 제어 설정모듈(242)에 의해 라우터의 환경이 설정되면 ACL에 포함된 연결세션에 대해 통계정보를 생성시켜서 세션통계 전달모듈(243)에게 전달한다. 세션통계 전달모듈(243)은 라우팅 처리모듈(244)로부터 전달되는 ACL의 각 연결세션에 대한 통계정보를 저장하고, 해당 패킷의 길이와 발신지 주소와 착신지 주소를 역추적 시스템(260)에게 전달한다.
세션통계 전달모듈(243)로부터 전달되는 ACL의 각 연결세션에 대한 통계정보와 발신지 주소와 수신지 주소와 패킷 길이 정보는 역추적 시스템(260)의 세션검사모듈(265)에게 전달되는데, 이 세션검사모듈(265)은 이 정보들을 이용하여 현재 추적하고 하는 연결세션의 통계정보와 동일한 통계정보를 가지는 연결세션을 찾아낸다. 여기서, 현재 추적 연결세션의 통계정보와 동일한 통계정보를 가지는 연결세션이 존재하면 현재 추적 IP 주소는 경유지 시스템이고, 존재하지 않으면 해당 IP 주소가 네트웍 침입자의 근원지 시스템이다.
역추적 처리모듈(263)은 세션검사모듈(265)에서 찾아진 연결세션 정보를 이용하여 이전 경유지 시스템 또는 침입자의 근원지 시스템의 IP 주소(찾아진 연결세션의 출발지 주소)를 알아내고, 이 IP 주소를 이용하여 라우터 제어모듈(264)과 세션검사모듈(265)을 제어한다. 이러한 동작을 반복하면 침입자의 근원지 시스템을 찾아낼 수 있으며, 역추적결과를 역추적결과 데이터베이스(266)에 저장한다. 이러한 역추적 처리모듈(263)의 역추적 진행과정과 추적결과는 입출력모듈(261)을 통해 운영자에게 표시된다.
도 5는 본 발명의 한 실시예에 따른 역추적 시스템에서의 역추적 방법을 도시한 동작 흐름도이다. 침입자가 n 개의 경유노드를 거쳐 탐지노드에 침입, 발견되었다고 가정한다. 탐지노드의 역추적 시스템은 해당 탐지노드에 침입되어 발견된 패킷을 트레이스 라우트(trace route)하여 경유지 시스템(Vn)의 IP 주소를 발견한다. 그리고, 이 최초 발견된 경유지 시스템(Vn)의 IP 주소에 대해, 해당 경유지 시스템(Vn)의 IP 주소를 수용하고 있는 라우터에 ACL과 로깅을 설정한다(S51). 해당 경유지 시스템(Vn)을 관할하는 라우터는 ACL의 각 연결세션에 대한 통계정보를 역추적 시스템에게 제공하는데, 이 역추적 시스템은 현재 추적중인 연결세션(탐지노드와 Vn 간의 연결세션)과 동일한 패킷 통계정보를 가지는 연결세션(Vn과 Vn-1간의 연결세션)을 찾는다(S52). 현재 추적중인 연결세션과 동일한 통계정보를 가지는 연결세션이 존재하면(S53), Vn을 탐지노드로 설정하고 찾아진 경유지 시스템 Vn-1을 Vn으로 설정한 후(S54), 단계 S51로 되돌아간다. 상기한 단계 S51과 단계 S54는 모든 경유지 시스템에 대해서 반복될 것이며, 최종 침입자 근원지는 연결세션 쌍이 존재하지 않으므로 단계 S52에서 추적중인 연결세션과 동일한 패킷 통계정보를 가지는 연결세션이 없을 것인데, 단계 S53에서 동일한 패킷 통계정보를 가지는 연결세션이 존재하지 않으면 이 경유지 시스템(Vn)을 침입자 근원지 시스템으로 인지하고(S55), 역추적을 종료한다.
전술된 본 발명의 바람직한 실시예는 예시의 목적을 위하여 개시된 것이며, 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가 등이 가능하다고 보아야 하며, 이러한 수정, 변경, 및 부가 등은 본 발명의 범위 내에 있다고 판단되며, 후술 된 특허청구범위에 속한다고 보아야 한다.
이상에서 상술한 바와 같이 본 발명은, ISP 사업자의 가입자 네트웍에 있는 시스템에게 침입한 침입자의 근원지를 역추적함으로써, 사고 재발을 방지하고 안전하고 신뢰성있는 인터넷 서비스를 제공할 수 있는 효과가 있다.

Claims (4)

  1. 운영자의 제어를 받아 임의의 경유지 시스템을 수용하는 라우터로부터 상기 경유지 시스템과 연결된 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내는 동작을 모든 경유지 시스템에 반복적으로 수행하여 네트웍 침입자의 근원지 시스템을 찾아내는 역추적 시스템에 있어서,
    상기 운영자로부터 추적대상 IP 주소와, 상기 라우터에 접근하기 위한 인증정보와, 역추적 제어 명령을 입력받는 입력모듈과;
    상기 입력모듈을 통해 입력된 추적대상 IP 주소를 수용하는 상기 라우터에 접근하여, 상기 경유지 시스템으로 입출력되는 패킷을 감시하기 위한 연결세션 접근제어리스트(ACL)와 로깅(Logging) 기능을 설정하는 라우터 제어모듈과;
    상기 라우터로부터 상기 접근제어리스트의 각 연결세션에 대한 패킷 통계정보와 발신지 주소와 수신지 주소와 패킷 길이 정보가 입력되면, 상기 입력된 접근제어리스트 중 현재 추적하는 연결세션의 통계정보와 동일한 통계정보를 가지는 목적 연결세션을 찾는 세션검사모듈과;
    상기 입력모듈을 통해 입력되는 입출력 제어명령에 따라 상기 라우터 제어모듈과 세션검사모듈을 제어하고, 상기 세션검사모듈로부터 상기 목적 연결세션 정보가 입력되면 상기 목적 연결세션의 출발지 주소를 이용하여 상기 이전 경유지 시스템을 알아내고 이전 경유지 시스템에 대해 상기 라우터 제어모듈과 세션검사모듈을 제어하는 역추적 처리모듈과;
    상기 역추적 처리모듈의 추적 진행상태와 추적 결과를 출력하는 출력모듈을 포함하는 것을 특징으로 하는 네트웍 침입자 역추적 시스템.
  2. 제 1 항에 있어서, 상기 역추적 처리모듈의 역추적 처리결과를 단계적으로 저장하는 역추적결과 저장모듈을 더 포함한 것을 특징으로 하는 네트웍 침입자 역추적 시스템.
  3. 제 1 항에 있어서, 상기 라우터에 설치되어,
    상기 라우터 제어모듈로부터 ACL과 로깅이 설정되면, 상기 ACL의 각 연결세션의 통계정보를 생성시키는 라우팅 처리모듈과;
    상기 라우팅 처리모듈로부터 입력된 ACL의 각 연결세션의 패킷 통계정보를 저장하고 상기 패킷 통계정보와 함께 상기 패킷의 길이와 발신지 정보와 착신지 정보를 상기 세션검사모듈에게 전달하는 연결세션 통계 전달모듈을 더 포함한 것을 특징으로 하는 네트웍 침입자 역추적 시스템.
  4. 운영자의 제어를 받아 임의의 경유지 시스템을 수용하는 라우터로부터 상기 경유지 시스템과 연결된 연결세션 통계정보를 원격으로 수집하여 이전 경유지 시스템을 찾아내는 동작을 모든 경유지 시스템에 반복적으로 수행하여 네트웍 침입자의 근원지 시스템을 찾아내는 역추적 방법에 있어서,
    상기 운영자로부터 추적대상 IP 주소와, 상기 라우터에 접근하기 위한 인증정보와, 역추적 제어 명령을 입력받는 입력단계와;
    상기 입력모듈을 통해 입력된 추적대상 IP 주소를 수용하는 상기 라우터에 접근하여, 상기 경유지 시스템으로 입출력되는 패킷을 감시하기 위한 연결세션 접근제어리스트(ACL)와 로깅(Logging) 기능을 설정하는 라우터 제어단계와;
    상기 라우터로부터 상기 접근제어리스트의 각 연결세션에 대한 패킷 통계정보와 발신지 주소와 수신지 주소와 패킷 길이 정보가 입력되면, 상기 입력된 접근제어리스트 중 현재 추적하는 연결세션의 통계정보와 동일한 통계정보를 가지는 목적 연결세션을 찾는 세션검사단계와;
    상기 세션검사단계에서 상기 목적 연결세션이 찾아지면 상기 목적 연결세션의 출발지 주소를 이용하여 상기 이전 경유지 시스템을 알아내고 이전 경유지 시스템에 대해 상기 라우터 제어단계와 세션검사단계를 반복적으로 수행하는 역추적 처리단계와;
    상기 세션검사단계에서 상기 목적 연결세션이 찾아지지 않으면 현재 추적하는 연결세션의 출발지 주소를 상기 네트웍 침입자의 근원지 시스템으로 인지하는 단계를 포함한 것을 특징으로 하는 네트웍 침입자 역추적 방법.
KR1020010082960A 2001-12-21 2001-12-21 네트웍 침입자 역추적 시스템 및 방법 KR20030052843A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010082960A KR20030052843A (ko) 2001-12-21 2001-12-21 네트웍 침입자 역추적 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010082960A KR20030052843A (ko) 2001-12-21 2001-12-21 네트웍 침입자 역추적 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20030052843A true KR20030052843A (ko) 2003-06-27

Family

ID=29577585

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010082960A KR20030052843A (ko) 2001-12-21 2001-12-21 네트웍 침입자 역추적 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20030052843A (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100450770B1 (ko) * 2002-11-02 2004-10-01 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR100770354B1 (ko) * 2006-08-03 2007-10-26 경희대학교 산학협력단 IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법
KR100779954B1 (ko) * 2007-04-23 2007-11-28 다이노나(주) 레이저를 이용한 피부 홀 형성장치 및 방법
KR100804289B1 (ko) * 2003-07-10 2008-02-18 노키아 코포레이션 통신 스위칭 시스템에서 세션들을 설정 또는 수정하는 방법, 시스템 및 네트워크 노드
KR101022787B1 (ko) * 2004-03-10 2011-03-17 주식회사 케이티 차세대 네트워크 보안 관리 시스템 및 그 방법
KR101144368B1 (ko) * 2010-05-07 2012-05-10 한양대학교 산학협력단 라우터 시스템에서 공격자 단말기 역추적 방법
KR20150105039A (ko) * 2014-03-07 2015-09-16 한국전자통신연구원 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
KR101697189B1 (ko) * 2015-08-28 2017-01-17 국방과학연구소 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100450770B1 (ko) * 2002-11-02 2004-10-01 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR100804289B1 (ko) * 2003-07-10 2008-02-18 노키아 코포레이션 통신 스위칭 시스템에서 세션들을 설정 또는 수정하는 방법, 시스템 및 네트워크 노드
KR101022787B1 (ko) * 2004-03-10 2011-03-17 주식회사 케이티 차세대 네트워크 보안 관리 시스템 및 그 방법
KR100770354B1 (ko) * 2006-08-03 2007-10-26 경희대학교 산학협력단 IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법
KR100779954B1 (ko) * 2007-04-23 2007-11-28 다이노나(주) 레이저를 이용한 피부 홀 형성장치 및 방법
KR101144368B1 (ko) * 2010-05-07 2012-05-10 한양대학교 산학협력단 라우터 시스템에서 공격자 단말기 역추적 방법
KR20150105039A (ko) * 2014-03-07 2015-09-16 한국전자통신연구원 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
KR101697189B1 (ko) * 2015-08-28 2017-01-17 국방과학연구소 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Similar Documents

Publication Publication Date Title
JP7250703B2 (ja) 相関関係駆動型脅威の評価と修復
Park et al. On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack
US8516575B2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
RU2514138C1 (ru) Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
Wheeler et al. Techniques for cyber attack attribution
US7464407B2 (en) Attack defending system and attack defending method
US20030110392A1 (en) Detecting intrusions
EP1484892A2 (en) Method and system for lawful interception of packet switched network services
KR20030052843A (ko) 네트웍 침입자 역추적 시스템 및 방법
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
US11979374B2 (en) Local network device connection control
CN112350939A (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
Miller et al. Securing the internet through the detection of anonymous proxy usage
CN109547281B (zh) 一种Tor网络的溯源方法
CN113596037B (zh) 一种基于网络全流量中事件关系有向图的apt攻击检测方法
Joshi et al. An enhanced framework for identification and risks assessment of zero-day vulnerabilities
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
Yasinsac An environment for security protocol intrusion detection
Ezin et al. Java-Based Intrusion Detection System in a Wired Network
Choudhary et al. Detection and Isolation of Zombie Attack under Cloud Computing
Hsiao et al. Detecting stepping‐stone intrusion using association rule mining
KR20040035305A (ko) 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
JP2004096246A (ja) データ伝送方法、データ伝送システム及びデータ伝送装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid