KR100426317B1 - 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 - Google Patents

패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 Download PDF

Info

Publication number
KR100426317B1
KR100426317B1 KR10-2002-0053905A KR20020053905A KR100426317B1 KR 100426317 B1 KR100426317 B1 KR 100426317B1 KR 20020053905 A KR20020053905 A KR 20020053905A KR 100426317 B1 KR100426317 B1 KR 100426317B1
Authority
KR
South Korea
Prior art keywords
watermark
packet
attack
hacker
intrusion
Prior art date
Application number
KR10-2002-0053905A
Other languages
English (en)
Other versions
KR20040022073A (ko
Inventor
최양서
최병철
강동호
한승완
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0053905A priority Critical patent/KR100426317B1/ko
Priority to US10/329,270 priority patent/US20040049695A1/en
Publication of KR20040022073A publication Critical patent/KR20040022073A/ko
Application granted granted Critical
Publication of KR100426317B1 publication Critical patent/KR100426317B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

패킷 워터마크(water-mark) 삽입 기법을 이용한 실시간 공격 연결 역추적(Attacking Connection Traceback : ACT) 시스템 및 그 구현 방법을 개시한다.
본 발명은 연결(connection)을 유지하는 해킹 기법을 이용하여 임의의 해커(hacker)가 해킹을 시도하는 경우, 기존의 침입 탐지 수단과 침입 차단 수단을 그대로 사용하면서 실시간으로 해커의 실제 위치를 추적하기 위한 분산형 역추적 기술에 관한 것이다.
이를 구현하기 위하여, 본 발명은, 기존의 침입 탐지 시스템을 이용하여 해커에 의한 침입 발생 여부를 판단하는 제 1 단계; 침입 발생시 침입에 사용된 연결에 대한 정보를 수집한 후 이를 이용하여 해당 공격에 대한 피해 시스템의 응답 패킷을 차단토록 패킷 차단 수단에 지시하고, 패킷 차단 수단에서 응답 패킷을 차단하는 제 2 단계; 해커의 침입에 대한 피해 시스템의 응답 패킷을 수집하며, 해당 침입을 정의하는 워터마크를 생성하여 수집된 패킷에 생성된 워터마크를 삽입하고 이를 네트워크를 통해 해커의 시스템으로 전송하는 제 3 단계; 송신된 워터마크가 삽입된 패킷이 다른 역추적 시스템에 의해 탐지되면, 탐지된 워터마크 및 연결에 대한 정보를 최초 역추적을 요청한 시스템으로 전송하는 제 4 단계; 다른 역추적 시스템으로부터 수신된 워터마크 및 해당 워터마크를 탐지한 연결에 대한 정보를 이용하여 역추적 경로를 구성하는 제 5 단계를 포함한다.
따라서, 본 발명은 패킷 워터마크 삽입 기법을 이용하여 침입자 역추적을 수행함으로써, 기존의 역추적 시스템에 비해 수행 능력이 빠르고 정확하며, 실제 인터넷 환경에 적용이 용이하다는 효과가 있다.

Description

패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결 역추적 시스템 및 그 구현 방법{SYSTEM FOR PROVIDING A REAL-TIME ATTACKING CONNECTION TRACEBACK USING OF PACKET WATERMARK INSERTION TECHNIQUE AND METHOD THEREFOR}
본 발명은 인터넷 상에서의 해커의 위치를 역추적하는 기술에 관한 것으로, 특히, 다양한 해킹 기법을 이용하거나 정상적인 방법을 이용하여 다수의 경유 시스템을 거쳐 목적 시스템을 공격하여 특정 권한을 획득하고자 하는 전통적인 해킹 기법을 수행하는 해커의 실제 위치를 신속 정확하게 추적하는데 적합한 패킷 워터마크(water-mark) 삽입 기법을 이용한 실시간 공격 연결 역추적(Attacking Connection Traceback : 이하, ACT라 약칭함) 시스템 및 그 구현 방법에 관한 것이다.
인터넷이 일반화되면서, 해커에 의한 사이버 테러가 빈번히 발생되고 있는 바, 피해 발생시 그 원인을 추적할 수 있는 기술들이 다각도에서 연구 개발되고 있다.
이러한 기술의 일환으로, 인터넷 상에 존재하는 모든 호스트들에 대해 역추적 모듈을 설치하거나, 네트워크 상에 송수신되는 모든 패킷과 연결에 대한 정보를 수집 기록해야만 가능한 기술들 혹은 기존 사용되고 있는 각종 응용 프로그램들에 대해 역추적을 지원할 수 있는 특정한 기능을 포함하는 해커 위치 추적 시스템이 거론되고 있다.
그러나, 현재의 인터넷 환경에서 이러한 기술들을 모두 총족하기에는 현실성이 떨어질 뿐만 아니라, 설령, 원하는 모든 대상 시스템에 역추적 기능을 설치한다 하더라도, 해커가 거쳐간 중간 경유 시스템들 중 하나의 시스템에서 여러 원인으로 인해 역추적에 필요한 정보를 얻을 수 없다면 역추적이 불가능한 구조를 지니고 있다.
예를 들어, 도 1에 도시한 바와 같이, 네트워크1(140)에 속하는 해커(110)가 1차 공격을 통해 네트워크2(150)에 속하는 피해시스템1(120)에 대한 공격을 수행하고, 이를 통해 획득한 특정 권한을 이용하여 최종 공격 목표인 네트워크3(160)에 속하는 피해 시스템2(130)에 대해 2차 공격을 수행한다고 가정해 보자.
이때, 중간 경유 시스템(피해 시스템1(120))이 2개 이상일 수 있으며, 또한 해커(110)로부터 피해 시스템1(120)로의 접근 방법이 공격을 통해 이루어지는 것이 아니라 정상적인 로그인을 통해 접근한 후 최종 목표인 피해 시스템2(130)를 공격할 수도 있다. 이와 같은 형태의 공격이 시도되는 경우에 피해 시스템2(130)에서는 실제 해커(110)가 위치한 시스템에 대한 정보를 얻을 수 없게 되는데, 일반적으로 해커(110)에 대한 정보를 얻기 위해서는 피해 시스템1(120)에 대한 정밀한 조사가 필요하게 된다.
따라서, 피해 시스템1(120)에 대한 정밀한 조사를 수행하지 않고 해커를 용이하게 추적할 수 있는 기술이 절실히 요망된다.
본 발명은 이러한 요망에 부응하여 안출한 것으로, 해커의 공격에 대한 응답 패킷에 워터마크를 삽입하고 이 워터마크가 삽입된 패킷에 대한 정보를 이용하여 역추적 경로를 구성함으로써, 기존에 설치되어 있던 각종 정보 보호 수단(예컨대, 침입 탐지 수단, 침입 차단 수단 등)에 대한 변경 및 수정을 가하지 않으면서 인터넷 환경의 적응성을 높이고, 시스템 리소스를 줄이며, 해커의 시스템 운영체제와관계없이 정확하고 신속하게 역추적 기능을 수행하도록 한 패킷 워터마크 삽입 기법을 이용한 실시간 ACT 시스템 및 구현 방법을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 기존 제품에 대한 활용이 가능한 침입 탐지 수단, 송수신 패킷을 정책에 따라 차단하는 기능을 수행하는 패킷 차단 수단, 침입 발생에 따라 실제 역추적을 수행하는 경로 역추적 수단, 그리고, 네트워크 모니터링을 통해 송수신되는 패킷에 워터마크가 삽입되어 있는지를 확인하는 워터마크 탐지 수단으로 구성되는 패킷 워터마크 삽입 기법을 이용한 실시간 ACT 시스템을 제공한다.
또한, 본 발명의 다른 실시예에 따르면, 기존의 침입 탐지 시스템을 이용하여 해커에 의한 침입 발생 여부를 판단하는 제 1 단계; 침입 발생시 침입에 사용된 연결(Connection)에 대한 정보를 수집한 후 이를 이용하여 해당 공격에 대한 피해 시스템의 응답 패킷을 차단토록 패킷 차단 수단에 지시하고, 패킷 차단 수단에서 응답 패킷을 차단하는 제 2 단계; 해커의 침입에 대한 피해 시스템의 응답 패킷을 수집하며, 해당 침입을 정의하는 워터마크를 생성하여 수집된 패킷에 생성된 워터마크를 삽입하고 이를 네트워크를 통해 해커의 시스템으로 전송하는 제 3 단계; 송신된 워터마크가 삽입된 패킷이 다른 역추적 시스템에 의해 탐지되면, 탐지된 워터마크 및 연결에 대한 정보를 최초 역추적을 요청한 시스템으로 전송하는 제 4 단계; 다른 역추적 시스템으로부터 수신된 워터마크 및 해당 워터마크를 탐지한 연결에 대한 정보를 이용하여 역추적 경로를 구성하는 제 5 단계를 포함하는 것을 특징으로 하는 패킷 워터마크 삽입 기법을 이용한 실시간 ACT 구현 방법을 제공한다.
도 1은 다수의 시스템들을 경유하는 일반적인 해킹 과정을 예시적으로 도시한 도면,
도 2는 본 발명에 적용되는 실시간 공격 연결 역추적 시스템의 전체 구성도,
도 3은 본 발명의 일 실시예로서, 도 2의 침입 탐지 수단의 동작 과정을 나타낸 도면,
도 4는 본 발명의 다른 실시예로서, 도 2의 패킷 차단 수단, 경로 추적 수단, 워터마크 탐지 수단의 동작 과정을 나타낸 도면,
도 5는 본 발명의 또 다른 실시예로서, 워터마크가 삽입된 패킷 탐지에 의해 임의의 해커의 위치가 추적되는 과정을 예시적으로 도시한 도면.
<도면의 주요 부분에 대한 부호의 설명>
210, 320 : 침입 탐지 수단 220, 420 : 패킷 차단 수단
230, 430 : 경로 추적 수단 240, 440 : 워터마크 탐지 수단
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.
설명에 앞서, 본 발명은 실제 운용에 있어서 침입을 탐지하는 기능(본 기능은 기존에 설치 운용되고 있는 침입 탐지 수단을 활용할 수 있다.); 발견된 침입에 대한 정보를 수집하는 기능; 수집된 침입 정보를 이용하여 해당 연결을 차단하는 기능(본 기능은 기존에 설치 운용되고 있는 침입 차단 수단을 활용할 수 있다.); 수집된 침입 정보를 이용하여 해당 침입을 정의하는 워터마크를 생성하는 기능; 침입에 의한 피해 시스템의 응답을 수집하는 기능; 수집된 패킷에 기 생성된 워터마크를 삽입하는 기능; 워터마크가 삽입된 패킷을 네트워크를 통해 공격 시스템으로 전송하는 기능; 네트워크상에 송수신되는 패킷을 감시하여 워터마크가 삽입된 패킷이 송수신되는지 여부를 확인하는 기능; 워터마크가 삽입된 패킷이 존재하는 경우, 해당 워터마크를 추출하는 기능; 추출된 워터마크로부터 획득한 정보를 이용하여 워터마크를 삽입한 역추적 시스템에 해당 패킷에 대한 각종 정보를 전송하는 기능; 외부 역추적 시스템으로부터 수신된, 워터마크가 삽입된 패킷에 대한 정보를 이용하여 역추적 경로를 제공하는 기능을 포함하는 것을 특징으로 한다.
또한, 본 발명은 전통적인 해킹 기법을 이용하여 허가되지 않은 권한을 획득하기 위한 해킹을 시도하는 해커의 실제 위치를 자동으로 실시간 추적하는 것을 특징으로 한다.
본 발명이 해커의 공격에 대한 응답 패킷에 워터마크를 삽입하여 역추적에활용하는 이유는, 연결(Connection)을 유지하는 해킹의 경우, 해커의 해킹 시도에 따라 공격을 당하는 시스템에서 발생되는 응답이 여러 경유 시스템을 지나 해커의 실제 위치까지 전송되기 때문이다. 따라서, 응답 패킷에 워터마크를 삽입하면 워터마크가 삽입된 패킷은 실제 해커의 위치까지 전송되고, 이를 중간에서 탐지하게 되면 해커의 공격 경로를 실시간으로 빠르게 역추적 할 수 있기 때문이다.
또한, 본 발명이 기존의 정보 보호 기술을 그대로 적용하는 것은 기존에 이미 구성되어 있는 네트워크 및 시스템들에 대한 구조적인 변경을 최소화하여 현재의 인터넷 환경에 보다 용이하게 적용할 수 있게 하기 위함이다.
도 2는 본 발명에 따른 ACT 시스템의 전체 구성을 개략적으로 도시한 도면이다.
도 2에 도시한 바와 같이, 본 발명에 따른 ACT 시스템은, 침입 탐지 수단(210), 패킷 차단 수단(220), 경로 추적 수단(230), 워터마크 탐지 수단(240)으로 각각 구성된다.
먼저, 침입 탐지 수단(210)은 임의의 해커의 공격을 탐지하기 위한 수단으로서, 침입이 탐지되면 침입이 발생되었음을 경로 추적 수단(230)으로 통보하는 기능을 수행한다.
패킷 차단 수단(220)은 일종의 침입 차단 시스템(Firewall)으로서, 경로 추적 수단(230)의 요구에 따라 지정된 근원지 및 목적지의 IP주소 및 포트 번호에 해당되는 패킷을 차단하는 역할을 수행한다.
경로 추적 수단(230)은 침입 탐지 수단(210)에 의해 탐지된 침입에 대한 연결정보를 획득하고, 이를 이용하여 해당 연결에 대한 피해 시스템의 응답 패킷을 차단하도록 패킷 차단 수단(220)에 지시한다. 또한, 경로 추적 수단(230)은 송수신되는 패킷을 지속적으로 감시하여 피해 시스템의 응답 패킷을 수집하고, 해당 공격에 적용할 워터마크를 생성하여 수집된 응답 패킷에 삽입한다. 그리고, 이렇게 워터마크가 삽입된 패킷을 해커의 시스템으로 전송하게 된다. 또한, 경로 추적 수단(230)은 외부 ACT 시스템, 즉, 경로 추적 수단(230)에서 전송된 워터마크가 삽입된 패킷을 탐지한 임의의 ACT 시스템으로부터의 연결 정보에 따라 역추적 경로를 형성한다.
워터마크 탐지 수단(240)은 네트워크 상에 송수신되는 패킷들을 지속적으로 감시하여 워터마크가 삽입된 패킷이 존재하는지를 판단하고, 워터마크가 삽입된 패킷을 검출한 경우, 발견된 워터마크로부터 얻은 정보를 이용하여 최초 워터마크를 삽입한 ACT 시스템으로 워터마크 탐지 결과를 전송한다. 본 워터마크 탐지 수단(240)은 ACT 시스템의 다른 구성 요소와는 달리 독립적으로 워터마크 탐지만을 위해 설치 운용될 수 있으며, 이러한 사실은 본 발명의 기술 분야에서 통상의 지식을 가진자는 용이하게 알 수 있을 것이다.
도 3 및 도 4는 ACT 시스템이 내부 네트워크 상에서 동작하는 일련의 과정들을 도시한 도면이다.
먼저, 도 3을 참조하여 실제 공격 발생 및 침입 탐지 수단(310)의 동작 과정을 설명하기로 한다.
도 3에 도시한 바와 같이, 단계(1)에서 최초 공격 목표 시스템(350)에 대한침입이 발생되면, 침입 탐지 수단(310)은 단계(2)에서와 같이 침입을 탐지한다.
침입이 탐지되면, 침입 탐지 수단(310)은 단계(3)로 진행하여 침입이 발생했다는 사실과 탐지된 침입이 사용한 연결에 대한 정보를 경로 추적 수단(230)으로 전송한다.
이와 함께, 단계(5)에서는 피해 시스템(350)으로부터 공격에 대한 응답 메시지가 발생하게 된다.
한편, 도 4는 단계(3)에서 발생된 침입 탐지 정보를 접수한 경로 추적 수단(430)의 동작 및 패킷 차단 수단(420)의 동작을 설명하기 위한 도면이다.
단계(3)에서와 같이, 침입 탐지 수단(310)으로부터 침입 탐지 경보가 접수되면, 경로 추적 수단(430)은 단계(4)로 진행하여 해당 경보를 통해 얻은 정보를 이용하여 패킷 차단 수단(420)의 정책을 갱신한다. 이때, 갱신하는 정책은 공격 연결에 따른 피해 시스템의 응답을 차단하도록 지시하는 정책이다.
이후, 공격에 따른 피해 시스템의 응답이 발생되면(단계 5), 경로 추적 수단(430)은 단계(6)로 진행하여 해당 응답 패킷을 수집하고, 수집된 패킷에 새로 생성한 워터마크를 삽입하여(단계 8) 공격 시스템으로 전송하게 된다(단계 9).
이때, 피해 시스템으로부터 발생한 응답은 패킷 차단 수단(420)에 의해 차단되는 바(단계 7), 공격을 수행하는 시스템에서는 워터마크가 삽입된 응답이 실제 공격 당하는 시스템의 응답으로 판단하게 된다.
도 5는 워터마크가 삽입된 패킷이 실제 네트워크를 통해 전송되는 동안 다른 네트워크에 존재하는 ACT 시스템에 의해 탐지되어 확인되는 상황을 개략적으로 도시한 도면이다.
도 5에 도시한 바와 같이, 일단 워터마크가 삽입된 응답 패킷이 현재 공격중인 피해 시스템1(520)으로 전송되면, 중간 경유 시스템의 수와는 관계없이 해당 응답 패킷은 실제 해커가 존재하는 최종 위치(510)까지 자동적으로 전달된다. 따라서, 중간 경유 시스템이 속한 네트워크를 담당하는 ACT 시스템(530, 540)의 워터마크 탐지 수단에 의해 워터마크가 삽입된 패킷이 탐지된다.
이렇게 중간 경유 네트워크를 담당하는 ACT 시스템(530, 540)의 워터마크 탐지 수단에 의해 워터마크가 삽입된 패킷이 탐지되면, 탐지된 워터마크로부터 정보를 추출하고 최초 워터마크를 삽입하여 송신한 ACT 시스템(550)으로 탐지 결과를 전송(560, 570)한다. 최초 워터마크를 삽입하여 전송한 ACT 시스템(550)은 도착되는 워터마크 삽입 패킷 탐지 정보를 이용하여 역추적 경로를 구성하고, 해커의 위치 추적을 완료한다. 이때, 워터마크 탐지 수단은, 전술한 바와 같이, 전체 ACT 시스템에서 분리되어 네트워크 상에 독립적으로 설치되어 활용될 수 있을 것이다.
상술한 바와 같은 본 발명은, 과거 해킹을 시도하는 해커를 찾기 위해 많은 인력과 시간이 소요되는 기법의 단점을 극복하여 임의의 위치에 존재하는 해커가 여러 시스템들을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 실제 해커의 위치를 추적할 수 있으며, 이를 통해 해커에 대한 물리적인 대처도 빠르게 진행할 수 있게 된다. 또한, 이와 같은 역추적 시스템을 통해 해커에 대한 물리적인 대처가 빠르게 진행된다는 것이 널리 알려지게 되면 해커의 해킹 시도 자체를 제한할 수 있게 된다.
이상, 본 발명을 실시예에 근거하여 구체적으로 설명하였지만, 본 발명은 이러한 실시예에 한정되는 것이 아니라, 후술하는 특허청구범위의 요지를 벗어나지 않는 범위내에서 여러 가지 변형이 가능한 것은 물론이다.

Claims (3)

  1. 임의의 해커의 공격을 탐지하는 침입 탐지 수단과;
    임의의 해커의 공격에 따른 피해 시스템의 응답을 차단하는 패킷 차단 수단과;
    상기 침입 탐지 수단으로부터의 해커의 공격 정보를 이용하여 상기 패킷 차단 수단을 통해 특정 패킷을 차단하도록 정책을 생성하며, 워터마크(water-mark)를 생성하되 상기 피해 시스템의 응답 패킷을 수집한 후 상기 생성한 워터마크를 삽입하여 임의 해커의 공격 시스템으로 전송하고, 상기 전송된 워터마크가 삽입된 패킷을 탐지한 외부에 존재하는 임의의 공격 연결 역추적(Attacking Connection Traceback) 시스템에 의해 전송되는 워터마크 삽입 패킷 탐지 정보를 이용하여 역추적 경로를 구성하는 경로 추적 수단과;
    네트워크 상에 송수신되는 패킷을 감시하여 워터마크가 삽입된 패킷이 존재하는 경우, 해당 워터마크를 추출하여 최초 워터마크를 삽입한 공격 연결 역추적 시스템으로 워터마크 삽입 패킷 탐지 정보를 송신하는 워터마크 탐지 수단으로 이루어지는 것을 특징으로 하는 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결 역추적 시스템.
  2. 침입 탐지 수단, 패킷 차단 수단, 경로 추적 수단, 워터마크 탐지 수단을 구비하는 실시간 공격 연결 역추적 시스템에서의 패킷 워터마크 삽입 기법을 이용한실시간 공격 연결 역추적 방법에 있어서,
    다수의 중간 경유 시스템을 거쳐 목표 시스템을 공격하는 해킹 기법을 시도하는 해커의 해킹 시도를 상기 침입 탐지 수단에서 탐지하는 제 1 단계와;
    상기 침입 탐지 수단에서 탐지된 해킹 정보로부터 공격 시스템의 IP 주소 및 사용 포트 번호를 추출하여 상기 패킷 차단 수단에서 사용할 정책을 생성하는 제 2 단계와;
    상기 탐지된 해킹 정보를 기반으로 상기 경로 추적 수단에서 워터마크를 생성하는 제 3 단계와;
    해킹 시도로 인해 발생하는 피해 시스템의 응답을 상기 패킷 차단 수단을 사용하여 차단하는 제 4 단계와;
    상기 해킹 시도로 인해 발생하는 상기 피해 시스템의 응답을 상기 경로 추적 수단에서 수집하고, 상기 제 3 단계에서 생성한 워터마크를 삽입한 후 이를 공격 시스템으로 전송하는 제 5 단계와;
    송/수신되는 패킷 감시를 통해 상기 워터마크가 삽입되어 있는 패킷의 송수신 여부를 상기 워터마크 탐지 수단에서 확인하고, 워터마크가 삽입되어 있는 패킷이 존재하는 경우, 이를 탐지하는 제 6 단계와;
    상기 워터마크가 삽입된 패킷 탐지 후 탐지된 워터마크로부터 정보를 추출하는 제 7 단계와;
    상기 워터마크로부터 추출된 정보를 이용하여 워터마크가 삽입된 패킷 및 워터마크가 삽입된 패킷이 속하는 연결에 대한 정보를 최초 워터마크를 삽입하여 송신한 실시간 공격 연결 역추적 시스템으로 송신하는 제 8 단계와;
    수신된 워터마크 탐지 정보를 이용하여 해커의 공격 경로를 결정하고, 실제 해커의 위치를 결정하는 제 9 단계를 포함하는 것을 특징으로 하는 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결 역추적 방법
  3. 제 2 항에 있어서,
    상기 경로 추적 수단은,
    상기 침입 탐지 수단으로부터 임의 해커의 공격 정보를 수신하는 단계와;
    상기 수신된 공격 정보를 이용하여 상기 패킷 차단 수단을 통해 특정 패킷을 차단하도록 정책을 생성하는 단계와;
    상기 수신된 공격 정보를 이용하여 워터마크를 생성하는 단계와;
    해커의 공격에 따른 피해 시스템의 응답 패킷을 수집하는 단계와
    상기 생성된 워터마크를 수집된 피해 시스템의 응답 패킷에 삽입하는 단계와;
    상기 워터마크가 삽입된 패킷을 공격 시스템으로 전송하는 단계와;
    상기 전송된 워터마크가 삽입된 패킷을 탐지한 외부에 존재하는 실시간 공격 연결 역추적 시스템에 의해 전송되는 워터마크 삽입 패킷 탐지 정보를 이용하여 역추적 경로를 구성하는 단계를 각각 수행하는 것을 특징으로 하는 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결 역추적 방법.
KR10-2002-0053905A 2002-09-06 2002-09-06 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 KR100426317B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2002-0053905A KR100426317B1 (ko) 2002-09-06 2002-09-06 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
US10/329,270 US20040049695A1 (en) 2002-09-06 2002-12-24 System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0053905A KR100426317B1 (ko) 2002-09-06 2002-09-06 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법

Publications (2)

Publication Number Publication Date
KR20040022073A KR20040022073A (ko) 2004-03-11
KR100426317B1 true KR100426317B1 (ko) 2004-04-06

Family

ID=31987319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0053905A KR100426317B1 (ko) 2002-09-06 2002-09-06 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법

Country Status (2)

Country Link
US (1) US20040049695A1 (ko)
KR (1) KR100426317B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341721B2 (en) 2008-07-30 2012-12-25 Electronics And Telecommunications Research Institute Web-based traceback system and method using reverse caching proxy

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7362775B1 (en) * 1996-07-02 2008-04-22 Wistaria Trading, Inc. Exchange mechanisms for digital information packages with bandwidth securitization, multichannel digital watermarks, and key management
US5613004A (en) 1995-06-07 1997-03-18 The Dice Company Steganographic method and device
US7664263B2 (en) * 1998-03-24 2010-02-16 Moskowitz Scott A Method for combining transfer functions with predetermined key creation
US6205249B1 (en) 1998-04-02 2001-03-20 Scott A. Moskowitz Multiple transform utilization and applications for secure digital watermarking
US7159116B2 (en) * 1999-12-07 2007-01-02 Blue Spike, Inc. Systems, methods and devices for trusted transactions
US7346472B1 (en) 2000-09-07 2008-03-18 Blue Spike, Inc. Method and device for monitoring and analyzing signals
US7177429B2 (en) 2000-12-07 2007-02-13 Blue Spike, Inc. System and methods for permitting open access to data objects and for securing data within the data objects
US7095874B2 (en) * 1996-07-02 2006-08-22 Wistaria Trading, Inc. Optimization methods for the insertion, protection, and detection of digital watermarks in digitized data
US5889868A (en) * 1996-07-02 1999-03-30 The Dice Company Optimization methods for the insertion, protection, and detection of digital watermarks in digitized data
US7457962B2 (en) * 1996-07-02 2008-11-25 Wistaria Trading, Inc Optimization methods for the insertion, protection, and detection of digital watermarks in digitized data
US7730317B2 (en) * 1996-12-20 2010-06-01 Wistaria Trading, Inc. Linear predictive coding implementation of digital watermarks
US7664264B2 (en) 1999-03-24 2010-02-16 Blue Spike, Inc. Utilizing data reduction in steganographic and cryptographic systems
WO2001018628A2 (en) 1999-08-04 2001-03-15 Blue Spike, Inc. A secure personal content server
US7127615B2 (en) 2000-09-20 2006-10-24 Blue Spike, Inc. Security based on subliminal and supraliminal channels for data objects
US7287275B2 (en) 2002-04-17 2007-10-23 Moskowitz Scott A Methods, systems and devices for packet watermarking and efficient provisioning of bandwidth
KR100523980B1 (ko) * 2002-12-10 2005-10-26 한국전자통신연구원 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
KR100744530B1 (ko) * 2003-09-17 2007-08-01 한국전자통신연구원 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법
US7181647B2 (en) * 2003-10-15 2007-02-20 International Business Machines Corporation Error tracking method and system
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7440434B2 (en) * 2004-02-11 2008-10-21 Airtight Networks, Inc. Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US8776206B1 (en) * 2004-10-18 2014-07-08 Gtb Technologies, Inc. Method, a system, and an apparatus for content security in computer networks
US7990947B2 (en) 2007-06-12 2011-08-02 Robert W. Twitchell, Jr. Network watermark
US7970894B1 (en) 2007-11-15 2011-06-28 Airtight Networks, Inc. Method and system for monitoring of wireless devices in local area computer networks
KR101393180B1 (ko) * 2012-09-03 2014-05-12 인하대학교 산학협력단 패킷 워터마킹을 통한 로그 ap 탐지 방법 및 시스템
JP5920169B2 (ja) * 2012-10-22 2016-05-18 富士通株式会社 不正コネクション検出方法、ネットワーク監視装置及びプログラム
US9060019B2 (en) * 2013-02-25 2015-06-16 Quantum RDL, Inc. Out-of band IP traceback using IP packets
JP6898846B2 (ja) * 2017-12-28 2021-07-07 株式会社日立製作所 異常原因特定支援システムおよび異常原因特定支援方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR20030039731A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR20030039731A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341721B2 (en) 2008-07-30 2012-12-25 Electronics And Telecommunications Research Institute Web-based traceback system and method using reverse caching proxy

Also Published As

Publication number Publication date
KR20040022073A (ko) 2004-03-11
US20040049695A1 (en) 2004-03-11

Similar Documents

Publication Publication Date Title
KR100426317B1 (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
US20090182867A1 (en) Method and apparatus for identifying a packet
US20040073800A1 (en) Adaptive intrusion detection system
US20040078592A1 (en) System and method for deploying honeypot systems in a network
CN112910851B (zh) 基于知识图谱的数据包标记溯源装置
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
Bakos et al. Early detection of internet worm activity by metering icmp destination unreachable messages
CN112154635A (zh) Sfc覆盖网络中的攻击源追踪
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
CN116132989A (zh) 一种工业互联网安全态势感知系统及方法
KR100803029B1 (ko) 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
CN115987531A (zh) 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
Springall et al. Per connection server-side identification of connections via Tor
Asaka et al. Local attack detection and intrusion route tracing
US11451584B2 (en) Detecting a remote exploitation attack
CN115277173B (zh) 一种网络安全监测管理系统及方法
KR100564750B1 (ko) Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법
Kai et al. DDoS scouter: A simple IP traceback scheme
KR20080035724A (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR20060088420A (ko) 아이피 헤더 마킹기법을 이용한 공격자 역추적 시스템 및방법
KR20050063477A (ko) 네트워크 정보에 대한 보안 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090303

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee