KR20030069241A - 침입자의 근원지 추적 장치 및 방법 - Google Patents

침입자의 근원지 추적 장치 및 방법 Download PDF

Info

Publication number
KR20030069241A
KR20030069241A KR1020020008663A KR20020008663A KR20030069241A KR 20030069241 A KR20030069241 A KR 20030069241A KR 1020020008663 A KR1020020008663 A KR 1020020008663A KR 20020008663 A KR20020008663 A KR 20020008663A KR 20030069241 A KR20030069241 A KR 20030069241A
Authority
KR
South Korea
Prior art keywords
agent
address
backtracking
server
traceback
Prior art date
Application number
KR1020020008663A
Other languages
English (en)
Inventor
강철오
최대식
한광택
정주영
고재영
강인곤
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020020008663A priority Critical patent/KR20030069241A/ko
Publication of KR20030069241A publication Critical patent/KR20030069241A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷 등을 포함한 네트워크 환경에서 침입자의 근원지를 추적하기 위한 장치 및 방법에 관한 것으로, 침입자가 여러 개의 시스템을 경유하여 특정 시스템을 공격했을 경우 침입이 탐지된 시스템을 분석하여 침입자가 최종적으로 경유한 시스템의 IP(Internet Protocol) 주소를 획득하고, 해당 IP 주소의 시스템에 역추적 에이전트를 설치하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 방식으로 역추적 에이전트를 이용하여 침입 경로를 순차적으로 역추적함으로써 실시간으로 침입자의 근원지를 찾는다. 본 발명은 기존의 네트워크 구성 요소를 변경하지 않은 상태에서 적용이 가능하며, 인터넷 등을 포함하는 모든 네트워크에 적용이 가능하다.

Description

침입자의 근원지 추적 장치 및 방법 {Apparatus and method for tracking an intruder's origin}
본 발명은 침입자의 근원지 추적 장치 및 방법에 관한 것으로, 더욱 상세하게는 네트워크 환경에서 침입자가 여러 개의 시스템을 경유하여 특정 시스템을 공격할 경우 역추적 에이전트를 이용한 순차적인 역추적 과정을 통해 침입자의 근원지를 찾아낼 수 있도록 한 침입자의 근원지 추적 장치 및 방법에 관한 것이다.
인터넷 등을 포함하는 네트워크의 이용이 증가됨에 따라 해킹으로 인한 피해도 증가하고 있다. 임의로 특정 시스템에 접근하여 피해를 유발하는 해커(침입자)들은 대개 여러 개의 중간 시스템을 경유하여 최종 목적지인 시스템에 접근하게 된다. 따라서, 해킹으로 인한 피해를 방지하기 위해서는 침입을 사전에 발견하거나 실시간으로 추적해야 하는데, 현재에는 수동적인 방법으로 침입자를 추적하여 근원지를 분석하기 때문에 시간이 많이 소요되며, 정확도도 낮아 효과적으로 대처하지 못하고 있다. 더욱이 대부분의 침입자들은 가능한 침입 흔적이 남지않도록 경로를 모두 제거하기 때문에 근원지 추적에 많은 어려움이 따른다.
해커의 침입으로 인한 피해가 증가됨에 따라 근래에 들어 침입자를 효과적으로 추적하기 위한 기술들이 많이 연구되고 있다. 그러나, 인터넷을 포함하는 모든 네트워크 영역에 적용할 수 있는 기술은 현재까지 개발되지 않은 상태이며, 단지 해당 네트워크 영역 내에서만 자동화된 추적을 행할 수 있는 기술들이 이용되고 있는 실정이다.
따라서, 본 발명은 인터넷 등을 포함하는 모든 네트워크에 적용이 가능하며, 네트워크의 구성 요소를 변경하지 않고도 침입자의 근원지를 순차적으로 역추적할 수 있도록 함으로써 상기한 문제점을 해소할 수 있는 침입자의 근원지 추적 장치 및 방법을 제공하는 데 그 목적이 있다.
도 1은 본 발명에 따른 침입자의 근원지 추적 장치를 도시한 구성도이다.
도 2는 본 발명에 따른 침입자의 근원지 추적 방법을 설명하기 위한 흐름도이다.
도 3은 도 2의 역추적 에이전트 설치 및 실행 과정을 상세하게 설명하기 위한 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
1: 대상 시스템2: 역추적 에이전트
3: 분석모듈4: 서버
5: 설치모듈6: 자료관리모듈
7: 탐지모듈
상기한 목적을 달성하기 위한 본 발명에 따른 침입자의 근원지 추적 장치는 침입을 탐지하고 침입이 탐지된 시스템을 분석하는 탐지모듈, 침입에 의해 시스템에 생긴 흔적을 기반으로 이전 경유 시스템의 IP 주소를 획득하는 역추적 에이전트, 상기 탐지모듈 및 역추적 에이전트로부터 분석된 시스템의 IP 주소를 전송받으며, 상기 역추적 에이전트의 추적 상황을 모니터링하고 관리하는 서버, 상기 서버로부터 제공되는 IP 주소의 시스템에 상기 역추적 에이전트를 설치하는 에이전트 설치모듈, 상기 역추적 에이전트와 서버와의 안전한 통신을 이루고 획득된 IP 주소를 기반으로 대상 시스템을 분석하는 분석모듈, 상기 서버로부터 제공되는 일련의 추적 및 분석 과정을 저장하고, 검색에 필요한 자료를 서버로 제공하는 자료관리모듈을 포함하는 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명에 따른 침입자의 근원지 추적 방법은 침입이 탐지된 시스템을 분석하여 침입자가 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 1 단계, 상기 IP 주소에 해당하는 시스템에 역추적 에이전트를 설치하는 제 2 단계, 상기 역추적 에이전트가 상기 시스템을 분석하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 3 단계, 상기 제 3 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적 에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 4 단계, 상기 제 3 단계에서 IP 주소가 획득되지 않은 경우 백도어를 탐지하고, 백도어를 모니터링하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 5 단계, 상기 제 5 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 6 단계, 상기 제 5 단계에서 상기 IP 주소가 획득되지 않은 경우 네트워크 패킷들을 분석하여 침입으로 판정되는 의심스러운 IP 주소를 획득하는 제 7 단계와, 상기 제 7 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적 에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 8 단계, 상기 제 7 단계에서 상기 IP 주소가 획득되지 않한 경우 최종적으로 역추적 에이전트가 설치된 시스템이 침입 근원지 인지를 판정하는 제 9 단계, 상기 제 9 단계에서 근원지가 아닌 경우 상기 제 1 단계로 귀환하는 제 10 단계를 포함하는 것을 특징으로 한다.
상기 역추적 에이전트는 침입에 의해 시스템에 생긴 흔적을 기반으로 이전 경유 시스템의 IP 주소를 획득한다.
상기 역추적 에이전트는 침투 코드를 대상 시스템에 적용하는 단계, 상기 침투 코드 수행 후 얻어진 사용 권한을 이용하여 역추적 에이전트를 설치하는 단계, 시스템 관리자로부터 숨기기 위하여 설치된 역추적 에이전트를 은닉하는 단계, 은닉된 역추적 에이전트를 실행시키는 단계를 통해 설치 및 실행된다.
그러면 이하, 첨부된 도면을 참조하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명에 따른 침입자의 근원지 추적 장치를 도시한 구성도이다.
탐지모듈(7)은 침입을 탐지하고 시스템 분석 도구로 침입이 탐지된 시스템을 분석하여 침입자가 이전 단계에서 경유한 시스템의 IP(Internet Protocol) 주소를 찾는다. 서버(4)는 탐지모듈(7)로부터 이전 경유 시스템의 IP 주소를 전송받은 후 에이전트 설치모듈(5)로 명령을 전달하여 탐지모듈(7)로부터 전송된 IP 주소에 해당하는 대상 시스템(1)에 역추적 에이전트(2)를 설치하도록 하고, 역추적 에이전트(2)의 추적 상황을 모니터링하며 추적 과정을 관리한다.
역추적 에이전트(2)는 침입에 의해 대상 시스템(1)에 생긴 모든 흔적을 기반으로 이전 경유 시스템의 IP 주소를 획득하여 서버(4)로 전송한다. 이때, 분석모듈(3)은 역추적 에이전트(2)와 서버(4)와의 안전한 통신을 이루며, 획득된 IP 주소를 기반으로 대상 시스템(1)을 분석한다.
한편, 자료관리모듈(6)은 서버(4)에 의해 관리되는 일련의 추적 및 분석 과정을 저장하고, 검색에 필요한 자료를 서버(4)로 제공한다.
도 2는 본 발명에 따른 침입자의 근원지 추적 방법을 설명하기 위한 흐름도로서, 도 1을 참조하여 설명하면 다음과 같다.
탐지모듈(7)은 침입을 탐지하고(단계 10), 시스템 분석 도구로 침입이 탐지된 시스템을 원격 분석하여 침입자가 이전 단계에서 경유한 시스템의 IP 주소를 획득한 다음 경유 시스템의 IP 주소를 서버(4)로 전송한다(단계 20). 이때, 시스템 분석 도구는 침입이 탐지된 시스템을 분석하여 동작 시스템(OS), 버전(Ver.), 열린 포트(Port) 등의 정보를 얻어낸 후 수집 및 가공된 정보를 기반으로 시스템의 취약점을 파악한다. 그리고 침투 코드 목록과 분석된 취약점을 이용하여 에이전트 침투를 위한 최적의 방법을 설정한다.
경유 시스템의 IP 주소를 수신한 서버(4)는 에이전트 설치모듈(5)로 하여금 탐지모듈(7)로부터 전달받은 경유 시스템의 IP 주소에 해당하는 대상 시스템(1)에 역추적 에이전트(2)를 설치하도록 한다(단계 30). 역추적 에이전트(2)는 도 3에 도시된 바와 같이 침투 코드를 대상 시스템(1)에 적용하는 단계(단계 301), 침투 코드 수행 후 얻어진 사용 권한을 이용하여 역추적 에이전트(2)를 설치하는 단계(단계 302), 시스템 관리자로부터 숨기기 위하여 설치된 역추적 에이전트(2)를 은닉하는 단계(단계 303) 및 은닉된 역추적 에이전트(2)를 실행시키는 단계(단계 304)를 통해 설치 및 실행된다.
설치된 역추적 에이전트(2)는 먼저 대상 시스템(1)의 각종 로그기록과 시스템 설정 파일들을 분석하여 침입자가 대상 시스템(1)에 접근하기 전 단계에서 경유한 시스템의 IP 주소를 찾는다(단계 40). 경유한 시스템의 IP 주소가 획득되면 획득된 IP 주소를 서버(4)로 전송한다(단계 50).
서버(4)는 에이전트 설치모듈(5)로 하여금 역추적 에이전트(2)로부터 획득된 이전 경유 시스템의 IP 주소에 해당하는 대상 시스템 즉, 상기 시스템(1)에 접근하기 전 단계에서 경유한 시스템에 다시 역추적 에이전트(2)를 설치하도록 하고(단계 60), 다시 상기 단계 40으로 진행한다.
그런데 대부분의 경우 침입자들은 침입 흔적이 남지않도록 자신의 기록을 삭제하거나 변경하기 때문에 상기 단계 40에서 로그 분석 등을 통해 IP 주소를 획득하는 데 어려움이 따른다. 그래서 상기 단계 40에서 IP 주소를 획득하지 못한 경우에는 역추적 에이전트(2)로 하여금 침입자가 이 시스템을 재사용하기 위해 설치했을 가능성이 높은 백도어(Backdoor)를 탐지하도록 하고, 백도어가 탐지되면 이를 모니터링하여 이전 단계에서 경유한 시스템의 IP 주소를 획득한다(단계 70). 이때에도, 탐지된 경유 시스템의 IP 주소를 서버(4)로 전송하여(단계 50) 에이전트 설치모듈(5)로 하여금 탐지된 경유 시스템의 IP 주소에 해당하는 대상 시스템 즉, 상기 시스템(1)에 접근하기 전 단계에서 경유한 시스템에 다시 역추적 에이전트(2)를 설치하도록 하고(단계 60), 다시 상기 단계 40으로 진행한다.
만일, 상기 단계 70에서 백도어 조차도 탐지되지 않는 경우에는 실시간 패킷 모니터링 기능을 가진 에이전트를 활용하여 대상 시스템(1)에 접근했던 네트워크 패킷들을 분석하여 침입으로 판정되는 의심스러운 IP 목록을 생성하고(단계 80), 이를 서버(4)로 보내어(단계 50) 에이전트 설치모듈(5)로 하여금 의심스러운 IP 주소에 해당하는 대상 시스템에 다시 역추적 에이전트(2)를 설치하도록 하고(단계 60), 다시 단계 40으로 진행한다. 이때, 이전 경유지를 통해 교육된 침입 패턴과의 연관성을 고려하여 추적하고자 하는 침입자와의 일치 여부를 확률적으로 제시하여 의심스러운 IP 목록을 생성하고, 의심스러운 IP 목록에 대해서는 가중치를 두어 추적을 계속한다.
만일, 상기 단계 80에서, 의심스러운 IP 목록을 획득하지 못한 경우에는 최종적으로 역추적 에이전트가 설치된 대상 시스템이 침입자의 근원지 인지를 판정하여(단계 90), 근원지가 아닌 경우에는 상기 단계 20으로 귀환하여 상기와 같은 과정을 반복 진행한다.
상술한 바와 같이 본 발명은 역추적 에이전트를 이용하여 침입자가 대상 시스템에 접근하기 전 단계에서 경유한 시스템들을 순차적으로 식별하여 역추적한다. 본 발명의 역추적 에이전트는 시스템에 남아 있는 침입 흔적에만 의존하지 않고 백도어 탐지 및 감시, 실시간 패킷 모니터링 및 분석을 통해 효율적으로 이전 경유지 시스템의 IP 주소를 식별한다. 따라서 실시간적으로 자동화된 역추적을 수행하여 침입 행위를 효과적으로 감시할 수 있으며, 침입자의 근원지를 효과적으로 식별할 수 있다.
또한, 본 발명에 따른 침입자의 근원지 추적 장치는 기존의 네트워크 구성 요소를 변경하지 않은 상태에서 적용이 가능하며, 인터넷 등을 포함하는 모든 네트워크에 적용이 가능하다.

Claims (5)

  1. 침입을 탐지하고 침입이 탐지된 시스템을 분석하는 탐지모듈,
    침입에 의해 시스템에 생긴 흔적을 기반으로 이전 경유 시스템의 IP 주소를 획득하는 역추적 에이전트,
    상기 탐지모듈 및 역추적 에이전트로부터 분석된 시스템의 IP 주소를 전송받으며, 상기 역추적 에이전트의 추적 상황을 모니터링하고 관리하는 서버,
    상기 서버로부터 제공되는 IP 주소의 시스템에 상기 역추적 에이전트를 설치하는 에이전트 설치모듈,
    상기 역추적 에이전트와 서버와의 안전한 통신을 이루고 획득된 IP 주소를 기반으로 대상 시스템을 분석하는 분석모듈을 포함하는 것을 특징으로 하는 침입자의 근원지 추적 장치.
  2. 제 1 항에 있어서, 상기 서버로부터 제공되는 일련의 추적 및 분석 과정을 저장하고, 검색에 필요한 자료를 서버로 제공하는 자료관리모듈을 더 포함하는 것을 특징으로 하는 침입자의 근원지 추적 장치.
  3. 침입이 탐지된 시스템을 분석하여 침입자가 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 1 단계,
    상기 IP 주소에 해당하는 시스템에 역추적 에이전트를 설치하는 제 2 단계,
    상기 역추적 에이전트가 상기 시스템을 분석하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 3 단계,
    상기 제 3 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적 에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 4 단계,
    상기 제 3 단계에서 IP 주소가 획득되지 않은 경우 백도어를 탐지하고, 백도어를 모니터링하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 제 5 단계,
    상기 제 5 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적 에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 6 단계,
    상기 제 5 단계에서 상기 IP 주소가 획득되지 않은 경우 네트워크 패킷들을 분석하여 침입으로 판정되는 의심스러운 IP 주소를 획득하는 제 7 단계와,
    상기 제 7 단계에서 상기 IP 주소가 획득되면 해당 시스템에 역추적 에이전트를 설치한 후 상기 제 3 단계로 귀환하는 제 8 단계,
    상기 제 7 단계에서 상기 IP 주소가 획득되지 않한 경우 최종적으로 역추적 에이전트가 설치된 시스템이 침입 근원지 인지를 판정하는 제 9 단계,
    상기 제 9 단계에서 근원지가 아닌 경우 상기 제 1 단계로 귀환하는 제 10 단계를 포함하는 것을 특징으로 하는 침입자의 근원지 추적 방법.
  4. 제 3 항에 있어서, 상기 역추적 에이전트는 침입에 의해 시스템에 생긴 흔적을 기반으로 상기 이전 경유 시스템의 IP 주소를 획득하는 것을 특징으로 하는 침입자의 근원지 추적 방법.
  5. 제 3 항에 있어서, 상기 역추적 에이전트는 침투 코드를 대상 시스템에 적용하는 단계,
    상기 침투 코드 수행 후 얻어진 사용 권한을 이용하여 역추적 에이전트를 설치하는 단계,
    시스템 관리자로부터 숨기기 위하여 설치된 역추적 에이전트를 은닉하는 단계,
    은닉된 역추적 에이전트를 실행시키는 단계를 통해 설치 및 실행되는 것을 특징으로 하는 침입자의 근원지 추적 방법.
KR1020020008663A 2002-02-19 2002-02-19 침입자의 근원지 추적 장치 및 방법 KR20030069241A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020008663A KR20030069241A (ko) 2002-02-19 2002-02-19 침입자의 근원지 추적 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020008663A KR20030069241A (ko) 2002-02-19 2002-02-19 침입자의 근원지 추적 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20030069241A true KR20030069241A (ko) 2003-08-27

Family

ID=32221762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020008663A KR20030069241A (ko) 2002-02-19 2002-02-19 침입자의 근원지 추적 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20030069241A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100577829B1 (ko) * 2005-03-11 2006-05-12 (주)아이넷캅 웹 접속자 위치 추적 시스템 및 그 추적 방법
KR101410289B1 (ko) * 2013-02-05 2014-06-20 주식회사 잉카인터넷 악성코드의 원격지 접속 서버 추적 시스템 및 방법
KR20150060351A (ko) * 2013-11-26 2015-06-03 한국전자통신연구원 공격 근원지 추적 장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100577829B1 (ko) * 2005-03-11 2006-05-12 (주)아이넷캅 웹 접속자 위치 추적 시스템 및 그 추적 방법
KR101410289B1 (ko) * 2013-02-05 2014-06-20 주식회사 잉카인터넷 악성코드의 원격지 접속 서버 추적 시스템 및 방법
WO2014123314A1 (ko) * 2013-02-05 2014-08-14 (주)잉카인터넷 악성코드의 원격지 접속 서버 추적 시스템 및 방법
KR20150060351A (ko) * 2013-11-26 2015-06-03 한국전자통신연구원 공격 근원지 추적 장치 및 방법

Similar Documents

Publication Publication Date Title
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
Bai et al. Intrusion detection systems: technology and development
Kruegel et al. Alert verification determining the success of intrusion attempts
CN112637220B (zh) 一种工控系统安全防护方法及装置
US20050166072A1 (en) Method and system for wireless morphing honeypot
CN109639634B (zh) 一种物联网自适应安全防护方法及系统
Dongxia et al. An intrusion detection system based on honeypot technology
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN109787964B (zh) 进程行为溯源装置和方法
CN105791323B (zh) 未知恶意软件的防御方法和设备
CN113783886A (zh) 一种基于情报和数据的电网智慧运维方法及其系统
CN111625821A (zh) 一种基于云平台的应用攻击检测系统
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
Jacoby et al. Mobile host-based intrusion detection and attack identification
KR20030069241A (ko) 침입자의 근원지 추적 장치 및 방법
Monjur et al. An attack analysis framework for LoRaWAN applied advanced manufacturing
Anwar et al. A proposed preventive information security system
CN115694928A (zh) 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法
CN116032527A (zh) 一种基于云计算的数据安全漏洞感知系统及方法
KR100439169B1 (ko) 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR101662530B1 (ko) 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법
Asaka et al. Local attack detection and intrusion route tracing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application