KR100564752B1 - Traceback managemnet system and method - Google Patents

Traceback managemnet system and method Download PDF

Info

Publication number
KR100564752B1
KR100564752B1 KR1020030084976A KR20030084976A KR100564752B1 KR 100564752 B1 KR100564752 B1 KR 100564752B1 KR 1020030084976 A KR1020030084976 A KR 1020030084976A KR 20030084976 A KR20030084976 A KR 20030084976A KR 100564752 B1 KR100564752 B1 KR 100564752B1
Authority
KR
South Korea
Prior art keywords
traceback
backtracking
management
command
result
Prior art date
Application number
KR1020030084976A
Other languages
Korean (ko)
Other versions
KR20050051218A (en
Inventor
최양서
이상호
서동일
김환국
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030084976A priority Critical patent/KR100564752B1/en
Publication of KR20050051218A publication Critical patent/KR20050051218A/en
Application granted granted Critical
Publication of KR100564752B1 publication Critical patent/KR100564752B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

역추적 관리 시스템 및 그 방법이 개시된다. 역추적 결과 확인부는 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송한다. 역추적 시스템 관리부는 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 역추적 관리 에이전트로 전송한다. 로그 확인부는 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송한다. 이로써, 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다A traceback management system and method are disclosed. The traceback result confirming unit transmits a command for requesting traceback information including the traceback progress and the result of the traceback system to a predetermined traceback management agent provided on the traceback system side. The traceback system manager sends an operation control command to the traceback management agent including starting, stopping, and restarting the traceback system. The log checking unit transmits a command for requesting various log records related to the backtracking performed by the backtracking system to the backtracking management agent. This allows you to efficiently control and manage multiple traceback systems at remote locations.

역추적 시스템 관리, 역추적 결과 확인, 로그 확인, 역추적 관리 에이전트Traceback system management, traceback result check, log check, traceback management agent

Description

역추적 관리 시스템 및 그 방법{Traceback managemnet system and method}Traceback management system and method {Traceback managemnet system and method}

도 1은 본 발명에 따른 역추적 관리 시스템의 일 실시예를 도시한 도면,1 is a diagram illustrating an embodiment of a traceback management system according to the present invention;

도 2는 본 발명에 따른 역추적 관리 시스템의 구성을 도시한 도면,2 is a diagram showing the configuration of a traceback management system according to the present invention;

도 3a 및 도 3b는 본 발명에 따른 역추적 관리 에이전트의 동작 과정을 도시한 도면,3A and 3B illustrate an operation process of the traceback management agent according to the present invention;

도 4는 본 발명에 따른 역추적 관리 에이전트에서 수신하는 각종 명령들을 처리하는 동작들에 대한 상태 전이도를 도시한 도면,4 is a diagram illustrating a state transition diagram for operations of processing various commands received by a traceback management agent according to the present invention;

도 5는 역추적 관리 에이전트에서 역추적 시스템 상태와 디버그/테스트 결과를 지속적으로 확인하는 과정에 대한 상태 전이도를 도시한 도면, 그리고,FIG. 5 is a diagram illustrating a state transition diagram for a process of continuously checking a traceback system state and debug / test result in the traceback management agent. FIG.

도 6는 역추적 관리 시스템과 역추적 관리 에이전트간의 일련의 동작 과정을 시스템 구조도로 도시한 도면이다.FIG. 6 is a diagram illustrating a series of operations between a traceback management system and a traceback management agent.

본 발명은 역추적 시스템을 관리하는 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 특정 호스트에서 적어도 하나 이상의 역추적 시스템을 통합 관리 할 수 있는 역추적 관리 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for managing a backtracking system, and more particularly, to a backtracking management system and a method for integrated management of at least one or more backtracking systems in a specific host.

침입자 역추적 기술은 'IP 패킷 역추적 기술'과 'TCP Connection 역추적 기술'로 나누어 질수 있다. 그러나 일반적으로 역추적 시스템이라 하면 'TCP Connection 역추적 기술'을 의미한다. Intruder traceback technology can be divided into 'IP packet traceback technology' and 'TCP connection traceback technology'. However, in general, the backtracking system means 'TCP connection backtracking technology'.

TCP 연결 역추적(TCP Connection Traceback) 기술은 TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법이다. 또한, 흔히 연결 체인(Connection Chain) 역추적 기술이라고 불리기도 한다. TCP connection traceback technology is a technique that tracks the actual location of hackers attempting bypass attacks based on TCP connections in real time. It is also commonly referred to as connection chain traceback technology.

여기서, 연결 체인이란 컴퓨터 H0의 한 사용자가 네트워크를 통해 다른 시스템 H1으로 로그인하면, 두 시스템 H0 와 H1 간에는 TCP 연결(Connection) C1이 생성된다. 이때, 같은 사용자가 시스템 H1에서 H2로, 또 H3,...,Hn 으로 로그인하게 되면, 각각의 해당 시스템들 간에는 TCP 연결 C2, C3,..,Cn이 같은 방식으로 생성되게 된다. 이때 이 일련의 연결들의 집합 C = (C1, C2,..., Cn)를 연결 체인이라 한다. 즉, 해커가 실제로 위치한 시스템으로부터 여러 시스템을 경유하여 실제 공격을 당하고 있는 시스템까지의 연결(connection)들의 집합을 말한다.Here, a connection chain means that when a user of computer H 0 logs in to another system H 1 through a network, a TCP connection C 1 is created between two systems H 0 and H 1 . At this time, if the same user logs in from H 1 to H 2 and H 3 , ..., H n , the TCP connection C 2 , C 3 , .., C n is the same way between the corresponding systems. Will be generated. The set of connections C = (C 1 , C 2 , ..., C n ) is then called a chain of connections. In other words, it is a set of connections from the system where the hacker is actually located to the system that is actually attacked through various systems.

TCP 연결 역추적 기술은 다시 크게 2가지로 분류할 수 있다. 이는 호스트 기반 연결 역추적(Host-based connection traceback) 기술과 네트워크 기반 연결 역추적(Network-based connection traceback) 기술로 분류된다. TCP connection traceback technology can be classified into two categories. It is classified into host-based connection traceback technology and network-based connection traceback technology.

IP 패킷 역추적 기술은 IP 주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술을 말한다. 일반적으로 IP 주소가 변경된 패킷은 악의적으로 사용되는 경우 가 대부분이다. 특히 서비스 거부(Denial of Service, DoS), 혹은 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격에 주로 사용된다. IP 주소가 변경되는 경우에는 TCP 연결을 유지할 수 없기 때문에, 일방적인 패킷 송신으로 공격이 가능한 DoS 혹은 DDoS에서 주로 사용되는 것이다. 물론 과거 IP Spoofing이라 알려져 있는 해킹 기법을 이용하는 경우, IP 주소가 변경된 패킷을 이용하여 공격하고자 하는 대상 시스템에 백도어를 설치하도록 하는 기법이 사용되기도 하였으나, 이를 위해서는 TCP Sequence Number Guessing 과정이 필요하기 때문에 최근에는 거의 사용되지 않고 있다. 또한 IP 패킷 역추적은 현재 특정 시스템으로 IP주소가 변경된 패킷을 송신하는 시스템을 찾는 기술로서, 여러 중간 경유지를 추적하여 실제 해커의 위치를 찾는 TCP 연결 역추적 기술과는 해결하고자 하는 문제의 대상에 약간의 차이가 있다.IP packet traceback technology refers to a technique for tracking the actual destination of a packet whose IP address has been changed. In general, a packet whose IP address has been changed is most often used maliciously. In particular, it is mainly used for Denial of Service (DoS) or Distributed Denial of Service (DDoS) attacks. Since the TCP connection cannot be maintained when the IP address is changed, it is mainly used in DoS or DDoS that can be attacked by one-way packet transmission. Of course, in the past, a hacking technique known as IP Spoofing was used to install a backdoor on a target system by using a packet whose IP address has been changed.However, a TCP sequence number guessing process is required for this purpose. Rarely used. In addition, IP packet traceback is a technology that finds a system that sends a packet whose IP address has been changed to a specific system, and it is not suitable for the problem that the TCP connection traceback technique that tracks several intermediate waypoints to find the actual hacker's location. There is a slight difference.

실시간 패킷 마킹 침입자 역추적 시스템(이하 침입자 역추적 시스템)은 해커의 공격에 의해 발생하는 피해 시스템의 응답 패킷에 워터마킹을 삽입하고, 이를 이용하여 해커의 실제 위치까지의 연결을 추적하는 TCP connction 역추적 시스템이다. 침입자 역추적 시스템은 실시간 역추적이 가능한 시스템으로, 역추적 관리 시스템을 통해 현재의 역추적 상황을 파악할 수 있다. 또한 비록 침입자 역추적 시스템이 설치되지 않은 네트워크를 경유한 경우라도 일정 수준 이상의 역추적을 지원한다. Real-Time Packet Marking The intruder traceback system (hereinafter referred to as the intruder traceback system) inserts a watermark into the response packet of the victim system caused by the hacker's attack and uses it to track the connection to the hacker's actual location. Tracking system. The intruder traceback system is a real-time traceback system, and the traceback management system can identify the current traceback situation. It also supports more than a certain level of backtracking even if it is via a network that does not have an intruder backtracking system installed.

종래의 역추적 시스템은 여러 역추적 시스템들이 상호 본완적으로 동작하여 일정 수 이상의 시스템이 네트워크 상에 설치되어 있는 경우에만 실제 역추적 기능 수행이 가능하다. 또한, 네트워크를 지나가는 모든 패킷을 수집하여 공격자의 연결및 워터마크가 삽입된 패킷을 탐지하기 위해 역추적 시스템은 방화벽이나 네트워크 단에서 수행되어야 한다. 따라서, 다수의 역추적 시스템이 설치되어 있을 경우에 이러한 역추적 시스템을 통합적이고 효율적으로 관리하기에는 어려움이 있다.In the conventional backtracking system, a plurality of backtracking systems operate in a mutually intact manner, and the backtracking system can perform a real backtracking function only when a certain number of systems are installed on the network. In addition, the traceback system must be executed at the firewall or network side to collect all packets passing through the network and detect the attacker's connection and watermarked packets. Therefore, when a plurality of backtracking systems are installed, it is difficult to manage such a backtracking system in an integrated and efficient manner.

본 발명이 이루고자 하는 기술적 과제는, 적어도 하나 이상의 역추적 시스템을 실시간으로 제어하고 역추적 시스템의 역추적 도중에 발생하는 로그 정보들을 통합 관리하고 분석하여 역추적 결과를 보여주기 위한 역추적 관리 시스템 및 그 방법을 제공하는 데 있다.The technical problem to be achieved by the present invention, a traceback management system for controlling at least one traceback system in real time and integrated management and analysis of log information generated during the traceback of the traceback system to show the traceback result and its To provide a way.

본 발명이 이루고자 하는 다른 기술적 과제는, 적어도 하나 이상의 역추적 시스템을 실시간으로 제어하고 역추적 시스템의 역추적 도중에 발생하는 로그 정보들을 통합 관리하고 분석하여 역추적 결과를 보여주기 위한 역추적 관리 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.Another object of the present invention is to provide a traceback management method for controlling at least one traceback system in real time and managing and analyzing log information generated during traceback of the traceback system to show the traceback result. The present invention provides a computer-readable recording medium that records a program for execution on a computer.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 관리 시스템의 일 실시예는, 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 역추적 결과 확인부; 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 상기 역추적 관리 에이전트로 전송하는 역추적 시스템 관리부; 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송하는 로그 확인부;를 포함한다.One embodiment of the backtracking management system according to the present invention for achieving the above technical problem, has a command on the backtracking system requesting backtrace information including the backtracking progress and results of the backtracking system A traceback result confirming unit for transmitting to the predetermined traceback management agent A backtracking system manager for transmitting an operation control command including start, stop, and restart of the backtracking system to the backtracking management agent; And a log checking unit for transmitting a command for requesting various log records related to backtracking performed by the backtracking system to the backtracking management agent.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 관리 방법의 일 실시예는, 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령, 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 단계; 및 상기 역추적 관리 에이전트에 의해 수행된 각각의 명령에 따른 수행 결과를 전송받는 단계;를 포함한다.One embodiment of the backtracking management method according to the present invention for achieving the above technical problem, a command for requesting backtracking information including the backtracking progress and results of the backtracking system, the start of the backtracking system Transmitting an operation control command including a stop and restart and a command for requesting various log records related to the backtracking performed by the backtracking system to a predetermined backtracking management agent provided on the backtracking system side; And receiving an execution result according to each command performed by the traceback management agent.

본 발명에 따르면, 역추적 시스템 측에 구비된 역추적 관리 에이전트를 이용하여 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다.According to the present invention, the backtracking management agent provided on the backtracking system side can efficiently control and manage a plurality of backtracking systems at a remote location.

이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 역추적 관리 시스템 및 그 방법에 관하여 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail with respect to the traceback management system and method according to the present invention.

도 1은 본 발명에 따른 역추적 관리 시스템의 일 실시예를 도시한 도면이다.1 is a diagram illustrating an embodiment of a traceback management system according to the present invention.

도 1을 참조하면, 역추적 관리 시스템(100)은 역추적 시스템(120)과 연결되어 있다. 역추적 관리 시스템(100)은 역추적 시스템(120)의 관리에 필요한 명령을 전송하고 그에 대한 응답으로 역추적 경로 결과, 로그 정보 등을 전송받는다. 역추적 관리 시스템(100)과 역추적 시스템(120)은 네트워크를 통하여 연결되며 역추적 시스템 내에서 역추적 관리 시스템으로 전송된 명령어들을 분석하고 그에 대한 처리를 수행하기 위한 관리 에이전트(110)가 있다. Referring to FIG. 1, the backtracking management system 100 is connected to the backtracking system 120. The traceback management system 100 transmits a command necessary for the management of the traceback system 120 and receives a traceback result and log information in response thereto. The backtracking management system 100 and the backtracking system 120 are connected through a network, and there is a management agent 110 for analyzing and processing the commands transmitted to the backtracking management system in the backtracking system. .

역추적 관리 시스템(100)은 매니저의 입장에서 적어도 하나 이상의 역추적 시스템 내에 설치된 관리 에이전트들(110)에게 명령을 전달하는 방식을 취함으로써, 역추적 관리 시스템은 하나 이상의 역추적 시스템을 관리할 수 있다. The backtracking management system 100 takes the form of transferring commands to the management agents 110 installed in the at least one backtracking system from the manager's point of view, so that the backtracking management system can manage one or more backtracking systems. have.

도 1은 역추적 시스템(120)과 역추적 관리 시스템(110)간의 일대일 관계를 도시하였으나 에이전트 방식의 구조는 네트워크에 다수의 역추적 시스템이 설치되었을 시에 다수의 역추적 시스템을 관리할 수 있다. 역추적 시스템(120)은 워터마크 삽입 기법을 이용한 시스템으로 구성되어 워크스테이션상에서 하나의 프로세스로 동작된다. 역추적 관리 시스템(100)은 특정 호스트상에 설치되고 역추적 시스템에 설치되어 있는 역추적 관리 에이이전트(110)와 TCP 네트워크 통신을 수행한다.Although FIG. 1 illustrates a one-to-one relationship between the backtracking system 120 and the backtracking management system 110, an agent-based structure may manage a plurality of backtracking systems when a plurality of backtracking systems are installed in a network. . The backtracking system 120 is configured as a system using a watermark embedding technique and operates as a process on a workstation. The traceback management system 100 performs TCP network communication with the traceback management agent 110 installed on a specific host and installed in the traceback system.

도 2는 본 발명에 따른 역추적 관리 시스템의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a traceback management system according to the present invention.

도 2를 참조하면, 본 발명에 따른 역추적 관리 시스템(210)은 역추적 결과 확인부(211), 로그 확인부(212), 역추적 시스템 관리부(213), 통계 분석부(214), 역추적 관리 DB(215) 및 입출력부(216)로 구성된다. 또한 역추적 관리 시스템(210)은 하나 이상의 역추적 시스템을 효율적으로 관리하기 위하여 네트워크로 연결되고 역추적시스템(230) 측에 설치되는 역추적 관리 에이전트(220)를 포함한다. 역추적 관리 에이전트(220)는 요구처리부(221) 및 송수신부(222)로 구성된다.Referring to FIG. 2, the backtracking management system 210 according to the present invention includes a backtracking result confirming unit 211, a log checking unit 212, a backtracking system managing unit 213, a statistical analysis unit 214, and a reverse tracker. It consists of the tracking management DB 215 and the input / output unit 216. The backtracking management system 210 also includes a backtracking management agent 220 that is connected to the network and installed on the backtracking system 230 to efficiently manage one or more backtracking systems. The traceback management agent 220 includes a request processing unit 221 and a transceiver unit 222.

역추적 결과 확인부(211)는 역추적 시스템(230)에서 수행하는 역추적 진행 상황과 역추적 결과 그리고 침입정보를 요구하는 명령을 역추적 시스템(230)으로 전송하고, 역추적 시스템(230)으로부터 명령에 대한 응답을 수신한다. 구체적으로는 역추적 시스템(230) 측에 구비된 역추적 관리 에이전트(220)가 명령을 수신하고 그 명령을 수행한 후 그 결과를 역추적 결과 확인부(211)로 전송한다.The traceback result confirming unit 211 transmits a traceback progress and traceback result and an instruction requesting intrusion information performed by the traceback system 230 to the traceback system 230, and the traceback system 230. Receive a response to the command from the. Specifically, the traceback management agent 220 provided on the traceback system 230 receives a command, performs the command, and transmits the result to the traceback result confirming unit 211.

로그 확인부(212)는 역추적 시스템(230)의 역추적과 관련된 각종 로그 기록을 요청한다. 역추적 시스템 관리부(213)는 역추적 시스템의 시작, 재시작, 중지 등의 동작들을 제어하는 명령을 역추적 시스템(230)으로 전송한다. 또한 역추적 시스템 관리부(213)는 역추적 시스템(230)의 디버그/테스트 모드 동작을 지시한다. The log checking unit 212 requests various log records related to the backtracking of the backtracking system 230. The traceback system manager 213 transmits a command to the traceback system 230 to control operations such as start, restart, and stop of the traceback system. Also, the traceback system manager 213 instructs the debug / test mode operation of the traceback system 230.

통계 분석부(214)는 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)에 의해 각각 수행된 결과들을 분석하여 통계적 자료를 생성한다. 역추적 관리 DB(215)는 역추적 결과 확인부(211), 로그 확인부(212), 역추적 시스템 관리부(213) 및 통계 분석부(214)에 의한 처리결과를 저장한다.The statistical analysis unit 214 analyzes the results performed by the traceback result checker 211, the log checker 212, and the traceback system manager 213 to generate statistical data. The backtracking management DB 215 stores the processing results by the backtracking result confirming unit 211, the log checking unit 212, the backtracking system managing unit 213, and the statistical analysis unit 214.

입출력부(216)는 역추적 관리 시스템(210)의 역추적 결과 확인부(211), 로그확인부(212) 및 역추적 시스템 관리부(213)로부터 출력된 각각의 명령을 네트워크를 통해 역추적 관리 에이전트(220)로 전송하고, 역추적 관리 에이전트에 의해 처리된 각각의 명령결과를 수신하여 각각 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)로 전송한다.The input / output unit 216 manages each of the commands output from the traceback result checking unit 211, the log checking unit 212, and the traceback system managing unit 213 of the traceback management system 210 through the network. Receives each command result processed by the backtracking management agent and transmits to the backtracking result confirming unit 211, log confirming unit 212 and backtracking system management unit 213, respectively. .

역추적 관리 에이전트(220)는 역추적 관리 시스템(210)으로부터 전송된 각각의 명령에 따라 역추적 시스템(230)을 관리하고 각 명령에서 요구하는 정보를 파악하여 역추적 관리 시스템(210)으로 전송한다. 역추적 관리 에이전트(220)은 수신한 명령에 따른 요구를 처리하는 요구처리부(221)와 명령의 수신 및 요구하는 정보의 송신을 수행하는 송수신부(222)로 구성된다. 역추적 관리 시스템(210)과 역추적 관리 에이전트(220)는 역추적 관리 시스템(210)의 입출력부(216)와 역추적 관리 에이 전트(220)의 송수신부(222)사이의 TCP 통신을 통하여 정보를 교환한다.The backtracking management agent 220 manages the backtracking system 230 according to each command transmitted from the backtracking management system 210, grasps information required by each command, and transmits the information to the backtracking management system 210. do. The traceback management agent 220 includes a request processing unit 221 for processing a request according to the received command, and a transmission / reception unit 222 for receiving a command and transmitting request information. The backtracking management system 210 and the backtracking management agent 220 are provided through TCP communication between the input / output unit 216 of the backtracking management system 210 and the transceiver unit 222 of the backtracking management agent 220. Exchange information.

역추적 관리 에이전트(220)는 데몬(Daemon)형태로 동작하여 역추적 시스템을 구동하고, 역추적 결과 확인부(221), 로그 확인부(212), 역추적 시스템 관리부(213)의 요구를 처리하도록 대기한다. 이 때, 역추적 관리 에이전트(220)의 요구 처리부(221)는 지속적으로 역추적 시스템(230)이 동작 중인지를 확인하고, 정지되어 있는 경우에는 역추적 시스템(230)을 재시작하도록 한다. 그리고, 역추적 관리 에이전트(220)의 송수신부(222)는 역추적 관리 시스템(210)으로부터 각종 명령을 수신하고 각 명령에 따라 역추적 시스템(230)내의 역추적 DB(231)의 로그를 검색한 각종 로그 결과 및 역추적 결과를 역추적 관리 시스템(210)으로 전송한다.The traceback management agent 220 operates in the form of a daemon to drive the traceback system, and processes the requests of the traceback result checker 221, the log checker 212, and the traceback system manager 213. Wait for it. At this time, the request processing unit 221 of the backtracking management agent 220 continuously checks whether the backtracking system 230 is in operation, and restarts the backtracking system 230 when it is stopped. The transceiver 222 of the backtracking management agent 220 receives various commands from the backtracking management system 210 and searches the log of the backtracking DB 231 in the backtracking system 230 according to each command. The various log results and the traceback results are transmitted to the traceback management system 210.

도 3a 및 도 3b는 본 발명에 따른 역추적 관리 에이전트의 동작 과정을 도시한 도면이다.3A and 3B illustrate an operation process of the traceback management agent according to the present invention.

도 3a을 참조하면, 역추적 관리 시스템(210)이 시작되면, 역추적 관리 에이전트(220)가 데몬(Daemon) 형태로 구동된다(S300). 그리고 역추적 관리 에이전트(220)는 역추적 시스템(230)(즉 역추적 프로세스)을 구동한 후(S310), 역추적 관리 시스템(210)으로부터 전송되는 명령어를 수신하기 위하여 대기한다(S320). Referring to FIG. 3A, when the traceback management system 210 is started, the traceback management agent 220 is driven in the form of a daemon (S300). After the traceback management agent 220 drives the traceback system 230 (that is, the traceback process) (S310), the traceback management agent 220 waits to receive a command transmitted from the traceback management system 210 (S320).

역추적 관리 에이전트(220)는 역추적 관리 시스템(210)으로부터 명령을 수신하면(S320), 그 명령에 따른 동작을 수행하고(S330) 그 수행 결과를 역추적 관리 시스템으로 전송한다(S340). 즉 역추적 관리 에이전트(220)는 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)로부터 전송된 명령 을 수신하고 그 수신한 명령에 따른 동작을 수행한 후 그 결과를 역추적 관리 시스템(210)으로 전송한다. When the traceback management agent 220 receives the command from the traceback management system 210 (S320), performs an operation according to the command (S330) and transmits the result of the execution to the traceback management system (S340). That is, the traceback management agent 220 receives a command transmitted from the traceback result checker 211, the log checker 212, and the traceback system manager 213 and performs an operation according to the received command. The result is transmitted to the backtracking management system 210.

도 3b를 참조하면, 역추적 관리 시스템으로부터의 명령 수신과 무관하게 역추적 관리 에이전트(220)는 역추적 시스템(230)의 동작 상태를 주기적으로 체크하여 역추적 시스템이 정지되어 있는 경우에는 역추적 시스템을 재시작하도록 한다(S350). 그리고 역추적 관리 에이전트(220)는 역추적 시스템(210)의 상태를 역추적 관리 시스템으로 전송한다(S360).Referring to FIG. 3B, irrespective of receiving a command from the backtracking management system, the backtracking management agent 220 periodically checks an operation state of the backtracking system 230 and backtracks when the backtracking system is stopped. Restart the system (S350). The traceback management agent 220 transmits the state of the traceback system 210 to the traceback management system (S360).

도 4는 본 발명에 따른 역추적 관리 에이전트에서 수신하는 각종 명령들을 처리하는 동작들에 대한 상태 전이도를 도시한 것이다.4 is a state transition diagram for operations of processing various commands received by the traceback management agent according to the present invention.

도 4를 참조하면, 역추적 관리 에이전트(220)는 역추적 관리 명령어을 수신되면 역추적 관리 명령어를 파싱한다. 이때, 파싱된 명령어에 따라 역추적 관리, 로그 확인, 역추적 결과 확인 상태로 전이되며, 역추적 관리 상태에서는 역추적 시스템의 현재 상태에 따라(시작, 중지, 재시작) 동작 상태의 경우 중지 또는 재시작을 수행하고, 중지 상태의 경우 시작 또는 재시작을 수행한다. Referring to FIG. 4, the backtracking management agent 220 parses the backtracking management command upon receiving the backtracking management command. At this time, it is transitioned to the traceback management, log check, and traceback result check status according to the parsed command. In the traceback management state, the operation is stopped or restarted according to the current state (start, stop, restart) of the traceback system. If the status is stopped, start or restart.

역추적 로그 확인 상태에서는 로그 DB 에 접근하여 로그 정보를 송신한다.In the traceback check status, log DB is accessed and log information is sent.

역추적 결과 확인 상태는 역추적 경로가 구성 완료 여부를 로그 DB에 접근하여 확인하고 역추적 경로 구성이 완료되면, 역추적 경로 구성 결과를 역추적 관리 시스템에 전송하고, 경로 구성 진행 중 상태일 경우, 로그 DB에 다시 재 질의하여 역추적 결과를 확인한다. When the traceback result is confirmed by accessing the log DB to check whether the traceback path is completed, and when the traceback path configuration is completed, the traceback path configuration result is transmitted to the traceback management system. Then, query the log DB again to check the traceback result.

마지막으로 역추적 관리 명령어의 수신여부와는 독립적으로 역추적 시스템(230)의 상태를 지속적으로 점검하여 역추적 시스템의 상태 결과를 역추적 관리 시스템(210)에 전송한다.Finally, the state of the backtracking system 230 is continuously checked independently of whether the backtracking management command is received, and the state result of the backtracking system is transmitted to the backtracking management system 210.

도 5는 역추적 관리 에이전트에서 역추적 시스템 상태와 디버그/테스트 결과를 지속적으로 확인하는 과정에 대한 상태 전이도를 도시한 것이다. 5 illustrates a state transition diagram for a process of continuously checking the traceback system status and the debug / test result in the traceback management agent.

도 5를 참조하면, 역추적 관리 명령어의 수신여부와는 독립적으로 역추적 시스템의 상태를 지속적으로 점검하여 역추적 시스템의 상태 결과를 역추적 관리 시스템에 전송하고, 미리 설정된 디버그/테스트 단계에 따라 역추적 시스템의 디버그/테스트 결과를 지속적으로 모니터링 하여 전송한다.Referring to FIG. 5, independently of whether or not the traceback management command is received, the state of the traceback system is continuously checked and the state result of the traceback system is transmitted to the traceback management system, and according to a preset debug / test stage. Continuously monitor and send the debug / test results of the traceback system.

도 6는 역추적 관리 시스템과 역추적 관리 에이전트간의 일련의 동작 과정을 시스템 구조도로 도시한 것이다. 6 shows a system structure diagram of a series of operations between the traceback management system and the traceback management agent.

도 6을 참조하면, 역추적 관리 시스템(610)은 역추적 관리 에이전트(620)로부터 역추적 시스템의 상태 및 각종 역추적 관련 로그 정보, 역추적 경로 구성 결과 등을 입출력부(616)를 통해 실시간으로 수신 받는다. 수신된 결과는 수신 내용에 따라 역추적 시스템 관리부(613), 로그 확인부(612), 역추적 결과 확인부(611)의 입력으로 들어간다. 수신된 요구 결과들은 GUI(617)를 통해 출력된다. Referring to FIG. 6, the backtracking management system 610 provides a real time state of the backtracking system, various backtracking related log information, a backtracking path configuration result, and the like from the backtracking management agent 620 through the input / output unit 616. Received by The received result enters the input of the traceback system manager 613, the log checker 612, and the traceback result checker 611 according to the received contents. The received request results are output via the GUI 617.

그리고, 역추적 관리 시스템(610)은 수신된 결과들을 역추적 관리 DB(615)에 저장하고, 통계 분석부(614)는 지속적으로 역추적 관리 DB(615)를 검색하여 분석한다. 이 분석된 결과는 사용자의 요구가 있을 때 GUI(617)를 통해 출력된다. 그리고, 역추적 시스템 관리를 위해 시작, 중지, 재시작, 역추적 시스템의 디버그/테스트 동작 등의 사용자의 요구가 있을 시에는 역추적 시스템 관리부(613)를 통해 관리 명령어를 생성하여 역추적 관리 에이전트(620)로 전송한다.The traceback management system 610 stores the received results in the traceback management DB 615, and the statistical analysis unit 614 continuously searches and analyzes the traceback management DB 615. This analyzed result is output through the GUI 617 at the request of the user. When the user requests such as start, stop, restart, and debug / test operation of the backtracking system for the backtracking system management, the backtracking management agent generates a management command through the backtracking system manager 613. 620).

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

본 발명에 따르면, 역추적 시스템 측에 구비된 역추적 관리 에이전트를 이용하여 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다. 또한, 워터마크를 삽입을 이용한 역추적 시스템을 관리함으로서 역추적 시스템이 실 시간으로 역추적을 수행하는 도중에 발생하는 각종 로그 정보를 통합적으로 수집하고 분석함으로써 최종 공격자에 대한 정보를 다양하게 분석할 수 있다.According to the present invention, the backtracking management agent provided on the backtracking system side can efficiently control and manage a plurality of backtracking systems at a remote location. In addition, by managing the backtracking system using the watermark insertion, various log information generated during the backtracking of the backtracking system in real time can be collectively collected and analyzed to analyze various information about the final attacker. have.

Claims (9)

역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 역추적 결과 확인부;A traceback result confirming unit which sends a command for requesting traceback information including the traceback progress and the result of the traceback system to a predetermined traceback management agent provided at the traceback system side; 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 상기 역추적 관리 에이전트로 전송하는 역추적 시스템 관리부; 및A backtracking system manager for transmitting an operation control command including start, stop, and restart of the backtracking system to the backtracking management agent; And 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송하는 로그 확인부;를 포함하고,And a log checking unit which transmits a command for requesting various log records related to the backtracking performed by the backtracking system to the backtracking management agent. 상기 역추적 관리 에이전트는 네트워크를 통해 연결되어 상기 역추적 시스템 관리부, 상기 역추적 결과 확인부 및 상기 로그 확인부로부터 전송된 명령을 수신하여 각각의 명령을 수행하고 그 결과를 회신하는 것을 특징으로 하는 역추적 관리 시스템.The traceback management agent is connected through a network to receive the commands transmitted from the traceback system management unit, the traceback result confirming unit and the log checker to perform respective commands and return the result. Traceback Management System. 제 1항에 있어서,The method of claim 1, 상기 역추적 정보, 상기 동작 제어 명령의 처리 결과 및 상기 로그 기록에 대한 통계적 자료를 분석하고 생성하는 통계 분석부;를 더 포함하는 것을 특징으로 하는 역추적 관리 시스템.And a statistical analysis unit for analyzing and generating statistical data about the traceback information, the processing result of the operation control command, and the log record. 제 2항에 있어서,The method of claim 2, 상기 역추적 정보, 상기 동작 제어 명령의 처리 결과 및 상기 로그 기록을 저장하는 역추적 관리 DB;를 더 포함하고And a traceback management DB for storing the traceback information, the processing result of the operation control command, and the log record. 상기 통계 분석부는 상기 역추적 관리 DB에 저장된 정보를 기초로 통계적 자료를 생성하는 것을 특징으로 하는 역추적 관리 시스템. The statistical analysis unit generates a statistical data based on the information stored in the traceback management DB. 삭제delete 제 1항에 있어서,The method of claim 1, 상기 역추적 시스템 관리부는 상기 역추적 관리 에이전트가 자체적으로 상기 역추적 시스템의 동작 상태를 파악한 결과를 전송받는 것을 특징으로 하는 역추적 관리 시스템. The traceback system management unit is a traceback management system, characterized in that the traceback management agent receives a result of identifying the operating state of the traceback system by itself. 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령, 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 단계; A command for requesting backtracking information including the backtracking progress and results of the backtracking system, an operation control command including starting, stopping, and restarting the backtracking system, and various related to backtracking performed by the backtracking system. Transmitting a command for requesting log recording to a predetermined traceback management agent provided on the traceback system side; 상기 역추적 관리 에이전트에 의해 수행된 각각의 명령에 따른 수행 결과를 전송받는 단계; 및Receiving an execution result according to each command executed by the traceback management agent; And 상기 역추적 관리 에이전트가 자체적으로 상기 역추적 시스템의 동작 상태를 확인한 결과를 전송하는 단계;를 포함하는 것을 특징으로 하는 역추적 관리 방법.And transmitting, by the backtracking management agent, a result of confirming an operation state of the backtracking system by itself. 제 6항에 있어서,The method of claim 6, 상기 각각의 명령에 따른 수행 결과를 저장하고 그 결과를 기초로 역추적에 관련된 통계자료를 생성하는 단계;를 더 포함하는 것을 특징으로 하는 역추적 관리 방법.Storing the performance result according to each command and generating statistical data related to backtracking based on the result; and backtracking management method further comprising. 삭제delete 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령, 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 단계;A command for requesting backtracking information including the backtracking progress and results of the backtracking system, an operation control command including starting, stopping, and restarting the backtracking system, and various related to backtracking performed by the backtracking system. Transmitting a command for requesting log recording to a predetermined traceback management agent provided on the traceback system side; 상기 역추적 관리 에이전트에 의해 수행된 각각의 명령에 따른 수행 결과를 전송받는 단계; 및Receiving an execution result according to each command executed by the traceback management agent; And 상기 역추적 관리 에이전트가 자체적으로 상기 역추적 시스템의 동작 상태를 확인한 결과를 전송하는 단계;를 포함하는 것을 특징으로 하는 역추적 관리 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.And transmitting, by the backtracking management agent, the result of checking the operation status of the backtracking system by itself; a computer-readable recording medium having recorded thereon a program for executing the backtracking management method on a computer. .
KR1020030084976A 2003-11-27 2003-11-27 Traceback managemnet system and method KR100564752B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030084976A KR100564752B1 (en) 2003-11-27 2003-11-27 Traceback managemnet system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030084976A KR100564752B1 (en) 2003-11-27 2003-11-27 Traceback managemnet system and method

Publications (2)

Publication Number Publication Date
KR20050051218A KR20050051218A (en) 2005-06-01
KR100564752B1 true KR100564752B1 (en) 2006-03-27

Family

ID=38666469

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030084976A KR100564752B1 (en) 2003-11-27 2003-11-27 Traceback managemnet system and method

Country Status (1)

Country Link
KR (1) KR100564752B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100951770B1 (en) * 2005-12-30 2010-04-08 경희대학교 산학협력단 Method for back-tracking IP based on the IPv6 network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000012194A (en) * 1999-06-28 2000-03-06 김상배 System for integrating System Management System and Firewall system
KR20020012855A (en) * 2000-08-09 2002-02-20 전창오 Integrated log analysis and management system and method thereof
KR20030069240A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000012194A (en) * 1999-06-28 2000-03-06 김상배 System for integrating System Management System and Firewall system
KR20020012855A (en) * 2000-08-09 2002-02-20 전창오 Integrated log analysis and management system and method thereof
KR20030069240A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems

Also Published As

Publication number Publication date
KR20050051218A (en) 2005-06-01

Similar Documents

Publication Publication Date Title
US9853941B2 (en) Security information and event management
EP1665011B1 (en) Method and system for displaying network security incidents
US7188366B2 (en) Distributed denial of service attack defense method and device
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
US7574740B1 (en) Method and system for intrusion detection in a computer network
US20050132232A1 (en) Automated user interaction in application assessment
US20120005743A1 (en) Internal network management system, internal network management method, and program
CN102594623B (en) The data detection method of fire compartment wall and device
JP2008516308A (en) Method and apparatus for querying a plurality of computerized devices
SE524963C2 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
CN112003864B (en) Website security detection system and method based on full flow
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
KR102160950B1 (en) Data Distribution System and Its Method for Security Vulnerability Inspection
CN113179280B (en) Deception defense method and device based on malicious code external connection behaviors and electronic equipment
US20080295153A1 (en) System and method for detection and communication of computer infection status in a networked environment
CN112217777A (en) Attack backtracking method and equipment
CN106230815B (en) A kind of control method and device of alarm log
KR100564752B1 (en) Traceback managemnet system and method
US7856573B2 (en) WPAR halted attack introspection stack execution detection
JP3892322B2 (en) Unauthorized access route analysis system and unauthorized access route analysis method
CN113824748B (en) Asset characteristic active detection countermeasure method, device, electronic equipment and medium
KR20030039732A (en) Attacker traceback method by using edge router's log information in the internet
KR100439169B1 (en) Attacker traceback method by using session information monitoring that use code mobility
KR100470917B1 (en) System and method for providing a real-time traceback technic based on active code
KR100450770B1 (en) Attacker traceback and isolation system and method in security network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090303

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee