KR100468232B1 - 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 - Google Patents

분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 Download PDF

Info

Publication number
KR100468232B1
KR100468232B1 KR10-2002-0008654A KR20020008654A KR100468232B1 KR 100468232 B1 KR100468232 B1 KR 100468232B1 KR 20020008654 A KR20020008654 A KR 20020008654A KR 100468232 B1 KR100468232 B1 KR 100468232B1
Authority
KR
South Korea
Prior art keywords
network
attack
manager
request
agent
Prior art date
Application number
KR10-2002-0008654A
Other languages
English (en)
Other versions
KR20030069240A (ko
Inventor
최병철
최양서
강동호
서동일
손승원
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0008654A priority Critical patent/KR100468232B1/ko
Priority to US10/273,139 priority patent/US20030159069A1/en
Publication of KR20030069240A publication Critical patent/KR20030069240A/ko
Application granted granted Critical
Publication of KR100468232B1 publication Critical patent/KR100468232B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

본 발명에 따른 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법은, 네트워크 기반 침입 탐지 시스템을 이용하여 침입을 탐지하고 탐지된 침입자 경보 로그를 분석하여 관리자 시스템으로 공격 정보를 전송하는 에이전트 시스템과, 에이전트에서 보낸 공격 정보를 받은 요구 관리자(Request Manager) 시스템과, 경로 추적 요구에 응답을 하는 응답 관리자(Reply Manager) 시스템으로 구성되어 있으며, 기존의 네트워크 기반 침입 탐지 시스템(NIDS)의 탐지 기능을 최대한 이용하고, 많은 경보로그를 공격로그로 판단하는 과정에서 불필요한 역추적 요구를 억제할 수 있으며, 인증된 네트워크이면 그 적용 범위가 광범위하게 확대가 가능하며, 요구 관리자에서 사용한 트리구조 저장 및 이진 탐색 트리(BST) 알고리즘은 효율적인 결과 저장 및 역추적 경로 추출을 할 수 있으며, 또한 해커의 침입을 실시간으로 그 경로를 역추적 할 수 있다는 장점을 가진 것이다. 즉, 본 발명은 침입자가 네트워크에 침입하였을 때 분산된 에이전트와 요구 관리자 및 응답 관리자의 자동화된 동작으로 침입자 공격 경로를 효율적으로 실시간 역추적 할 수 있는 것이다.

Description

분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법{Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems}
본 발명은 전산망에서 침입하는 해커를 탐지하여 그 공격 경로를 역추적하는 침입자 역추적 시스템 및 그 방법에 관한 것으로서, 특히 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법에 관한 것이다.
공격자가 전산망 내부에 침입하였을 때 기존의 네트워크 기반 침입 탐지 시스템(이하 NIDS라 칭함)의 공격 탐지를 이용하는 것으로서, 전체 네트워크에 NIDS를 분산 배치하고 이것을 이용하여 해커의 공격 경로를 역추적하는 기술이다.
도 1은 일반적인 침입자 역추적을 위한 침입 탐지 에이전트와 관리자의 상호 관계를 도시한 전체적인 네트워크 구성도로서, 도 1을 참조하면 NIDS를 탑재한 네트워크 1(101)의 에이전트(102)가 속한 네트워크 세그먼트로의 해커 공격이 발견되면 네트워크1(101)의 요구 관리자(103)에게 역추적 요구를 하게 된다.
요구 관리자(103)는 공격자 IP가 자신의 네트워크 영역에 속한 IP이면 내부응답 관리자(104)에게 공격 정보 검색 요청을 하여 응답을 받는다. 만약 공격자 IP가 네트워크 2에 속하였다면 네트워크 2의 응답 관리자(105)에게 공격 정보 검색 요청을 할 것이다.
이러한 공격 정보 검색 요구 및 응답 과정을 순환적으로 실시하여 최종적으로 처음 공격 경로 요구 메시지를 보낸 에이전트(102)에 속한 요구 관리자(103)의 역추적 결과 DB에 저장되어 해커의 경로를 실시간으로 역추적 할 수 있도록 되어 있다.
따라서, 기존의 네트워크 기반 침입 탐지 시스템(NIDS)은 NIDS가 설치된 네트워크 내부의 침입 탐지의 기능만 수행하였으며, 해커가 여러 네트워크를 경유하여 공격하였을 때는 최초 공격자를 알 수가 없는 문제점이 제기되는 것이다.
따라서, 본 발명은 상기한 종래 기술에 따른 문제점을 해결하기 위하여 안출한 것으로, 본 발명의 목적은, 분산된 네트워크 기반 침입 탐지 에이전트와 관리자(요구 관리자와 응답 관리자)를 이용하여 전체 네트워크상에서 해커의 공격 경로를 실시간으로 탐지 및 역추적 할 수 있는 분산된 침입 탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법을 제공함에 있다.
도 1은 본 발명에 따른 침입자 역추적을 위한 침입탐지 에이전트와 관리자의 상호 관계를 도시한 전체적인 네트워크 구성도.
도 2는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 역추적을 위한 전체 블록 흐름도.
도 3은 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 침입 탐지 및 관리자에게 침입 경보를 보고하는 에이전트 시스템의 내부 동작 흐름을 나타낸 도면.
도 4는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 침입 경보의 접수 및 역추적을 주관하는 요구 관리자 시스템의 내부 동작 흐름을 나타낸 도면.
도 5는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 요구 관리자의 요구에 따라 침입자 흔적을 찾아서 요구 관리자의 순환적 역추적에 응답을 하는 응답 관리자 시스템의 내부 동작 흐름을 나타낸 도면.
*도면의 주요 부분에 대한 부호의 설명*
201 : 에이전트 202 : 요구 관리자
203 : 응답 관리자 204, 207 : 경보 로그 DB
205 : 공격 로그 DB 206 : 역추적 결과 DB
상기 본 발명의 목적을 달성하기 위한 네트워크 기반 침입자 역추적 시스템및 그 방법은, 네트워크 기반 침입 탐지 시스템(NIDS)이 탑재된 에이전트에서 해커의 침입을 판단하고 경보로그를 기록한 후, 이 경보로그를 바탕으로 공격 규칙 적용 및 공격 통계 처리 과정을 통해서 공격 경로 검색 요구를 요구 관리자에게 요청을 하게되며, 이에 따라 요구 관리자는 자신의 네트워크 및 인증된 다른 네트워크의 응답 관리자에게 공격자의 흔적을 경보로그 DB 검색을 통하여 요구 관리자에게 응답을 하게 되며, 이러한 과정이 순환적으로 이루어져 최종적인 공격자의 경로를 역추적 할 수 있도록 되어 있다.
즉, 본 발명에 따른 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템의 일측면에 따르면, 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템에 있어서, 외부의 침입을 탐지하여 경보 로그 DB에 그 결과를 저장하고, 경보 로그 DB의 실시간 모니터링을 통해 로그 분석을 하여 분석된 로그 정보를 공격 정보로 변경하여 상기 공격 로그 DB에 저장한 후, 공격 정보를 UDP통신으로 전송하는 에이전트; 상기 에이전트로부터 전송 받은 공격 정보에 포함된 IP 정보의 검색 요구를 수행하는 요구 관리자; 및, 상기 요구 관리자의 IP 검색 요구에 따라 자신이 속한 네트워크의 해당 공격 IP가 속한 서브 네트워크의 에이전트의 경보 로그 DB에서 공격 IP를 검색을 하여 그 결과를 상기 요구 관리자에게 전송하는 응답 관리자를 포함하되, 상기 요구 관리자는 또 다른 경유 IP가 있으면, 계속 다른 네트워크의 응답 관리자에게 공격 정보 검색을 요구하며, 상기 과정이 종료되면, 해킹 경로의 추적 결과를 역추적 결과 DB에 저장하는 것이다.
한편, 본 발명에 따른 분산된 침입 탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법의 일 측면에 따르면, 분산된 침입 탐지 에이전트와 요구 관리자 및 응답 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법에 있어서, 네트워크 기반 침입 탐지 시스템(NIDS)을 이용하여 상기 에이전트는 침입탐지 및 침입으로 판단된 경보로그를 분석하여 공격정보로 변경하여 상기 요구 관리자에게 전송하는 단계; 상기 요구 관리자는 상기 에이전트에서 받은 공격정보를 기반으로 공격 IP의 검색을 수행하고 트리구조에 검색 결과를 저장하고 최종 검색이 완료되면 이진 탐색 트리(BST) 알고리즘을 사용하여 해킹 경로를 추출하는 단계; 상기 응답 관리자는 상기 요구 관리자의 공격정보 검색 요청에 자신의 네트워크의 에이전트에 있는 경보로그 DB를 검색하여 결과를 요구 관리자에게 전송하는 단계를 포함할 수 있다.
또한, 상기 경보 로그를 분석하여 공격정보로 변경하여 상기 요구 관리자에게 전송하는 단계는, 네트워크 기반 침입 탐지 시스템(NIDS)에 의해서 침입을 탐지하여 경보로그 DB에 저장하고 그 경보로그 DB를 실시간 모니터링하는 단계와, 경보로그 DB에 새로운 정보가 갱신되었을 때, 공격정보로 판단하기 위한 공격로그 규칙을 적용하는 단계와, 공격로그 규칙 적용을 한 후 공격정보로 판단하기 위한 IP와 신호(Signature)의 탐지된 횟수를 공격 방법에 따른 임계값을 적용하여 최종적으로 공격으로 판단하는 단계와, 최종적으로 판단된 공격정보를 요구 관리자에게 보고및 저장하는 단계를 포함한다.
또한, 상기 에이전트에서 받은 공격정보를 기반으로 공격 IP를 검색을 수행하고 트리구조에 검색 결과를 저장하고 최종 검색이 완료되면 이진 탐색 트리(BST) 알고리즘을 사용하여 해킹 경로를 추출하는 단계는, 에이전트로부터의 공격정보를 받아서 공격 IP가 속한 관리자를 선택하는 단계와, 선택된 네트워크의 응답 관리자에게 공격 IP의 검색 요구 및 결과를 받는 단계와, 응답 관리자로부터 받은 검색결과를 트리구조의 메모리에 저장하고 최종적으로 검색이 완료된 후 역추적 경로를 추출하기 위한 이진 탐색 트리(BST) 알고리즘을 사용하는 단계와, 추출된 해킹 경로를 역추적 결과 DB에 저장하는 단계를 포함할 수 있다.
또한, 요구 관리자의 공격정보 검색 요청에 자신의 네트워크의 에이전트에 있는 경보로그 DB를 검색하여 결과를 전송하는 단계는, 요구 관리자의 공격 IP 검색 요청에 의해서 자식 프로세스를 생성하여 검색 과정을 시작하는 단계와, 검색 요청의 IP에 해당하는 네트워크를 인증하는 단계와, 인증된 검색 요청 패킷에 대해서 자신이 관리하는 에이전트의 경보로그 DB를 검색하고 결과를 추출 및 저장하는 단계와, 추출된 검색 결과를 요구 관리자에게 전송하는 단계를 포함한다.
이하, 본 발명에 따른 분산된 침입 탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법에 대한 바람직한 일 실시예를 첨부한 도면을 참조하여 상세하게 살펴보기로 하자.
도 1을 참조하면, 본 발명에 따른 네트워크 기반 침입자 역추적 시스템에서해커의 공격이 탐지되어 경보를 발생시키고, 이 경보 로그를 공격 정보로 변경하는 에이전트(102)에 의해서 역추적이 시작된다.
이 에이전트들은 C-Class의 네트워크 세그먼트 단위로 설치된다. 만약 C-Class 네트워크가 두 개의 서브 네트워크로 구성되어 있다면, 2개의 에이전트가 설치되어야 한다.
에이전트(102)에서 공격정보는 에이전트(102)가 속한 네트워크(B-Class)의 요구 관리자(103)에게 전송하여 요구 관리자(103)가 역추적의 전체 관리를 시작할 수 있도록 한다.
요구 관리자(103)는 에이전트(102)에서 보낸 공격 IP가 어느 네트워크에 속해 있는지 판단하고 해당 네트워크의 응답 관리자(104 또는 105 또는 107)에게 공격 IP에 대한 검색을 요청하게 된다. 여기서, 공격자가 네트워크 N에서 네트워크 2를 경유하여 네트워크 1로 공격을 한 경우를 일 예로 하여 그 절차를 살펴보기로 하자.
먼저, 네트워크 1(101)의 에이전트(102)가 요구 관리자(103)에게 공격 정보를 전송하고, 요구 관리자(103)는 이전 공격자의 IP로 네트워크 2의 응답 관리자(105)에게 공격 IP를 검색 요청하게 된다.
이어, 응답 관리자(105)는 에이전트(106)에 있는 경보로그 DB를 검색하여 그 결과를 최초 요구 관리자(103)에게 전송한다.
그리고, 검색 결과를 받은 요구 관리자(103)는 그 결과를 다시 분석하여 다른 경유 IP를 확인하고 네트워크 N의 응답 관리자(107)에게 상기와 동일한 방법으로, 공격자 IP의 검색을 수행하고 그 결과를 최초 요구 관리자(103)에게 전송하게 되는 것이다.
그리고, 최종적으로 더 이상의 공격자 IP에 대한 검색이 필요가 없을 때, 요구 관리자(103)는 검색된 결과를 바탕으로 해킹 경로를 추출하게 되는 것이다.
도 2는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 역추적을 위한 전체 블록 구성도로서, 도 1의 하나의 네트워크(B-Class 단위)에 대한 상세도를 나타낸 것이다.
도 2에 도시된 바와 같이, 먼저 에이전트(201)는 침입을 탐지하여 경보 로그 DB(204)에 그 결과를 저장하고, 경보 로그 DB(204)의 실시간 모니터링을 통해서 로그 분석을 하여 분석된 경보 로그 정보를 공격 정보로 변경하여 공격로그 DB(205)에 저장한 후, UDP 통신으로 요구 관리자(202)에게 공격 정보를 전송한다.
요구 관리자(202)는 에이전트(201)로부터 받은 공격 정보에 포함된 IP를 바탕으로 해당 네트워크에 속한 응답 관리자(203)에게 TCP 통신을 통해 공격 IP 검색 요구를 하게 되며, 응답 관리자(203)는 자신이 속한 네트워크의 해당 공격 IP가 속한 서브 네트워크의 에이전트의 경보 로그 DB(207)에서 공격 IP 검색을 하여 그 결과를 요구 관리자(202)에게 전송한다.
요구 관리자(202)는 또 다른 경유 IP가 있으면 계속 다른 네트워크의 응답 관리자에게 공격정보 검색을 요구하며, 이러한 일련의 과정이 종료되면 해킹 경로의 추적 결과를 역추적 결과 DB(206)에 저장하게 되는 것이다.
이하, 본 발명에 따른 분산된 침입 탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법에 대하여 첨부한 도면을 참조하여 단계적으로 살펴보기로 하자.
도 3은 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 침입 탐지 및 관리자에게 침입 경보를 보고하는 에이전트 시스템의 내부 동작 흐름을 나타낸 도면이다.
도 3을 참조하면, 에이전트의 동작이 시작되면(S101), 네트워크 기반 침입 탐지 시스템(NIDS)에 의한 탐지 결과가 경보로그 DB(S102)에 저장되고 이 경보로그 DB의 실시간 모니터링을 수행하게 된다(S103).
이어, 경보로그 DB가 갱신되면, 즉 새로운 침입 탐지가 이루어졌을 때 공격로그 규칙을 적용할 것인지를 판단하고(S104), 판단 결과, 공격 로그 규칙을 적용할 경우 공격 로그를 위한 통계적 처리를 적용할 것인지를 판단하는 것이다(S105).
상기 판단 결과, 공격 로그 규칙을 적용하고 공격 로그 통계처리를 척용하는 경우에는 최종적으로 공격 정보를 요구 관리자에게 보고하고(S106, S107), 공격 정보를 공격로그 DB에 저장을 하게 되는 것이다(S108).
도 4는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 침입 경보의 접수 및 역추적을 주관하는 요구 관리자 시스템의 내부 동작 흐름을 나타낸 도면이다.
도 4를 참조하면, 요구 관리자는 에이전트(S201)로부터 공격정보 받기를 수행한다(S202).
이에 따라 공격 IP를 기준으로 해당 IP가 내부 네트워크의 IP인지 아니면 외부 네트워크 IP인지를 구분하여 관리자를 선택하게 되는 것이다(S203).
이어, 관리자 선택 결과, 선택된 관리자가 내부 네트워크 IP인 경우는 내부 응답 관리자에게 경보로그 DB(S210)를 검색하도록 요청하고(S207), 내부 응답 관리자는 경보 로그 DB 검색 결과를 검색결과 DB에 저장하도록 하는 것이다(S208).
그러나, 상기 S203 단계에서 공격 IP가 외부 네트워크 IP인 경우에는, 외부 네트워크의 응답 관리자(S206)에게 IP 검색 요구 패킷을 전송하여 공격 IP에 대한 경보로그 DB(S209)의 검색을 요구한다(S204).
따라서, 응답 관리자는 검색 요구에 따라 공격 IP 검색을 경보 로그 DB로부터 수행하여 그 결과 즉, 검색 응답 패킷을 전송하여 검색 결과 DB(S208)에 저장하게 되는 것이다.
이러한 순환적인 모든 요구 및 응답 과정이 종료되면 최종적으로 역추적 결과 DB에 공격 경로 및 기타 공격 정보들을 저장하게 되는 것이다(S211).
여기에서 요구 관리자는 공격 정보에 대한 검색 결과에 대해서 트리 구조의 메모리에 저장하고 최종 검색이 완료되면, 이진 탐색 트리(Binary Search Tree : BST) 알고리즘을 사용하여 효율적이며 신속하게 가능한 모든 경로를 추출할 수 있도록 한다.
도 5는 본 발명에 따른 네트워크 기반 침입자 역추적 시스템의 요구 관리자의 요구에 따라 침입자 흔적을 찾아서 요구 관리자의 순환적 역추적에 응답을 하는응답 관리자 시스템의 내부 동작 흐름을 나타낸 도면이다.
도 5를 참조하면, 요구 관리자로 부터의 검색 요청이 들어오면(S302), 패킷 듣기가 동작하여(S303) 새로운 자식 프로세스를 생성하는 포크가 이루어진다(S304).
일단 받은 공격 요청 IP는 패킷 인증을 수행하게 된다(S305).
패킷 인증 수행 결과, 상기 공격 요청 IP가 인증된 네트워크에서의 요청이면 자신이 속한 에이전트의 경보로그 DB를 검색하여(S310) DB 검색 결과를 표시한다(S311).
그리고, 상기 에이전트의 경보로그 DB 검색 결과를 검색 결과 로그에 저장하고(S312), 요구 관리자에게 전송을 한 후(S313) 해당 자식 프로세스를 종료한다.
그러나, 상기 S305 단계의 패킷 인증(S305) 과정에서 인증되지 않은 네트워크의 IP이면 무효한 패킷으로 판단하고 요구 로그(S307)에 저장을 한 후(S306) 패킷 종료(S308) 및 연결 해제(S309)를 수행하는 것이다.
상술한 바와 같이 본 발명에 따른 분산된 침입 탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템 및 그 방법은 기존의 네트워크 기반 침입 탐지 시스템(NIDS)의 탐지 기능을 최대한 이용하고, 많은 경보로그를 공격로그로 판단하는 과정에서 불필요한 역추적 요구를 억제할 수 있으며, 인증된 네트워크이면 그 적용 범위가 광범위하게 확대가 가능하며, 요구 관리자에서 사용한 트리구조 저장 및 이진 탐색 트리(BST) 알고리즘은 효율적인 결과 저장 및 역추적 경로 추출을 할 수 있으며, 또한 해커의 침입을 실시간으로 그 경로를 역추적 할 수 있다는 장점이 있다.

Claims (5)

  1. 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템에 있어서,
    외부의 침입을 탐지하여 경보 로그 DB에 그 결과를 저장하고, 경보 로그 DB의 실시간 모니터링을 통해 로그 분석을 하여 분석된 로그 정보를 공격 정보로 변경하여 상기 공격 로그 DB에 저장한 후, 공격 정보를 UDP통신으로 전송하는 에이전트;
    상기 에이전트로부터 전송받은 공격 정보에 포함된 IP 정보의 검색 요구를 수행하는 요구 관리자; 및
    상기 요구 관리자의 IP 검색 요구에 따라 자신이 속한 네트워크의 해당 공격 IP가 속한 서브 네트워크의 에이전트의 경보 로그 DB에서 공격 IP를 검색을 하여 그 결과를 상기 요구 관리자에게 전송하는 응답 관리자를 포함하며,
    각 네트워크의 서브 네트워크마다 에이전트가 구비되어 있고, 상기 각 네트워크에는 요구 관리자 및 응답 관리자가 구비되어 있으며,
    상기 요구 관리자는 상기 에이전트로부터 전송받은 공격 정보에 또 다른 경유 IP가 있으면, 계속 다른 네트워크의 응답 관리자에게 공격 정보 검색을 요구하며, 상기 과정이 종료되면, 해킹 경로의 추적 결과를 역추적 결과 DB에 저장하는 것을 특징으로 하는 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 시스템.
  2. 각 네트워크의 서브 네트워크마다 에이전트가 구비되어 있고 각 네트워크에는 요구 관리자 및 응답 관리자가 구비되어 있는 네트워크에 적용되는 네트워크 기반 침입자 역추적 방법에 있어서,
    네트워크 기반 침입 탐지 시스템(NIDS)을 이용하여 상기 에이전트는 침입탐지 및 침입으로 판단된 경보로그를 분석하여 공격정보로 변경하여 상기 요구관리자에게 전송하는 제1단계;
    상기 요구 관리자는 상기 에이전트에서 받은 공격정보를 기반으로 공격 IP를 검색을 수행하고 트리구조에 검색 결과를 저장하고 최종 검색이 완료되면 이진탐색트리(BST) 알고리즘을 사용하여 해킹 경로를 추출하는 제2단계; 및,
    상기 응답 관리자는 상기 요구 관리자의 공격정보 검색 요청에 자신의 네트워크의 에이전트에 있는 경보로그 DB를 검색하여 결과를 요구 관리자에게 전송하는 제3단계를 포함하는 것을 특징으로 하는 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법
  3. 제2항에 있어서, 상기 제1단계는,
    네트워크 기반 침입탐지시스템(NIDS)에 의해서 침입을 탐지하여 경보로그 DB에 저장하고 그 경보로그 DB를 실시간 모니터링하는 단계와,
    경보로그 DB에 새로운 정보가 갱신되었을 때, 공격정보로 판단하기 위한 공격로그 규칙을 적용하는 단계와,
    공격로그 규칙 적용을 한 후 공격정보로 판단하기 위한 IP와 신호(Signature)의 탐지된 횟수를 공격방법에 따른 임계값을 적용하여 최종적으로 공격으로 판단하는 단계와,
    최종적으로 판단된 공격정보를 요구관리자에게 보고 및 저장하는 단계를 포함하는 것을 특징으로 하는 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법
  4. 제2항에 있어서, 상기 제2단계는,
    에이전트로부터의 공격정보를 받아서 공격 IP가 속한 관리자를 선택하는 단계와,
    선택된 네트워크의 응답관리자에게 공격 IP의 검색 요구 및 결과를 받는 단계와,
    응답관리자로부터 받은 검색결과를 트리구조의 메모리에 저장하고 최종적으로 검색이 완료된 후 역추적 경로를 추출하기 위한 이진탐색트리(BST) 알고리즘을 사용하는 단계와,
    추출된 해킹 경로를 역추적 결과 DB에 저장하는 단계를 포함하는 것을 특징으로 하는 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법.
  5. 제2항에 있어서, 상기 제3단계는,
    요구관리자의 공격 IP 검색 요청에 의해서 자식 프로세스를 생성하여 검색 과정을 시작하는 단계와,
    검색 요청의 IP에 해당하는 네트워크를 인증하는 단계와,
    인증된 검색 요청 패킷에 대해서 자신이 관리하는 에이전트의 경보로그 DB를 검색하고 결과를 추출 및 저장하는 단계와,
    추출된 검색 결과를 요구관리자에게 전송하는 단계를 포함하는 것을 특징으로 하는 분산된 침입탐지 에이전트와 관리자 시스템을 이용한 네트워크 기반 침입자 역추적 방법.
KR10-2002-0008654A 2002-02-19 2002-02-19 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 KR100468232B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2002-0008654A KR100468232B1 (ko) 2002-02-19 2002-02-19 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
US10/273,139 US20030159069A1 (en) 2002-02-19 2002-10-18 Network-based attack tracing system and method using distributed agent and manager system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0008654A KR100468232B1 (ko) 2002-02-19 2002-02-19 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20030069240A KR20030069240A (ko) 2003-08-27
KR100468232B1 true KR100468232B1 (ko) 2005-01-26

Family

ID=27725771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0008654A KR100468232B1 (ko) 2002-02-19 2002-02-19 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US20030159069A1 (ko)
KR (1) KR100468232B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180118401A (ko) * 2017-04-21 2018-10-31 에스케이브로드밴드주식회사 네트워크관리장치 및 방법

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
US7899901B1 (en) * 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
KR100564752B1 (ko) * 2003-11-27 2006-03-27 한국전자통신연구원 역추적 관리 시스템 및 그 방법
US7779463B2 (en) * 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
US8862718B2 (en) * 2006-07-12 2014-10-14 Avaya Inc. System, method and apparatus for troubleshooting an IP network
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
JP4429218B2 (ja) * 2005-06-30 2010-03-10 富士通株式会社 ネットワーク遮断制御プログラム及びネットワーク遮断装置
US8160062B2 (en) * 2006-01-31 2012-04-17 Microsoft Corporation Network connectivity determination based on passive analysis of connection-oriented path information
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
US8677479B2 (en) 2007-04-16 2014-03-18 Microsoft Corporation Detection of adversaries through collection and correlation of assessments
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
EP2235910B1 (en) * 2007-12-28 2016-12-14 Telecom Italia S.p.A. Anomaly detection for link-state routing protocols
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
CN101282340B (zh) * 2008-05-09 2010-09-22 成都市华为赛门铁克科技有限公司 网络攻击处理方法及处理装置
KR101048991B1 (ko) * 2009-02-27 2011-07-12 (주)다우기술 봇넷 행동 패턴 분석 시스템 및 방법
CN101854270A (zh) * 2010-04-23 2010-10-06 山东中创软件工程股份有限公司 多系统运行状态监控方法及系统
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8707339B2 (en) * 2010-07-30 2014-04-22 CSC Holdings, LLC System and method for detecting hacked modems
WO2012105883A1 (en) * 2011-02-04 2012-08-09 Telefonaktiebolaget L M Ericsson (Publ) Method for malicious attacks monitoring
CN102932145A (zh) * 2011-08-12 2013-02-13 西安秦码软件科技有限公司 一种基于第三方签名的协同网络电子取证技术
CN103226675B (zh) * 2013-03-20 2015-07-29 华中科技大学 一种分析入侵行为的溯源系统及方法
US9306957B2 (en) * 2013-06-14 2016-04-05 Sap Se Proactive security system for distributed computer networks
US20150033336A1 (en) * 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
JP6071809B2 (ja) * 2013-08-30 2017-02-01 Kddi株式会社 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム
KR101472896B1 (ko) * 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
CN104734895B (zh) * 2013-12-18 2018-05-22 青岛海尔空调器有限总公司 业务监控系统及业务监控方法
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN106982188B (zh) * 2016-01-15 2020-11-27 阿里巴巴集团控股有限公司 恶意传播源的检测方法及装置
US10346625B2 (en) 2016-10-31 2019-07-09 International Business Machines Corporation Automated mechanism to analyze elevated authority usage and capability
US9928365B1 (en) 2016-10-31 2018-03-27 International Business Machines Corporation Automated mechanism to obtain detailed forensic analysis of file access
US9830469B1 (en) 2016-10-31 2017-11-28 International Business Machines Corporation Automated mechanism to secure customer data
CN107196895B (zh) * 2016-11-25 2020-07-17 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
US11777963B2 (en) * 2017-02-24 2023-10-03 LogRhythm Inc. Analytics for processing information system data
JP6714143B2 (ja) * 2017-03-03 2020-06-24 日本電信電話株式会社 学習装置、再学習要否判定方法及び再学習要否判定プログラム
US10650156B2 (en) 2017-04-26 2020-05-12 International Business Machines Corporation Environmental security controls to prevent unauthorized access to files, programs, and objects
US11297073B2 (en) 2018-08-31 2022-04-05 Sophos Limited Forensic query of local event streams in an enterprise network
CN110958257B (zh) * 2019-12-06 2022-06-07 北京中睿天下信息技术有限公司 一种内网渗透过程还原方法和系统
US20210226988A1 (en) * 2019-12-31 2021-07-22 Radware, Ltd. Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks
CN112115450B (zh) * 2020-09-28 2021-04-02 兰和科技(深圳)有限公司 一种基于人工智能技术的校园安全信息化管理系统
US20240031391A1 (en) * 2022-07-22 2024-01-25 Semperis Technologies Inc. (US) Attack path monitoring and risk mitigation in identity systems

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10210033A (ja) * 1997-01-28 1998-08-07 Hitachi Ltd ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20000040269A (ko) * 1998-12-17 2000-07-05 이계철 실시간 침입 탐지 시스템에서의 에이전트 구조를 이용한 실시간침입 탐지 방법
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5941996A (en) * 1997-07-25 1999-08-24 Merrill Lynch & Company, Incorporated Distributed network agents
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6715081B1 (en) * 1999-08-12 2004-03-30 International Business Machines Corporation Security rule database searching in a network security environment
US7089303B2 (en) * 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
US20020035698A1 (en) * 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US7225467B2 (en) * 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
US7017185B1 (en) * 2000-12-21 2006-03-21 Cisco Technology, Inc. Method and system for maintaining network activity data for intrusion detection
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
AU2002303319A1 (en) * 2001-04-12 2002-10-28 Valaran Corporation Method and service for storing records containing executable objects

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10210033A (ja) * 1997-01-28 1998-08-07 Hitachi Ltd ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20000040269A (ko) * 1998-12-17 2000-07-05 이계철 실시간 침입 탐지 시스템에서의 에이전트 구조를 이용한 실시간침입 탐지 방법
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180118401A (ko) * 2017-04-21 2018-10-31 에스케이브로드밴드주식회사 네트워크관리장치 및 방법
KR101977612B1 (ko) * 2017-04-21 2019-05-13 에스케이브로드밴드주식회사 네트워크관리장치 및 방법

Also Published As

Publication number Publication date
KR20030069240A (ko) 2003-08-27
US20030159069A1 (en) 2003-08-21

Similar Documents

Publication Publication Date Title
KR100468232B1 (ko) 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
CN111147504B (zh) 威胁检测方法、装置、设备和存储介质
US9870470B2 (en) Method and apparatus for detecting a multi-stage event
EP2979424B1 (en) Method and apparatus for detecting a multi-stage event
CN107196895B (zh) 网络攻击溯源实现方法及装置
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN110677384B (zh) 钓鱼网站的检测方法及装置、存储介质、电子装置
KR20040042397A (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
CN112019575A (zh) 数据包处理方法、装置、计算机设备以及存储介质
CN111010409A (zh) 加密攻击网络流量检测方法
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN105378745A (zh) 基于安全问题禁用和启用节点
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN111756702A (zh) 数据安全防护方法、装置、设备和存储介质
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN113301012A (zh) 一种网络威胁的检测方法、装置、电子设备及存储介质
Sornalakshmi Detection of DoS attack and zero day threat with SIEM
CN113645181B (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
CN113259349A (zh) 一种轨道交通控制网络的监测方法及装置
Hussain et al. Using received signal strength indicator to detect node replacement and replication attacks in wireless sensor networks
CN112367315A (zh) 一种内生安全waf蜜罐部署方法
Lee et al. AI-based network security enhancement for 5G industrial internet of things environments
CN116132989A (zh) 一种工业互联网安全态势感知系统及方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121206

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20131209

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee