KR101966366B1 - 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법 - Google Patents

토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR101966366B1
KR101966366B1 KR1020180126168A KR20180126168A KR101966366B1 KR 101966366 B1 KR101966366 B1 KR 101966366B1 KR 1020180126168 A KR1020180126168 A KR 1020180126168A KR 20180126168 A KR20180126168 A KR 20180126168A KR 101966366 B1 KR101966366 B1 KR 101966366B1
Authority
KR
South Korea
Prior art keywords
nodes
node
network
tor
spy
Prior art date
Application number
KR1020180126168A
Other languages
English (en)
Inventor
조은희
심미선
Original Assignee
(주)유니스소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유니스소프트 filed Critical (주)유니스소프트
Priority to KR1020180126168A priority Critical patent/KR101966366B1/ko
Application granted granted Critical
Publication of KR101966366B1 publication Critical patent/KR101966366B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는, 토르 네트워크를 악용하는 악의적 사용자를 탐지하여 토르 네트워크의 안정성 및 신뢰성을 향상시킬 수 있는 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법에 관한 것이다.

Description

토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법 {Detection system and method of illegal user in TOR network}
본 발명은 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 수천 개에 이르는 중계서버(라우터)를 통하여 패킷을 전달함으로써 사용자(client)의 익명성을 보장받을 수 있는 익명 네트워크인 토르(TOR, The Onion Routing) 네트워크에 있어서, 악의적 사용자가 선의의 공격자의 비익명성 공격을 회피할 수 있는 환경에서 악의적 사용자의 탐지 확률을 향상시킬 수 있는 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법에 관한 것이다.
토르 네트워크(TOR network, The Onion Routing network)는 수천 개에 이르는 중계서버(라우터)들을 통하여 패킷을 전달하는 방식으로 구성되어, 수천 개에 이르는 중계서버로 인해 네트워크 트래픽 분석과 사용자(client)의 IP 추적이 어려운, 즉, 익명성을 보장받을 수 있는 익명 네트워크이다.
인터넷을 통하여 전달되는 정보는 패킷이라 불리는 단위로 분할하여 보내지게 되는데, 이 때, 패킷의 헤더에는 해당 패킷이 전달되어야 하는 곳의 주소가 작성되어 있으며, 이 주소(Target IP Address)에 따라 패킷으로 나눠져 전달되는데, 이 때, 토르 네트워크는 패킷을 라우터와 같은 네트워크 장비를 통하여 인접 장비로 전달하는 방식으로 최종 목적지(destination)에 이르게 된다. 라우터 하나를 통과할 때마다 마치 양파 껍질을 한 꺼풀씩 벗겨내는 것과 같은 모양이 되는 것이다.
토르 네트워크에서 이용하게 되는 목적지까지의 경로는 플록시가 주기적으로 설정하고 해제하는데, 각 경로(노드)에 대한 정보는 디렉토리 서버(Directory Authorities Server)로부터 얻으며, 토르 네트워크를 사용하는 중계서버(노드)들은 모두 디렉토리 서버에게 자신의 정보를 공유하며 이 과정도 암호화된 통신을 수행하게 된다.
이러한 토르 네트워크에 접속하기 위해서는 토르 브라우저를 사용하면 되며, 토르 브라우저는 TBB(Tor Browser Bundle)로 파이어폭스를 기반으로 사용하여 토르 네트워크를 사용하도록 설정된 브라우저이다.
이러한 토르 네트워크를 사용하는 목적은 익명성을 보장하면서 인터넷에 접속하는 것으로 사용자는 인터넷 서비스 공급 회사, 검색엔진 사이트 등 누군가가 자신의 인터넷 접속 기록에 대한 감시와 기록을 하지 않기를 바라면서 사용하는 것이 일반적이다.
그렇기 때문에, 이러한 토르 네트워크의 특징을 이용하여 악의적 사용자가 사이버 침해 공격에 이용하거나, 불법거래 등 악의적인 용도로 사용하는 것이 급격히 증가하고 있다.
이에 따라, 선의의 공격자(국가나 경찰, 사이버 수사대 등)가 통신 네트워크를 통한 악의적인 용도를 단속하기 위하여, 즉 악의적 사용자를 단속하기 위한 공격이 이루어지고 있으며, 대표적으로 Censorship 공격과 비익명성 공격을 들 수 있다.
Censorship 공격은 도 1의 a)에 도시된 바와 같이, 토르 네트워크에서 악의적 사용자가 선택한 목적지까지의 경로 회선(circuit)이 선의의 공격자가 설정해놓은 '금지지역'을 통과하는 경우, 선의의 공격자는 악의적 사용자에 의해서 '금지지역'을 통과하는 패킷이 다음 노드로 전송되지 못하게 하거나, '금지지역'에 들어오는 패킷을 목적에 따라 강제 제어할 수 있다.
비익명성 공격은 도 2의 a)에 도시된 바와 같이, 토르 네트워크에서 악의적 사용자가 선택한 목적지까지의 경로 회선(circuit)이 선의의 공격자가 설정해놓은 '금지지역'을 통과하는 경우, '금지지역'을 통과하는 다수 개의 트래픽 패턴을 분석하여 패턴이 유사하거나 일치하는 경우, 악의적 사용자와 최종 목적지(또다른 악의적 사용자)를 유추하여 악의적 사용자의 익명성을 깰 수 있는 공격이다.
악의적 사용자는 이러한 공격들을 회피하기 위하여, 도 1의 b)에 도시된 바와 같이, Censorship 공격의 방어로는 '금지지역'을 피해서 목적지까지의 경로를 결정함으로써 선의의 공격자에 의한 공격 자체를 피하거나, 도 2의 b)에 도시된 바와 같이, 비익명성 공격의 방어로는 Entry 노드(진입 노드)와 Exit 노드(진출 노드)가 동일한 '금지지역'을 통과하지 않도록 목적지까지의 경로를 결정함으로써 단속을 회피할 수 있다.
그렇지만, 이러한 공격 방어 방법들, 일명 Detor들은 악의적 사용자가 선의의 공격자에 의한 공격 자체를 회피할 수 있기 때문에, 악의적 사용자를 탐지하지는 못하는 문제점이 있다.
이러한 문제점을 해소하기 위하여, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법은 악의적 사용자가 선의의 공격자가 설정해놓은 금지지역을 회피하여 통신 회선을 생성하더라도, 다수의 스파이 노드들을 이용하여 악의적 사용자의 탐지 확률을 높일 수 있다.
이와 관련해서, 한국정보보호학회 논문지 2016년 26권, 3호 667-678("대용량 네트워크 환경에서 익명 네트워크 탐지 및 효과적 대응전략에 관한 연구")에서는 익명 네트워크를 통한 사이버 공격 위협이 증가함에 따라 익명 네트워크를 사용하는 패킷을 탐지하고 분류하여 집중적인 보안 관제를 수행하기 위한 연구를 개시하고 있다.
한국정보보호학회 정보보호학회논문지 2016년 26권, 3호 667-678 ("대용량 네트워크 환경에서 익명 네트워크 탐지 및 효과적 대응전략에 관한 연구")
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 수천 개에 이르는 중계서버(라우터)를 통하여 패킷을 전달함으로써 사용자(client)의 익명성을 보장받을 수 있는 익명 네트워크인 토르(TOR, The Onion Routing) 네트워크에 있어서, 악의적 사용자가 선의의 공격자의 비익명성 공격을 회피할 수 있는 환경에서 악의적 사용자의 탐지 확률을 향상시킬 수 있는 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템은, 토르 네트워크를 사용하고자 하는 악의적 사용자가 토르 클라이언트 소프트웨어를 다운받아, 소지하고 있는 단말기를 포함하고 있는 사용자 장치(10), 토르 네트워크를 단속하고자 하는 선의의 공격자가 소지하고 있는 단말기를 포함하는 공격자 장치(20) 및 상기 사용자 장치(10)로 상기 토르 네트워크를 구성하는 노드들(OR, Onion Routers)의 관련 정보들을 제공하는 디렉토리 서버(DA, Directory Authorities Server)(30)를 포함하며, 상기 사용자 장치(10)는 상기 디렉토리 서버(30)로부터 제공받은 상기 정보들 중 상기 노드들의 대역폭 정보를 이용하여 적어도 세 개의 노드를 선택하고, 선택한 노드들을 이용하여 상기 토르 네트워크의 내부 또는 외부에 위치하는 목적지까지의 네트워크 회선을 생성하며, 상기 공격자 장치(20)는 상기 사용자 장치(10)에서 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 기설정된 스파이 노드일 경우, 상기 사용자 장치(10)의 탐지를 성공한 것으로 판단하는 것이 바람직하다.
더 나아가, 상기 공격자 장치(20)는 상기 토르 네트워크를 구성하는 노드들에 기설정된 특정 대역폭을 갖는 다수의 스파이 노드를 추가하는 것이 바람직하다.
더 나아가, 상기 공격자 장치(20)는 상기 토르 네트워크 내부의 기설정된 금지지역을 제외한 나머지 지역에 상기 스파이 노드들을 배치하여, 상기 사용자 장치(10)가 상기 스파이 노드들을 선택하여 상기 네트워크 회선을 생성하도록 하는 것이 바람직하다.
더 나아가, 상기 사용자 장치(10)는 상기 네트워크 회선의 생성을 위해 다수의 노드 선택시, 상기 스파이 노드가 갖는 특정 대역폭에 의해 상기 스파이 노드들 중 적어도 하나를 진입 노드 또는 진출 노드로 선택하는 것이 바람직하다.
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법은, 공격자 장치에서, 다수의 노드들(OR, Onion Routers)을 포함하여 구성되는 토르 네트워크 내부에 금지지역을 설정하는 금지지역 설정단계(S100), 공격자 장치에서, 상기 토르 네트워크를 구성하는 노드들에 기설정된 특정 대역폭을 갖는 다수의 스파이 노드들을 추가하는 스파이 노드 추가단계(S200), 공격자 장치에서, 상기 금지지역 설정단계(S100)에 의해 설정된 상기 금지지역을 제외한 나머지 지역에 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드들을 배치하는 배치단계(S300), 사용자 장치에서, 디렉토리 서버(DA, Directory Authorities Server)로부터 전달받은 상기 토르 네트워크를 구성하는 노드들의 관련 정보들을 이용하여, 적어도 세 개의 노드를 선택하는 노드 선택단계(S400), 사용자 장치에서, 상기 노드 선택단계(S400)에 의해 선택한 노드들을 이용하여 토르 네트워크의 내부 또는 외부에 위치하는 목적지까지의 네트워크 회선을 생성하는 회선 생성단계(S500) 및 공격자 장치에서, 상기 회선 생성단계(S500)에 의해 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드일 경우, 상기 사용자 장치의 탐지를 성공한 것으로 판단하는 탐지단계(S600)로 이루어지는 것이 바람직하다.
더 나아가, 상기 노드 선택단계(S400)는 상기 디렉토리 서버로부터 전달받은 상기 토르 네트워크를 구성하는 노드들의 관련 정보들 중 대역폭 정보를 이용하여 다수의 노드를 선택하는 것이 바람직하다.
더 나아가, 상기 노드 선택단계(S400)는 사용자 장치에서, 다수의 노드 선택 시, 상기 스파이 노드가 갖는 특정 대역폭에 의해, 상기 스파이 노드들 중 적어도 하나를 진입 노드 또는 진출 노드로 선택하는 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법은 수천 개에 이르는 중계서버(라우터)를 통하여 패킷을 전달함으로써 사용자(client)의 익명성을 보장받을 수 있는 익명 네트워크인 토르(TOR, The Onion Routing) 네트워크에 있어서, 악의적 사용자가 선의의 공격자의 비익명성 공격을 회피할 수 있는 환경에서 악의적 사용자의 탐지 확률을 향상시킬 수 있다.
상세하게는, 선의의 공격자가 토르 네트워크에 다수의 스파이 노드를 추가하고, 추가한 스파이 노드를 미리 설정해놓은 금지지역을 제외하고 배치함으로써, 금지지역을 회피하여 네트워크 회선을 생성하는 악의적 사용자의 탐지 확률을 매우 높일 수 있는 장점이 있다.
도 1은 토르 네트워크에서의 선의의 공격자에 의한 Censorship 공격 및 이에 대한 악의적 사용자의 방어를 도식화한 도면이다.
도 2는 토르 네트워크에서의 선의의 공격자에 의한 비익명성 공격 및 이에 대한 악의적 사용자의 방어를 도식화한 도면이다.
도 3은 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 도식화한 도면이다.
도 5는 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법을 나타낸 순서도이다.
이하 첨부한 도면들을 참조하여 본 발명의 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
토르 네트워크는 상술한 바와 같이, 트래픽 분석에 의한 공격과 온라인 검열로부터 익명성을 확보할 수 있는 오픈 네트워크로서 인터넷에 접속한 사용자가 익명성을 유지할 수 있도록 도와주는 효과적인 응용계층 프로토콜로 정의될 수 있다.
이러한 토르 네트워크의 구성요소들로는 도 3 및 도 4에 도시된 바와 같이, 출발지(Source), 목적지(Destination), 노드(OR, Onion routers) 및 디렉토리 서버(DA, Directory Authorities Server)를 포함하여 구성될 수 있다.
상기 출발지에 위치하고 있는 토르 네트워크 서비스를 요청하는 사용자는 사용자 정보(client data)의 익명화를 위해 OP(Onion proxy)를 통해서 로컬 소프트웨어(토르 클라이언트 소프트웨어)를 실행한 후 토르 네트워크를 제공받게 된다.
상기 목적지는 토르 네트워크의 내부 또는 외부에 위치하는 웹 서버로서, 웹 서비스와 같은 TCP 애플리케이션을 실행하는 것이 일반적이다. 상기 사용자의 요청에 따라 웹 페이지를 응답하는 등 일반적인 웹 서버로 해석할 수 있다.
상기 노드는 상기 출발지와 목적지 사이에 애플리케이션 데이터를 중계(relay)하기 위한 특별한 프록시로서, 각각의 노드 사이의 오버레이 링크 암호화를 위하여 TLS(Transport Layer Security) 연결을 사용하는 것이 바람직하다.
또한, 애플리케이션 데이터를 TLS 연결을 통하여 512 바이트 크기를 갖는 셀들로 조각화되어 전송되는 것이 바람직하다.
상기 디렉토리 서버는 토르 네트워크의 데이터베이스 서버로의 역할을 수행하며, 토르 네트워크에 구성되어 있는 모든 노드(OR)의 주요 정보(일 예를 들자면, 공개키, 대역폭, 닉네임, 기동시간 등)들을 저장 및 관리하는 것이 바람직하다.
상기 사용자(상기 출발지에 위치하고 있는 토르 네트워크 서비스를 요청하는 사용자)들은 상기 디렉토리 서버를 통해서 상기 노드들에 대한 정보들을 다운로드 받을 수 있으며, 토르 네트워크를 이용하기 위한 네트워크 통신 회선(circuit)을 생성할 수 있다.
또한, 토르 소프트웨어는 상기 디렉토리 서버들의 리스트를 내장하고 있는 것이 바람직하다.
이러한 토르 네트워크 내에서 사용되는 노드들은 1. Pure entry(guard) 노드, 2. Pure Exit 노드, 3. EE 노드, 4. None-EE 노드로 유형이 결정되어 구성될 수 있으며, 1. Pure entry(guard) 노드는 토르 네트워크 내에서 진입(entry)으로 지정된 노드를 의미하며, 2. Pure Exit 노드는 토르 네트워크 내에서 진출(exit)로 지정된 노드를 의미하며, 3. EE 노드는 토르 네트워크 내에서 진입(entry)인 동시에 진출(exit)로 지정된 노드를 의미하며, 4. None-EE 노드는 토르 네트워크 내에서 진입(entry) 또는 진출(exit)로 선택되지 않은 나머지 노드들을 의미한다.
이러한 각각의 노드들의 유형들이 결정되는 조건은 다음과 같은 사항이 고려되게 된다.
1. Pure entry(guard) 노드는 상기 디렉토리 서버에 의해서 평균 가동시간이 가까운 모든 노드들(Familiar routers)의 평균 이상임과 동시에, 대역폭이 max(median, 250KB/s)값 보다 큰 경우이며,
2. Pure Exit 노드는 트래픽이 '80(http), 443(SSL), 6667(IRC) 토프들 중에서 2개의 포트'를 통하여 '적어도 하나의 C class IP 주소 공간'으로 나가도록 허용되어 있는 경우이며,
3. EE 노드는 상기 디렉토리 서버에 의해서 진입 노드와 동시에 진출 노드로 마킹되어 있는 경우이며,
4. None-EE 노드는 상기 디렉토리 서버에 의해서 진입 노드 또는 진출 노드로 마킹되지 않은 경우인 것이 바람직하다.
일반적으로 토르 네트워크에서, 상기 사용자는 네트워크 회선을 설정하기 위하여, 3개의 노드를 선택하는 것이 바람직하며, 회선의 성능과 로드 밸런싱을 고려하여 가중치가 적용된 대역폭 알고리즘을 사용하는 것이 바람직하다. 이를 위해, 토르 네트워크에서는 신뢰된 Bandwidth Authorities의 집합을 사용하여 노드를 선택(탐색)하고 capacity를 추정하는 것이 바람직하다.
또한, 상기 사용자(상기 출발지에 위치하고 있는 토르 네트워크 서비스를 요청하는 사용자)는 상기 디렉토리 서버로부터 전달받은 상기 노드들의 정보들을 이용하여 대역폭 정보를 기반으로 출발지에서부터 목적지까지의 네트워크 회선으로 사용할 노드들을 진출 노드/진입 노드/중간 노드 순서로 선택하는 것이 바람직하다.
상기 디렉토리 서버는 상기 사용자에 의해 선택된 노드들을 이용하여 목적지로의 네트워크 회선, 즉, 암호화된 통신 채널을 생성하여 트래픽 전송을 수행하게 되며, 네트워크 회선의 생성은 링크 인증 및 암호화에 TLS/SSLv3을 이용하며, 세션 비밀키 협상에 DH(Diffie-Hellman) handshake 프로토콜을 이용하는 것이 바람직하다.
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법은 이러한 토르 네트워크의 사용자 중 토르 네트워크의 익명성을 악용하려는 악의적 사용자를 선의의 공격자가 탐지함으로써, 토르 네트워크 서비스를 지속적으로 가능하도록 하는 것이 가장 큰 특징이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 나타낸 도면이며, 도 3 및 도 4를 참조로 하여 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템은 상술한 바와 같이, 토르 네트워크를 구성하는 사용자/목적지/노드들/디렉토리 서버를 포함하여 구성되며, 상술한 바와 같이, 선의의 공격자가 토르 네트워크의 익명성을 악용하는 악의적 사용자를 탐지할 수 있는 확률을 높이는 것이 가장 큰 특징이다.
더불어, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템은, 토르 네트워크를 이용하는 일반 사용자가 아닌, 악의적 사용자를 탐지하는 것으로서, 일반 사용자의 익명성을 보장하되 악의적 사용자를 탐지하는 것이 목적이다. 이를 위해, 도 3 및 도 4에 도시된 바와 같이, 사용자 장치(10), 공격자 장치(20) 및 디렉토리 서버(30)를 포함하는 것이 바람직하다.
상기 사용자 장치(10)는 토르 네트워크를 사용하고자 하는 악의적 사용자가 토르 클라이언트 소프트웨어를 다운받아, 소지하고 있는 단말기를 포함하는 것이 바람직하며, 상기 공격자 장치(20)는 상기 토르 네트워크에 존재하는 악의적 사용자를 단속(탐지)하고자 하는 선의의 공격자가 소지하고 있는 단말기를 포함하는 것이 바람직하다. 또한, 상기 디렉토리 서버(30)는 상술한 바와 같이, 토르 네트워크의 데이터베이스 서버로의 역할을 수행하며, 토르 네트워크에 구성되어 있는 모든 노드(OR)의 주요 정보(일 예를 들자면, 공개키, 대역폭, 닉네임, 기동시간 등)들을 저장 및 관리할 수 있다.
자세히 알아보자면, 상기 디렉토리 서버(30)는 상기 사용자 장치(10)에 관리하고 있던 토르 네트워크를 구성하는 노드들(OR, Onion Routers)의 관련 정보들을 제공하는 것이 바람직하며, 사용자로는 일반 사용자 뿐 아니라, 악의적 사용자가 포함되는 것이 바람직하다. 이 때, 상기 노드들의 관련 정보로는 토르 네트워크를 수행하는 모드 노드들의 공개키, 대역폭, 닉네임, 가동시간 등을 포함하는 것이 바람직하다.
상기 사용자 장치(10)는 상기 디렉토리 서버(30)로부터 제공받은 상기 노드들의 관련 정보들을 이용하여 적어도 세 개의 노드를 선택하는 것이 바람직하다.
상세하게는, 상기 사용자 장치(10)는 상기 디렉토리 서버(30)로부터 제공받은 상기 노드들의 관련 정보들 중 상기 노드들의 대역폭 정보를 이용하여 적어도 세 개의 노드를 선택하는 것이 바람직하다. 여기서, 세 개의 노드를 선택하는 것은 상기 토르 네트워크의 회선을 구성하는 기본 경로 길이가 세 개의 노드를 거쳐서 이루어지는 통신 네트워크 회선(circuit)으로서, 진출(Exit) 노드, 진입(Entry) 노드와 중간(Medium) 노드 순서대로 선택하는 것이 바람직하다.
또한, 상기 사용자 장치(10)는 상기 네트워크 회선을 구성하기 위한 적어도 세 개의 노드를 선택함에 있어서, 네트워크 회선의 성능과 로드의 밸런싱을 고려하여 가중치 대역폭 라우팅 알고리즘(Weighted Band width Routing Algorithm)을 적용하여 가중치가 적용된 대역폭 정보에 의존하여 상기 노드들을 선택하는 것이 가장 바람직하다.
상세하게는, 상기 토르 네트워크를 구성하는 각각의 노드들은 특정 대역폭을 갖는 것이 바람직하며, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 수행하기 위하여 토르 라우팅 프로토콜을 변경하지 않아도 수행 가능하다.
또한, 금지지역을 벗어나서 라우팅이 변경되어 네트워크 회선이 결정될 경우, 오버레이(overlay) 프로토콜 형태로 구동되는 것이 가장 바람직하다.
또한, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 수행함에 있어서, 기존의 토르 네트워크를 구성하는 노드들의 암호방식을 파괴하지 않으며, 상기 디렉토리 서버(30)는 상기 토르 네트워크를 구성하는 모든 노드들의 정보를 전송받아 저장 및 관리할 수 있으며, 요청에 따라 노드 별 GPS 좌표값을 제공할 수도 있다.
상기 사용자 장치(10)는 선택한 상기 노드들을 이용하여 토르 네트워크의 내부 또는 외부에 위치하는 목적지(Destination)까지의 네트워크 회선을 생성하되, 생성한 상기 네트워크 회선을 상기 디렉토리 서버(30)로 전송하여 상기 악의적 사용자의 토르 네트워크 사용이 가능하도록 하는 것이 바람직하다.
이 때, 상기 공격자 장치(20)는 상기 네트워크 회선의 생성에 이용된 노드들을 이용하여 상기 악의적 사용자에 대한 비익명성 공격을 회피할 수 있는 환경(도 2 참조)에서의 상기 악의적 사용자(상기 사용자 장치(10))를 탐지할 수 있다.
이를 위해, 상기 디렉토리 서버(30)는 상기 토르 네트워크를 구성하는 다수 개의 노드들에 미리 설정된 특정 대역폭을 갖는 다수의 스파이 노드를 추가하는 것이 바람직하다. 상기 스파이 노드들은 특정 대역폭을 설정됨으로써 상기 사용자 장치(10)가 가중치 대역폭 라우팅 알고리즘을 적용하여 네트워크 회선의 성능과 로드의 밸런싱을 고려하여 다수의 노드를 선택함에 있어서, 상기 스파이 노드들의 선택 확률을 좀 더 높일 수 있다.
즉, 상기 사용자 장치(10)가 상기 스파이 노드들을 포함하여 적어도 세 개의 노드를 선택할 가능성이 높아지며, 이에 따라 상기 스파이 노드가 진입 노드 또는 진출 노드로 선택되어 상기 네트워크 회선이 생성될 수 있다.
상기 공격자 장치(20)는 상기 사용자 장치(10)에서 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 상기 스파이 노드일 경우, 상기 사용자 장치(10)를 탐지할 확률이 높으며, 특히, 진입 노드와 진출 노드 모두가 상기 스파이 노드일 경우, 탐지한 것으로 판단한다.
상세하게는, 상기 공격자 장치(20)에서 상기 사용자 장치(10)에서 생성한 상기 네트워크 회선의 진출 노드로 스파이 노드가 선택될 경우, 진출 노드에서 목적지까지의 전송구간은 비암호화된 상태의 평문이 전달되기 때문에 상기 악의적 사용자를 탐지할 확률이 높아진다.
또한, 상기 공격자 장치(20)에서 상기 사용자 장치(10)에서 생성한 상기 네트워크 회선의 진입 노드로 스파이 노드가 선택될 경우, 토르 네트워크의 익명성을 파괴하기 위하여 진입 노드와 목적지의 트래픽 패턴을 비교 분석하는 비익명성 공격을 통해서, 상기 악의적 사용자를 탐지할 확률이 높아진다.
이에 따라, 상기 사용자 장치(10)가 선택한 노드들을 이용하여 생성한 상기 네트워크 회선에 상기 스파이 노드가 진입 노드와 진출 노드 모두에 선택될 경우, 확률적으로 상기 악의적 사용자의 탐지가 가능하며,
뿐만 아니라, 도 4에 도시된 바와 같이, 상기 사용자 장치(10)가 Censorship 공격(도 1 참조)을 회피하기 위하여 금지지역을 벗어나도록 상기 네트워크 회선을 생성하더라도 금지지역을 벗어나 상기 스파이 노드들을 재배치함으로써, 상기 악의적 사용자의 탐지 확률을 매우 높일 수 있다.
이를 위해, 상기 공격자 장치(20)는 사전에 토르 네트워크 내부의 일부 지역을 금지지역으로 설정하고, 금지지역을 제외한 나머지 지역에 상기 스파이 노드들을 재배치하는 것이 바람직하다.
여기서 금지지역이란, 토르 네트워크의 안정성을 높이기 위하여 상기 선의의 공격자가 관리하고 있는 '특별구역'으로 볼 수 있으며, 통상적으로 도 1에 도시된 바와 같이, 상기 악의적 사용자는 상기 금지지역을 피해서 네트워크 회선을 생성함으로써 상기 선의의 공격자의 탐지 공격을 회피하고 있다.
다시 말하자면, 상기 공격자 장치(20)는 상기 악의적 사용자의 탐지 확률을 높이기 위하여, 상기 토르 네트워크 내부에 금지지역으로 설정할 수 있으며, 특정 대역폭을 갖는 다수의 노드들을 스파이 노드로 추가할 수 있다.
이 후, 상기 스파이 노드로 설정한 노드들을 상기 금지지역을 제외한 영역으로 재배치한 후, 상기 사용자 장치(10)로부터 적어도 세 개의 노드를 선택받는 것이 바람직하다.
이 후, 상기 사용자 장치(10)는 선택한 상기 노드들을 이용하여 네트워크 회선을 생성하는 것이 바람직하며, 이 때, 상기 네트워크 회선의 진입 노드 또는 진출 노드가 상기 스파이 노드들로 선택될 경우, 상기 공격자 장치(20)에서의 상기 악의적 사용자의 탐지 확률을 높일 수 있다.
여기서, 상술한 바와 같이, 상기 스파이 노드들이 상기 네트워크 회선에 포함되는 것이 상기 악의적 사용자의 탐지 확률을 향상시킬 수 있기 때문에, 상기 스파이 노드들이 상기 사용자 장치(10)의 선택을 받기 위해서는 상술한 바와 같이, 상기 사용자 장치(10)가 노드를 선택하는데 고려하는 가중치 대역폭 라우팅 알고리즘을 이용하는 것이 바람직하다.
이 때, 상기 토르 네트워크를 구성하는 각각의 노드들은 상술한 바와 같이, 특정 대역폭을 가지며, 대역폭을 통한 노드들을 구분하기 위한 요소들로는 B,
Figure 112018104154479-pat00001
,
Figure 112018104154479-pat00002
,
Figure 112018104154479-pat00003
를 들 수 있다.
B는 토르 네트워크를 구성하는 노드들의 total bandwidth이며,
Figure 112018104154479-pat00004
는 토르 네트워크를 구성하는 진출 노드들의 total bandwidth이며
(
Figure 112018104154479-pat00005
로서,
Figure 112018104154479-pat00006
는 pure exit 노드들의 total bandwidth이며,
Figure 112018104154479-pat00007
는 EE 노드들이 total bandwidth임.),
Figure 112018104154479-pat00008
는 토르 네트워크를 구성하는 진입 노드들의 total bandwidth이며
(
Figure 112018104154479-pat00009
로서,
Figure 112018104154479-pat00010
는 pure entry 노드들의 total bandwidth임.),
Figure 112018104154479-pat00011
는 토르 네트워크에 포함되어 있는 금지지역을 구성하는 노드들의 total bandwidth임.
(
Figure 112018104154479-pat00012
로서,
Figure 112018104154479-pat00013
는 금지지역 내 pure exit 노드들의 total bandwidth이며,
Figure 112018104154479-pat00014
는 금지지역 내 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00015
는 금지지역 내 pure entry 노드들의 total bandwidth임.)
하기는 노드의 유형별(진입 노드/진출 노드)별 대역폭 가중치를 계산할 수 있는 수학식들이다.
Figure 112018104154479-pat00016
(여기서,
Figure 112018104154479-pat00017
는 금지지역을 반영한 진입 노드들의 대역폭 가중치(bandwidth weight)이며,
Figure 112018104154479-pat00018
이면,
Figure 112018104154479-pat00019
이며,
B는 토르 네트워크를 구성하는 노드 목록에서 노드들의 total bandwidth이며,
Figure 112018104154479-pat00020
는 토르 네트워크를 구성하는 노드 목록에서 금지지역의 total bandwidth이며,
(
Figure 112018104154479-pat00021
로서,
Figure 112018104154479-pat00022
는 금지지역 내 진출 노드들의 total bandwidth이며,
Figure 112018104154479-pat00023
는 금지지역 내 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00024
는 금지지역 내 진입 노드들의 total bandwidth임.)
Figure 112018104154479-pat00025
는 토르 네트워크를 구성하는 진입 노드들의 total bandwidth이며,
Figure 112018104154479-pat00026
는 토르 네트워크를 구성하는 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00027
는 스파이 진입 노드들의 개수이며,
Figure 112018104154479-pat00028
는 스파이 EE 노드들의 개수이며,
Figure 112018104154479-pat00029
는 각 스파이 노드에게 할당된 bandwidth임.)
Figure 112018104154479-pat00030
(여기서,
Figure 112018104154479-pat00031
는 금지지역을 반영한 진출 노드들의 대역폭 가중치(bandwidth weight)이며,
Figure 112018104154479-pat00032
이면,
Figure 112018104154479-pat00033
이며,
B는 토르 네트워크를 구성하는 노드 목록에서 노드들의 total bandwidth이며,
Figure 112018104154479-pat00034
는 토르 네트워크를 구성하는 노드 목록에서 금지지역의 total bandwidth이며,
(
Figure 112018104154479-pat00035
로서,
Figure 112018104154479-pat00036
는 금지지역 내 진출 노드들의 total bandwidth이며,
Figure 112018104154479-pat00037
는 금지지역 내 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00038
는 금지지역 내 진입 노드들의 total bandwidth임.)
Figure 112018104154479-pat00039
는 pure exit 노드들의 total bandwidth이며,
Figure 112018104154479-pat00040
는 금지지역 내 pure exit 노드들의 total bandwidth이며,
Figure 112018104154479-pat00041
는 토르 네트워크를 구성하는 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00042
는 금지지역 내 EE 노드들의 total bandwidth이며,
Figure 112018104154479-pat00043
는 스파이 진출 노드들의 개수이며,
Figure 112018104154479-pat00044
는 스파이 EE 노드들의 개수이며,
Figure 112018104154479-pat00045
는 각 스파이 노드에게 할당된 bandwidth임.)
이를 통해서, 하기의 수학식과 같이, 특정 노드들을 통해 상기 악의적 사용자를 탐지할 수 있는 확률을 결정할 수 있다.
Figure 112018104154479-pat00046
Figure 112018104154479-pat00047
(
Figure 112018104154479-pat00048
는 금지지역을 반영한 i번째 진출 노드의 bandwidth임.),
Figure 112018104154479-pat00049
Figure 112018104154479-pat00050
(
Figure 112018104154479-pat00051
는 금지지역을 반영한 i번째 진입 노드의 bandwidth임.)
이를 통해서, 하기의 수학식과 같이, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템을 통해서, 토르 네트워크로의 악의적 사용자가 탐지될 확률(end-to-end node selection probability)을 결정할 수 있다.
Figure 112018104154479-pat00052
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템에 의한 상기 악의적 사용자가 금지지역을 회피하면서 상기 네트워크 회선을 생성하더라도, 상기 스파이 노드들을 상기 금지지역을 제외한 나머지 지역에 배치함으로써 상기 네트워크 회선에 이용되는 노드들에 상기 스파이 노드가 포함되기 때문에 상기 악의적 사용자를 탐지할 수 있을 뿐 아니라, 실험 결과에 따라, 금지지역을 회피하면서 스파이 노드를 포함하여 상기 네트워크 회선을 생성할 경우, 금지지역을 고려하지 않을 때보다 높은 상기 악의적 사용자의 탐지 확률을 갖는 것이 당연하다.
도 5는 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법을 나타낸 순서도로 도 5를 참조로 하여 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법은 도 5에 도시된 바와 같이, 금지지역 설정단계(S100), 스파이 노드 추가단계(S200), 배치 단계(S300), 노드 선택단계(S400), 회선 생성단계(S500) 및 공격탐지단계(S600)를 포함하여 구성될 수 있다.
각 단계에 대해서 자세히 알아보자면,
상기 금지지역 설정단계(S100)는 상기 공격자 장치(20)에서, 다수의 노드들을 포함하여 구성되는 토르 네트워크의 내부에 금지지역을 설정할 수 있다.
상기 스파이 노드 추가단계(S200)는 상기 공격자 장치(20)에서, 상기 토르 네트워크를 구성하는 노드들에 미리 설정된 특정 대역폭을 갖는 다수의 스파이 노드를 추가할 수 있다.
상기 배치 단계(S300)는 상기 공격자 장치(20)에서, 상기 금지지역 설정단계(S100)에 의해 설정된 상기 금지지역을 제외한 나머지 지역에 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드들을 배치할 수 있다.
상기 노드 선택단계(S400)는 상기 사용자 장치(10)에서, 상기 디렉토리 서버(30)로부터 전달받은 상기 토르 네트워크를 구성하는 노드들의 관련정보들을 이용하여, 적어도 세 개의 노드를 선택할 수 있다.
특히, 상기 사용자 장치(10)는 제공받은 상기 노드들의 관련정보들 중 대역폭 정보를 이용하는 것이 바람직하다.
여기서, 세 개의 노드를 선택하는 것은 상기 토르 네트워크의 회선을 구성하는 기본 경로 길이가 세 개의 노드를 거쳐서 이루어지는 회선(circuit)로서, 진출(Exit) 노드, 진입(Entry) 노드와 중간(Medium) 노드 순서대로 선택하는 것이 바람직하다.
또한, 상기 사용자 장치(10)는 상기 네트워크 회선을 구성하기 위한 적어도 세 개의 노드를 선택함에 있어서, 네트워크 회선의 성능과 로드의 밸런싱을 고려하여 가중치 대역폭 라우팅 알고리즘(Weighted Band width Routing Algorithm)을 적용하여 가중치가 적용된 대역폭 정보에 의존하여 상기 노드들을 선택하는 것이 가장 바람직하다.
상기 회선 생성단계(S500)는 상기 사용자 장치(10)에서, 상기 노드 선택단계(S400)에 의해 상기 사용자들이 선택한 노드들을 이용하여 토르 네트워크의 내부 또는 외부에 위치하는 목적지까지의 네트워크 회선을 생성할 수 있다.
상기 공격탐지단계(S600)는 상기 공격자 장치(20)에서, 상기 회선 생성단계(S500)에 의해 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드일 경우, 상기 사용자 장치(10)의 탐지를 성공한 것으로 판단할 수 있다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법은, 상기 악의적 사용자가 금지지역을 회피하면서 상기 네트워크 회선을 생성하더라도, 상기 스파이 노드들을 상기 금지지역을 제외한 나머지 지역에 배치함으로써 상기 네트워크 회선에 이용되는 노드들에 상기 스파이 노드가 포함되기 때문에 상기 악의적 사용자를 탐지 확률을 높일 수 있다.
한편, 본 발명의 실시예에 따른 토르 네트워크에서의 악의적 사용자 탐지 방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
10 : 사용자 장치
20 : 공격자 장치
30 : 디렉토리 서버(DA, Directory Authorities Server)

Claims (7)

  1. 토르 네트워크를 사용하고자 하는 악의적 사용자가 토르 클라이언트 소프트웨어를 다운받아, 소지하고 있는 단말기를 포함하고 있는 사용자 장치(10);
    토르 네트워크를 단속하고자 하는 선의의 공격자가 소지하고 있는 단말기를 포함하며, 다수의 노드를 포함하여 구성되는 토르 네트워크 내부에 금지지역을 설정하고, 상기 토르 네트워크를 구성하는 노드들에 기설정된 특정 대역폭을 갖는 다수의 스파이 노드들을 추가하는 공격자 장치(20); 및
    상기 사용자 장치(10)로 상기 토르 네트워크를 구성하는 노드들(OR, Onion Routers)의 관련 정보들을 제공하는 디렉토리 서버(DA, Directory Authorities Server)(30);
    를 포함하며,
    상기 공격자 장치(20)는
    상기 토르 네트워크 내부의 설정된 상기 금지지역을 제외한 나머지 지역에 추가한 상기 스파이 노드들을 배치하되,
    상기 사용자 장치(10)는
    상기 디렉토리 서버(30)로부터 제공받은 상기 정보들 중 상기 노드들의 대역폭 정보를 이용하여 적어도 세 개의 노드를 선택하고, 선택한 노드들을 이용하여 상기 토르 네트워크의 내부 또는 외부에 위치하는 목적지까지의 네트워크 회선을 생성하며,
    상기 공격자 장치(20)는
    상기 사용자 장치(10)에서 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 추가한 상기 스파이 노드일 경우, 상기 사용자 장치(10)의 탐지를 성공한 것으로 판단하는 것을 특징으로 하는 토르 네트워크에서의 악의적 사용자 탐지 시스템.
  2. 삭제
  3. 삭제
  4. 제 1항에 있어서,
    상기 사용자 장치(10)는
    상기 네트워크 회선의 생성을 위해 다수의 노드 선택시, 상기 스파이 노드가 갖는 특정 대역폭에 의해 상기 스파이 노드들 중 적어도 하나를 진입 노드 또는 진출 노드로 선택하는 것을 특징으로 하는 토르 네트워크에서의 악의적 사용자 탐지 시스템.
  5. 공격자 장치에서, 다수의 노드들(OR, Onion Routers)을 포함하여 구성되는 토르 네트워크 내부에 금지지역을 설정하는 금지지역 설정단계(S100);
    공격자 장치에서, 상기 토르 네트워크를 구성하는 노드들에 기설정된 특정 대역폭을 갖는 다수의 스파이 노드들을 추가하는 스파이 노드 추가단계(S200);
    공격자 장치에서, 상기 금지지역 설정단계(S100)에 의해 설정된 상기 금지지역을 제외한 나머지 지역에 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드들을 배치하는 배치단계(S300);
    사용자 장치에서, 디렉토리 서버(DA, Directory Authorities Server)로부터 전달받은 상기 토르 네트워크를 구성하는 노드들의 관련 정보들을 이용하여, 적어도 세 개의 노드를 선택하는 노드 선택단계(S400);
    사용자 장치에서, 상기 노드 선택단계(S400)에 의해 선택한 노드들을 이용하여 토르 네트워크의 내부 또는 외부에 위치하는 목적지까지의 네트워크 회선을 생성하는 회선 생성단계(S500); 및
    공격자 장치에서, 상기 회선 생성단계(S500)에 의해 생성한 상기 네트워크 회선에서 선택한 진입 노드 또는 진출 노드가 상기 스파이 노드 추가단계(S200)에 의해 추가한 상기 스파이 노드일 경우, 상기 사용자 장치의 탐지를 성공한 것으로 판단하는 탐지단계(S600);
    로 이루어지는 것을 특징으로 토르 네트워크에서의 악의적 사용자 탐지 방법.
  6. 제 5항에 있어서,
    상기 노드 선택단계(S400)는
    상기 디렉토리 서버로부터 전달받은 상기 토르 네트워크를 구성하는 노드들의 관련 정보들 중 대역폭 정보를 이용하여 다수의 노드를 선택하는 것을 특징으로 하는 토르 네트워크에서의 악의적 사용자 탐지 방법.
  7. 제 5항에 있어서,
    상기 노드 선택단계(S400)는
    사용자 장치에서, 다수의 노드 선택 시, 상기 스파이 노드가 갖는 특정 대역폭에 의해, 상기 스파이 노드들 중 적어도 하나를 진입 노드 또는 진출 노드로 선택하는 것을 특징으로 하는 토르 네트워크에서의 악의적 사용자 탐지 방법.
KR1020180126168A 2018-10-22 2018-10-22 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법 KR101966366B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180126168A KR101966366B1 (ko) 2018-10-22 2018-10-22 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180126168A KR101966366B1 (ko) 2018-10-22 2018-10-22 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101966366B1 true KR101966366B1 (ko) 2019-08-13

Family

ID=67624496

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180126168A KR101966366B1 (ko) 2018-10-22 2018-10-22 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101966366B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102058683B1 (ko) * 2019-09-05 2019-12-23 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Aaron Johnson et al., "PeerFlow: Secure Load Balancing in Tor", Proceedings on Privacy Enhancing Technologies (2017.04.) *
TAMER SAMEE, "OPEN SOURCE INTELLIGENCE OSINT AND THE DARK WEB", URL: https://www.deepdotweb.com/2017/02/02/open-source-intelligence-osint-and-the-dark-web/ (2017.02.02) *
한국정보보호학회 정보보호학회논문지 2016년 26권, 3호 667-678 ("대용량 네트워크 환경에서 익명 네트워크 탐지 및 효과적 대응전략에 관한 연구")

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102058683B1 (ko) * 2019-09-05 2019-12-23 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치
WO2021045331A1 (ko) * 2019-09-05 2021-03-11 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치

Similar Documents

Publication Publication Date Title
Vormayr et al. Botnet communication patterns
Dingledine et al. Design of a blocking-resistant anonymity system
Khattak et al. SOK: Making sense of censorship resistance systems
Ling et al. Torward: Discovery, blocking, and traceback of malicious traffic over tor
Ling et al. Protocol-level hidden server discovery
Casenove et al. Botnet over Tor: The illusion of hiding
Cambiaso et al. Darknet Security: A Categorization of Attacks to the Tor Network.
Iacovazzi et al. The {DUSTER} attack: Tor onion service attribution based on flow watermarking with track hiding
Anagnostopoulos et al. Botnet command and control architectures revisited: Tor hidden services and fluxing
Haughey et al. Adaptive traffic fingerprinting for darknet threat intelligence
Kaur et al. Countermeasures for covert channel-internal control protocols
KR101966366B1 (ko) 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법
Zave et al. Patterns and interactions in network security
Sulaiman et al. Attacking tor through unpopular ports
Kaur et al. Covert channel‐internal control protocols: attacks and defense
Ameyed et al. A slow read attack using cloud
Elahi et al. Slipping past the cordon: A systematization of Internet censorship resistance
Grahn et al. Anonymous communication on the internet
Salo Recent attacks on Tor
Joshi et al. Internet of Things (IoT)-based distributed denial of service (DDoS) attack using COOJA network simulator
Mónica et al. Leveraging Honest Users: Stealth {Command-and-Control} of Botnets
Chen et al. Narrowing Down the Secrets of the Internet-A Review of Privacy Leakages and Prevention Methods
Ahmad et al. A New Look at the Tor Anonymous Communication System
Mitakidis et al. SnoopyBot: An Android spyware to bridge the mixes in Tor
Chen Infrastructure-based anonymous communication protocols in future internet architectures