KR20040034862A - 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법 - Google Patents

액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법 Download PDF

Info

Publication number
KR20040034862A
KR20040034862A KR1020020063498A KR20020063498A KR20040034862A KR 20040034862 A KR20040034862 A KR 20040034862A KR 1020020063498 A KR1020020063498 A KR 1020020063498A KR 20020063498 A KR20020063498 A KR 20020063498A KR 20040034862 A KR20040034862 A KR 20040034862A
Authority
KR
South Korea
Prior art keywords
active code
traceback
code
manager
active
Prior art date
Application number
KR1020020063498A
Other languages
English (en)
Other versions
KR100470917B1 (ko
Inventor
지정훈
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0063498A priority Critical patent/KR100470917B1/ko
Publication of KR20040034862A publication Critical patent/KR20040034862A/ko
Application granted granted Critical
Publication of KR100470917B1 publication Critical patent/KR100470917B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

액티브 코드 기반의 실시간 역추적 시스템 및 역추적 방법을 개시한다.
본 발명에 따른 액티브 코드 기반의 실시간 역추적 시스템은, TCP 응답 메시지에 부가된 액티브 코드를 이용하여 침입자를 역추적하며 액티브 코드의 실행으로 침입자의 트래픽에 대한 제어 기능을 수행하는 네트워크 중간에 설치되는 네트워크 노드와; TCP 응답 메시지에 액티브 코드를 부가하여 네트워크 노드측으로 전달할 수 있는 네트워크 종단에 설치되는 역추적 서버를 포함하며, 역추적 서버는, 외부로부터 침입 탐지 정보가 입력되는 침입 탐지 인터페이스와; 역추적 관련 정보를 관리하는 역추적 관리자와; 역추적 관련 정보가 저장되는 역추적 정보 DB와; 역추적용 액티브 코드를 관리하는 액티브 코드 관리자와; 역추적용 액티브 코드 정보가 저장되는 액티브 코드 정보 DB와; 임의의 네트워크 노드와 원격 연결을 지원하며 연결된 세션상의 응답 메시지에 액티브 코드를 부가하는 TCP 응용 프로그램으로 구성되며, 네트워크 노드는, TCP 응답 메시지에서 액티브 코드를 분류하는 코드 분류자와; 코드 분류자에서 분류된 액티브 코드를 실행시키며 액티브 코드 실행에 의해 트래픽 제어를 위한 인터페이스를 제공하는 액티브 코드 실행 엔진과; 코드 분류자에서 분류된 TCP 응답 메시지를 버퍼링하는 버퍼 관리자와; 액티브 코드의 실행 후 액티브 코드를 TCP 응답 메시지에 원래 형태로 부가하는 접합자로 구성된다.
따라서, 본 발명은 네트워크 침입자를 역추적하기 위해 네트워크상의 모든 시스템에 역추적 기능을 지원해야 하는 부담을 없애므로써, 특정 네트워크나 호스트를 보호해야 하는 보안 서비스 제공자로 하여금 설치 및 운용을 보다 용이하게 하는 효과가 있다. 또한, 네트워크 침입의 발생시 해당 침입에 대한 실시간 추적과, 추적에 따른 침입자의 근원지 부근에서 대응이 가능해져 해당 침입에 의한 피해를 최소화할 수 있는 효과가 있다.

Description

액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법{SYSTEM AND METHOD FOR PROVIDING A REAL-TIME TRACEBACK TECHNIC BASED ON ACTIVE CODE}
본 발명은 네트워크 환경에서의 역추적 기술에 관한 것으로, 특히, 최소한의 비용과 부담으로 침입자를 실시간 역추적하는데 적합한 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법에 관한 것이다.
인터넷의 개방성으로 인해 인터넷에 연결된 기관 내부의 시스템에 대한 사이버 공격의 위험 또한 늘어가고 있다. 더욱이 인터넷은 패킷 스위칭 방식과 단순 패킷 전송에 기반하고 있어서 네트워크 침입자의 발생시 해당 침입자를 추적하는데 많은 어려움을 야기시킨다.
대부분의 네트워크 침입자들은 자신의 위치를 숨기기 위해서 여러 시스템을 우회하여 목적 시스템을 공격한다. 이러한 우회공격에서는 해당 침해 사실이 발견되더라도 침입자의 근원지 소스를 파악할 수 없으므로, 침입자로부터의 차후 공격을 완전히 근절할 수 있는 방안이 없다[F.Buchholz et al., "Packet Tracker," CERIAS Final Report, available at http://www.cerias.purdue.edu/traceback/].
이러한 문제점을 해결하기 위하여 상기의 우회공격을 추적하기 위한 여러 가지 기술들이 제안되었다.
CIS(Caller Identification System)[H. Jung et al., "Caller Identification System in the Internet Environment," UNIX Security Symposium Ⅳ Proceedings, pp. 69-78, 1993]는 우회공격에 대한 추적 방안을 제시한 선도적인 연구이다. 해당 연구에서는 기존의 TCP 래퍼(Wrapper)를 확장한 ETCPW(ExtendedTCP Wrapper)를 고안하여 사용자가 시스템에 접근하기 전에 이전 경로상의 모든 시스템에 질의하여 경로를 확인함으로써 침입자의 경로 위조를 원천적으로 봉쇄한다. 하지만, 해당 연구는 시스템에서 사용자의 세션 정보관리에 대한 구체적인 명시가 없고 침입자의 재사용공격에 대한 대처방안이 없다는 단점을 갖는다.
AN-IDR(Active Networks Intrusion Detection and Response) 프로젝트 [D. Schnackenberg et al., "Cooperative Intrusion Traceback and Response Architecture(CITRA)," DISCEX'01 Proceedings, pp. 56-68, 2001]에서는 사용자의 연결 요구 패킷에 에스코트(escort)라는 프로그램을 덧붙임으로써 침입자의 우회공격을 추적하는 메커니즘을 제시하였다. 해당 연구는 침입자를 추적하기 위하여 액티브 네트워킹 기술을 도입한 새로운 접근방식을 보여주었으나 다음과 같은 문제점을 갖는다.
첫째, 일반 사용자의 적법한 연결을 포함하여 모든 연결오구 패킷에 대하여 프로그램을 부가하는 것은 상당한 부담을 초래한다.
둘째, 네트워크 라우터에서 프로그램을 부가하기 위해서는 해당 라우터에서 계층 4 또는 계층 5에서 프로세싱을 수행해야 하는데, 이것은 라우터의 구속화를 위해 보다 낮은 계층에서 패킷을 전달하는 현 추세에 비추어 비효율적이라 할 수 있다.
마지막으로, 사용자 레벨의 프로그램을 통하여 시스템에서 세션을 추적하는 구체적인 방안이 제시되지 않았다.
IDA(Intrusion Detection Agent) 시스템[M. Asaka et al., "A Method ofTracing Intruders by Use of Mobile Agents," INET'99, 1999]은 이동 에이전트 기술을 침입자의 추적에 적용하였다. 해당 연구는 자동화된 이동 에이전트 객체를 통하여 추적을 수행하여 관리자의 부담을 줄이고, 침입에 대해 보다 즉각적인 추적을 수행할 수 있다는 점에서 가치가 있으나, 추적 범위가 특정 네트워크 도메인내로 한정되어 있고 시스템에서 사용자의 세션관리에 대한 명확한 방안이 제시되지 않은 단점을 갖는다.
응답메시지에 워터마크(watemark)를 덧붙임으로써 역추적을 수행한 슬리피(Sleepy) 워터마크 시스템[Xinyuan Wang et al., "Sleepy Watermark Tracing : An Active Network-based Intrusion Response Framework", IFIP Conference on Security, 2001]은 우회공격의 연결특성을 고려하였다는 점에서 주목할만하다. 하지만, 네트워크 중간노드에서 워터마크 상관성(watermark correlation)에 따른 부담, 워터마크의 유일성 보장문제, 역추적을 위한 중간노드간의 메시지 교환에 따른 부하 등이 단점으로 지적된다.
PRACTICAL NETWORK SUPPORT FOR IP TRACEBACK [US 0104373, S. Savage, D. Wetherall, A. Karlin, and T. Anderson. Practical Network Support for IP Traceback. In SIGCOMM, Aug. 2000]에서는 패킷에 마킹을 함으로써 역추적을 수행하는 기술을 제안하였다. 해당 시스템은 DoS 공격과 같이 많은 양의 패킷에 의해 목적 시스템의 서비스 진행을 방해하기 위한 것으로 네트워크 중간노드에서 전달되는 패킷에 자신의 노드 정보를 입력시킨다. 전달되는 패킷에 모든 경유노드의 주소를 기록하기에는 패킷 정보필드의 길이에 제한이 있으므로 이를 해결하기 위하여확률적인 값에 의해 중간노드에서 자신의 노드정보를 입력시킨다. 하지만, 해당연구는 DoS 공격유형을 추적하기 위한 시스템으로 우회공격을 추적하기 위하여 패킷마킹 기법을 적용하기에는 무리가 있다. 우회공격에서는 DoS 공격과 같이 많은 양의 패킷이 전달되지 않고 또한 침입자의 세션을 추적해야 하기 때문에 네트워크 중간단의 패킷 정보만으로는 추적이 어렵다.
상기에서 살펴본 바와 같이 지금까지의 역추적 방식은 다음과 같은 문제점을 갖고 있다.
우회공격을 추적하기 위하여 네트워크 라우터와 호스트간에 많은 메시지의 전달이 필요하고, 침입자의 세션을 추적하기 위하여 신뢰성 및 배치(deployment) 문제가 지적되는 경유 호스트에 역추적을 위한 모듈이 설치되어야 하고, 침입자의 침입에 대하여 실시간적인 대응이 불가능하다는 문제점을 갖는다.
본 발명은 상술한 문제를 해결하기 위해 안출한 것으로, 본 발명의 목적은, 응답 메시지의 조작을 통해 침입자를 추적함으로써 호스트에서의 세션 매칭 과정을 없애도록 한 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법을 제공하는데 있다.
본 발명의 다른 목적은, 상대적으로 침해가 적은 네트워크 중간노드인 라우터측에 역추적 시스템을 지원하는 모듈을 설치함으로써 중간 경유지의 호스트의 도움없이 역추적을 수행하도록 한 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법을 제공하는데 있다.
본 발명의 또 다른 목적은, 이동 코드를 응답 메시지에 부가함으로써 역추적 수행에 자율성을 부여하도록 한 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법을 제공하는데 있다.
본 발명의 또 다른 목적은, 데이터 은닉 기법[W. Bender, D. Gruhl, N. Morimoto and A. Lu. Technique for Data Hiding, IBM Systems Journal, Vol. 35, Nos. 3&4, 1996]을 이용함으로써 경유 호스트가 아닌 피해 대상 호스트와 네트워크상의 보호영역의 경계 라우터단에만 역추적 모듈이 설치되는 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법을 제공하는데 있다.
본 발명의 또 다른 목적은, 침입자의 명령에 실시간 대응하는 응답 메시지에 액티브 코드를 부가하여 실시간 역추적을 수행함으로써 역추적 속도와 성공률을 높이도록 한 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법을 제공하는데 있다.
이러한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 액티브 코드 기반의 실시간 역추적 시스템에 있어서, TCP 응답 메시지에 부가된 액티브 코드를 이용하여 침입자를 역추적하며 액티브 코드의 실행으로 침입자의 트래픽에 대한 제어 기능을 수행하는 네트워크 중간에 설치되는 네트워크 노드와; TCP 응답 메시지에 액티브 코드를 부가하여 네트워크 노드측으로 전달할 수 있는 네트워크 종단에 설치되는 역추적 서버를 포함하며, 역추적 서버는, 외부로부터 침입 탐지 정보가 입력되는 침입 탐지 인터페이스와; 역추적 관련 정보를 관리하는 역추적 관리자와; 역추적 관련 정보가 저장되는 역추적 정보 DB와; 역추적용 액티브 코드를 관리하는액티브 코드 관리자와; 역추적용 액티브 코드 정보가 저장되는 액티브 코드 정보 DB와; 임의의 네트워크 노드와 원격 연결을 지원하며 연결된 세션상의 응답 메시지에 액티브 코드를 부가하는 TCP 응용 프로그램으로 구성되며, 네트워크 노드는, TCP 응답 메시지에서 액티브 코드를 분류하는 코드 분류자와; 코드 분류자에서 분류된 액티브 코드를 실행시키며 액티브 코드 실행에 의해 트래픽 제어를 위한 인터페이스를 제공하는 액티브 코드 실행 엔진과; 코드 분류자에서 분류된 TCP 응답 메시지를 버퍼링하는 버퍼 관리자와; 액티브 코드의 실행 후 액티브 코드를 TCP 응답 메시지에 원래 형태로 부가하는 접합자로 구성되는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템을 제공한다.
본 발명의 목적을 달성하기 위한 다른 실시예에 따르면, 침입 탐지 인터페이스, 역추적 관리자, 액티브 코드 관리자, TCP 응용 프로그램을 포함하는 역추적 서버와, 코드 분류자, 버퍼 관리자, 액티브 코드 실행 엔진, 접합자를 포함하는 네트워크 노드를 각각 구비하는 액티브 코드 기반의 실시간 역추적 방법에 있어서, 침입 탐지 인터페이스에서 외부 네트워크 침입 탐지 시스템 또는 내부 호스트 침입 탐지 시스템으로부터의 침해 사례에 대한 정보를 수집하는 단계와; 역추적 관리자에서 침입 사실에 대한 정보를 분석하여 공격자의 침해가 이루어지는 네트워크 세션을 구별하며, 해당 세션의 추적에 적합한 액티브 코드를 액티브 코드 관리자측으로 요청하는 단계와; 액티브 코드 관리자에서 해당 액티브 코드를 선택하여 역추적 관리자측으로 전달하고, 역추적 관리자에서 TCP 응용 프로그램측으로 액티브 코드를 전달하는 단계와; TCP 응용 프로그램에서 침입이 시도되는 세션상의 응답 메시지에 액티브 코드를 부가함으로써 TCP 응답 메시지를 네트워크상에서 이동시키는 단계와; TCP 응답 메시지가 세션상의 응답 메시지에 부가된 액티브 코드를 실행시킬 수 있는 네트워크 중간 노드와 접촉되는지를 판단하는 단계와; 네트워크 중간 노드와 접촉되었으면, 네트워크 중간 노드상의 코드 분류자를 통해 TCP 응답 메시지에서 액티브 코드를 분류하되, 분류된 액티브 코드는 액티브 코드 실행 엔진측으로 전송하고 액티브 코드가 제거된 응답 메시지는 버퍼 관리자측으로 각각 전송하는 단계와; 액티브 코드 실행 엔진을 통해 침입 세션에 대한 패킷 필터링 및 블록킹을 수행하고, 버퍼 관리자를 통해 응답 메시지를 버퍼링하는 단계와; 액티브 코드의 실행이 완료되는지를 판단하고, 액티브 코드의 실행이 완료되면 접합자를 통해 액티브 코드를 응답 메시지에 부가하여 원래 형태로 복원한 후 다음 노드로 전달하는 단계를 포함하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 방법을 제공한다.
도 1은 본 발명의 바람직한 실시예에 따른 액티브 코드 기반의 실시간 역추적 시스템의 구성 블록도,
도 2는 본 발명에 따른 역추적 기술이 적용되는 네트워크 구성을 예시적으로 도시한 도면,
도 3은 본 발명의 바람직한 실시예에 따른 액티브 코드 기반의 실시간 역추적 과정의 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
10 : 역추적 관리자 11 : 역추적 정보 DB
12 : 침입 탐지 인터페이스 13 : 액티브 코드 관리자
14 : 액티브 코드 정보 DB 15 : TCP 응용프로그램
22 : 코드 분류자 24 : 액티브 코드 실행 엔진
26 : 버퍼 관리자 28 : 접합자
100 : 역추적 서버 200 : 네트워크 노드
300, 302 : 호스트
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.
도 1은 본 발명의 바람직한 실시예에 따른 액티브 코드 기반의 실시간 역추적 시스템의 구성 블록도로서, 역추적 관리자(10), 역추적 정보 DB(11), 침입 탐지 인터페이스(12), 액티브 코드 관리자(13), 액티브 코드 정보 DB(14), TCP 응용 프로그램으로 구성된 역추적 서버(100)와, 코드 분류자(22), 액티브 코드 실행 엔진(24), 버퍼 관리자(26), 접합자(28)로 구성된 네트워크 노드(200)를 포함한다.
먼저, 역추적 서버(100)는 네트워크 노드측으로 TCP 응답 메시지에 액티브 코드를 덧붙여서 전달할 수 있는 네트워크 종단에 설치되는 보안 장치이다.
여기서, 역추적 관리자(10)는 역추적에 관련된 일반 정보를 관리하며, 전체 역추적 과정을 제어한다.
이러한 역추적 관리자(10)와 연동하는 역추적 정보 DB(11)에는 역추적 관련 정보, 예컨대, 침입 발생 시간, 침입 세션 정보, 현재 역추적 상황과 각 네트워크 노드에서의 대응 등의 정보들이 기록된다.
침입 탐지 인터페이스(12)는 외부 네트워크 침입 탐지 시스템과 내부 호스트 침입 탐지 시스템으로부터 침입 사실을 전달받을 수 있는 인터페이스를 제공한다. 즉, 침입 탐지 인터페이스(12)에는 외부로부터의 침입 탐지 정보가 입력된다.
액티브 코드 관리자(13)는 역추적 관리자(10)의 요청에 의해서 유효한 액티브 코드를 반환하는 역할을 수행한다. 또한, 액티브 코드 관리자(13)는 역추적용 액티브 코드가 저장되는 액티브 코드 정보 DB(14)와 연계하여 새로운 액티브 코드의 갱신 등을 관리한다.
이때, 이러한 역추적용 액티브 코드에는 TCP 응용 프로그램, 세션 특성과 대응 특성에 관련된 정보들이 포함된다. 또한, 액티브 코드는 이동 코드의 형식으로 원격 실행을 지원하며 침입 세션을 제어하기 위한 세션 분석과 패킷 필터링 및 블록킹의 기능을 수행한다.
TCP 응용 프로그램(15)은 임의의 네트워크 노드와 원격 연결 지원을 하며, 연결된 세션상의 응답 메시지에 액티브 코드를 부가하는 기능을 수행한다.
한편, 네트워크 노드(200)는 TCP 응답 메시지에 부가된 액티브 코드를 이용하여 침입자를 역추적하며 해당 코드의 실행으로 침입자의 트래픽에 대한 제어를 수행하는 네트워크 중간에 설치되는 보안 장치이다.
여기서, 코드 분류자(22)는 역추적 서버(100)로부터 전달된 TCP 응답 메시지에서 액티브 코드와 응답 메시지를 분류하고, 해당 액티브 코드는 액티브 코드 실행 엔진(24)측으로, 분리된 메시지는 버퍼 관리자(26)측으로 각각 전달하는 기능을 수행한다.
액티브 코드 실행 엔진(24)은 원격에서 전달된 액티브 코드를 실행시키는 역할을 수행한다. 해당 엔진에서는 세션 제어를 위한 세션 분석 및 패킷 필터링과 블록킹을 위한 인터페이스를 제공한다.
버퍼 관리자(26)는 분리된 응답 메시지를 버퍼링하는 기능을 수행한다.
접합자(28)는 해당 노드에서 액티브 코드의 실행이 완료되면, 응답 메시지에 액티브 코드를 부가하여 원래 형태의 TCP 응답 메시지로 복원시킨다.
이렇게 복원된 TCP 응답 메시지는 다음 노드로 전달된다.
다른 한편, 전체 네트워크 차원에서 본 시스템이 적용되는 형태는 도 2에 도시한 바와 같다.
도 2에 도시한 바와 같이, 침입자의 침해 시도에 대하여 실시간으로 역추적을 지원하는 역추적 서버(100)는 피해 대상 시스템에 설치된다.
이러한 네트워크 종단 호스트는 침입자가 여러 호스트를 경유하여 침입을 시도할지라도 각각의 경유 호스트(302) 모두에 설치될 필요가 없다.
역추적 서버(100)에서 부가된 액티브 코드는 침입자와 피해 대상 시스템(300)에 연결된 TCP 세션을 따라 이동하며, 중간 경유 호스트(302)에서는 데이터 은닉 기법에 의해서 은닉된다. 따라서, 중간 경유 호스트(302)에서 역추적을 위해 변경되거나 지원해야 하는 부분은 필요없게 된다.
액티브 코드의 실행을 지원하는 네트워크 노드(200)는 역추적 고려 대상 네트워크의 경계 부분에 설치되는데, 그 이유는, 수행 특성상, TCP 응답 메시지에서 액티브 코드를 분리해야 하는 작업은 네트워크 부하의 위험이 있기 때문이다.
이러한 방식에 의해서 모든 네트워크에 해당 네트워크 노드를 설치할 필요는 없으며, 보호하고자 하는 네트워크단에만 네트워크 노드를 설치하여 해당 네트워크로의 침입자의 접근을 막도록 한다.
이하, 상술한 구성과 함께, 본 발명의 바람직한 실시예에 따른 액티브 코드 기반의 실시간 역추적 과정을 첨부한 도 3의 흐름도를 참조하여 보다 상세하게 설명하기로 한다.
먼저, 단계(S300)에서 침입 탐지 인터페이스(12)는 외부 네트워크 침입 탐지 시스템 또는 내부 호스트 침입 탐지 시스템으로부터 침해 사례에 대한 정보를 전달받는다.
이러한 침입 사실에 대한 정보는 역추적 관리자(10)측으로 전달된다.
단계(S302)에서 역추적 관리자(10)는 침입 사실에 대한 정보를 분석하여 공격자의 침해가 이루어지는 네트워크 세션을 구별하며, 해당 세션의 추적에 적합한 액티브 코드를 액티브 코드 관리자(13)측으로 요청한다. 이때, 이러한 침입 사실에대한 정보는 역추적 정보 DB(11)에 저장된다.
단계(S304)에서 상기 액티브 코드 관리자(13)는 해당 액티브 코드를 선택하여 역추적 관리자(10)측으로 전달하고, 역추적 관리자(10)는 이러한 액티브 코드를 TCP 응용 프로그램(15)측으로 전달한다.
단계(S306)에서 TCP 응용 프로그램(15)은 침입이 시도되는 세션상의 응답 메시지에 액티브 코드를 부가시킨다. 따라서, 액티브 코드가 부가된 TCP 응답 메시지는 침입자 호스트를 향하여 네트워크 상에서 이동한다.
한편, 단계(S308)에서는 이러한 TCP 응답 메시지가 세션상의 응답 메시지에 부가된 액티브 코드를 실행시킬 수 있는 네트워크 중간 노드와 접촉되는지를 판단한다.
단계(S308)에서의 판단 결과, 네트워크 중간 노드와 접촉되었으면, 단계(S310)로 진행하여 네트워크 중간 노드(200)상의 코드 분류자(22)를 통해 TCP 응답 메시지에서 액티브 코드를 분류한다. 이때, 분류된 액티브 코드는 액티브 코드 실행 엔진(24)측으로 전송되고, 액티브 코드가 제거된 응답 메시지는 버퍼 관리자(26)측으로 각각 전송된다.
따라서, 단계(S312)에서 액티브 코드 실행 엔진(24)은 침입 세션에 대한 패킷 필터링 및 블록킹을 수행하고, 버퍼 관리자(26)는 이 응답 메시지를 버퍼링한다.
이후, 단계(S314)에서는 액티브 코드의 실행이 완료되는지를 판단하고, 액티브 코드의 실행이 완료되었으면 단계(S316)로 진행한다.
단계(S316)에서 접합자(28)는 상술한 액티브 코드를 응답 메시지에 부가하여 원래 형태로 복원한 후 다음 노드로 전달한다.
따라서, 액티브 코드를 포함하는 TCP 응답 메시지는 상술한 과정을 거쳐서 침입자의 호스트측으로 전달된다.
이상 설명한 바와 같이 본 발명은, 네트워크 침입자를 역추적하기 위해 네트워크상의 모든 시스템에 역추적 기능을 지원해야 하는 부담을 없애므로써, 특정 네트워크나 호스트를 보호해야 하는 보안 서비스 제공자로 하여금 설치 및 운용을 보다 용이하게 하는 효과가 있다.
또한, 네트워크 침입의 발생시 해당 침입에 대한 실시간 추적과, 추적에 따른 침입자의 근원지 부근에서 대응이 가능해져 해당 침입에 의한 피해를 최소화할 수 있는 효과가 있다.
이상, 본 발명을 실시예에 근거하여 구체적으로 설명하였지만, 본 발명은 이러한 실시예에 한정되는 것이 아니라, 후술하는 특허청구범위의 요지를 벗어나지 않는 범위내에서 여러 가지 변형이 가능한 것은 물론이다.

Claims (15)

  1. 액티브 코드 기반의 실시간 역추적 시스템에 있어서,
    TCP 응답 메시지에 부가된 액티브 코드를 이용하여 침입자를 역추적하며 상기 액티브 코드의 실행으로 상기 침입자의 트래픽에 대한 제어 기능을 수행하는 네트워크 중간에 설치되는 네트워크 노드와;
    상기 TCP 응답 메시지에 상기 액티브 코드를 부가하여 상기 네트워크 노드측으로 전달할 수 있는 상기 네트워크 종단에 설치되는 역추적 서버를 포함하며,
    상기 역추적 서버는,
    외부로부터 침입 탐지 정보가 입력되는 침입 탐지 인터페이스와;
    상기 액티브 코드로부터의 역추적 관련 정보를 관리하는 역추적 관리자와;
    상기 역추적 관리자에 의해 관리되며, 상기 역추적 관련 정보가 저장되는 역추적 정보 DB와;
    상기 역추적 관리자의 요청에 의해 역추적용 액티브 코드를 관리하는 액티브 코드 관리자와;
    상기 역추적용 액티브 코드 정보가 저장되는 액티브 코드 정보 DB와;
    임의의 네트워크 노드와 원격 연결을 지원하며 연결된 세션상의 응답 메시지에 액티브 코드를 부가하는 TCP 응용 프로그램으로 구성되며,
    상기 네트워크 노드는,
    상기 TCP 응답 메시지에서 액티브 코드를 분류하는 코드 분류자와;
    상기 코드 분류자에서 분류된 액티브 코드를 실행시키며 상기 액티브 코드 실행에 의해 트래픽 제어를 위한 인터페이스를 제공하는 액티브 코드 실행 엔진과;
    상기 코드 분류자에서 분류된 TCP 응답 메시지를 버퍼링하는 버퍼 관리자와;
    상기 액티브 코드의 실행 후 상기 액티브 코드를 상기 TCP 응답 메시지에 원래 형태로 부가하는 접합자로 구성되는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  2. 제 1 항에 있어서,
    상기 역추적 서버는 피해 대상 호스트에만 설치되는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  3. 제 1 항에 있어서,
    상기 네트워크 노드는 역추적 고려 대상 네트워크의 경계 부분에 설치되는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  4. 제 1 항에 있어서,
    상기 침입 탐지 인터페이스는 호스트 침입 탐지 시스템과 네트워크 침입 탐지 시스템으로부터 제공되는 침입 정보를 상기 역추적 관리자측으로 전달하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  5. 제 1 항에 있어서,
    상기 역추적 관리자는 상기 침입 탐지 인터페이스로부터 침해 사실을 통보받고, 상기 액티브 코드 관리자로 역추적 정보를 전송하여 적합한 액티브 코드를 반환받으며, 상기 반환된 액티브 코드를 상기 TCP 응용 프래그램측으로 전달하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  6. 제 1 항에 있어서,
    상기 액티브 코드 관리자는 연결된 세션상의 응답 메시지에 부가할 수 있는 액티브 코드를 관리하여 역추적 관리의 액티브 코드 요구에 대하여 적합한 액티브 코드를 상기 액티브 코드 DB에서 검색하여 반환하며, 새로운 액티브 코드를 상기 액티브 코드 DB에 저장하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  7. 제 1 항에 있어서,
    상기 TCP 응용 프로그램은 상기 역추적 관리자로부터 추적용 액티브 코드가 수신되며, 연결된 세션상의 상대편 호스트로 전달하는 응답 메시지에 추적을 위한 액티브 코드를 부가할 수 있는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  8. 제 1 항에 있어서,
    상기 액티브 코드 DB는 각각의 응용 특성 및 역추적 대응 특성에 따른 액티브 코드를 저장하며, 상기 액티브 코드 관리자의 요청에 대하여 적합한 액티브 코드를 전달하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  9. 제 1 항에 있어서,
    상기 역추적 정보 DB는 역추적 침해 사례에 대한 정보를 총괄 저장하며, 침해받은 응용 프로그램, 침해시간, 현재 역추적 노드의 위치, 각 노드에서의 대응 결과중 적어도 하나 이상의 정보가 저장되는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 시스템.
  10. 제 1 항에 있어서,
    상기 코드 분류자는 상기 네트워크에서 전달된 IP 패킷의 조합으로 TCP 응답 메시지를 복원하며, 해당 TCP 응답 메시지에서 액티브 코드를 분류하는 것을 특징으로 하는 액티브 코드기반의 실시간 역추적 시스템.
  11. 침입 탐지 인터페이스, 역추적 관리자, 액티브 코드 관리자, TCP 응용 프로그램을 포함하는 역추적 서버와, 코드 분류자, 버퍼 관리자, 액티브 코드 실행 엔진, 접합자를 포함하는 네트워크 노드를 각각 구비하는 액티브 코드 기반의 실시간 역추적 방법에 있어서,
    상기 침입 탐지 인터페이스에서 외부 네트워크 침입 탐지 시스템 또는 내부호스트 침입 탐지 시스템으로부터의 침해 사례에 대한 정보를 수집하는 제 1 단계와;
    상기 역추적 관리자에서 침입 사실에 대한 정보를 분석하여 공격자의 침해가 이루어지는 네트워크 세션을 구별하며, 해당 세션의 추적에 적합한 액티브 코드를 상기 액티브 코드 관리자측으로 요청하는 제 2 단계와;
    상기 액티브 코드 관리자에서 해당 액티브 코드를 선택하여 상기 역추적 관리자측으로 전달하고, 상기 역추적 관리자에서 상기 TCP 응용 프로그램측으로 상기 액티브 코드를 전달하는 제 3 단계와;
    상기 TCP 응용 프로그램에서 침입이 시도되는 세션상의 응답 메시지에 상기 액티브 코드를 부가함으로써 TCP 응답 메시지를 네트워크상에서 이동시키는 제 4 단계와;
    상기 TCP 응답 메시지가 상기 세션상의 응답 메시지에 부가된 액티브 코드를 실행시킬 수 있는 네트워크 중간 노드와 접촉되는지를 판단하는 제 5 단계와;
    상기 네트워크 중간 노드와 접촉되었으면, 상기 네트워크 중간 노드상의 상기 코드 분류자를 통해 상기 TCP 응답 메시지에서 상기 액티브 코드를 분류하되, 상기 분류된 액티브 코드는 상기 액티브 코드 실행 엔진측으로 전송하고 상기 액티브 코드가 제거된 응답 메시지는 상기 버퍼 관리자측으로 각각 전송하는 제 6 단계와;
    상기 액티브 코드 실행 엔진을 통해 침입 세션에 대한 패킷 필터링 및 블록킹을 수행하고, 상기 버퍼 관리자를 통해 상기 응답 메시지를 버퍼링하는 제 7 단계와;
    상기 액티브 코드의 실행이 완료되는지를 판단하고, 상기 액티브 코드의 실행이 완료되면 상기 접합자를 통해 상기 액티브 코드를 상기 응답 메시지에 부가하여 원래 형태로 복원한 후 다음 노드로 전달하는 제 8 단계를 포함하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 방법.
  12. 제 11 항에 있어서,
    상기 방법은 데이터 은닉 기법을 적용한 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 방법.
  13. 제 11 항에 있어서,
    상기 역추적 관리자는 상기 침입 사실에 대한 정보를 역추적 정보 DB에 기록하고, 상기 역추적 정보 DB를 바탕으로 침입 사실에 대한 정보를 분석하여 공격자의 침해가 이루어지는 네트워크 세션을 구별하는 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 방법.
  14. 제 11 항에 있어서,
    상기 액티브 코드 관리자는 상기 역추적 관리자로부터 제공되는 액티브 코드를 액티브 코드 정보 DB에 기록하고, 상기 액티브 코드 정보 DB를 바탕으로 유효한 액티브 코드를 선택하여 상기 역추적 관리자측으로 전달하는 것을 특징으로 하는액티브 코드 기반의 실시간 역추적 방법.
  15. 제 11 항에 있어서,
    상기 제 8 단계는 상기 액티브 코드가 부가된 최종 TCP 응답 메시지를 침입자의 호스트측으로 전달하는 과정인 것을 특징으로 하는 액티브 코드 기반의 실시간 역추적 방법.
KR10-2002-0063498A 2002-10-17 2002-10-17 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법 KR100470917B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0063498A KR100470917B1 (ko) 2002-10-17 2002-10-17 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0063498A KR100470917B1 (ko) 2002-10-17 2002-10-17 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법

Publications (2)

Publication Number Publication Date
KR20040034862A true KR20040034862A (ko) 2004-04-29
KR100470917B1 KR100470917B1 (ko) 2005-03-10

Family

ID=37333865

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0063498A KR100470917B1 (ko) 2002-10-17 2002-10-17 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법

Country Status (1)

Country Link
KR (1) KR100470917B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100484303B1 (ko) * 2002-10-21 2005-04-20 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
KR100930902B1 (ko) * 2008-03-25 2009-12-10 인하대학교 산학협력단 이동 애드훅 네트워크에서의 공격 근원 노드 역추적 방법
KR100951770B1 (ko) * 2005-12-30 2010-04-08 경희대학교 산학협력단 IPv6 네트워크에서 IP를 역추적하는 방법
US8358385B2 (en) 2006-01-31 2013-01-22 Casio Computer Co., Ltd. Liquid crystal display apparatus which performs display by using electric field in direction substantially parallel with substrate surfaces to control alignment direction of liquid crystal molecules

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100484303B1 (ko) * 2002-10-21 2005-04-20 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR100951770B1 (ko) * 2005-12-30 2010-04-08 경희대학교 산학협력단 IPv6 네트워크에서 IP를 역추적하는 방법
US8358385B2 (en) 2006-01-31 2013-01-22 Casio Computer Co., Ltd. Liquid crystal display apparatus which performs display by using electric field in direction substantially parallel with substrate surfaces to control alignment direction of liquid crystal molecules
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
US8166545B2 (en) 2007-03-14 2012-04-24 Electronics And Telecommunications Research Institute Method and apparatus for detecting executable code
KR100930902B1 (ko) * 2008-03-25 2009-12-10 인하대학교 산학협력단 이동 애드훅 네트워크에서의 공격 근원 노드 역추적 방법

Also Published As

Publication number Publication date
KR100470917B1 (ko) 2005-03-10

Similar Documents

Publication Publication Date Title
US7127510B2 (en) Access chain tracing system, network system, and storage medium
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
US20020046351A1 (en) Intrusion preventing system
US6907533B2 (en) System and method for computer security using multiple cages
US6895432B2 (en) IP network system having unauthorized intrusion safeguard function
JP3618245B2 (ja) ネットワーク監視システム
WO2002086724A1 (en) System and method for analyzing logfiles
CN101009607A (zh) 用于检测并防止网络环境中的洪流攻击的系统和方法
JP3687782B2 (ja) 不正侵入防止システム
JP2010529746A (ja) サイバー攻撃に対するネットワークの保護方法ならびにシステム
KR100470917B1 (ko) 액티브 코드 기반의 실시간 역추적 시스템 및 그 구현 방법
JP2003036243A (ja) 不正侵入防止システム
Pack et al. Detecting HTTP tunneling activities
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
Diebold et al. A honeypot architecture for detecting and analyzing unknown network attacks
KR100439169B1 (ko) 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100450770B1 (ko) 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR101090815B1 (ko) 데이터 통신 네트워크 상의 공격 검출 방법, 데이터 통신 네트워크 상의 공격 검출 장치, 라우터, 데이터 통신 시스템, 컴퓨터 판독가능 기록 매체 및 클라이언트 시스템 구비 방법
KR100464567B1 (ko) 센서를 이용한 액티브 네트워크 침입패킷 대응방법
KR20090081619A (ko) 파일 전송 보안 방법 및 장치
KR20040035305A (ko) 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
JP2002149602A (ja) 不正アクセスを防御するためのネットワーク接続装置
KR100564752B1 (ko) 역추적 관리 시스템 및 그 방법
KR20050003555A (ko) 전자적 침해에 대한 웹 서버 보안 방법
WO2023128976A1 (en) A network protection system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090102

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee