KR20040035305A - A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor - Google Patents

A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor Download PDF

Info

Publication number
KR20040035305A
KR20040035305A KR1020020064101A KR20020064101A KR20040035305A KR 20040035305 A KR20040035305 A KR 20040035305A KR 1020020064101 A KR1020020064101 A KR 1020020064101A KR 20020064101 A KR20020064101 A KR 20020064101A KR 20040035305 A KR20040035305 A KR 20040035305A
Authority
KR
South Korea
Prior art keywords
node
sensor
intruder
management server
information
Prior art date
Application number
KR1020020064101A
Other languages
Korean (ko)
Other versions
KR100484303B1 (en
Inventor
손선경
나중찬
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0064101A priority Critical patent/KR100484303B1/en
Publication of KR20040035305A publication Critical patent/KR20040035305A/en
Application granted granted Critical
Publication of KR100484303B1 publication Critical patent/KR100484303B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/10Scheduling measurement reports ; Arrangements for measurement reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PURPOSE: A method for re-tracking an active network trespasser by a mobile sensor and notifying the result is provided to re-track an attacker, who trespasses on a specific node through several nodes of an active network, through linkage with a transit node and transmit the result to a victim node. CONSTITUTION: If an external trespasser(14) connects to a server B(23) of a domain B(20) through several paths and attacks a server C(33) of a domain C(30), the server C(33) of the domain C(30) informs a sensor management server C(32) of the domain C(30) that the server C(33) receives attack from the server B(23) of the domain B(20)(S201). A mobile sensor, which resides in the sensor management server C(32), moves to a sensor management server B(22) of the domain B(20)(S202). The mobile sensor moves between the sensor management server B(22) and the server B(23), acquires information of a transit node and session logging information, and transmits information of the transit node and session logging information to the sensor management server B(22)(S203,S204). The sensor management server B(22) generates a new mobile sensor, and transmits the generated new mobile sensor to the sensor management server C(32) of the domain C(30) for notifying the re-tracking result including basic information of the mobile sensor, information of the transit node, information of an attacker node and session information between a real attacker node and the server B(23)(S205). The mobile sensor moves to a sensor management server A(12) of a domain A(10) to which the trespasser(14) belongs(S206).

Description

이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법 {A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor}{A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor}

본 발명은 액티브 네트워킹 기술에 관한 것으로서 보다 상세하게는, 액티브 네트워크의 액티브 노드 상에서 실행되는 이동형 센서를 이용하여 상기 액티브 네트워크의 여러 노드를 경유하여 특정 노드에 침입한 공격자를 경유지 노드와의 연계를 통해 역추적하고 그 결과를 피해자 노드까지 전달하는 이동형 센서를 이용한 침입자 패킷의 역추적 및 그 결과 통보방법에 관한 것이다.The present invention relates to an active networking technology, and more particularly, by using a mobile sensor running on an active node of an active network, an attacker who invades a specific node via various nodes of the active network through association with a waypoint node. The present invention relates to a method of backtracking an intruder packet using a mobile sensor that traces back a result and delivers the result to a victim node and a method of notifying the result.

일반적으로. 현재 널리 사용되고 있는 센서(Sensor)는 하나의 응용 계층에서 동작하는 프로그램의 일종으로 종래의 센서 기술은 단순히 정보 수집에 한정되어 있는 실정이다. 이와 같이 단순히 데이터를 수집하여 이를 전달하는 종래의 수동적 센서를 통해 네트워크를 능동적으로 보안, 감시 및 관리하기는 사실상 한계가 있다. 따라서, 센서를 이용한 네트워크의 능동적 보안, 감시를 위해서는 네트워크 상의 액티브 노드에 존재하며 프로그래머블이 가능하고 네트워크 관리에 관해 향상된 기능을 지니며 응용 계층뿐만 아니라 운영체제의 커널에서 동작하는 새로운 개념의 센서가 필요하게 되었다.Generally. Currently widely used sensor is a kind of program that operates in one application layer, and the conventional sensor technology is limited to simply collecting information. As such, there is a practical limit to actively securing, monitoring, and managing a network through a conventional passive sensor that simply collects data and delivers it. Therefore, the active security and monitoring of the network using sensors requires a new concept of sensors that reside in the active nodes on the network, which are programmable, have enhanced functions for network management, and operate in the kernel of the operating system as well as the application layer. It became.

최근 인터넷의 보급으로 누구나 네트워크에 간단하게 연결하여 많은 정보를 주고 받을 수 있게 되었다. 그러나, 해킹 등과 같이 시스템 또는 네트워크에 침입한 후 이를 공격하여 마비시키는 등의 부작용도 많이 나타나게 되었으며 그 수법 또한 다양해지고 있다. 이와 같이 네트워크 공격과 관련하여 수동적이고 자신의 네트워크를 보호하려는데 급급했던 종래의 보안 정책에서 벗어나 외부 침입자에 대하여 능동적이고 적극적으로 대처하기 위해서는 네트워크 공격자(Attacker 또는 Hacker)를 역추적하여 상기 공격자의 정보를 피해자에게 알리는 등의 새로운 대응책이 절실히 요구되어 왔다.With the recent spread of the Internet, anyone can simply connect to the network to send and receive a lot of information. However, many side effects such as attacking and paralyzing after invading a system or a network, such as hacking, have also appeared, and the methods thereof have also been diversified. As described above, in order to proactively and proactively deal with external intruders, it is necessary to trace back the attacker's information in order to proactively and proactively deal with external intruders. New countermeasures such as informing victims have been urgently needed.

일반적으로 네트워크 침입자에 대한 역추적의 경우, 침입자를 탐지한 센서관리서버가 역추적을 시도할 때, 피해 노드와의 접속 세션이 이루어진 노드로 액티브 패킷을 전송한다. 전송된 액티브 패킷은 이 노드가 실제 공격자인지 공격의 경유지로 사용되었는지를 판단한다. 이 노드가 경유지로 사용되었다면 액티브 패킷은 경유지 노드의 접속 세션 정보를 참조하여 경유지 노드에 접속한 노드로 이동한다. 새로운 공격자로 밝혀진 노드에서 경유지 노드에서와 마찬가지 작업을 수행하여 실제 공격자임이 드러나면 해당 IP를 고립시키는 등의 대응을 하고 실제 공격자에 대한 정보를 피해자 도메인의 관리 서버에게 전달한다. 이때 경유지 노드에 대한 정보도 함께 전달되어야 하는데, 크게 세 가지 방법이 적용될 수 있다. 하나는 역추적을 하는 중에 경유지에 대한 정보를 센서에 포함시키는 방법이다. 이것은 경유지 노드의 개수를 예측할 수 없기 때문에 센서의 크기를 고정시킬 수 없다는 단점이 있다. 다른 하나는 경유지 노드에 대한 정보를 피해자 노드에 보내지 않고 해당 경유지 노드의 관리 서버가 관리하는 방법이다. 경유지 노드에 대한 정보가 필요할 때는 피해자 노드가 따로 경유지 노드에게 정보를 요청해야 한다. 마지막 방법은 역추적이 완료될 때까지는 경유지 노드의 관리 서버가 경유지 노드 정보를 관리하다가 최종 공격자 도메인의 관리 서버에서 전송한 역추적이 완료되었음을 알리는센서가 도착하면 그 센서에 추가하여 재전송하는 방법이 있다. 이 방법은 피해자 노드에서 역추적 완료 센서를 받기 전까지 역추적의 진행 상황을 파악하지 못한다.In general, in the case of the traceback to the network intruder, when the sensor management server detecting the intruder tries to trace back, the active packet is transmitted to the node where the connection session with the victim node is established. The transmitted active packet determines whether this node is a real attacker or a waypoint of attack. If this node is used as a waypoint, the active packet refers to the connection session information of the waypoint node and moves to the node that connected to the waypoint node. The node identified as the new attacker performs the same operation as the waypoint node, and when it is revealed that it is an actual attacker, it responds by isolating the corresponding IP and sends the information about the actual attacker to the management server of the victim domain. At this time, information on the waypoint node should be delivered together, and three methods can be applied. One is to include information about waypoints in the sensor during backtracking. This has the disadvantage that the size of the sensor cannot be fixed because the number of waypoint nodes cannot be predicted. The other is that the management server of the waypoint node manages the information on the waypoint node without sending the information about the waypoint node to the victim node. When information about waypoint nodes is needed, the victim node must request information from the waypoint node separately. The last method is to manage the waypoint node information by the management node of the waypoint node until the traceback is completed, and then add it to the sensor when the sensor that informs that the traceback sent from the management server of the final attacker's domain is completed. have. This method does not track the progress of the traceback until the victim node receives the traceback completion sensor.

네트워크 상의 피해자의 관리 서버는 경유지 노드에 대한 정보를 이용하여 블랙 리스트 등의 대응을 하기 원하며, 동시에 역추적의 진행 상황을 신속히 파악하고자 한다. 그러나, 이와 같이 종래의 센서는 그 기능이 단순하고 하나의 응용 계층에서 동작하기 때문에, 복잡한 분산 네트워크 시스템 환경에서 그 시스템의 자원을 능동적으로 사용할 수 없으며 이로 인해 상술한 바와 같이 네트워크를 통한 침입자에 대하여 능동적으로 대처하기에는 사실상 불가능하였다.The victim's management server on the network wants to respond to the black list using the information on the waypoint node, and at the same time, to quickly grasp the progress of the backtracking. However, since the conventional sensor has a simple function and operates at one application layer, the conventional sensor cannot actively use the resources of the system in a complex distributed network system environment. It was virtually impossible to cope actively.

본 발명은 상기 문제점을 해결하기 위해 제안된 것으로, 경유지 노드에서 새로운 공격자 주소를 검출하고 액티브 네트워크에서 액티브 노드 상에 존재하는 이동형 센서가 새로운 공격자 노드로 이동하면서 동시에 경유지 노드에 대한 정보 및 상기 경유지 노드와 피해자 노드 사이의 세션 정보 등을 피해자 노드에게 통보하는 센서를 이용한 침입자 역추적 및 그 결과 통보방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above-mentioned problem, and detects a new attacker address in the waypoint node, while a mobile sensor existing on the active node in the active network moves to a new attacker node and simultaneously provides information on the waypoint node and the waypoint node. Its purpose is to provide an intruder traceback and result notification method using a sensor that notifies the victim node of session information between the client and victim nodes.

도 1은 본 발명이 적용되는 액티브 네트워크에서의 침입자의 이동경로에 대한 일실시예를 도시한 도면이다.1 is a diagram illustrating an embodiment of an intruder's movement path in an active network to which the present invention is applied.

도 2는 본 발명에 따른 이동 센서를 이용하여 침입자를 역추적하고 이를 통보하는 과정을 도시한 도면이다.2 is a diagram illustrating a process of tracking back and informing an intruder using a movement sensor according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

10 : 도메인 A 11 : 액티브 노드 A10: domain A 11: active node A

12 : 센서관리서버 A 13 : 서버 A12: sensor management server A 13: server A

14 : 침입자(공격자 또는 해커) 20 : 도메인 B14: Intruder (Attacker or Hacker) 20: Domain B

21 : 액티브 노드 B 22 : 센서관리서버 B21: active node B 22: sensor management server B

23 : 서버 B 30 : 도메인 C23: server B 30: domain C

31 : 액티브 노드 C 32 : 센서관리서버 C31: active node C 32: sensor management server C

33 : 서버 C 41~43 : 액티브 노드33: server C 41 ~ 43: active node

100 : 인터넷 1,2 : 침입자 이동 경로100: Internet 1,2: intruder movement path

상기 목적을 달성하기 위한 본 발명은, 각각 이동형 센서가 상주하여 실행되는 복수개의 액티브 노드와 상기 이동형 센서를 관리하는 센서관리서버를 포함하여 구성된 액티브 네트워크에서 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법에 있어서, 액티브 노드에서 실행되는 이동형 센서가 액티브 네트워크를 통해 들어오는 침입자의 공격을 감지하여 피해자 노드가 속한 도메인의센서관리서버에게 보고하는 제1 단계; 상기 이동형 센서는 상기 침입자가 경유한 도메인의 센서관리서버로 이동하여 경유지로 사용된 노드의 정보 및 상기 경유지 노드에 접속한 세션 정보를 획득하는 제2 단계; 상기 획득한 정보를 분석하여 상기 경유지 노드와의 세션을 이룬 노드를 침입자 노드로 간주하고 상기 경유지 노드에 대한 침입자 역추적 결과 정보를 상기 피해자 노드의 센서관리서버로 통보하는 제3 단계; 상기 이동형 센서는 상기 침입자 노드가 속한 도메인의 센서관리서버로 이동하여 상기 침입자 노드에 접속한 세션 정보를 확인하고 더 이상의 세션 정보가 없는 경우 해당 노드를 실제 침입자로 최종 판단하는 제4 단계; 및 상기 최종 침입자 노드에 대한 침입자 역추적 결과 정보를 상기 피해자 노드의 센서관리서버로 통보하는 제5 단계를 포함한다.The present invention for achieving the above object, the active network intruder using the mobile sensor in the active network configured to include a plurality of active nodes and the sensor management server for managing the mobile sensor, each of which is run and resides therein, and 1. A method of notifying a result, the method comprising: a first step of detecting, by a mobile sensor running in an active node, an attack of an intruder entering through an active network, and reporting it to a sensor management server of a domain to which a victim node belongs; The mobile sensor moves to a sensor management server of a domain via the intruder and obtains information of a node used as a waypoint and session information connected to the waypoint node; A third step of analyzing the obtained information to regard a node having a session with the waypoint node as an intruder node and to notify the sensor management server of the victim node of the intruder traceback result information for the waypoint node; The mobile sensor moves to a sensor management server of a domain to which the intruder node belongs, checks session information connected to the intruder node, and finally determines the node as an actual intruder when there is no more session information; And a fifth step of notifying the sensor management server of the victim node of the intruder traceback result information for the last intruder node.

본 발명은 센서를 이용한 네트워크 침입자를 역추적하고 그 결과를 통보하는 방법을 제공한다. 특히, TCP 계열의 리모트 접속 서비스를 이용하여 여러 노드를 경유하여 자신의 위치를 위장한 후 특정 노드에 침입한 침입자(공격자)를 역추적할 때, 경유지 노드와 연계하여 역추적하고 그 결과를 피해자 노드까지 효율적으로 전달하는 방법을 제공한다. 여러 노드를 경유한 공격자를 역추적하기 위해서는 침입자가 경유한 각 노드에서 제공하는 정보들을 사용하여 공격자가 어느 노드에 접속하였는지를 파악한다. 침입자가 경유한 노드에 대한 정보는 공격을 당한 노드를 관리하는 서버에게 전달된다. 이를 위해 본 발명에서는 이동 코드의 이동성을 지니고 운영체제의 커널에서 동작하며 네트워크를 구성하는 시스템의 자원을 사용할 수 있고 운영체제의 일부분에 직접 연결하여 필요에 따라 내용을 변경하는 기능을 갖는 새로운 개념의 이동형 센서를 이용한 능동 보안 기술을 사용한다. 침입자의 이동 경로를 따라서 이동하는 이동형 센서는 경유지 노드에서 획득한 정보를 역추적을 처음 시도한 피해자 도메인의 서버에게 전달하고 이 정보를 이용하여 다음 노드로 이동한다. 따라서 본 발명에서는 액티브 네트워크 기술을 이용하여 경유지 노드에서 알아낸 침입자의 정보를 피해자 노드가 속한 도메인을 관리하는 서버에게 전달하는 메커니즘을 제안한다.The present invention provides a method for tracking back network intruders using sensors and reporting the results. In particular, when tracing an intruder (attacker) who invades a specific node after disguising its location through multiple nodes using TCP-based remote access service, it traces in connection with the waypoint node and traces the result. Provides a way to efficiently deliver. In order to trace back an attacker through multiple nodes, the information provided by each node through the intruder is used to determine which node the attacker is connected to. Information about nodes traversed by the intruder is forwarded to the server managing the compromised node. To this end, in the present invention, a mobile sensor having a mobility of a mobile code, operating in the kernel of an operating system, using resources of a system constituting a network, and directly connecting to a part of the operating system and changing contents as needed. It uses active security technology. The mobile sensor that moves along the intruder's path forwards the information obtained from the waypoint node to the server in the victim's domain that first attempted backtracking and uses this information to move to the next node. Therefore, the present invention proposes a mechanism for transmitting the intruder's information found at the waypoint node to the server managing the domain to which the victim node belongs using active network technology.

따라서, 본 발명에서는 역추적을 위한 이동형 센서는 경유지 도메인의 관리 서버로 이동하여 경유지로 사용된 노드의 정보와 경유지 노드에 접속한 세션 정보를 얻는다. 역추적을 위한 이동형 센서는 획득한 정보를 분석하여 경유지 노드와의 세션을 이룬 노드를 실제 공격자로 간주하고, 역추적 센서의 기본 정보, 경유지 노드 정보, 침입자 노드 정보, 두 노드 간 세션 정보 등을 포함한 역추적 수행 결과 보고를 위한 이동형 센서를 생성하여 피해자 노드의 관리 서버로 전송하고, 자신은 침입자가 속한 도메인의 센서 관리 서버로 이동한다. 이를 반복하여, 더 이상의 세션 정보가 없으면 해당 노드를 실제 최종 공격자로 판단한다. 이때 피해자 도메인의 센서 관리 서버에게 보내는 역추적 수행 결과 보고를 위한 이동형 센서는 해당 역추적에 대한 마지막 수행 결과를 보고하는 이동형 센서임을 알리는 표기를 하여 피해자 도메인의 센서 관리 서버가 역추적을 마무리하도록 한다.Accordingly, in the present invention, the mobile sensor for backtracking moves to the management server of the waypoint domain to obtain information on the node used as waypoint and session information connected to the waypoint node. The mobile sensor for backtracking analyzes the acquired information and considers the node that has established a session with the waypoint node as a real attacker, and the basic information of the backtracking sensor, waypoint node information, intruder node information, session information between two nodes, etc. A mobile sensor for reporting the traceback result is included and transmitted to the management server of the victim node, and the user moves to the sensor management server of the domain to which the intruder belongs. By repeating this, if there is no more session information, the node is determined to be the actual final attacker. At this time, the mobile sensor for reporting the traceback performance result sent to the sensor management server of the victim domain indicates that the sensor is a mobile sensor that reports the last result of the traceback so that the sensor management server of the victim domain finishes the backtracking. .

상술한 목적 및 특징들, 장점은 첨부된 도면과 관련한 다음의 상세한 설명을통하여 보다 분명해 질 것이다. 이하, 본 발명의 바람직한 실시예가 첨부된 도면을 참조하여 본 발명을 상세히 설명한다.The above objects, features, and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in detail the present invention.

도 1은 본 발명이 적용되는 액티브 네트워크에서의 침입자의 이동경로에 대한 일실시예를 도시한 것으로서, 침입자(공격자)가 타 도메인의 특정 서버에 접속하여 자신을 위장한 후 피해자 도메인을 공격하는 모습을 나타낸 도면이다. 도 1에 도시된 액티브 네트워크(Active Network)는 예를 들어, ISP 망과 같은 대규모의 네트워크일 수도 있고, 또는 IP 네트워크나 오버레이(overlay) 형태로 존재하는 액티브 네트워크일 수도 있다. 도 1에 도시된 바와 같이, 각 도메인(10,20,30) 내의 각 서버(13,23,33)는 해당 도메인 내의 전반적인 관리를 담당하며, 상기 도메인 내의 각 액티브 노드(11,21,31)는 액티브 네트워크상에서의 연결점으로서 데이터 송신의 재분배점 또는 끝점을 나타낸다. 상기 액티브 노드(11,21,31)는 상기 액티브 네트워크의 관리 정보를 포함하며 데이터를 인식, 처리하거나 다른 노드로 전송하기 위한 기능을 가지도록 프로그래밍되어 있다. 나아가, 상기 각각의 액티브 노드는 다른 네트워크(다른 액티브 네트워크 또는 일반적인 IP 네트워크일 수도 있음)의 액티브 노드와 연결되어 데이터를 전송할 수도 있고 호스트에 직접 연결될 수도 있다. 상기 실행 노드는 예를 들어, 라우터 등이 될 수 있다.1 illustrates an embodiment of an intruder's movement path in an active network to which the present invention is applied. FIG. 1 shows an attacker (attacker) attacking a victim domain after disguising himself by accessing a specific server in another domain. The figure shown. The active network illustrated in FIG. 1 may be, for example, a large-scale network such as an ISP network, or may be an active network existing in the form of an IP network or an overlay. As shown in FIG. 1, each server 13, 23, 33 in each domain 10, 20, 30 is responsible for overall management in that domain, and each active node 11, 21, 31 in the domain. Denotes the redistribution point or endpoint of data transmission as the connection point on the active network. The active nodes 11, 21 and 31 contain management information of the active network and are programmed to have a function for recognizing, processing or transmitting data to another node. Furthermore, each active node may be connected to an active node of another network (which may be another active network or a general IP network) to transmit data or directly connected to a host. The execution node may be, for example, a router or the like.

상기 액티브 노드 상에는 이동형 센서가 상주하면서 실행된다. 실질적으로 상기 이동형 센서가 액티브 네트워크 관리 정보를 포함하며 상기 각 도메인내의 센서관리서버(12,22,32)로부터의 정책을 수신하여 상기 액티브 네트워크 관리를 담당한다. 상기 센서관리서버(12,22,32)는 각 도메인에 상주중인 이동형 센서에 대한정보를 데이터베이스로 구축하여 관리하고 상기 이동형 센서들과의 통신을 담당한다. 이러한 본 발명에 따른 이동형 센서는 액티브 네트워크 상에 존재하며 프로그래머블이 가능하고 네트워크 관리, 보안에 관해 향상된 기능을 지낸 새로운 개념의 센서이다. 여기서, 도 1의 경우 각 도메인(10,20,30) 내의 호스트에는 로그 에이전트가 존재하여 접속 세션 정보를 기록한다고 가정한다.A mobile sensor resides on the active node. Substantially, the mobile sensor includes active network management information and receives the policy from the sensor management servers 12, 22, and 32 in each of the domains, and takes charge of the active network management. The sensor management servers 12, 22, and 32 construct and manage information on mobile sensors residing in each domain in a database and are in charge of communication with the mobile sensors. The mobile sensor according to the present invention is a sensor of a new concept that resides on an active network, is programmable, and has advanced functions with respect to network management and security. 1, it is assumed that a log agent exists in a host in each domain 10, 20, 30 to record access session information.

도 1에 도시된 본 발명의 일실시예에 따른 액티브 네트워크의 구조에서, 침입자(Hacker;14) 또는 공격자는 도메인 A(10)의 서버 A(13)에 접속하여 자신을 위장한 후 네트워크 내 다수의 액티브 노드(41,42,43)를 통해 다른 도메인 B(20)의 노드들을 경유하여 피해자 도메인 C(30)을 공격하는 모양을 도시하고 있다. 여기서, 각 도메인 내의 센서관리서버(12,22,32) 및 액티브 노드(11,21,31)는 이동형 센서가 수행될 수 있도록 되어 있다. 각 도메인 내의 호스트에는 로그 에이전트가 존재하여 접속 세션 정보를 기록한다고 가정한다. 이와 같이, 액티브 네트워크에서 상기 침입자(14)는 도메인 A(10)의 서버 A(13)에 접속함으로써 침입한 후 네트워크 상의 여러 노드들을 경유하여 특정 노드를 공격함으로써 피해자 노드는 해킹 또는 시스템 마비등과 같은 부작용을 유발하게 된다. 도 1에서는 도메인 C(30)의 서버 C(33)가 그 피해자 노드가 된다. 미설명 부호 1 및 2는 공격자(14)의 경유 경로 순서를 나타낸다.In the structure of an active network according to an embodiment of the present invention shown in FIG. 1, an intruder (Hacker) 14 or an attacker connects to the server A 13 of the domain A 10 and disguises itself, and then, The victim node C 30 is shown to be attacked via the active nodes 41, 42 and 43 through the nodes of the other domain B 20. Here, the sensor management servers 12, 22, 32 and the active nodes 11, 21, 31 in each domain are configured to be mobile sensors. It is assumed that a log agent exists in each host in each domain to record connection session information. As such, in an active network, the intruder 14 invades by connecting to the server A 13 of the domain A 10 and then attacks a specific node via various nodes on the network, thereby causing the victim node to be hacked or paralyzed. It will cause the same side effects. In Fig. 1, server C 33 of domain C 30 becomes its victim node. Reference numerals 1 and 2, which are not shown, indicate the route order of the attacker 14.

도 2는 본 발명에 따른 이동 센서를 이용하여 침입자를 역추적하고 이를 통보하는 과정을 도시한 것이다. 여기서, 도 1과 비교하여 동일한 장치에는 동일한 도면부호를 기재한다. 도 2를 참조하여, 도 1에 도시된 바와 같이 침입자(14)가 도메인 B(20)의 노드를 경유하여 서버 B(23)로 위장한 후 도메인 C(30)의 서버 C(33)를 공격한 경우에 있어서 상기 침입자(14)를 역추적하고 그 결과를 통보하는 과정을 설명한다. 먼저, 정당하지 못한 외부의 침입자(14)가 여러 경로를 경유하여 도메인 B(20)의 서버 B(23)에 접속한 후 자신을 상기 서버 B(23)로 위장하여 도메인 C(30)의 서버 C(33)를 공격한 경우, 상기 도메인 C(30)의 서버 C(33)는 상기 도메인 B(20)의 서버 B(23)로부터 공격을 받았다는 것을 자신의 도메인 C(30)의 센서관리서버 C(32)로 알린다(S201). 이어, 상기 센서관리서버 C(32)에 상주하여 동작하는 이동형 센서는 공격을 해온 서버를 역추적하기 위해 도메인 B(20)의 센서관리서버B(22)로 이동한다(S202). 상기 이동형 센서는 상기 센서관리서버 B(22)와 서버 B(23) 사이를 왕복 이동하면서 경유지로 사용된 노드의 정보와 경유지 노드에 접속한 세션 로깅 정보(Session logging Information)를 얻어 센서관리서버 B(22)로 전달한다(S203,S204). 이 경우, 상기 센서관리서버 B(22)는 상기 이동형 센서 획득한 정보들을 분석하여 상기 서버 B(23)가 침입자인지 아니면 단지 경유지 노드인지를 판단하게 되며, 상기 서버 B(23)는 침입자(14)의 경유지 노드이므로 상기 경유지 노드와의 세션을 이룬 노드(여기서는 도메인 A(10)의 액티브 노드(11)이다)가 실제 공격자이며 상기 서버 B(23)는 단지 경유지 노드에 불과하다고 판단하게 된다. 이어, 상기 센서관리서버(22)는 상기 역추적을 위한 이동형 센서의 기본 정보, 상기 경유지 노드의 정보, 공격자 노드의 정보, 실제 공격자의 노드와 서버 B(23)간의세션정보 등을 포함하는 역추적 수행 결과를 통보하기 위한 새로운 이동형 센서를 생성하여 상기 피해자 도메인 C(30)의 센서관리서버 C(32)로 전송한다(S205). 이와 동시에 상기 역추적을 위한 이동형 센서는 상기 침입자(공격자)가 속한 도메인 A(10)의 센서관리서버 A(12)로 이동한다(S206). 상기 과정들을 반복해서 실행하여 도메인 A(10)의 노드에 접속한 세션 정보가 더 이상 없으면 해당 노드를 실제 공격자로 최종적으로 판단한다. 이어, 상기 센서관리서버 A(12)는 해당 역추적에 대한 수행 결과를 보고하기 위한 새로운 이동형 센서를 생성하여 이를 통해 상기 피해자 도메인 C(30)의 센서관리서버 C(32)로 알린다. 이때, 상기 새로운 이동형 센서에는 상기 역추적에 대한 마지막 수행 결과를 보고하는 센서임을 알리는 표기를 한다. 이로써, 공격자(14)에 대한 역추적이 마무리되고 그 결과 통보도 마무리된다. 비록, 도면에는 3개의 도메인(10,20,30)이 개시되어 있으나 본 발명이 이에 한정되는 것은 아니다.Figure 2 shows the process of backtracking and informing the intruder using the movement sensor according to the present invention. Here, the same reference numerals are given to the same apparatus as compared with FIG. Referring to FIG. 2, as shown in FIG. 1, an intruder 14 masquerades as server B 23 via a node in domain B 20 and attacks server C 33 in domain C 30. In this case, the process of backtracking the intruder 14 and reporting the result will be described. First, an unsuspecting external intruder 14 connects to server B 23 of domain B 20 via various paths, and then disguises itself as server B 23 to server of domain C 30. When attacking the C (33), the server C (33) of the domain C (30) sensor management server of its own domain C (30) that the attack from the server B (23) of the domain B (20) Informed by C 32 (S201). Subsequently, the mobile sensor residing in the sensor management server C 32 moves to the sensor management server B 22 of the domain B 20 to trace back the server that has been attacked (S202). The mobile sensor reciprocates between the sensor management server B 22 and the server B 23 to obtain information on the node used as a waypoint and session logging information connected to the waypoint node, and to obtain the sensor logging server B. (22) (S203, S204). In this case, the sensor management server B 22 analyzes the acquired information of the mobile sensor to determine whether the server B 23 is an intruder or merely a stopover node, and the server B 23 is an intruder 14. Since it is a waypoint node, the node that has established a session with the waypoint node (here, the active node 11 of the domain A 10) is a real attacker and the server B 23 determines that it is only a waypoint node. Subsequently, the sensor management server 22 includes the basic information of the mobile sensor for the backtracking, the information of the waypoint node, the information of the attacker node, the session information between the actual attacker node and the server B 23, and the like. A new mobile sensor for notifying the tracking performance is generated and transmitted to the sensor management server C 32 of the victim domain C 30 (S205). At the same time, the mobile sensor for backtracking moves to the sensor management server A 12 of the domain A 10 to which the intruder (attacker) belongs (S206). By repeating the above steps, if there is no more session information connected to the node of the domain A 10, the node is finally determined as an actual attacker. Subsequently, the sensor management server A 12 generates a new mobile sensor for reporting the performance of the traceback and informs the sensor management server C 32 of the victim domain C 30 through this. In this case, the new mobile sensor is marked to indicate that the sensor reports the last result of the traceback. As a result, the backtracking to the attacker 14 is finished and the notification is finished as a result. Although three domains 10, 20, and 30 are disclosed in the drawings, the present invention is not limited thereto.

이상에서 설명한 바와 같이, 본 발명에 따른 역추적을 위한 이동형 센서는 경유지 도메인의 액티브 노드로부터 해당 도메인의 센서관리서버의 주소를 획득하고 상기 센서관리서버로 이동하여 공격자로 지목된 호스트의 로그 에이전트로부터 세션 접속 정보를 얻어 실제 공격자의 위치를 파악한다. 상기 역추적을 위한 이동형 센서가 경유지 도메인을 지나 실제 공격자 도메인으로 이동함과 동시에, 경유지 정보를 전하는 역추적 결과 보고를 위한 새로운 이동형 센서가 피해자 도메인의 센서관리서버로 이동한다. 실제 공격자를 찾으면 상기 역추적을 위한 이동형 센서는소멸하고, 마지막 역추적 결과 보고를 위한 새로운 이동형 센서가 피해자 도메인으로 이동한다. 역추적 결과 보고를 위한 이동형 센서를 받는 센서관리서버는 공격의 정도에 따라 블랙리스트를 관리하거나 공격자의 패킷을 차단하는 등의 대응을 할 수 있다.As described above, the mobile sensor for backtracking according to the present invention obtains the address of the sensor management server of the corresponding domain from the active node of the transit point domain and moves to the sensor management server from the log agent of the host designated as an attacker. Obtain session access information to determine the actual attacker's location. The mobile sensor for backtracking moves through the waypoint domain to the actual attacker domain, and at the same time, a new mobile sensor for reporting backtracking results conveying waypoint information moves to the sensor management server in the victim domain. If a real attacker is found, the mobile sensor for traceback is destroyed, and a new mobile sensor for reporting the last traceback result is moved to the victim domain. The sensor management server receiving the mobile sensor for reporting the traceback result can manage the blacklist or block the attacker's packet according to the degree of the attack.

본 발명의 상세한 설명 및 도면에는 액티브 네트워크의 일실시예에 한정하여 이동형 센서의 역추적 및 그 결과 통보방법이 개시되어 있지만, 본 발명은 이동형 센서가 수행될 수 있는 액티브 노드로 구성되는 네트워크 등 다양하게 적용될 수 있을 것이다. 또한, 상기한 구조의 네트워크는 단지 본 발명의 설명하기 위한 바람직한 일례로서 본 발명의 권리범위를 한정하는 것은 아니다. 이러한 네트워크 구조, 장치 및 실행방법은 본 발명의 개념을 이용하면 다양하게 변경, 치환 또는 수정이 가능할 것이다. 따라서, 본 발명의 권리의 범위는 상기한 상세한 설명에 의해 결정되는 것이 아니라 첨부한 청구범위에 의해 결정되어야만 할 것이다.In the detailed description and drawings of the present invention, a method of backtracking and reporting a result of a mobile sensor is disclosed, and the present invention is limited to one embodiment of an active network. May be applied. In addition, the network of the above structure is merely a preferable example for explaining the present invention and does not limit the scope of the present invention. Such network structure, apparatus, and implementation method may be variously changed, replaced, or modified using the concept of the present invention. Accordingly, the scope of the present invention should be determined by the appended claims rather than by the foregoing description.

본 발명에 따르면, 공격을 당한 도메인의 센서관리서버에서 역추적을 시도할 때, 역추적의 진행 상황을 파악할 수 있을 뿐 아니라 역추적을 하는 도중에 발생할 수 있는 센서의 분실이나 오류에 적절한 대응을 할 수 있다. 또한, 역추적을 위한 이동형 센서에 공격자와 경유지 노드 사이의 접속 세션 정보를 포함시키지 않으므로 센서의 크기를 고정시킬 수 있고 신속한 역추적을 가능하게 한다.According to the present invention, when attempting to trace back from the sensor management server of the attacked domain, not only the progress of the traceback can be grasped, but also appropriate response to the loss or error of the sensor that may occur during the traceback is performed. Can be. In addition, since the mobile sensor for backtracking does not include connection session information between the attacker and the waypoint node, the size of the sensor can be fixed and the fast backtracking can be performed.

Claims (5)

각각 이동형 센서가 상주하여 실행되는 복수개의 액티브 노드와 상기 이동형 센서를 관리하는 센서관리서버를 포함하여 구성된 액티브 네트워크에서 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법에 있어서,In the active network intrusion tracer using the mobile sensor in the active network including a plurality of active nodes each running and running the mobile sensor and the sensor management server for managing the mobile sensor, and the result notification method, 액티브 노드에서 실행되는 이동형 센서가 액티브 네트워크를 통해 들어오는 침입자의 공격을 감지하여 피해자 노드가 속한 도메인의 센서관리서버에게 보고하는 제1 단계;A first step of detecting, by the mobile sensor running on the active node, an attack of an intruder entering through the active network, and reporting it to the sensor management server of the domain to which the victim node belongs; 상기 이동형 센서는 상기 침입자가 경유한 도메인의 센서관리서버로 이동하여 경유지로 사용된 노드의 정보 및 상기 경유지 노드에 접속한 세션 정보를 획득하는 제2 단계;The mobile sensor moves to a sensor management server of a domain via the intruder and obtains information of a node used as a waypoint and session information connected to the waypoint node; 상기 획득한 정보를 분석하여 상기 경유지 노드와의 세션을 이룬 노드를 침입자 노드로 간주하고 상기 경유지 노드에 대한 침입자 역추적 결과 정보를 상기 피해자 노드의 센서관리서버로 통보하는 제3 단계;A third step of analyzing the obtained information to regard a node having a session with the waypoint node as an intruder node and to notify the sensor management server of the victim node of the intruder traceback result information for the waypoint node; 상기 이동형 센서는 상기 침입자 노드가 속한 도메인의 센서관리서버로 이동하여 상기 침입자 노드에 접속한 세션 정보를 확인하고 더 이상의 세션 정보가 없는 경우 해당 노드를 실제 침입자로 최종 판단하는 제4 단계; 및The mobile sensor moves to a sensor management server of a domain to which the intruder node belongs, checks session information connected to the intruder node, and finally determines the node as an actual intruder when there is no more session information; And 상기 최종 침입자 노드에 대한 침입자 역추적 결과 정보를 상기 피해자 노드의 센서관리서버로 통보하는 제5 단계; 를 포함하는 것을 특징으로 하는 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법.Informing the sensor management server of the victim node of the intruder traceback result information for the last intruder node; Active network intruder traceback using the mobile sensor and the result notification method comprising a. 제 1항에 있어서, 상기 제2 단계는,The method of claim 1, wherein the second step, 상기 이동형 센서는 상기 침입자가 경유한 노드의 순서에 역순으로 각 해당 도메인의 센서관리서버로 이동하는 것을 특징으로 하는 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법.The mobile sensor traces back the active network intruder using the mobile sensor and reports the result, wherein the mobile sensor moves to the sensor management server of each corresponding domain in the reverse order of the nodes passed by the intruder. 제 1항에 있어서, 상기 제3 단계의 역추적 결과 정보는,The method of claim 1, wherein the backtracking result information of the third step is 상기 이동형 센서의 정보, 경유지 노드 정보, 침입자 노드 정보 및 상기 침입자 노드와 상기 경유지 노드 간의 세션 정보를 포함하는 것을 특징으로 하는 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법.And information about the mobile sensor, waypoint node information, intruder node information, and session information between the intruder node and the waypoint node. 제 1항에 있어서, 상기 제3 단계는,The method of claim 1, wherein the third step, 상기 경유지 노드가 속한 도메인의 센서관리서버가 상기 경유지 노드에 대한 침입자 역추적 결과를 통보할 새로운 이동형 센서를 생성하는 단계를 더 포함하여 상기 생성된 이동형 센서를 이용하여 상기 역추적 결과를 상기 피해자 노드의 센서관리서버로 통보하는 것을 특징으로 하는 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법.And generating, by the sensor management server of the domain to which the waypoint node belongs, a new mobile sensor for notifying the intruder backtracking result of the waypoint node by using the generated mobile sensor. Active network intruder backtracking and result notification method using a mobile sensor, characterized in that notified to the sensor management server. 제 1항에 있어서, 상기 제5 단계는,The method of claim 1, wherein the fifth step is 상기 침입자 노드가 속한 도메인의 센서관리서버가 상기 최종 역추적 결과를통보할 새로운 이동형 센서를 생성하는 단계를 더 포함하여 상기 생성된 이동형 센서를 이용하여 상기 역추적 결과를 상기 피해자 노드의 센서관리서버로 통보하는 것을 특징으로 하는 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및 그 결과 통보방법.And generating, by the sensor management server of the domain to which the intruder node belongs, a new mobile sensor for notifying the final traceback result. The sensor management server of the victim node receives the traceback result using the generated mobile sensor. Active network intruder traceback using the mobile sensor and the result notification method characterized in that the notification.
KR10-2002-0064101A 2002-10-21 2002-10-21 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor KR100484303B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0064101A KR100484303B1 (en) 2002-10-21 2002-10-21 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0064101A KR100484303B1 (en) 2002-10-21 2002-10-21 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor

Publications (2)

Publication Number Publication Date
KR20040035305A true KR20040035305A (en) 2004-04-29
KR100484303B1 KR100484303B1 (en) 2005-04-20

Family

ID=37334253

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0064101A KR100484303B1 (en) 2002-10-21 2002-10-21 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor

Country Status (1)

Country Link
KR (1) KR100484303B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service
KR101036195B1 (en) * 2004-08-31 2011-05-23 주식회사 비즈모델라인 Method for Relaying Data Between RFID Tags
KR101036198B1 (en) * 2009-08-31 2011-05-23 주식회사 비즈모델라인 System for Relaying Data Between RFID Tags
KR101036200B1 (en) * 2009-08-31 2011-05-23 주식회사 비즈모델라인 Terminal for Relaying Data Between RFID Tags

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR100332891B1 (en) * 1999-04-07 2002-04-17 이종성 Intelligent Intrusion Detection System based on distributed intrusion detecting agents
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100470917B1 (en) * 2002-10-17 2005-03-10 한국전자통신연구원 System and method for providing a real-time traceback technic based on active code

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service
KR101036195B1 (en) * 2004-08-31 2011-05-23 주식회사 비즈모델라인 Method for Relaying Data Between RFID Tags
KR101036198B1 (en) * 2009-08-31 2011-05-23 주식회사 비즈모델라인 System for Relaying Data Between RFID Tags
KR101036200B1 (en) * 2009-08-31 2011-05-23 주식회사 비즈모델라인 Terminal for Relaying Data Between RFID Tags

Also Published As

Publication number Publication date
KR100484303B1 (en) 2005-04-20

Similar Documents

Publication Publication Date Title
Singh et al. Machine-learning-assisted security and privacy provisioning for edge computing: A survey
Nazir et al. Survey on wireless network security
KR100456635B1 (en) Method and system for defensing distributed denial of service
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
US20060190993A1 (en) Intrusion detection in networks
KR20030069240A (en) Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
JP2008146660A (en) Filtering device, filtering method, and program for carrying out the method in computer
JP4751379B2 (en) Automated security platform
Alfaqih et al. Internet of things security based on devices architecture
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR100484303B1 (en) A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
JP2019514315A (en) Graph-Based Joining of Heterogeneous Alerts
KR20030052843A (en) System and method for inverse tracing a intruder
US8087083B1 (en) Systems and methods for detecting a network sniffer
Goyal et al. Application of Deep Learning in Honeypot Network for Cloud Intrusion Detection
CN101312465B (en) Abnormal packet access point discovering method and device
Rattanalerdnusorn et al. IoTDePT: Detecting security threats and pinpointing anomalies in an IoT environment
Panigrahi et al. A Survey on Opportunity and Challenges of IDS Over IoT
Hasan et al. Wireless Sensor Security Issues on Data Link Layer: A Survey.
KR20070114155A (en) Network attack detection
Rai et al. Attacks, Security Concerns, Solutions, and Market Trends for IoT
Hsiao et al. Detecting stepping‐stone intrusion using association rule mining
Shashikala et al. Secured Communication Strategies for Internet of Things Sensors
KR20040021926A (en) A Method for Handling Intrusion Packet of Active Network using Sensor
Rodas et al. A reliable and scalable classification-based hybrid ips

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100401

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee