KR100564752B1 - Traceback managemnet system and method - Google Patents
Traceback managemnet system and method Download PDFInfo
- Publication number
- KR100564752B1 KR100564752B1 KR1020030084976A KR20030084976A KR100564752B1 KR 100564752 B1 KR100564752 B1 KR 100564752B1 KR 1020030084976 A KR1020030084976 A KR 1020030084976A KR 20030084976 A KR20030084976 A KR 20030084976A KR 100564752 B1 KR100564752 B1 KR 100564752B1
- Authority
- KR
- South Korea
- Prior art keywords
- traceback
- backtracking
- management
- command
- result
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
역추적 관리 시스템 및 그 방법이 개시된다. 역추적 결과 확인부는 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송한다. 역추적 시스템 관리부는 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 역추적 관리 에이전트로 전송한다. 로그 확인부는 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송한다. 이로써, 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다A traceback management system and method are disclosed. The traceback result confirming unit transmits a command for requesting traceback information including the traceback progress and the result of the traceback system to a predetermined traceback management agent provided on the traceback system side. The traceback system manager sends an operation control command to the traceback management agent including starting, stopping, and restarting the traceback system. The log checking unit transmits a command for requesting various log records related to the backtracking performed by the backtracking system to the backtracking management agent. This allows you to efficiently control and manage multiple traceback systems at remote locations.
역추적 시스템 관리, 역추적 결과 확인, 로그 확인, 역추적 관리 에이전트Traceback system management, traceback result check, log check, traceback management agent
Description
도 1은 본 발명에 따른 역추적 관리 시스템의 일 실시예를 도시한 도면,1 is a diagram illustrating an embodiment of a traceback management system according to the present invention;
도 2는 본 발명에 따른 역추적 관리 시스템의 구성을 도시한 도면,2 is a diagram showing the configuration of a traceback management system according to the present invention;
도 3a 및 도 3b는 본 발명에 따른 역추적 관리 에이전트의 동작 과정을 도시한 도면,3A and 3B illustrate an operation process of the traceback management agent according to the present invention;
도 4는 본 발명에 따른 역추적 관리 에이전트에서 수신하는 각종 명령들을 처리하는 동작들에 대한 상태 전이도를 도시한 도면,4 is a diagram illustrating a state transition diagram for operations of processing various commands received by a traceback management agent according to the present invention;
도 5는 역추적 관리 에이전트에서 역추적 시스템 상태와 디버그/테스트 결과를 지속적으로 확인하는 과정에 대한 상태 전이도를 도시한 도면, 그리고,FIG. 5 is a diagram illustrating a state transition diagram for a process of continuously checking a traceback system state and debug / test result in the traceback management agent. FIG.
도 6는 역추적 관리 시스템과 역추적 관리 에이전트간의 일련의 동작 과정을 시스템 구조도로 도시한 도면이다.FIG. 6 is a diagram illustrating a series of operations between a traceback management system and a traceback management agent.
본 발명은 역추적 시스템을 관리하는 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 특정 호스트에서 적어도 하나 이상의 역추적 시스템을 통합 관리 할 수 있는 역추적 관리 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for managing a backtracking system, and more particularly, to a backtracking management system and a method for integrated management of at least one or more backtracking systems in a specific host.
침입자 역추적 기술은 'IP 패킷 역추적 기술'과 'TCP Connection 역추적 기술'로 나누어 질수 있다. 그러나 일반적으로 역추적 시스템이라 하면 'TCP Connection 역추적 기술'을 의미한다. Intruder traceback technology can be divided into 'IP packet traceback technology' and 'TCP connection traceback technology'. However, in general, the backtracking system means 'TCP connection backtracking technology'.
TCP 연결 역추적(TCP Connection Traceback) 기술은 TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법이다. 또한, 흔히 연결 체인(Connection Chain) 역추적 기술이라고 불리기도 한다. TCP connection traceback technology is a technique that tracks the actual location of hackers attempting bypass attacks based on TCP connections in real time. It is also commonly referred to as connection chain traceback technology.
여기서, 연결 체인이란 컴퓨터 H0의 한 사용자가 네트워크를 통해 다른 시스템 H1으로 로그인하면, 두 시스템 H0 와 H1 간에는 TCP 연결(Connection) C1이 생성된다. 이때, 같은 사용자가 시스템 H1에서 H2로, 또 H3,...,Hn 으로 로그인하게 되면, 각각의 해당 시스템들 간에는 TCP 연결 C2, C3,..,Cn이 같은 방식으로 생성되게 된다. 이때 이 일련의 연결들의 집합 C = (C1, C2,..., Cn)를 연결 체인이라 한다. 즉, 해커가 실제로 위치한 시스템으로부터 여러 시스템을 경유하여 실제 공격을 당하고 있는 시스템까지의 연결(connection)들의 집합을 말한다.Here, a connection chain means that when a user of computer H 0 logs in to another system H 1 through a network, a TCP connection C 1 is created between two systems H 0 and H 1 . At this time, if the same user logs in from H 1 to H 2 and H 3 , ..., H n , the TCP connection C 2 , C 3 , .., C n is the same way between the corresponding systems. Will be generated. The set of connections C = (C 1 , C 2 , ..., C n ) is then called a chain of connections. In other words, it is a set of connections from the system where the hacker is actually located to the system that is actually attacked through various systems.
TCP 연결 역추적 기술은 다시 크게 2가지로 분류할 수 있다. 이는 호스트 기반 연결 역추적(Host-based connection traceback) 기술과 네트워크 기반 연결 역추적(Network-based connection traceback) 기술로 분류된다. TCP connection traceback technology can be classified into two categories. It is classified into host-based connection traceback technology and network-based connection traceback technology.
IP 패킷 역추적 기술은 IP 주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술을 말한다. 일반적으로 IP 주소가 변경된 패킷은 악의적으로 사용되는 경우 가 대부분이다. 특히 서비스 거부(Denial of Service, DoS), 혹은 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격에 주로 사용된다. IP 주소가 변경되는 경우에는 TCP 연결을 유지할 수 없기 때문에, 일방적인 패킷 송신으로 공격이 가능한 DoS 혹은 DDoS에서 주로 사용되는 것이다. 물론 과거 IP Spoofing이라 알려져 있는 해킹 기법을 이용하는 경우, IP 주소가 변경된 패킷을 이용하여 공격하고자 하는 대상 시스템에 백도어를 설치하도록 하는 기법이 사용되기도 하였으나, 이를 위해서는 TCP Sequence Number Guessing 과정이 필요하기 때문에 최근에는 거의 사용되지 않고 있다. 또한 IP 패킷 역추적은 현재 특정 시스템으로 IP주소가 변경된 패킷을 송신하는 시스템을 찾는 기술로서, 여러 중간 경유지를 추적하여 실제 해커의 위치를 찾는 TCP 연결 역추적 기술과는 해결하고자 하는 문제의 대상에 약간의 차이가 있다.IP packet traceback technology refers to a technique for tracking the actual destination of a packet whose IP address has been changed. In general, a packet whose IP address has been changed is most often used maliciously. In particular, it is mainly used for Denial of Service (DoS) or Distributed Denial of Service (DDoS) attacks. Since the TCP connection cannot be maintained when the IP address is changed, it is mainly used in DoS or DDoS that can be attacked by one-way packet transmission. Of course, in the past, a hacking technique known as IP Spoofing was used to install a backdoor on a target system by using a packet whose IP address has been changed.However, a TCP sequence number guessing process is required for this purpose. Rarely used. In addition, IP packet traceback is a technology that finds a system that sends a packet whose IP address has been changed to a specific system, and it is not suitable for the problem that the TCP connection traceback technique that tracks several intermediate waypoints to find the actual hacker's location. There is a slight difference.
실시간 패킷 마킹 침입자 역추적 시스템(이하 침입자 역추적 시스템)은 해커의 공격에 의해 발생하는 피해 시스템의 응답 패킷에 워터마킹을 삽입하고, 이를 이용하여 해커의 실제 위치까지의 연결을 추적하는 TCP connction 역추적 시스템이다. 침입자 역추적 시스템은 실시간 역추적이 가능한 시스템으로, 역추적 관리 시스템을 통해 현재의 역추적 상황을 파악할 수 있다. 또한 비록 침입자 역추적 시스템이 설치되지 않은 네트워크를 경유한 경우라도 일정 수준 이상의 역추적을 지원한다. Real-Time Packet Marking The intruder traceback system (hereinafter referred to as the intruder traceback system) inserts a watermark into the response packet of the victim system caused by the hacker's attack and uses it to track the connection to the hacker's actual location. Tracking system. The intruder traceback system is a real-time traceback system, and the traceback management system can identify the current traceback situation. It also supports more than a certain level of backtracking even if it is via a network that does not have an intruder backtracking system installed.
종래의 역추적 시스템은 여러 역추적 시스템들이 상호 본완적으로 동작하여 일정 수 이상의 시스템이 네트워크 상에 설치되어 있는 경우에만 실제 역추적 기능 수행이 가능하다. 또한, 네트워크를 지나가는 모든 패킷을 수집하여 공격자의 연결및 워터마크가 삽입된 패킷을 탐지하기 위해 역추적 시스템은 방화벽이나 네트워크 단에서 수행되어야 한다. 따라서, 다수의 역추적 시스템이 설치되어 있을 경우에 이러한 역추적 시스템을 통합적이고 효율적으로 관리하기에는 어려움이 있다.In the conventional backtracking system, a plurality of backtracking systems operate in a mutually intact manner, and the backtracking system can perform a real backtracking function only when a certain number of systems are installed on the network. In addition, the traceback system must be executed at the firewall or network side to collect all packets passing through the network and detect the attacker's connection and watermarked packets. Therefore, when a plurality of backtracking systems are installed, it is difficult to manage such a backtracking system in an integrated and efficient manner.
본 발명이 이루고자 하는 기술적 과제는, 적어도 하나 이상의 역추적 시스템을 실시간으로 제어하고 역추적 시스템의 역추적 도중에 발생하는 로그 정보들을 통합 관리하고 분석하여 역추적 결과를 보여주기 위한 역추적 관리 시스템 및 그 방법을 제공하는 데 있다.The technical problem to be achieved by the present invention, a traceback management system for controlling at least one traceback system in real time and integrated management and analysis of log information generated during the traceback of the traceback system to show the traceback result and its To provide a way.
본 발명이 이루고자 하는 다른 기술적 과제는, 적어도 하나 이상의 역추적 시스템을 실시간으로 제어하고 역추적 시스템의 역추적 도중에 발생하는 로그 정보들을 통합 관리하고 분석하여 역추적 결과를 보여주기 위한 역추적 관리 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.Another object of the present invention is to provide a traceback management method for controlling at least one traceback system in real time and managing and analyzing log information generated during traceback of the traceback system to show the traceback result. The present invention provides a computer-readable recording medium that records a program for execution on a computer.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 관리 시스템의 일 실시예는, 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 역추적 결과 확인부; 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 상기 역추적 관리 에이전트로 전송하는 역추적 시스템 관리부; 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송하는 로그 확인부;를 포함한다.One embodiment of the backtracking management system according to the present invention for achieving the above technical problem, has a command on the backtracking system requesting backtrace information including the backtracking progress and results of the backtracking system A traceback result confirming unit for transmitting to the predetermined traceback management agent A backtracking system manager for transmitting an operation control command including start, stop, and restart of the backtracking system to the backtracking management agent; And a log checking unit for transmitting a command for requesting various log records related to backtracking performed by the backtracking system to the backtracking management agent.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 관리 방법의 일 실시예는, 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령, 상기 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령 및 상기 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송하는 단계; 및 상기 역추적 관리 에이전트에 의해 수행된 각각의 명령에 따른 수행 결과를 전송받는 단계;를 포함한다.One embodiment of the backtracking management method according to the present invention for achieving the above technical problem, a command for requesting backtracking information including the backtracking progress and results of the backtracking system, the start of the backtracking system Transmitting an operation control command including a stop and restart and a command for requesting various log records related to the backtracking performed by the backtracking system to a predetermined backtracking management agent provided on the backtracking system side; And receiving an execution result according to each command performed by the traceback management agent.
본 발명에 따르면, 역추적 시스템 측에 구비된 역추적 관리 에이전트를 이용하여 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다.According to the present invention, the backtracking management agent provided on the backtracking system side can efficiently control and manage a plurality of backtracking systems at a remote location.
이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 역추적 관리 시스템 및 그 방법에 관하여 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail with respect to the traceback management system and method according to the present invention.
도 1은 본 발명에 따른 역추적 관리 시스템의 일 실시예를 도시한 도면이다.1 is a diagram illustrating an embodiment of a traceback management system according to the present invention.
도 1을 참조하면, 역추적 관리 시스템(100)은 역추적 시스템(120)과 연결되어 있다. 역추적 관리 시스템(100)은 역추적 시스템(120)의 관리에 필요한 명령을 전송하고 그에 대한 응답으로 역추적 경로 결과, 로그 정보 등을 전송받는다. 역추적 관리 시스템(100)과 역추적 시스템(120)은 네트워크를 통하여 연결되며 역추적 시스템 내에서 역추적 관리 시스템으로 전송된 명령어들을 분석하고 그에 대한 처리를 수행하기 위한 관리 에이전트(110)가 있다. Referring to FIG. 1, the backtracking management system 100 is connected to the backtracking system 120. The traceback management system 100 transmits a command necessary for the management of the traceback system 120 and receives a traceback result and log information in response thereto. The backtracking management system 100 and the backtracking system 120 are connected through a network, and there is a management agent 110 for analyzing and processing the commands transmitted to the backtracking management system in the backtracking system. .
역추적 관리 시스템(100)은 매니저의 입장에서 적어도 하나 이상의 역추적 시스템 내에 설치된 관리 에이전트들(110)에게 명령을 전달하는 방식을 취함으로써, 역추적 관리 시스템은 하나 이상의 역추적 시스템을 관리할 수 있다. The backtracking management system 100 takes the form of transferring commands to the management agents 110 installed in the at least one backtracking system from the manager's point of view, so that the backtracking management system can manage one or more backtracking systems. have.
도 1은 역추적 시스템(120)과 역추적 관리 시스템(110)간의 일대일 관계를 도시하였으나 에이전트 방식의 구조는 네트워크에 다수의 역추적 시스템이 설치되었을 시에 다수의 역추적 시스템을 관리할 수 있다. 역추적 시스템(120)은 워터마크 삽입 기법을 이용한 시스템으로 구성되어 워크스테이션상에서 하나의 프로세스로 동작된다. 역추적 관리 시스템(100)은 특정 호스트상에 설치되고 역추적 시스템에 설치되어 있는 역추적 관리 에이이전트(110)와 TCP 네트워크 통신을 수행한다.Although FIG. 1 illustrates a one-to-one relationship between the backtracking system 120 and the backtracking management system 110, an agent-based structure may manage a plurality of backtracking systems when a plurality of backtracking systems are installed in a network. . The backtracking system 120 is configured as a system using a watermark embedding technique and operates as a process on a workstation. The traceback management system 100 performs TCP network communication with the traceback management agent 110 installed on a specific host and installed in the traceback system.
도 2는 본 발명에 따른 역추적 관리 시스템의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a traceback management system according to the present invention.
도 2를 참조하면, 본 발명에 따른 역추적 관리 시스템(210)은 역추적 결과 확인부(211), 로그 확인부(212), 역추적 시스템 관리부(213), 통계 분석부(214), 역추적 관리 DB(215) 및 입출력부(216)로 구성된다. 또한 역추적 관리 시스템(210)은 하나 이상의 역추적 시스템을 효율적으로 관리하기 위하여 네트워크로 연결되고 역추적시스템(230) 측에 설치되는 역추적 관리 에이전트(220)를 포함한다. 역추적 관리 에이전트(220)는 요구처리부(221) 및 송수신부(222)로 구성된다.Referring to FIG. 2, the backtracking management system 210 according to the present invention includes a backtracking result confirming unit 211, a
역추적 결과 확인부(211)는 역추적 시스템(230)에서 수행하는 역추적 진행 상황과 역추적 결과 그리고 침입정보를 요구하는 명령을 역추적 시스템(230)으로 전송하고, 역추적 시스템(230)으로부터 명령에 대한 응답을 수신한다. 구체적으로는 역추적 시스템(230) 측에 구비된 역추적 관리 에이전트(220)가 명령을 수신하고 그 명령을 수행한 후 그 결과를 역추적 결과 확인부(211)로 전송한다.The traceback result confirming unit 211 transmits a traceback progress and traceback result and an instruction requesting intrusion information performed by the
로그 확인부(212)는 역추적 시스템(230)의 역추적과 관련된 각종 로그 기록을 요청한다. 역추적 시스템 관리부(213)는 역추적 시스템의 시작, 재시작, 중지 등의 동작들을 제어하는 명령을 역추적 시스템(230)으로 전송한다. 또한 역추적 시스템 관리부(213)는 역추적 시스템(230)의 디버그/테스트 모드 동작을 지시한다. The
통계 분석부(214)는 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)에 의해 각각 수행된 결과들을 분석하여 통계적 자료를 생성한다. 역추적 관리 DB(215)는 역추적 결과 확인부(211), 로그 확인부(212), 역추적 시스템 관리부(213) 및 통계 분석부(214)에 의한 처리결과를 저장한다.The
입출력부(216)는 역추적 관리 시스템(210)의 역추적 결과 확인부(211), 로그확인부(212) 및 역추적 시스템 관리부(213)로부터 출력된 각각의 명령을 네트워크를 통해 역추적 관리 에이전트(220)로 전송하고, 역추적 관리 에이전트에 의해 처리된 각각의 명령결과를 수신하여 각각 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)로 전송한다.The input /
역추적 관리 에이전트(220)는 역추적 관리 시스템(210)으로부터 전송된 각각의 명령에 따라 역추적 시스템(230)을 관리하고 각 명령에서 요구하는 정보를 파악하여 역추적 관리 시스템(210)으로 전송한다. 역추적 관리 에이전트(220)은 수신한 명령에 따른 요구를 처리하는 요구처리부(221)와 명령의 수신 및 요구하는 정보의 송신을 수행하는 송수신부(222)로 구성된다. 역추적 관리 시스템(210)과 역추적 관리 에이전트(220)는 역추적 관리 시스템(210)의 입출력부(216)와 역추적 관리 에이 전트(220)의 송수신부(222)사이의 TCP 통신을 통하여 정보를 교환한다.The backtracking management agent 220 manages the
역추적 관리 에이전트(220)는 데몬(Daemon)형태로 동작하여 역추적 시스템을 구동하고, 역추적 결과 확인부(221), 로그 확인부(212), 역추적 시스템 관리부(213)의 요구를 처리하도록 대기한다. 이 때, 역추적 관리 에이전트(220)의 요구 처리부(221)는 지속적으로 역추적 시스템(230)이 동작 중인지를 확인하고, 정지되어 있는 경우에는 역추적 시스템(230)을 재시작하도록 한다. 그리고, 역추적 관리 에이전트(220)의 송수신부(222)는 역추적 관리 시스템(210)으로부터 각종 명령을 수신하고 각 명령에 따라 역추적 시스템(230)내의 역추적 DB(231)의 로그를 검색한 각종 로그 결과 및 역추적 결과를 역추적 관리 시스템(210)으로 전송한다.The traceback management agent 220 operates in the form of a daemon to drive the traceback system, and processes the requests of the traceback result checker 221, the
도 3a 및 도 3b는 본 발명에 따른 역추적 관리 에이전트의 동작 과정을 도시한 도면이다.3A and 3B illustrate an operation process of the traceback management agent according to the present invention.
도 3a을 참조하면, 역추적 관리 시스템(210)이 시작되면, 역추적 관리 에이전트(220)가 데몬(Daemon) 형태로 구동된다(S300). 그리고 역추적 관리 에이전트(220)는 역추적 시스템(230)(즉 역추적 프로세스)을 구동한 후(S310), 역추적 관리 시스템(210)으로부터 전송되는 명령어를 수신하기 위하여 대기한다(S320). Referring to FIG. 3A, when the traceback management system 210 is started, the traceback management agent 220 is driven in the form of a daemon (S300). After the traceback management agent 220 drives the traceback system 230 (that is, the traceback process) (S310), the traceback management agent 220 waits to receive a command transmitted from the traceback management system 210 (S320).
역추적 관리 에이전트(220)는 역추적 관리 시스템(210)으로부터 명령을 수신하면(S320), 그 명령에 따른 동작을 수행하고(S330) 그 수행 결과를 역추적 관리 시스템으로 전송한다(S340). 즉 역추적 관리 에이전트(220)는 역추적 결과 확인부(211), 로그 확인부(212) 및 역추적 시스템 관리부(213)로부터 전송된 명령 을 수신하고 그 수신한 명령에 따른 동작을 수행한 후 그 결과를 역추적 관리 시스템(210)으로 전송한다. When the traceback management agent 220 receives the command from the traceback management system 210 (S320), performs an operation according to the command (S330) and transmits the result of the execution to the traceback management system (S340). That is, the traceback management agent 220 receives a command transmitted from the traceback result checker 211, the
도 3b를 참조하면, 역추적 관리 시스템으로부터의 명령 수신과 무관하게 역추적 관리 에이전트(220)는 역추적 시스템(230)의 동작 상태를 주기적으로 체크하여 역추적 시스템이 정지되어 있는 경우에는 역추적 시스템을 재시작하도록 한다(S350). 그리고 역추적 관리 에이전트(220)는 역추적 시스템(210)의 상태를 역추적 관리 시스템으로 전송한다(S360).Referring to FIG. 3B, irrespective of receiving a command from the backtracking management system, the backtracking management agent 220 periodically checks an operation state of the
도 4는 본 발명에 따른 역추적 관리 에이전트에서 수신하는 각종 명령들을 처리하는 동작들에 대한 상태 전이도를 도시한 것이다.4 is a state transition diagram for operations of processing various commands received by the traceback management agent according to the present invention.
도 4를 참조하면, 역추적 관리 에이전트(220)는 역추적 관리 명령어을 수신되면 역추적 관리 명령어를 파싱한다. 이때, 파싱된 명령어에 따라 역추적 관리, 로그 확인, 역추적 결과 확인 상태로 전이되며, 역추적 관리 상태에서는 역추적 시스템의 현재 상태에 따라(시작, 중지, 재시작) 동작 상태의 경우 중지 또는 재시작을 수행하고, 중지 상태의 경우 시작 또는 재시작을 수행한다. Referring to FIG. 4, the backtracking management agent 220 parses the backtracking management command upon receiving the backtracking management command. At this time, it is transitioned to the traceback management, log check, and traceback result check status according to the parsed command. In the traceback management state, the operation is stopped or restarted according to the current state (start, stop, restart) of the traceback system. If the status is stopped, start or restart.
역추적 로그 확인 상태에서는 로그 DB 에 접근하여 로그 정보를 송신한다.In the traceback check status, log DB is accessed and log information is sent.
역추적 결과 확인 상태는 역추적 경로가 구성 완료 여부를 로그 DB에 접근하여 확인하고 역추적 경로 구성이 완료되면, 역추적 경로 구성 결과를 역추적 관리 시스템에 전송하고, 경로 구성 진행 중 상태일 경우, 로그 DB에 다시 재 질의하여 역추적 결과를 확인한다. When the traceback result is confirmed by accessing the log DB to check whether the traceback path is completed, and when the traceback path configuration is completed, the traceback path configuration result is transmitted to the traceback management system. Then, query the log DB again to check the traceback result.
마지막으로 역추적 관리 명령어의 수신여부와는 독립적으로 역추적 시스템(230)의 상태를 지속적으로 점검하여 역추적 시스템의 상태 결과를 역추적 관리 시스템(210)에 전송한다.Finally, the state of the
도 5는 역추적 관리 에이전트에서 역추적 시스템 상태와 디버그/테스트 결과를 지속적으로 확인하는 과정에 대한 상태 전이도를 도시한 것이다. 5 illustrates a state transition diagram for a process of continuously checking the traceback system status and the debug / test result in the traceback management agent.
도 5를 참조하면, 역추적 관리 명령어의 수신여부와는 독립적으로 역추적 시스템의 상태를 지속적으로 점검하여 역추적 시스템의 상태 결과를 역추적 관리 시스템에 전송하고, 미리 설정된 디버그/테스트 단계에 따라 역추적 시스템의 디버그/테스트 결과를 지속적으로 모니터링 하여 전송한다.Referring to FIG. 5, independently of whether or not the traceback management command is received, the state of the traceback system is continuously checked and the state result of the traceback system is transmitted to the traceback management system, and according to a preset debug / test stage. Continuously monitor and send the debug / test results of the traceback system.
도 6는 역추적 관리 시스템과 역추적 관리 에이전트간의 일련의 동작 과정을 시스템 구조도로 도시한 것이다. 6 shows a system structure diagram of a series of operations between the traceback management system and the traceback management agent.
도 6을 참조하면, 역추적 관리 시스템(610)은 역추적 관리 에이전트(620)로부터 역추적 시스템의 상태 및 각종 역추적 관련 로그 정보, 역추적 경로 구성 결과 등을 입출력부(616)를 통해 실시간으로 수신 받는다. 수신된 결과는 수신 내용에 따라 역추적 시스템 관리부(613), 로그 확인부(612), 역추적 결과 확인부(611)의 입력으로 들어간다. 수신된 요구 결과들은 GUI(617)를 통해 출력된다. Referring to FIG. 6, the backtracking management system 610 provides a real time state of the backtracking system, various backtracking related log information, a backtracking path configuration result, and the like from the backtracking management agent 620 through the input /
그리고, 역추적 관리 시스템(610)은 수신된 결과들을 역추적 관리 DB(615)에 저장하고, 통계 분석부(614)는 지속적으로 역추적 관리 DB(615)를 검색하여 분석한다. 이 분석된 결과는 사용자의 요구가 있을 때 GUI(617)를 통해 출력된다. 그리고, 역추적 시스템 관리를 위해 시작, 중지, 재시작, 역추적 시스템의 디버그/테스트 동작 등의 사용자의 요구가 있을 시에는 역추적 시스템 관리부(613)를 통해 관리 명령어를 생성하여 역추적 관리 에이전트(620)로 전송한다.The traceback management system 610 stores the received results in the
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
본 발명에 따르면, 역추적 시스템 측에 구비된 역추적 관리 에이전트를 이용하여 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다. 또한, 워터마크를 삽입을 이용한 역추적 시스템을 관리함으로서 역추적 시스템이 실 시간으로 역추적을 수행하는 도중에 발생하는 각종 로그 정보를 통합적으로 수집하고 분석함으로써 최종 공격자에 대한 정보를 다양하게 분석할 수 있다.According to the present invention, the backtracking management agent provided on the backtracking system side can efficiently control and manage a plurality of backtracking systems at a remote location. In addition, by managing the backtracking system using the watermark insertion, various log information generated during the backtracking of the backtracking system in real time can be collectively collected and analyzed to analyze various information about the final attacker. have.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030084976A KR100564752B1 (en) | 2003-11-27 | 2003-11-27 | Traceback managemnet system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030084976A KR100564752B1 (en) | 2003-11-27 | 2003-11-27 | Traceback managemnet system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050051218A KR20050051218A (en) | 2005-06-01 |
KR100564752B1 true KR100564752B1 (en) | 2006-03-27 |
Family
ID=38666469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020030084976A KR100564752B1 (en) | 2003-11-27 | 2003-11-27 | Traceback managemnet system and method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100564752B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100951770B1 (en) * | 2005-12-30 | 2010-04-08 | 경희대학교 산학협력단 | Method for back-tracking IP based on the IPv6 network |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000012194A (en) * | 1999-06-28 | 2000-03-06 | 김상배 | System for integrating System Management System and Firewall system |
KR20020012855A (en) * | 2000-08-09 | 2002-02-20 | 전창오 | Integrated log analysis and management system and method thereof |
KR20030069240A (en) * | 2002-02-19 | 2003-08-27 | 한국전자통신연구원 | Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems |
-
2003
- 2003-11-27 KR KR1020030084976A patent/KR100564752B1/en not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000012194A (en) * | 1999-06-28 | 2000-03-06 | 김상배 | System for integrating System Management System and Firewall system |
KR20020012855A (en) * | 2000-08-09 | 2002-02-20 | 전창오 | Integrated log analysis and management system and method thereof |
KR20030069240A (en) * | 2002-02-19 | 2003-08-27 | 한국전자통신연구원 | Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems |
Also Published As
Publication number | Publication date |
---|---|
KR20050051218A (en) | 2005-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9853941B2 (en) | Security information and event management | |
EP1665011B1 (en) | Method and system for displaying network security incidents | |
US7188366B2 (en) | Distributed denial of service attack defense method and device | |
US8326881B2 (en) | Detection of network security breaches based on analysis of network record logs | |
US7574740B1 (en) | Method and system for intrusion detection in a computer network | |
US20050132232A1 (en) | Automated user interaction in application assessment | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
CN102594623B (en) | The data detection method of fire compartment wall and device | |
JP2008516308A (en) | Method and apparatus for querying a plurality of computerized devices | |
SE524963C2 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
CN112003864B (en) | Website security detection system and method based on full flow | |
US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
KR102160950B1 (en) | Data Distribution System and Its Method for Security Vulnerability Inspection | |
CN113179280B (en) | Deception defense method and device based on malicious code external connection behaviors and electronic equipment | |
US20080295153A1 (en) | System and method for detection and communication of computer infection status in a networked environment | |
CN112217777A (en) | Attack backtracking method and equipment | |
CN106230815B (en) | A kind of control method and device of alarm log | |
KR100564752B1 (en) | Traceback managemnet system and method | |
US7856573B2 (en) | WPAR halted attack introspection stack execution detection | |
JP3892322B2 (en) | Unauthorized access route analysis system and unauthorized access route analysis method | |
CN113824748B (en) | Asset characteristic active detection countermeasure method, device, electronic equipment and medium | |
KR20030039732A (en) | Attacker traceback method by using edge router's log information in the internet | |
KR100439169B1 (en) | Attacker traceback method by using session information monitoring that use code mobility | |
KR100470917B1 (en) | System and method for providing a real-time traceback technic based on active code | |
KR100450770B1 (en) | Attacker traceback and isolation system and method in security network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20090303 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |