KR20010105490A - Hacking detection and chase system - Google Patents

Hacking detection and chase system Download PDF

Info

Publication number
KR20010105490A
KR20010105490A KR1020000025007A KR20000025007A KR20010105490A KR 20010105490 A KR20010105490 A KR 20010105490A KR 1020000025007 A KR1020000025007 A KR 1020000025007A KR 20000025007 A KR20000025007 A KR 20000025007A KR 20010105490 A KR20010105490 A KR 20010105490A
Authority
KR
South Korea
Prior art keywords
hacker
hacking
server
information
real time
Prior art date
Application number
KR1020000025007A
Other languages
Korean (ko)
Inventor
하재호
Original Assignee
이영아
주식회사 컨텐츠코리아
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이영아, 주식회사 컨텐츠코리아 filed Critical 이영아
Priority to KR1020000025007A priority Critical patent/KR20010105490A/en
Publication of KR20010105490A publication Critical patent/KR20010105490A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

본 발명의 해커감지 및 추적시스템은 네트웍의 Netbios의 함수를 이용하여 접속한 외부시스템 자체의 모든 정보를 저장하여, 접속한 외부시스템이 접속시마다 IP주소가 바뀌는 PPP사용자이거나 제 3의 시스템을 경유하여 접속하는 경우에도 과거 해킹을 시도했었던 또는 해킹을 하였었던 시스템인지를 용이하게 감지하고 추적할 수 있다. 또한, 해킹관련방법들을 저장하여 실시간으로 접속한 외부시스템의 접속형태 및 접속 후 활동등을 비교·검색하여 실시간으로 해킹시도여부를 탐지하고, 해킹발생시 해킹발생사실과 해당 해커시스템의 정보를 실시간으로 해커 검거기관에 통보함으로써 해커의 신속한 검거가 용이하다. 더욱이, 한번 해킹에 사용되었던 시스템들은 모두 그 정보가 등록되어 공유됨으로서 해킹에 대한 시도를 원천적으로 봉쇄할 수 있는 효과가 있다.The hacker detection and tracking system of the present invention stores all the information of the connected external system itself using a function of Netbios of the network, so that the connected external system is a PPP user whose IP address changes every time the connection is made or via a third system. Even when connected, it is easy to detect and track whether the system has been hacked or hacked in the past. In addition, it saves hacking methods and compares and searches the connection type of the external system connected in real time and the activity after connecting to detect the hacking attempt in real time. It is easy to promptly detect a hacker by notifying the hacker arrest agency. Moreover, all the systems once used for hacking have the effect that the information is registered and shared so that the attempted hacking can be blocked.

Description

해커감지 및 추적시스템{Hacking detection and chase system}Hacker detection and chase system

본 발명은 해커감시 및 추적시스템에 관한 것으로, 보다 상세하게는 윈도우즈 운영체제기반의 시스템을 이요한 해커가 해킹을 시도하는 경우 이를 감시하고 역 추적할 수 있는 시스템에 관한 것이다.The present invention relates to a hacker monitoring and tracking system, and more particularly, to a system capable of monitoring and backtracking a hacker who attempts a hack using a Windows operating system-based system.

최근 들어 대학이나 기업체 등의 컴퓨터시스템에 대한 해킹건수가 급증하고있으며 그 피해의 심각성도 갈수록 높아지고 있다.In recent years, the number of hacking on computer systems such as universities and corporations is increasing rapidly, and the severity of the damage is increasing.

해킹의 피해정도도 갈수록 심각해져 스팸메일 발송 또는 서비스거부 등 `보통'수준의 해킹과 불법침입시도 등 `단순'해킹을 넘어서 시스템관리자의 권한을 도용하거나 시스템파괴, 데이터삭제 등 `심각'한 수준의 피해도 늘어나고 있다.The damage of hacking is getting worse and worse than 'normal' hacking such as spam mail or denial of service, and illegal intrusion attempts. The damage is also increasing.

또한, 현재 전세계 개인 컴퓨터들의 대부분은 윈도우즈를 운영체제로 하여 사용되고 있으며, 이러한 윈도우즈를 기반으로 하는 해킹도 많이 증가하고 있으며, 그 피해도 시스템 파괴, 응용프로그램 및 시스템 서비스 거부, 사용자 ID 및 비밀번호 유출·도용, 문서 유출 등 매우 다양하다.In addition, most of the world's personal computers are currently using Windows as an operating system, and many of these Windows-based hacks are increasing. The damage is also caused by system destruction, application and system denial of service, user ID and password leakage and theft. And document leakage.

특히, 개인의 ID와 비밀번호를 빼내어 이를 도용하는 경우가 가장 흔하다.In particular, it is most common to steal an individual's ID and password and steal it.

이러한 해킹을 방지하기 위한 방법으로, 패스워드, 사용자인증시스템, 접속자를 필터링하는 방화벽 설치, 해킹 프로그램을 발견할 수 있는 해킹탐지시스템 및 특정 해킹방지프로그램 설치등이 사용되고 있으나 아직 특별한 해결책이 마련되어있지 않은 실정이다.In order to prevent such hacking, a password, a user authentication system, a firewall for filtering accessors, a hacking detection system for detecting a hacking program, and a specific hacking prevention program are used, but there are no special solutions yet. to be.

그러나, 이러한 해킹방지를 위한 방법들은 단지 해킹을 탐지하고 이를 차단하기 위한 것이다.However, these hacking prevention methods are only for detecting hacking and blocking it.

또한, 공격자를 추적하는 경우에도 공격자가 고정IP주소를 가지는 경우 공격자의 IP주소를 검색하여 해당 IP주소가 할당된 시스템을 바로 추적할 수 있으나, 전화접속(PPP)과 같이 공격자가 동적IP주소를 사용하는 경우에는 공격자에 대한 적절한 대응이 이루어지는데 많은 어려움이 있다.In addition, even when tracking an attacker, if the attacker has a fixed IP address, the attacker can search the attacker's IP address and immediately follow the system assigned to the IP address. In the case of use, there are many difficulties in proper response to attackers.

따라서, 본 발명의 목적은 해킹에 사용된 시스템에 대한 모든 정보를 입수하고 이를 분류·저장하여 공유함으로써 해당 시스템으로 다시 해킹을 시도할 시 이를 바로 탐지하고 추적할 수 있는 시스템을 제공하는데 있다.Accordingly, an object of the present invention is to provide a system that can immediately detect and track when attempting to hack into the system by obtaining all information about the system used for hacking, classifying, storing, and sharing the information.

도 1은 본 발명이 적용된 해커감지 및 추적시스템의 구성도.1 is a block diagram of a hacker detection and tracking system to which the present invention is applied.

도 2는 해커가 해킹을 위해 본 발명이 적용된 시스템에 접속했을 시 대응하는 과정을 나타내는 순서도.Figure 2 is a flow chart showing a process corresponding to when a hacker connected to the system to which the present invention is applied for hacking.

* 도면의 주요부분에 대한 부호의 설명* Explanation of symbols for main parts of the drawings

10 : 네트웍서버 11 : 웹서버10: network server 11: web server

12 : CGI서버 13 : 해커감지서버12: CGI Server 13: Hacker Detection Server

14 : 모니터링서버 15 : CGI경고서버14: monitoring server 15: CGI alert server

16 : 제 1데이터베이스 17 : 제 2데이터베이스16: first database 17: second database

18 : 제 3데이터베이스18: third database

이와 같은 목적을 달성하기 위한 본 발명의 해커탐지 및 추적시스템은 외부시스템들과 네트웍을 통해 연결될 수 있도록 하며, 접속한 외부시스템들의 정보를 추출하여 저장하고, 해커로 판별된 시스템을 실시간으로 추적하는 네트웍서버, 네트웍을 통해 접속한 외부시스템들에게 웹상에서 데이터를 전송하여 주는 웹서버, 상기 네트웍서버를 통해 접속한 시스템의 접속형태와 접속 후 활동을 실시간으로 탐색하는 CGI서버, 상기 CGI서버의 감지결과를 이용해 접속한 외부시스템이 해킹을 시도하는지를 판별하여, 해킹을 시도한 외부시스템의 모든 정보를 기록하는 해커감지서버, 상기 네트웍서버에 접속한 외부시스템이 과거에 해킹에 사용되었던 시스템인지를 실시간으로 검색하고, 해커로 판정된 시스템의 추적을 지시하는 모니터링서버, 해킹의 발생사실 및 해커 시스템에 대한 정보를 실시간으로 해당 기관에 통보하는 CGI경고서버 및 접속한 외부시스템의 시스템정보, 해킹관련방법들 및 해커로 판별된 시스템의 모든 정보를 저장하는 데이터베이스를 포함한다.Hacker detection and tracking system of the present invention to achieve the above object is to be connected to the external systems and the network, to extract and store the information of the connected external systems, and to track the system determined as a hacker in real time A network server, a web server that transmits data on the web to external systems connected through a network, a CGI server that detects the connection type of the system connected through the network server and the activity after the connection in real time, and detecting the CGI server. Use the result to determine whether the connected external system attempts hacking, and to detect in real time whether the hacker detection server records all information of the external system that attempted hacking, and whether the external system connected to the network server has been used for hacking in the past. Monitoring server that instructs search and traces the system determined as hacker, hack occurrence It includes a CGI warning server that notifies the relevant organizations of the facts and information about the hacker system in real time, a system storing system information of the connected external system, hacking related methods, and all information of the system identified as hackers.

이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.

도 1은 본 발명이 적용된 해커감지 및 추적시스템의 구성도이다.1 is a block diagram of a hacker detection and tracking system to which the present invention is applied.

네트웍서버(10)는 외부시스템과 네트웍을 통해 연결되도록 해주며 네트웍의 Netbios의 함수를 이용하여 접속한 외부시스템의 모든 정보를 추출하여 기록한다.The network server 10 allows the external system and the network to be connected and extracts and records all information of the connected external system using a function of Netbios of the network.

그리고, 해커로 판별된 시스템과의 접속을 차단하며, 해당 시스템을 실시간으로 추적한다.In addition, the system blocks the connection with the system identified as the hacker and tracks the system in real time.

웹서버(11)는 네트웍서버(10)를 통해 접속한 복수의 외부 시스템에게 웹상에서 데이터를 전송하여 준다.The web server 11 transmits data on the web to a plurality of external systems connected through the network server 10.

CGI서버(12)는 네트웍서버(10)를 통해 접속한 외부 시스템의 접속형태 및 접속 후 활동등을 감지한다.The CGI server 12 detects a connection type and post-connection activity of an external system connected through the network server 10.

해커감지서버(13)는 CGI서버의 감지결과와 기 저장된 해킹관련방법들을 비교·검색하여 접속한 외부시스템이 해킹을 하려는 것인지 아닌지를 판별하며, 해킹을 하려는 경우 해당 시스템의 모든 상황을 기록한다.The hacker detection server 13 compares and detects the detection result of the CGI server with previously stored hacking methods to determine whether the connected external system attempts to hack, and records all situations of the corresponding system when hacking is performed.

그러므로 이러한 해킹관련방법은 가능한 모든 해킹방법 및 해킹유형 등을 수집·분석하여 저장해 놓는 것이 바람직하다.Therefore, it is desirable to collect, analyze and store all possible hacking methods and hacking types.

모니터링서버(14)는 네트웍서버(10)에 접속한 외부시스템이 과거에 해킹에 사용된 시스템인지를 검색하고, 해커로 판정된 시스템을 추적하기 위해 네트웍서버(10)에게 해커 추적명령을 내리고, 그 추적상황을 지속적으로 모니터링한다.The monitoring server 14 searches whether the external system connected to the network server 10 is a system used for hacking in the past, and issues a hacker tracking command to the network server 10 to track a system determined as a hacker. The tracking status is continuously monitored.

CGI경고서버(15)는 해킹의 발생 및 해커 시스템 추적에 의해 알아낸 해커 시스템의 위치 등 관련정보를 해커검거를 위한 기관에 실시간으로 통보하고 이러한 해커에 대한 정보를 공유하기 위해 다른 시스템들에게 전송해준다.The CGI alert server 15 notifies related organizations such as the occurrence of hacking and the location of the hacker system detected by the hacker system tracking to the institutions for hacker detection in real time, and transmits the information to other systems to share information about the hacker. Do it.

그리고, 데이터베이스(16, 17 및 18)는 네트웍서버(10)로 접속한 외부 시스템에 대한 정보 및 웹서버(11)가 외부 시스템에 제공해 줄 콘텐츠를 저장하는 제 1데이터베이스(16), 접속한 시스템이 해킹을 시도하는지 알기위한 여러가지 해킹관련방법들과 이전에 해킹을 시도했었던 시스템인지를 알기 위한 해커 시스템들의 리스트를 저장하는 제 2데이터베이스(17) 및 접속한 외부시스템이 해킹을 시도하려는 것으로 판별시 해당 시스템의 시스템정보 및 활동정보를 저장하는 제 3데이터베이스(18)를 포함한다.The databases 16, 17, and 18 are the first database 16, which stores information about the external system connected to the network server 10 and the content that the web server 11 provides to the external system, the connected system. When determining that the second database 17 and the connected external system attempt to hack, various hacking related methods to find out whether this hack is attempted, and a list of hacker systems to see if the system has been hacked before. And a third database 18 for storing system information and activity information of the corresponding system.

물론, 이러한 데이터베이스들(16, 17 및 18)은 하나의 데이터베이스로 통합사용될 수 있다.Of course, these databases 16, 17 and 18 can be integrated into one database.

도 2는 해커가 해킹을 위해 본 발명이 적용된 시스템에 접속했을 시 대응하는 과정을 나타내는 순서도이다.Figure 2 is a flow chart showing the corresponding process when a hacker connected to the system to which the present invention is applied for hacking.

외부시스템이 네트웍을 통해 본 발명이 적용된 시스템의 네트웍서버(10)에 접속한다(단계 201).The external system connects to the network server 10 of the system to which the present invention is applied via the network (step 201).

이때, 네트웍서버(10)는 네트웍의 Netbios의 함수를 이용해 접속한 외부시스템의 모든 정보를 읽어들여 이를 제 1데이터베이스(16)에 저장한다.At this time, the network server 10 reads all the information of the connected external system using a function of Netbios of the network and stores it in the first database 16.

Netbios는 네트웍 서비스에 접근하기 위한 인터페이스 규정으로 LAN상에서의 Netbios는 자신만의 고유한 이름을 사용한다. 즉, 각각의 단말은 고유한 이름을 가지고 서로간에 통신한다.Netbios is an interface specification for accessing network services. Netbios on a LAN uses its own unique name. That is, each terminal has a unique name to communicate with each other.

윈도우 NT, 윈도우 95 및 98 등 윈도우기반의 컴퓨터들은 고유한 Netbios 이름을 가지고 있어 단순히 IP주소가 아니라 해당 시스템자체의 모든 정보를 추출하여 기록한다.Windows-based computers, such as Windows NT, Windows 95, and 98, have unique Netbios names that extract and record all information about the system itself, not just its IP address.

모니터링서버(14)는 네트웍서버(10)가 읽어들인 정보를 이용해 이를 제 3데이터베이스(18)에 기 등록된 해커시스템들과 비교하여 접속한 시스템이 과거에 해킹에 사용된 시스템인지 아닌지를 검색한다(단계 202).The monitoring server 14 compares the information obtained by the network server 10 with the hacker systems registered in the third database 18 and searches whether the connected system is a system used for hacking in the past. (Step 202).

접속한 외부시스템이 PPP사용자이거나 제 3의 시스템을 경유하여 이전과 다른 IP주소로 접속을 시도하더라도 네트웍서버(10)가 추출하는 정보는 상술한 바와같이 해당 시스템자체의 정보이고 이러한 정보가 등록되어 비교되므로 동일한 시스템을 사용하여 접속을 시도하는 경우 해커시스템들을 용이하게 비교·검색할 수 있다.Even if the connected external system is a PPP user or attempts to connect to a different IP address via a third system, the information extracted by the network server 10 is the information of the corresponding system as described above, and such information is registered. Because of the comparison, hackers can easily compare and search hacker systems when attempting to connect using the same system.

이러한 해커시스템에 대한 정보는 해킹을 하였거나 해킹을 시도했었던 모든 시스템들이 등록되며, 새로이 해킹을 시도하거나 해킹하는 모든 시스템들에 대한 정보가 지속적으로 추가되어 업데이트된다.Information about such a hacker system is registered with all systems that have hacked or attempted to hack, and information about all systems that attempt to hack or hack newly is continuously added and updated.

또한, 이러한 정보는 본 발명이 적용된 다른 시스템들과 상호 주기적으로 교환되어 공유된다.In addition, this information is interchanged and shared with other systems to which the present invention is applied.

단계 202의 검색결과 현재 접속한 시스템이 기 등록된 해커시스템들 중 하나이면, 모니터링서버(14)는 네트웍서버(10)에게 해당 시스템의 접속을 차단하고 해당 시스템의 위치를 추적하도록 명령을 전송한다(단계 203).If the currently connected system is one of the pre-registered hacker systems, the monitoring server 14 transmits a command to the network server 10 to block the access of the system and track the location of the system. (Step 203).

모니터링서버(14)는 해커시스템의 추적과 동시에 CGI경고서버(15)로 해킹발생을 경찰 등 관계기관에 알리도록 신호를 보낸다.The monitoring server 14 sends a signal to notify the relevant authorities such as the police hacking occurrence to the CGI warning server 15 at the same time tracking the hacker system.

CGI경고서버(15)는 모니터링서버(14)로부터 신호를 전송받으면, 경찰 등 해커검거를 위한 관계기관에 실시간으로 해킹발생사실 및 해커시스템의 위치 등 관련정보를 전송(단계 204)하여 해당 기관이 해커를 신속하고 용이하게 검거할 수 있도록 한다(단계 205).When the CGI warning server 15 receives a signal from the monitoring server 14, the relevant information such as the fact of the hacking occurrence and the location of the hacker system is transmitted to the authorities for the hacker arrest in real time (step 204). The hacker can be arrested quickly and easily (step 205).

단계 202에서, 검색결과 접속한 시스템이 기 등록된 해커시스템에 해당되지 않은 경우, CGI서버(12)는 해당 시스템의 접속형태 및 접속 후 활동(이동경로)을 실시간으로 지속적으로 탐색한다.In step 202, if the connected system does not correspond to the registered hacker system, the CGI server 12 continuously searches in real time the connection type and post-connection activity (movement path) of the system.

해커감지서버(13)는 CGI서버(12)의 탐색결과를 이용해 접속한 외부시스템의 해킹시도여부를 감지·판별한다(단계 206).The hacker detection server 13 detects and discriminates whether a hacking attempt of the connected external system is attempted using the search result of the CGI server 12 (step 206).

이러한 방법으로 제 2데이터베이스(17)에 해킹에 사용되는 모든 해킹방법을 등록해 두고, 외부시스템의 접속방법을 기 제 2데이터베이스(17)에 저장해둔 해킹방법들과 비교하여 기 저장된 해킹방법 중 어느 한 방법으로 접속을 시도하는지 여부를 감지한다. 그러므로 해커들의 해킹방법들을 연구하여 보다 많은 해킹가능방법들을 저장해 두는것이 중요한 요소중 하나이다.In this way, all the hacking methods used for hacking are registered in the second database 17, and the connection method of the external system is compared with the hacking methods stored in the second database 17. Detect whether a connection is attempted in one way. Therefore, it is important to study hacking methods of hackers and store more hackable methods.

또한, 합법적인 절차 즉, 외부 시스템이 네트웍서버(10)를 통해 웹서버(11)에 접속하여 콘텐츠를 요청하고, 웹서버(11)가 제 1데이터베이스(16)에 저장된 콘텐츠를 네트웍서버(10)를 통해 해당 외부시스템에 전송하여 주는 절차를 거치지 않고 다른 경로로 접속을 시도하는 경우에도 이를 해킹시도로 판단할 수 있다.In addition, a legal procedure, that is, an external system accesses the web server 11 through the network server 10 to request content, and the web server 11 transmits the content stored in the first database 16 to the network server 10. It can also be determined as a hacking attempt even if a user attempts to connect to a different path without going through the process of transmitting to the external system.

접속한 외부시스템이 합법적인 절차(경로)를 거치는 경우에 웹서버(11)는 해당 시스템이 요청한 콘텐츠를 제공하여 정상적인 서비스가 이루어지도록 한다(단계 207).When the connected external system goes through a legal process (path), the web server 11 provides the content requested by the system to allow normal service to be performed (step 207).

그러나, 외부시스템이 등록된 해킹방법 중 어느 한 방법을 이용하거나 합법적인 절차를 거치지 않는 경우, 해커감지서버(13)는 해당 외부시스템에 별도의 ID를 생성·부여한 후 제 1데이터베이스(16) 및 제 2데이터베이스(17)에 저장된 해당 시스템의 모든 정보를 제 3데이터베이스(18)에 저장한다(단계 208).However, if the external system does not use any of the registered hacking methods or go through a legal procedure, the hacker detection server 13 generates and assigns a separate ID to the external system, and then the first database 16 and All information of the corresponding system stored in the second database 17 is stored in the third database 18 (step 208).

즉, 제 3데이터베이스(18)는 이렇게 해킹에 이용된 시스템들의 정보만을 별도로 저장·관리하게 되며, 이렇게 등록된 정보는 단계 202에서 모니터링서버(14)가 해커시스템을 검색하는데 사용되는 해커시스템 정보가 된다.That is, the third database 18 stores and manages only the information of the systems used for hacking separately, and the registered information includes the hacker system information used for the monitoring server 14 to search for the hacker system in step 202. do.

더욱이, 이러한 정보는 본 발명이 적용된 시스템들간에 상호 주기적으로 교환되어 공유되므로, 한번 해킹에 사용된 시스템들은 본 발명이 적용된 모든 시스템들의 감시의 대상이된다.Moreover, since such information is periodically exchanged and shared among the systems to which the present invention is applied, the systems used for hacking once are subject to monitoring of all the systems to which the present invention is applied.

그러므로, 해킹에 사용된 시스템들은 원천적으로 접속이 봉쇄되며 접속시도와 동시에 추적의 대상이 된다.Therefore, the systems used for hacking are inherently blocked from connection and subject to tracking at the same time as connection attempt.

해킹시스템에 대한 정보가 제 3데이터베이스(18)에 저장됨과 동시에 단계 203에서와 같이 해당 시스템을 추적하게 되며 이후의 과정은 상술된 과정(단계 203 ~ 단계 205)과 같다.The information about the hacking system is stored in the third database 18 and the corresponding system is tracked as in step 203. The subsequent steps are the same as those described above (steps 203 to 205).

상술된 경우 이외에도, 본 발명이 적용된 시스템은 ID도용에 대해서 능동적인 대응이 가능하다.In addition to the above-described cases, the system to which the present invention is applied can actively respond to ID theft.

즉, 회원에게 ID를 부여해주면서 회원이 주로 사용하는 컴퓨터들에 대한 정보를 미리 등록하여, 접속시 사용된 ID가 기 등록된 회원의 컴퓨터가 사용한 것인지 등록되지 않은 다른 컴퓨터에서 사용된 것인지를 검색하여 ID의 도용여부를 판별할 수 있다.In other words, by giving the member an ID and pre-registering the information about the computers that the member mainly uses, and searching whether the ID used in the connection is used by the registered member's computer or other unregistered computer. It is possible to determine whether the ID is stolen.

또는, 시스템 운영자가 각 회원에게 컴퓨터 설치위치, 접속일자 및 접속시간과 같이 회원의 ID가 사용된 컴퓨터들에 대한 정보를 제공해주어 회원이 아닌 다른 사람에 의해 ID가 사용되었는지 여부를 판별한다.Alternatively, the system operator provides each member with information about computers in which the member's ID is used, such as a computer installation location, access date, and access time, to determine whether the ID is used by someone other than the member.

회원의 ID가 도용된 ID로 등록되면, 도용된 ID로 접속하는 시스템이 있을 경우 이를 추적한다.When a member's ID is registered as a stolen ID, the system tracks if there is a system accessing the stolen ID.

상술한 바와같이, 본 발명의 해커감지 및 추적시스템은 접속한 외부시스템 자체의 정보를 추출·저장하므로 해커시스템이 접속시마다 IP주소가 바뀌는 PPP사용자이거나 제 3의 시스템을 경유하여 접속하는 경우에도 과거 해킹을 시도했었던 또는 해킹을 하였었던 시스템인지를 용이하게 감지하고 추적할 수 있다.As described above, the hacker detection and tracking system of the present invention extracts and stores the information of the connected external system itself, so that even if the hacker system is connected to a PPP user whose IP address changes every time, or connected through a third system, It is easy to detect and track whether a system has been hacked or hacked.

또한, 해킹발생시 해킹발생사실과 해당 해커시스템의 정보를 실시간으로 해커 검거기관에 통보함으로써 해커의 신속한 검거가 용이하다.In addition, when hacking occurs, it is easy to promptly detect a hacker by notifying the hacker arrest agency of the hacking occurrence facts and the information of the hacker system in real time.

더욱이, 한번 해킹에 사용되었던 시스템들은 모두 그 정보가 등록되어 공유됨으로서 해킹에 대한 시도를 원천적으로 봉쇄할 수 있는 효과가 있다.Moreover, all the systems once used for hacking have the effect that the information is registered and shared so that the attempted hacking can be blocked.

Claims (4)

해커감지 및 추적을 위한 시스템에 있어서,In the system for hacker detection and tracking, 외부시스템들과 네트웍을 통해 연결될 수 있도록 하며, 접속한 외부시스템들의 정보를 추출하여 저장하고, 해커로 판별된 시스템을 실시간으로 추적하는 네트웍서버;A network server for connecting to external systems and a network, extracting and storing information of connected external systems, and tracking a system identified as a hacker in real time; 네트웍을 통해 접속한 외부시스템들에게 웹상에서 데이터를 전송하여 주는 웹서버;A web server for transmitting data on the web to external systems connected through a network; 상기 네트웍서버를 통해 접속한 시스템의 접속형태와 접속 후 활동을 실시간으로 탐색하는 CGI서버;A CGI server for searching the connection type of the system connected through the network server and the activity after the connection in real time; 상기 CGI서버의 탐색결과를 이용해 접속한 외부시스템이 해킹을 시도하는지를 판별하여, 해킹을 시도한 외부시스템의 모든 정보를 기록하는 해커감지서버;A hacker detection server that determines whether a connected external system attempts hacking using the search result of the CGI server, and records all information of the external system that attempted hacking; 상기 네트웍서버에 접속한 외부시스템이 과거에 해킹에 사용되었던 시스템인지를 실시간으로 검색하고, 해커로 판정된 시스템의 추적을 지시하는 모니터링서버;A monitoring server for searching in real time whether an external system connected to the network server has been used for hacking in real time, and instructing tracking of a system determined to be a hacker; 해킹의 발생사실 및 해커 시스템에 대한 정보를 실시간으로 해당 기관에 통보하는 CGI경고서버; 및CGI alert server that notifies the relevant organizations in real time of the fact of the hacking and information about the hacker system; And 접속한 외부시스템의 시스템정보, 해킹관련방법들 및 해커로 판별된 시스템의 모든 정보를 저장하는 데이터베이스를 포함하는 해커감지 및 추적시스템.Hacker detection and tracking system including a database that stores the system information of the connected external system, hacking related methods and all information of the system identified as a hacker. 제 1항에 있어서, 상기 네트웍서버는 네트웍의 Netbios의 함수를 이용하여 상기 접속한 외부시스템의 모든 정보를 추출해내는 것을 특징으로 하는 해커감지 및 추적시스템.The hacker detection and tracking system according to claim 1, wherein the network server extracts all information of the connected external system using a function of Netbios of a network. 제 1항에 있어서, 상기 해커감지서버는 상기 CGI서버의 감지결과와 기 저장된 해킹관련방법들을 실시간으로 검색·비교하여 해킹의 시도를 판별하는 것을 특징으로 하는 해커감지 및 추적시스템.The hacker detection and tracking system of claim 1, wherein the hacker detection server determines a hacking attempt by searching and comparing the detection result of the CGI server with previously stored hacking related methods in real time. 제 1항에 있어서, 상기 해커로 판별된 시스템들에 대한 정보는 타 시스템들간에 상호 주기적으로 교환되어 공유되는 것을 특징으로 하는 해커감지 및 추적시스템.The hacker detection and tracking system according to claim 1, wherein the information on the systems determined as hackers is exchanged and shared periodically between other systems.
KR1020000025007A 2000-05-10 2000-05-10 Hacking detection and chase system KR20010105490A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000025007A KR20010105490A (en) 2000-05-10 2000-05-10 Hacking detection and chase system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000025007A KR20010105490A (en) 2000-05-10 2000-05-10 Hacking detection and chase system

Publications (1)

Publication Number Publication Date
KR20010105490A true KR20010105490A (en) 2001-11-29

Family

ID=45814724

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000025007A KR20010105490A (en) 2000-05-10 2000-05-10 Hacking detection and chase system

Country Status (1)

Country Link
KR (1) KR20010105490A (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20030033713A (en) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 Method for automatic setting of defence and attack mode to be with the intrusion hacker and system thereof
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method
KR100426317B1 (en) * 2002-09-06 2004-04-06 한국전자통신연구원 System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
KR100432168B1 (en) * 2001-12-27 2004-05-17 한국전자통신연구원 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100523980B1 (en) * 2002-12-10 2005-10-26 한국전자통신연구원 Watermark creation/insertion apparatus and method in reply packet for tracebacking the attacks with a connection
KR100560166B1 (en) * 2001-12-05 2006-03-13 한국전자통신연구원 Method for detecting hacking of realtime buffer overflow
KR100578506B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection Method for Inferring Risk Level
WO2008134184A1 (en) * 2007-04-25 2008-11-06 Yahoo! Inc. System for scoring click traffic
US7954158B2 (en) 2006-12-19 2011-05-31 International Business Machines Corporation Characterizing computer attackers

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980024526A (en) * 1996-09-24 1998-07-06 최승렬 Information Security System and Method for Tracking Information Leakage
WO2000005852A1 (en) * 1998-07-21 2000-02-03 Raytheon Company Information security analysis system
WO2000007312A1 (en) * 1998-07-31 2000-02-10 Gte Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR200188478Y1 (en) * 1999-12-18 2000-07-15 이상천 Hardware firewall system for protecting network elements in data communication network
KR200201184Y1 (en) * 2000-05-29 2000-11-01 주식회사퓨쳐시스템 Network system with networking monitoring function
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980024526A (en) * 1996-09-24 1998-07-06 최승렬 Information Security System and Method for Tracking Information Leakage
WO2000005852A1 (en) * 1998-07-21 2000-02-03 Raytheon Company Information security analysis system
WO2000007312A1 (en) * 1998-07-31 2000-02-10 Gte Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR200188478Y1 (en) * 1999-12-18 2000-07-15 이상천 Hardware firewall system for protecting network elements in data communication network
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion
KR200201184Y1 (en) * 2000-05-29 2000-11-01 주식회사퓨쳐시스템 Network system with networking monitoring function

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20030033713A (en) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 Method for automatic setting of defence and attack mode to be with the intrusion hacker and system thereof
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100560166B1 (en) * 2001-12-05 2006-03-13 한국전자통신연구원 Method for detecting hacking of realtime buffer overflow
KR100578506B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection Method for Inferring Risk Level
KR100432168B1 (en) * 2001-12-27 2004-05-17 한국전자통신연구원 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method
KR100426317B1 (en) * 2002-09-06 2004-04-06 한국전자통신연구원 System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100523980B1 (en) * 2002-12-10 2005-10-26 한국전자통신연구원 Watermark creation/insertion apparatus and method in reply packet for tracebacking the attacks with a connection
US7954158B2 (en) 2006-12-19 2011-05-31 International Business Machines Corporation Characterizing computer attackers
WO2008134184A1 (en) * 2007-04-25 2008-11-06 Yahoo! Inc. System for scoring click traffic

Similar Documents

Publication Publication Date Title
CN109729180B (en) Whole system intelligent community platform
US6405318B1 (en) Intrusion detection system
US6775657B1 (en) Multilayered intrusion detection system and method
US7827605B2 (en) System and method for preventing detection of a selected process running on a computer
US7854005B2 (en) System and method for generating fictitious content for a computer
US20030196123A1 (en) Method and system for analyzing and addressing alarms from network intrusion detection systems
EP1567926B1 (en) Method, system and computer software product for responding to a computer intrusion
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
US20080141349A1 (en) System and method for computer security
US20060190993A1 (en) Intrusion detection in networks
KR20010105490A (en) Hacking detection and chase system
JP3618245B2 (en) Network monitoring system
JP3967550B2 (en) Method and system for protecting communication devices from intrusion
CN103945385B (en) The method and its device of guarding against theft for mobile terminal
CN113411297A (en) Situation awareness defense method and system based on attribute access control
CN113411295A (en) Role-based access control situation awareness defense method and system
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
JP2003208269A (en) Secondary storage device having security mechanism and its access control method
KR100825726B1 (en) Apparatus and method for user's privacy ? intellectual property protection of enterprise against denial of information
KR101900494B1 (en) Method and apparatus for detecting the steeling of identifier
KR101186873B1 (en) Wireless intrusion protecting system based on signature
CN112187699B (en) Method and system for sensing file theft
EP1504323B1 (en) Method and system for analyzing and addressing alarms from network intrustion detection systems
Asaka et al. Local attack detection and intrusion route tracing
JP2004038517A (en) Access control system and method, and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application