KR100439169B1 - Attacker traceback method by using session information monitoring that use code mobility - Google Patents

Attacker traceback method by using session information monitoring that use code mobility Download PDF

Info

Publication number
KR100439169B1
KR100439169B1 KR10-2001-0070765A KR20010070765A KR100439169B1 KR 100439169 B1 KR100439169 B1 KR 100439169B1 KR 20010070765 A KR20010070765 A KR 20010070765A KR 100439169 B1 KR100439169 B1 KR 100439169B1
Authority
KR
South Korea
Prior art keywords
host
attacker
sensor
code
domain
Prior art date
Application number
KR10-2001-0070765A
Other languages
Korean (ko)
Other versions
KR20030039731A (en
Inventor
이수형
이승민
지정훈
오승희
남택용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0070765A priority Critical patent/KR100439169B1/en
Publication of KR20030039731A publication Critical patent/KR20030039731A/en
Application granted granted Critical
Publication of KR100439169B1 publication Critical patent/KR100439169B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

본 발명은 글로벌(global)하게 이루어지는 해커(hacker)의 호스트(host)에 대한 직접적인 침입공격을 탐지하였을 경우 해커의 해당 연결을 추적하여 해커가 실제로 존재하는 호스트를 식별해내도록 하는 공격자 역 추적 방법에 관한 것이다. 종래의 기술은 특정 호스트가 속해 있는 도메인은 보호할 수 있으나 공격자를 식별할 수는 없다. 따라서, 공격자에 대한 대응을 할 수 없기 때문에, 공격자가 이전 공격에 사용했던 네트워크와 다른 네트워크에 연결된 호스트를 경유해서 동일한 호스트에 대해 제 2, 제 3의 공격을 감행할 수 있는데, 이 때에는 상기 특정 호스트가 속해 있는 도메인에서 이 공격에 대해 어떤 조치를 취할 수도 없다. 본 발명은, 코드의 이동성을 적용한 세션 정보 관리를 통해 인터넷 상의 다른 호스트를 경유한 사이버 공격에 대해서도 공격자의 위치를 추적하도록 한다. 따라서, 네트워크 보안에 있어 좀더 효과적이고 능동적인 보안을 가능하게끔 한다. 공격자의 위치를 추적하여 대처함으로써 동일한 공격자에 의해 이루어지는 제 2, 제 3의 공격을 방지할 수 있다.The present invention is directed to an attacker reverse tracking method that tracks a connection of a hacker and identifies a host that actually exists by detecting a direct intrusion attack of a hacker's host. It is about. The prior art can protect the domain to which a particular host belongs, but cannot identify the attacker. Therefore, since the attacker cannot respond to the attacker, the attacker may conduct a second and third attack against the same host via a host connected to a network different from the one used in the previous attack, in which case No action can be taken against this attack in the domain to which the host belongs. The present invention allows the attacker's location to be tracked against cyber attacks via other hosts on the Internet through session information management applying portability of code. Thus, more effective and proactive security is possible in network security. By tracking and coping with the attacker's position, it is possible to prevent the second and third attacks by the same attacker.

Description

코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법{ATTACKER TRACEBACK METHOD BY USING SESSION INFORMATION MONITORING THAT USE CODE MOBILITY}ATTACKER TRACEBACK METHOD BY USING SESSION INFORMATION MONITORING THAT USE CODE MOBILITY}

본 발명은 코드(code)의 이동성을 적용한 세션 정보 관리(session data management)를 통한 공격자 역 추적 방법에 관한 것으로, 특히, 글로벌(global)하게 이루어지는 해커(hacker)의 호스트(host)에 대한 직접적인 침입공격을 탐지하였을 경우 해커의 해당 연결을 추적하여 해커가 실제로 존재하는 호스트를 식별해내도록 하는 공격자 역 추적 방법에 관한 것이다.The present invention relates to a method for backtracking an attacker through session data management using code mobility, and in particular, a direct intrusion into a host of a hacker globally performed. When an attack is detected, it is a method for backtracking an attacker that tracks a hacker's connection to identify a host that actually exists.

일반적으로 네트워크(network) 보안은 특정 호스트에 해커의 침입을 탐지하기 위한 방법과 해커의 침입을 탐지하였을 경우 어떻게 대응할 것인가에 관한 방법으로 나누어진다.In general, network security is divided into a method for detecting a hacker intrusion to a specific host and a method for responding to a hacker intrusion.

종래의 네트워크 보안 기술은 특정 호스트가 속해있는 도메인(domain)의 보안을 어떻게 효과적으로 확보할 것인가에 초점이 맞추어져 있다. 예로, 해당 도메인의 특정 호스트에 대한 공격을 어떻게 효율적으로 탐지할 것인가에 대한 측면과 상기 특정 호스트에 대한 공격을 탐지하였을 경우 어떻게 공격자의 트래픽(traffic)을 자신의 도메인 입구에서 차단하여 상기 특정 호스트를 보호할 것인가에 대한 측면에 치중하고 있다.Conventional network security techniques focus on how to effectively secure the security of the domain to which a particular host belongs. For example, an aspect of how to effectively detect an attack on a specific host of a corresponding domain and how to block an attacker's traffic at the entrance of his domain when detecting an attack on the specific host is performed. The focus is on protection.

이와 같은 종래의 기술은 특정 호스트가 속해 있는 도메인은 보호할 수 있으나 공격자를 식별할 수는 없다. 따라서, 공격자에 대한 대응을 할 수 없기 때문에, 공격자가 이전 공격에 사용했던 네트워크와 다른 네트워크에 연결된 호스트를 경유해서 동일한 호스트에 대해 제 2, 제 3의 공격을 감행할 수 있는데, 이 때에는 상기 특정 호스트가 속해 있는 도메인에서 이 공격에 대해 어떤 조치를 취할 수도 없다.This conventional technique can protect the domain to which a particular host belongs, but cannot identify the attacker. Therefore, since the attacker cannot respond to the attacker, the attacker may conduct a second and third attack against the same host via a host connected to a network different from the one used in the previous attack, in which case No action can be taken against this attack in the domain to which the host belongs.

도 1은 종래의 네트워크 보안이 이루어지는 메커니즘을 나타낸 망 구성도로, 방화벽 시스템(150)이 침입탐지 시스템(160) 및 보안 관리 시스템(170)을 구비한 도메인(180)을 인터넷(internet)으로부터의 공격을 차단하도록 구성된다.1 is a network configuration diagram illustrating a conventional network security mechanism, wherein a firewall system 150 attacks a domain 180 including an intrusion detection system 160 and a security management system 170 from the Internet. It is configured to block.

동 도면에 있어서, 소정의 공격자가 도메인(180)을 외부 인터넷을 통해 공격(110)하면, 도메인(180)에 설치된 침입탐지 시스템(160)은 보안 관리 시스템(170)으로 상기 공격 사실을 통보한다.In the figure, when a predetermined attacker attacks the domain 180 through the external Internet 110, the intrusion detection system 160 installed in the domain 180 notifies the security management system 170 of the attack. .

보안 관리 시스템(170)은 침입탐지 시스템(160)으로부터 공격 사실을 통보받아 도메인(180)의 입구에 설치된 방화벽 시스템(150)을 동작시켜 상기 인터넷을 통해 접속한 공격자의 트래픽을 차단시킨다(140).Security management system 170 is notified of the attack from the intrusion detection system 160 operates the firewall system 150 installed at the entrance of the domain 180 to block the traffic of the attacker connected through the Internet (140) .

상술한 도 1과 같은 경우 인터넷을 통해 들어오는 공격자로부터 도메인(180)을 방어할 수는 있지만 공격자가 경유 호스트를 변경하여 재 공격할 경우에는 공격자의 트래픽을 차단할 수 없기 때문에, 이어지는 제 2, 제 3 등의 공격을 허용할 수밖에 없다.In the case of FIG. 1 described above, the domain 180 can be protected from an attacker who enters through the Internet, but when the attacker changes the route host again, the attacker cannot block the traffic of the attacker. There is no choice but to allow such attacks.

본 발명은 상기의 문제점을 해결하기 위하여 안출한 것으로, 코드의 이동성을 적용한 세션 정보 관리를 통해 인터넷 상의 다른 호스트를 경유한 사이버 공격에 대해서도 공격자의 위치를 추적하도록 하는 코드의 이동성을 적용한 세션 정보관리를 통한 공격자 역 추적 방법을 제공하는 데 그 목적이 있다.The present invention has been made to solve the above problems, the session information management to apply the portability of the code to track the attacker's location in the cyber attack via another host on the Internet through the session information management applying the portability of the code Its purpose is to provide an attacker traceback method through the.

이와 같은 목적을 달성하기 위한 본 발명은, 도메인 관리 서버 및 다수의 호스트를 각각 구비하는 다수의 도메인이 인터넷에 각각 접속된 통신 시스템에 있어서, 호스트의 세션을 모니터링(monitoring)하는 코드로 이루어진 모니터링 센서를 상기 각 호스트로 상기 인터넷을 통해 각각 파송해서 상기 각 호스트에 각각 탑재시켜 각 호스트의 각 세션을 각각 모니터링하는 제 1 단계; 특정 호스트가 공격당하는 경우 상기 각 호스트에 탑재된 모니터링 센서가 모니터링한 각 세션 정보를 참조하여 공격자 경로에 대응하는 다음 호스트를 찾아 공격자를 역 추적하는 제 2 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a communication sensor including a domain management server and a plurality of hosts, each of which is connected to the Internet, the monitoring sensor comprising a code for monitoring a session of a host. A first step of sending each to the hosts through the Internet and mounting them on the hosts to monitor each session of each host; And a second step of searching for the next host corresponding to the attacker's path by referring to each session information monitored by the monitoring sensor mounted on each host when the specific host is attacked.

도 1은 종래의 네트워크 보안이 이루어지는 메커니즘을 나타낸 망 구성도,1 is a network diagram showing a mechanism in which a conventional network security is performed,

도 2는 본 발명이 적용될 네트워크 환경과 실제 적용될 경우 네트워크 보안 메커니즘의 동작 흐름을 나타낸 망 구성도,2 is a network diagram showing an operation flow of a network security mechanism when the network environment to which the present invention is to be applied and actually applied;

도 3은 본 발명에 따른 추적 센서가 각 호스트를 이동하여 실행될 경우 그 실행을 보장하기 위해 갖추어야 할 실행 구조를 나타낸 개략도,3 is a schematic diagram showing an execution structure to be equipped to ensure the execution when the tracking sensor is executed by moving each host according to the present invention,

도 4는 본 발명에 따른 각 호스트에 있어서, 상대 호스트와의 연결을 나타내는 세션 정보를 모니터링하는 모니터링 센서를 특정 호스트에 탑재하는 절차를 단계별로 나타낸 순서도,4 is a flowchart illustrating a step-by-step procedure of mounting a monitoring sensor on a specific host to monitor session information indicating a connection with a counterpart host in each host according to the present invention;

도 5는 본 발명에 따라 해커의 위치를 역 추적하는 동작을 단계별로 나타낸 순서도.Figure 5 is a flow chart illustrating a step-by-step operation of backtracking the position of a hacker in accordance with the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

280 : 추적 센서 281 : 모니터링 센서280: tracking sensor 281: monitoring sensor

290 : 공격자 호스트 291 : 경유 호스트290: attacker host 291: via host

292 : 도메인 관리 서버 293 : 피해 호스트292: Domain Management Server 293: Damaged Host

도 2는 본 발명이 적용될 네트워크 환경과 실제 적용될 경우 네트워크 보안 메커니즘의 동작 흐름을 나타낸 망 구성도로, 인터넷을 통해 각각 파송되어 다수의 호스트(290, 291, 293)에 각각 탑재된 모니터링 센서(281)가 각 호스트의 각 세션을 각각 모니터링했다가 추적 센서(280)의 공격자 접속경로정보 요구가 있을 때 추적 센서(280)에게 공격자 접속경로정보를 제공하도록 구성된다. 상기 공격자 접속경로정보는 예로, 공격자가 바로 이전에 경유했던 호스트의 위치 정보이다.FIG. 2 is a diagram illustrating a network environment to which the present invention is applied and an operation flow of a network security mechanism when the present invention is actually applied. Is configured to monitor each session of each host and provide attacker access path information to the tracking sensor 280 when an attacker access path information request of the tracking sensor 280 is made. The attacker connection path information is, for example, location information of a host that the attacker has just passed through.

동 도면에 있어서, 먼저 모니터링 센서(281)는 고착형 프로그램 코드(program code)로, 각 호스트(290, 291, 293)에 인터넷을 통해 각각 탑재되어 각 호스트(290, 291, 293)의 각 세션을 각각 모니터링한다. 추적 센서(280)는 각 호스트(290, 291, 293)에 각각 탑재된 모니터링 센서(281)가 요구에 의해 제공하는공격자가 바로 이전에 경유했던 호스트에 대한 접속경로정보를 수집하면서 공격자가 최초로 사용한 호스트의 위치를 역 추적한다. 상기 센서는 일반적으로 사용되고 있는 모바일 코드(mobile code)로서, 인터넷에 접속된 각 호스트에 파송해서 탑재시킬 수 있다.In the figure, firstly, the monitoring sensor 281 is a fixed program code, which is mounted on each host 290, 291, 293 via the Internet to each session of each host 290, 291, 293. Monitor each of them. The tracking sensor 280 is used by an attacker for the first time while collecting connection path information about a host that was previously previously passed by an attacker provided on demand by a monitoring sensor 281 mounted on each host 290, 291, and 293. Trace back the location of the host. The sensor is a mobile code generally used, and can be sent to and mounted on each host connected to the Internet.

예로, 침입방지 시스템은 피해 호스트(293)가 인터넷을 통해 공격당한 것이 탐지되면 이 공격당한 사실을 자신의 도메인 관리 서버로 통보(210)한다.For example, if the intrusion prevention system detects that the victim host 293 is attacked through the Internet, the intrusion prevention system notifies the domain management server 210 of the attack.

도메인 관리 서버는 공격당한 사실을 침입방지 시스템으로부터 통보 받을 경우 추적 센서(280)를 피해 호스트(293)로 전송(212)한다.When the domain management server is notified of the attack from the intrusion prevention system, it transmits 212 to the host 293 to the tracking sensor 280.

추적 센서(280)는 피해 호스트(293)에서 모니터링 센서(281)로부터 공격자가 바로 이전에 경유했던 호스트(291)의 위치 정보를 획득(213)하여 경유 호스트(291)로 인터넷을 통해 이동(220, 231)한다. 이 때, 도메인을 건너서 이동하는 경우 해당 도메인 관리 서버(292)로부터 추적 센서(280)의 역추적 수행을 위한 인증을 받는다(221, 230).The tracking sensor 280 obtains (213) the location information of the host 291 that the attacker has just passed through from the monitoring sensor 281 at the victim host 293 and moves through the Internet to the via host 291 via the Internet (220). , 231). At this time, when moving across the domain is authenticated for performing the traceback of the tracking sensor 280 from the domain management server 292 (221, 230).

추적 센서(280)는 경유 호스트(291)에서 모니터링 센서(281)로부터 공격자가 바로 이전에 경유했던 호스트의 위치 정보를 획득(232)하여 해킹 호스트로 인터넷을 통해 이동해서 공격자가 로그인하여 작업 중인 공격자 호스트(290)를 추적해 낸다.The tracking sensor 280 obtains the location information of the host that the attacker had just passed through from the monitoring sensor 281 at the passthru host 291 and moves through the Internet to the hacking host so that the attacker logs in and is working on the attacker. Trace host 290.

여기서, 상기 다수의 호스트(290, 291, 293)를 인터넷을 통해 주기적으로 액세스(access)하면서 모니터링 센서(281)를 이루는 코드의 무결성을 관리한다.Here, the plurality of hosts 290, 291, and 293 are periodically accessed through the Internet to manage the integrity of the codes constituting the monitoring sensor 281.

도 3은 본 발명에 따른 추적 센서(280)가 각 호스트(290, 291, 293)를 이동하여 실행될 경우 그 실행을 보장하기 위해 갖추어야 할 실행 구조를 나타낸 개략도로, 호스트를 구동하기 위한 기본적인 커널(360)과 운영체제(380)가 존재하고 일반적인 응용 프로그램(370)은 운용체제 상에서 실행된다. 상기 운영체제(380)는 호스트를 운영하기 위한 윈도우즈 NT 등의 프로그램으로, 호스트 내의 하드디스크(Hard Disk Drive : HDD) 등에 저장되어 있다가 호스트를 최초로 부팅(booting)할 때 실행되고 일부는 호스트 내의 주 메모리(main memory) 등에 탑재된다.3 is a schematic diagram showing an execution structure to be provided to ensure execution when the tracking sensor 280 moves and executes each of the hosts 290, 291, and 293 according to the present invention. 360 and an operating system 380 exist, and a general application program 370 runs on an operating system. The operating system 380 is a program such as Windows NT for operating a host. The operating system 380 is stored in a hard disk drive (HDD) in a host and executed when the host is first booted. It is mounted in a memory (main memory) or the like.

독립적인 실행 환경을 역 추적용 센서(310)에게 제공하기 위한 센서실행엔진(330)이 각 호스트(290, 291, 293)의 각 운영체제(380) 위에 각기 탑재된다. 운영체제 인터페이스(operating system interface)(350)는 운영체제(380)와 센서실행엔진(330), 응용 프로그램(370)간을 인터페이스 시켜준다. 센서실행엔진(330)은 센서(310) 자체의 기능 수행을 위해 필요한 센서실행 라이브러리(340)를 포함한다. 센서실행 라이브러리(340)의 기능을 보면, 센서(310) 이동상의 센서(310) 자체의 보안을 위한 센서(310) 보안 기능, 센서(310)의 이동 생성 및 소멸을 관리하기 위한 센서(310) 관리 기능, 센서(310)간의 통신을 위한 센서(310) 통신 기능 등이 있다. 센서(310)는 실행되기 위해 필요로 하는 센서실행엔진(330)의 기능을 센서 응용프로그램 인터페이스(Application Program Interface : API)(320)를 통해 제공받아 센서실행엔진(330) 상에서 실행된다.The sensor execution engine 330 is provided on each operating system 380 of each host 290, 291, 293 to provide an independent execution environment to the sensor 310 for reverse tracking. An operating system interface 350 interfaces the operating system 380 with the sensor execution engine 330 and the application program 370. The sensor execution engine 330 includes a sensor execution library 340 necessary for performing a function of the sensor 310 itself. Looking at the function of the sensor execution library 340, the sensor 310 security function for the security of the sensor 310 itself on the movement of the sensor 310, the sensor 310 for managing the generation and destruction of the movement of the sensor 310 There is a management function, a sensor 310 communication function for communication between the sensors 310 and the like. The sensor 310 is provided on the sensor execution engine 330 by receiving the function of the sensor execution engine 330 required to be executed through the sensor application program interface (API) 320.

도 4는 본 발명에 따른 각 호스트에 있어서, 상대 호스트와의 연결을 나타내는 세션 정보를 모니터링하는 모니터링 센서를 특정 호스트에 탑재하는 절차를 단계별로 나타낸 순서도이다.4 is a flowchart illustrating a step-by-step procedure of mounting a monitoring sensor on a specific host to monitor session information indicating a connection with a counterpart host in each host according to the present invention.

먼저, 모니터링 센서를 탑재할 호스트의 타입을 판단한다(단계 420).First, the type of the host on which the monitoring sensor is mounted is determined (step 420).

단계 420에서 호스트의 타입을 판단한 결과, 모니터링을 위한 새로운 기법이 개발되었을 경우 상기 모니터링 센서를 탑재할 호스트의 도메인 관리 서버는 상기 호스트의 유형에 적합한 모니터링 센서를 생성한다(단계 430).As a result of determining the type of the host in step 420, when a new technique for monitoring is developed, the domain management server of the host on which the monitoring sensor is mounted generates a monitoring sensor suitable for the type of the host (step 430).

상기 도메인 관리 서버에 생성한 모니터링 센서를 저장하고 상기 단계 420을 수행한다(440).The monitoring sensor generated in the domain management server is stored and the step 420 is performed (440).

단계 420에서 호스트의 타입을 판단한 결과, 모니터링 센서를 탑재할 호스트가 새로운 호스트일 경우 그 호스트에게 자신의 운영체제 및 응용 유형을 질의한다(단계 460).As a result of determining the host type in step 420, if the host on which the monitoring sensor is to be mounted is a new host, the host is queried for its operating system and application type (step 460).

상기 질의 응답에 따라 적합한 모니터링 센서를 선택한다(단계 470).The appropriate monitoring sensor is selected according to the query response (step 470).

상기 선택된 적합한 모니터링 센서를 상기 질의 대상 호스트로 이동시킨다(단계 480).The selected suitable monitoring sensor is moved to the querying host (step 480).

상기 질의 대상 호스트의 센서 실행 엔진에 상기 선택된 적합한 모니터링 센서를 탑재시킨다(단계 490).The selected suitable monitoring sensor is mounted on the sensor execution engine of the querying host (step 490).

도 5는 본 발명에 따라 해커의 위치를 역 추적하는 동작을 단계별로 나타낸 순서도이다.5 is a flowchart illustrating a step-by-step operation of tracking the position of a hacker according to the present invention.

먼저, 보안관리 시스템은 자신이 속한 도메인의 호스트가 공격받음에 따른 침입을 침입탐지 시스템이 탐지했는지 여부를 판단한다(단계 510).First, the security management system determines whether the intrusion detection system detects an intrusion when the host of the domain to which the domain belongs is attacked (step 510).

보안관리 시스템은 침입탐지 시스템이 침입을 탐지했을 경우 역 추적 센서를생성한다(단계 520).The security management system generates a backtracking sensor when the intrusion detection system detects an intrusion (step 520).

보안관리 시스템은 생성한 역 추적 센서를 공격받고 있는 침입대상 호스트로 이동시킨다(단계 530).The security management system moves the generated backtracking sensor to the intrusion target host under attack (step 530).

침입대상 호스트로 이동된 역 추적 센서는 침입대상 호스트에서 세션을 모니터링 중인 모니터링 센서에게 공격자의 이전 경로 정보를 질의한다(540).The reverse tracking sensor moved to the intrusion target host inquires the attacker's previous path information to the monitoring sensor monitoring the session at the intrusion target host (540).

역 추적 센서는 모니터링 센서에게 공격자의 이전 경로 정보를 받아 이에 대응하는 다음 호스트가 자신의 도메인과 다른 도메인에 존재하는지 여부를 판단한다(단계 550).The backtracking sensor receives the attacker's previous path information from the monitoring sensor and determines whether the next host corresponding thereto is present in a domain different from its own domain (step 550).

다음 호스트가 다른 도메인에 존재하는 경우 다른 도메인의 관리 서버에게 역 추적 센서에 대한 인증을 의뢰한다(560).If the next host exists in another domain, the management server of the other domain is requested to authenticate the reverse tracking sensor (560).

역 추적 센서는 다른 도메인의 다른 호스트로 이동한다(단계 570).The backtracking sensor moves to another host in another domain (step 570).

역 추적 센서는 다른 호스트에 탑재된 모니터링 센서에게 역 추적 경로 상의 다음 호스트 경로를 질의하고 상기 단계 550을 수행한다(580).The reverse tracking sensor queries the monitoring sensor mounted on the other host for the next host path on the reverse tracking path and performs step 550.

역 추적 센서는 다음 호스트가 같은 도메인에 존재하는 경우 이를 피해 호스트가 있는 도메인의 보안 관리 서버로 통보한다(590).If the next host exists in the same domain, the backtracking sensor notifies the security management server of the domain where the victim host is located (590).

이와 같은 본 발명은 코드의 기능이 업그레이드되었을 경우 이를 각 도메인의 관리 서버를 통하여 해당 도메인 내의 각 호스트로 이동시킨다.In the present invention, when the function of the code is upgraded, it is moved to each host in the corresponding domain through the management server of each domain.

상술한 본 발명은, 코드의 이동성을 적용한 세션 정보 관리를 통해 인터넷 상의 다른 호스트를 경유한 사이버 공격에 대해서도 공격자의 위치를 추적하도록한다. 따라서, 네트워크 보안에 있어 좀더 효과적이고 능동적인 보안을 가능하게끔 한다. 공격자의 위치를 추적하여 대처함으로써 동일한 공격자에 의해 이루어지는 제 2, 제 3의 공격을 방지할 수 있다. 공격자의 위치를 식별함으로써 공격자에 대한 글로벌한 수준에서의 대응이 가능함으로써 사이버 공격에 대한 대처 능력을 급격히 향상시킬 수 있다. 보안 관련 기능을 수행하는 코드에 이동성을 부여함으로써 각 호스트별 환경에 적합한 부가적인 기능을 수행하여 글로벌한 수준에서의 효율적인 보안 기능을 수행할 수 있는 방법을 제공한다. 이동되는 코드의 실행 엔진을 각 호스트에 탑재함으로써 기능의 향상이나 새로운 기능이 개발되었을 경우 이를 신속하고 효율적으로 전체 보안 구조에 적용할 수 있다.The present invention described above allows the attacker's location to be tracked against cyber attacks via other hosts on the Internet through session information management applying portability of code. Thus, more effective and proactive security is possible in network security. By tracking and coping with the attacker's position, it is possible to prevent the second and third attacks by the same attacker. By identifying the location of the attacker, it is possible to respond to the attacker on a global level, thereby dramatically improving the ability to cope with cyber attacks. By providing mobility to code that performs security-related functions, it provides a way to perform effective security functions on a global level by performing additional functions appropriate to each host environment. By embedding the execution engine of the moving code on each host, improvements or new features can be quickly and efficiently applied to the entire security architecture.

Claims (6)

도메인 관리 서버 및 다수의 호스트를 각각 구비하는 다수의 도메인이 인터넷에 각각 접속된 통신 시스템에 있어서,In a communication system in which a plurality of domains each having a domain management server and a plurality of hosts are each connected to the Internet, 호스트의 세션을 모니터링하는 코드로 이루어진 모니터링 센서를 상기 각 호스트로 상기 인터넷을 통해 각각 파송해서 상기 각 호스트에 각각 탑재시켜 각 호스트의 각 세션을 각각 모니터링하는 제 1 단계;A first step of monitoring each session of each host by sending a monitoring sensor comprising a code for monitoring a session of the host to the respective hosts through the Internet and mounted on each host respectively; 특정 호스트가 공격당하는 경우 상기 각 호스트에 탑재된 모니터링 센서가 모니터링한 각 세션 정보를 참조하여 공격자 경로에 대응하는 다음 호스트를 찾아 공격자를 역 추적하는 제 2 단계를 포함하는 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법.When a specific host is attacked, the session information applying the mobility of the code includes a second step of searching for the next host corresponding to the attacker's path and tracking the attacker by referring to the session information monitored by the monitoring sensor mounted on each host. How to track down attackers through management. 제 1 항에 있어서,The method of claim 1, 상기 역 추적을 수행하기 위한 실행 구조는, 상기 역 추적을 수행하기 위한 역 추적용 센서;The execution structure for performing the reverse tracking may include: a sensor for reverse tracking for performing the reverse tracking; 상기 각 호스트의 각 운영체제 위에 각기 탑재되어, 상기 센서 자체의 기능 수행을 위해 필요한 센서실행 라이브러리를 구비하고 독립적인 실행 환경을 상기 센서에게 제공하기 위한 센서실행엔진;A sensor execution engine mounted on each operating system of each host to include a sensor execution library necessary for performing a function of the sensor itself, and to provide an independent execution environment to the sensor; 상기 운영체제와 상기 센서실행엔진, 응용 프로그램간을 인터페이스 시켜주는 운영체제 인터페이스로 이루어지는 것을 특징으로 하는 코드의 이동성을 적용한세션 정보 관리를 통한 공격자 역 추적 방법.The attacker reverse tracking method through the session information management to apply the mobility of the code, characterized in that the operating system interface to interface between the operating system, the sensor execution engine, the application program. 제 1 항에 있어서,The method of claim 1, 상기 모니터링 센서를 특정 대상 호스트에 탑재하는 과정은, 상기 특정 대상 호스트의 타입을 판단하는 제 31 단계;Mounting the monitoring sensor to a specific target host, step 31 of determining the type of the specific target host; 호스트의 타입을 판단한 결과, 모니터링을 위한 새로운 기법이 개발되었을 경우 상기 특정 대상 호스트의 도메인 관리 서버는 상기 특정 대상 호스트의 유형에 적합한 모니터링 센서를 생성하는 제 32 단계;In operation 32, when a new technique for monitoring is developed, the domain management server of the specific target host generates a monitoring sensor suitable for the type of the specific target host; 상기 도메인 관리 서버에 상기 생성한 모니터링 센서를 저장하고 상기 제 31 단계를 수행하는 제 33 단계;A thirty-third step of storing the generated monitoring sensor in the domain management server and performing the thirty-first step; 호스트의 타입을 판단한 결과, 상기 특정 대상 호스트가 새로운 호스트일 경우 상기 특정 대상 호스트에게 자신의 운영체제 및 응용 유형을 질의하는 제 34 단계;A thirty-fourth step of querying the specific target host for its operating system and application type when the specific target host is a new host as a result of determining the type of the host; 상기 질의 응답에 따라 적합한 모니터링 센서를 선택하는 제 35 단계;Step 35 of selecting a suitable monitoring sensor according to the query response; 상기 선택된 적합한 모니터링 센서를 상기 특정 대상 호스트에 탑재시키는 제 36 단계를 포함하는 것을 특징으로 하는 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법.And a 36 th step of mounting the selected appropriate monitoring sensor on the specific target host. 제 1 항 내지 제 3 항 중 적어도 어느 한 항에 있어서, 상기 다수의 호스트를 상기 인터넷을 통해 주기적으로 액세스하면서 상기 코드의 무결성을 관리하는단계를 더 포함하는 것을 특징으로 하는 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법.4. The session according to any one of the preceding claims, further comprising the step of managing the integrity of the code while periodically accessing the plurality of hosts through the Internet. How to track down an attacker through information management. 제 1 항 내지 제 3 항 중 적어도 어느 한 항에 있어서, 상기 코드의 기능이 업그레이드되었을 경우 이를 각 도메인 관리 서버를 통하여 해당 도메인 내의 각 호스트로 이동시켜 상기 각 호스트에 탑재된 코드의 기능을 업그레이드시키는 단계를 더 포함하는 것을 특징으로 하는 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법.The method according to any one of claims 1 to 3, wherein, when the function of the code is upgraded, the code is moved to each host in the corresponding domain through each domain management server to upgrade the function of the code mounted on each host. Attacker backtracking method through the session information management to apply the portability of the code, characterized in that it further comprises. 제 1 항 내지 제 3 항 중 적어도 어느 한 항에 있어서, 상기 공격자 경로에 대응하는 다음 호스트가 자신과는 다른 도메인에 존재하는 경우 공격자 역 추적에 대한 인증 절차를 수행하는 단계를 더 포함하는 것을 특징으로 하는 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역 추적 방법.4. The method according to any one of claims 1 to 3, further comprising the step of performing an authentication procedure for attacker traceback when the next host corresponding to the attacker path is in a different domain than itself. Attacker traceback method through session information management applying portability of code.
KR10-2001-0070765A 2001-11-14 2001-11-14 Attacker traceback method by using session information monitoring that use code mobility KR100439169B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070765A KR100439169B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using session information monitoring that use code mobility

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070765A KR100439169B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using session information monitoring that use code mobility

Publications (2)

Publication Number Publication Date
KR20030039731A KR20030039731A (en) 2003-05-22
KR100439169B1 true KR100439169B1 (en) 2004-07-05

Family

ID=29569405

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0070765A KR100439169B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using session information monitoring that use code mobility

Country Status (1)

Country Link
KR (1) KR100439169B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100431209B1 (en) * 2002-07-04 2004-05-12 한국전자통신연구원 Network Management Method using Managing Sensors
KR100426317B1 (en) * 2002-09-06 2004-04-06 한국전자통신연구원 System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR101889500B1 (en) 2014-03-07 2018-09-20 한국전자통신연구원 Method and System for Network Connection-Chain Traceback using Network Flow Data

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
JP2000354034A (en) * 1999-06-10 2000-12-19 Yoshimi Baba Business: hacker monitoring chamber
KR20010078887A (en) * 2001-05-09 2001-08-22 정지후 Cracker tracing and certification System Using for Web Agent and method thereof
KR20010085056A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
JP2000354034A (en) * 1999-06-10 2000-12-19 Yoshimi Baba Business: hacker monitoring chamber
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20010078887A (en) * 2001-05-09 2001-08-22 정지후 Cracker tracing and certification System Using for Web Agent and method thereof
KR20010085056A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service

Also Published As

Publication number Publication date
KR20030039731A (en) 2003-05-22

Similar Documents

Publication Publication Date Title
US8789171B2 (en) Mining user behavior data for IP address space intelligence
US7350234B2 (en) Intrusion tolerant communication networks and associated methods
US7035850B2 (en) Access control system
JP4283228B2 (en) Method and system for responding to computer intrusion
US20060015715A1 (en) Automatically protecting network service from network attack
CN114145004B (en) System and method for using DNS messages to selectively collect computer forensic data
US11171985B1 (en) System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints
US20040049695A1 (en) System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor
US20090300751A1 (en) Unique packet identifiers for preventing leakage of sensitive information
KR101223594B1 (en) A realtime operational information backup method by dectecting LKM rootkit and the recording medium thereof
KR100439169B1 (en) Attacker traceback method by using session information monitoring that use code mobility
CN115310084A (en) Tamper-proof data protection method and system
KR100424723B1 (en) Apparatus and Method for managing software-network security based on shadowing mechanism
JP2006146600A (en) Operation monitoring server, terminal apparatus and operation monitoring system
Bruschi et al. An efficient technique for preventing mimicry and impossible paths execution attacks
KR100470917B1 (en) System and method for providing a real-time traceback technic based on active code
KR20090011481A (en) Method for intrusion detecting in a terminal device and apparatus therefor
KR20000040269A (en) Method for realtime invasion detection using agent structure in realtime invasion detection system
KR101662530B1 (en) System for detecting and blocking host access to the malicious domain, and method thereof
KR100450770B1 (en) Attacker traceback and isolation system and method in security network
KR20180044507A (en) Network recovery system in advanced persistent threat
KR101997181B1 (en) Apparatus for managing domain name servide and method thereof
KR101904415B1 (en) System recovery method in advanced persistent threat
US11449605B2 (en) Systems and methods for detecting a prior compromise of a security status of a computer system
TWI764618B (en) Cyber security protection system and related proactive suspicious domain alert system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110609

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee