KR20040039552A - Attacker traceback and isolation system and method in security network - Google Patents

Attacker traceback and isolation system and method in security network Download PDF

Info

Publication number
KR20040039552A
KR20040039552A KR1020020067660A KR20020067660A KR20040039552A KR 20040039552 A KR20040039552 A KR 20040039552A KR 1020020067660 A KR1020020067660 A KR 1020020067660A KR 20020067660 A KR20020067660 A KR 20020067660A KR 20040039552 A KR20040039552 A KR 20040039552A
Authority
KR
South Korea
Prior art keywords
information
host
network
connection
attacker
Prior art date
Application number
KR1020020067660A
Other languages
Korean (ko)
Other versions
KR100450770B1 (en
Inventor
이수형
나중찬
손승원
김현주
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0067660A priority Critical patent/KR100450770B1/en
Publication of KR20040039552A publication Critical patent/KR20040039552A/en
Application granted granted Critical
Publication of KR100450770B1 publication Critical patent/KR100450770B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

PURPOSE: A system and method for tracking an attacker back and intercepting an attack in a security network is provided to trace the location of an attacker back in case that the attacker accesses a specific host via many hosts for the purpose of the stealing or change of important data. CONSTITUTION: A system and method for tracking an attacker back and intercepting an attack in a security network is comprised of a session logging part(240), a security management system(220), and a traffic interruption part(230). The session logging part(240) is installed and executed at each host(210-213). The security management system(220) executes an attacker tracking function at each domain. The traffic interruption part(230), having an interface for an external system, intercepts an attacker's traffic through the interface.

Description

보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템 및 방법 {Attacker traceback and isolation system and method in security network}Attacker traceback and isolation system and method in security network

본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 네트워크 상에서 이루어지는 연결 기반 사이버 공격에 대해 능동적이고 효과적인 대응을 위해서 필요한 공격자의 실제 위치를 역추적하기 위한 보안 네트워크에서의 공격자 역추적 및 공격차단 시스템 및 방법에 관한 것이다.The present invention relates to network security, and more particularly, an attacker backtracking and attack blocking system in a security network for backtracking the actual location of an attacker necessary for active and effective response to connection-based cyber attacks on a network; It is about a method.

일반적으로 공격자가 특정 호스트에 접속할 경우 공격자가 로그인한 호스트에서 공격 대상 호스트로 직접 접속하지 않고 중간에 여러 호스트를 경유하고 이들호스트들이 여러 도메인에 걸쳐 글로벌하게 존재한다. 도 1은 종래의 네트워크 보안 기술에서 적용되는 보안 메커니즘을 나타낸 것이다. 종래의 네트워크 보안 시스템은 해당 도메인(로컬 네트워크)에 침입을 탐지하기 위해 침입탐지시스템(111)과 해당 도메인의 입구에서 탐지된 침입 트래픽을 차단하기 위한 방화벽시스템(110)으로 구성된다. 상기 두 시스템과의 통합을 위해 예전에는 보안 관리자가 수동으로 통합했으나 그 대응이 늦어 현재는 보안관리시스템(112)를 둔다. 만약 인터넷을 통하여 공격이 이루어지면(120), 이를 침입탐지시스템에서 탐지하여 이를 해당 도메인의 보안관리시스템으로 통보한다(121). 보안관리시스템은 방화벽시스템의 구성을 변경하고(122), 이를 통해 해당 공격 트래픽을 차단하게 된다(123).In general, when an attacker connects to a specific host, the host is not connected directly from the logged-in host to the target host, but through multiple hosts in between. These hosts exist globally across domains. 1 illustrates a security mechanism applied in a conventional network security technique. The conventional network security system includes an intrusion detection system 111 and a firewall system 110 for blocking intrusion traffic detected at an entrance of a corresponding domain to detect an intrusion into a corresponding domain (local network). In the past, the security manager manually integrated for the integration with the two systems, but the response is late, the security management system 112 is currently placed. If an attack is made through the Internet (120), it is detected by the intrusion detection system and notified to the security management system of the corresponding domain (121). The security management system changes the configuration of the firewall system (122), thereby blocking the attack traffic (123).

이 경우 차단하게 되는 트래픽에 대한 정보는 해당 도메인의 호스트로 접속한 이전 호스트의 주소가 그 기본이 되고, 만약 공격자가 여러 호스트를 경유하였다면 공격자의 호스트가 아니라 중간의 경유 호스트로부터 발생하는 트래픽을 차단하게 된다. 따라서 공격자가 경유 호스트를 달리하여 재 공격할 경우 이를 허용하게 된다. 즉 현재의 네트워크 보안 기술은 자신의 도메인 만을 대상으로 한 것으로서, 자신의 도메인 내에 침입을 탐지하기 위한 침입탐지시스템과 공격 트래픽을 차단하기 위한 방화벽시스템을 자신의 도메인 입구에 설치하고 자신의 도메인으로 이루어지는 공격을 어떻게 잘 탐지하고 공격 트래픽을 차단할 것인지에 초점이 맞추어져 있다. 하지만 이 경우 공격자에 대해서 가지게 되는 정보는 실제 공격자가 로그인한 호스트 정보가 아니라 중간에 경유한 호스트에 대한 정보를 가지게 되고,이 정보를 바탕으로 공격자의 트래픽을 차단하더라도 공격자는 네트워크에 자유로이 접근할 수 있다. 결과적으로 다른 경유 호스트를 이용한 제2, 제3의 공격을 허용하게 되고 공격을 받는 도메인에서는 이런 공격들에 대해 아무런 조치도 취할 수 없다는 문제점이 있다.In this case, the information about the traffic to be blocked is based on the address of the previous host that connected to the host of the domain, and if the attacker passes through multiple hosts, the traffic from the intermediate transit host is not blocked. Done. Therefore, if an attacker re-attempts a different transit host, this is allowed. In other words, the current network security technology targets only one's own domain. An intrusion detection system for detecting an intrusion in one's own domain and a firewall system for blocking attack traffic are installed at the entrance of one's domain. The focus is on how to detect attacks well and block attack traffic. In this case, however, the information possessed by the attacker is not the host information of the attacker logged in, but the information of the host through the middle. Based on this information, even if the attacker blocks traffic, the attacker can freely access the network. have. As a result, the second and third attacks using other transit hosts are allowed, and there is a problem in that no action can be taken against these attacks in the attacked domain.

본 발명은 상기한 바와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 본 발명이 이루고자 하는 기술적 과제는, 네트워크 상에서 중요 데이터의 절취, 변경 등을 목적으로 여러 호스트를 경유하여 특정 호스트로 연결을 설정하여 침입할 경우 실제 공격자의 위치를 역추적하는 보안네트워크에서의 공격자 역추적 시스템 및 방법을 제공하는 데 있다.The present invention has been proposed to solve the conventional problems as described above, and the technical problem to be achieved by the present invention is to establish a connection to a particular host via a number of hosts for the purpose of cutting, changing, etc. important data on the network To provide an attacker backtracking system and method in a security network that traces back the actual attacker's location in case of intrusion.

본 발명이 이루고자 하는 다른 기술적 과제는, 네트워크 상에서 중요 데이터의 절취, 변경 등을 목적으로 여러 호스트를 경유하여 특정 호스트로 연결을 설정하여 침입할 경우 실제 공격자의 위치를 역추적하여 공격자의 네트워크로의 인입점에서 해당 연결을 차단할 수 있는 보안네트워크에서의 공격자 역추적 및 차단 시스템 및 방법을 제공하는 데 있다.Another technical problem to be achieved by the present invention is to set up a connection to a specific host through various hosts for the purpose of cutting or changing important data on the network, and invading the attacker's network by trace back the actual attacker's location. It is to provide a system and method for backtracking and blocking attackers in a secure network that can block the connection at the entry point.

도 1은 종래의 네트워크 보안 기술에서 적용되는 보안 메커니즘을 도시한 것이다.1 illustrates a security mechanism applied in a conventional network security technique.

도 2는 본 발명에 따른 보안네트워크에서의 공격자 역추적 및 공격차단 시스템의 일실시예를 도시한 것이다.2 illustrates an embodiment of an attacker traceback and attack blocking system in a security network according to the present invention.

도 3은 해당 호스트에서 각 연결에 대한 추적 정보에 대한 로그 데이터를 남기고 보안관리 시스템과 통신하기 위한 각 기능 블록 및 그 동작을 도시한 것이다.FIG. 3 shows each function block and its operation for communicating with the security management system, leaving log data for tracking information for each connection in the host.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 보안 네트워크에서의 공격자 역추적 시스템은, 패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 가지고 있는 세션로깅부; 및 공격에 대한 추적을 수행하기 위해, 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 보안관리시스템을 포함함을 특징으로 한다.In order to achieve the above technical problem, the attacker traceback system in the security network according to the present invention is installed in the host in a network including at least one local network including a host for transmitting and receiving packet data, A session logging unit having information on a connection path between hosts for transmitting and receiving; And a security management system that requests the connection path information from a host of each local network and tracks an attacker's location by using the response to perform tracking of the attack.

상기 세션 로깅부의 호스트간의 연결경로에 관한 정보는 송수신되는 패킷정보 및 해당 호스트에서 사용자 세션변경 정보를 이용하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 이를 로그 데이터를 포함함이 바람직하다. 상기 세션 로깅부는 상기 로그데이터 및 사용자의 세션변경 정보로부터 특정 연결에 대한 추적 정보를 검색하고, 사용자계정 변경정보를 검색함이 바람직하다.The information on the connection path between hosts in the session logging unit includes log data by generating trace information about a connection that is accessed from another host to another host using packet information transmitted and received and user session change information in the host. It is preferable to. The session logging unit may retrieve tracking information for a specific connection from the log data and session change information of the user, and search for user account change information.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 보안 네트워크에서의 공격자 역추적 방법은, 패킷 데이터를 송수신하는 호스트 및 보안관리를 담당하는 보안관리 시스템을 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서 상기 호스트에서 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 생성하는 단계: 및 공격에 대한 추적을 수행하기 위해, 상기 보안관리 시스템이 상기 각 로컬네트워크의 호스트에 생성된 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 단계를 포함함을 특징으로 한다.In order to achieve the above technical problem, an attacker traceback method in a security network according to the present invention includes a network including at least one local network including a host for transmitting and receiving packet data and a security management system in charge of security management. Generating information regarding connection paths between hosts for transmitting and receiving packet data at the host; and requesting connection path information generated by the security management system to a host of each local network in order to track an attack And using the response to track the attacker's location.

상기 호스트간의 연결경로 정보 생성단계는 송수신되는 패킷정보 및 해당 호스트에서 사용자 세션변경 정보를 이용하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 이를 로그 데이터로 남기는 단계; 및 상기 로그데이터 및 사용자의 세션변경 정보로부터 특정 연결에 대한 추적정보를 검색하고, 사용자계정 변경정보를 검색하는 단계로 이루어짐이 바람직하다.The step of generating connection path information between the hosts may include generating trace information on a connection that is accessed from the host to another host using packet information transmitted and received and user session change information in the host, and leaving it as log data; And retrieving tracking information for a specific connection from the log data and session change information of the user, and retrieving user account change information.

상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 보안 네트워크에서의 공격자 역추적 및 차단 시스템은, 패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 가지고 있는 세션로깅부; 공격에 대한 추적을 수행하기 위해, 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 보안관리시스템; 및 상기 보안관리시스템으로부터 특정 연결 트래픽에 대한 차단 요청을 받아들여 상기 특정 연결 트래픽을 차단하는 트래픽 차단부를 포함함을 특징으로 한다.In order to achieve the above another technical problem, an attacker traceback and blocking system in a security network according to the present invention is installed in the host in a network including at least one local network having a host for transmitting and receiving packet data, A session logging unit having information on a connection path between hosts for transmitting and receiving packet data; A security management system that requests the connection path information from a host of each local network and tracks an attacker's location using the response to perform a trace of the attack; And a traffic blocking unit for blocking the specific connection traffic by receiving a blocking request for the specific connection traffic from the security management system.

상기 세션로깅부는 송수신되는 패킷에 대한 정보를 수집하는 패킷데이터수집부; 해당 호스트에서 실행 중인 프로세스로부터 사용자 세션 변경 정보를 수집하는 세션정보수집부; 상기 패킷데이터수집부 및 세션정보수집부에서 수집된 데이터를 상호 결합하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 로그 데이터를 남기는 사용자연결 추적정보 생성부; 사용자의 세션 변경 정보를 생성하여 로그 데이터를 남기는 사용자 세션변경정보 생성부; 상기 사용자연결 추적정보 생성부 및 사용자 세션변경정보 생성부에서 생성된 로그 데이터로부터 특정 연결에 대한 추적 정보를 검색하여 그 결과를 반환하는 추적대상연결검색부; 및 사용자계정 변경정보를 검색하여 반환하는 사용자 계정변경정보 검색부를 포함함이 바람직하다. 상기 트래픽 차단부는 공중망으로의 인입점에서차단하는 공중망의 에지 라우터임이 바람직하다.The session logging unit comprises a packet data collection unit for collecting information about the transmitted and received packets; A session information collecting unit collecting user session change information from a process running on the host; A user connection tracking information generation unit configured to leave log data by generating tracking information about a connection which is connected to the other host from the host by combining the data collected by the packet data collecting unit and the session information collecting unit with each other; A user session change information generation unit for generating session change information of a user and leaving log data; A tracking target connection retrieving unit for retrieving the tracking information for a specific connection from the log data generated by the user connection tracking information generation unit and the user session change information generation unit and returning the result; And a user account change information search unit for searching for and returning user account change information. The traffic blocking unit is preferably an edge router of the public network blocking at the point of entry into the public network.

상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 보안 네트워크에서의 공격자 역추적 및 차단 방법은, 패킷 데이터를 송수신하는 호스트 및 보안관리를 담당하는 보안관리 시스템을 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보 생성하는 단계; 공격에 대한 추적을 수행하기 위해, 상기 보안관리시스템이 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 단계; 및 상기 보안관리시스템으로부터 특정 연결 트래픽에 대한 차단 요청을 받아들여 상기 특정 연결 트래픽을 차단하는 단계를 포함함을 특징으로 한다.In order to achieve the above technical problem, an attacker traceback and blocking method in a security network according to the present invention includes at least one local network including a host for transmitting and receiving packet data and a security management system in charge of security management. Generating information on a connection path between hosts for transmitting / receiving packet data in a network; Requesting the connection path information from a host of each local network by the security management system to track the attack, and using the response to track the attacker's location; And blocking the specific connection traffic by receiving a block request for the specific connection traffic from the security management system.

상기 연결경로정보 생성 단계는 송수신되는 패킷데이터 및 세션변경정보를 상호 결합하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 로그 데이터를 남기는 단계; 사용자의 세션 변경 정보를 생성하여 로그 데이터를 남기는 단계; 상기 사용자연결 추적정보 및 사용자 세션변경정보의 로그 데이터로부터 특정 연결에 대한 추적 정보를 검색하는 단계; 및 사용자계정 변경정보를 검색하는 단계를 포함함이 바람직하다.The generating of the connection path information may include combining log data transmitted and received and session change information to generate tracking information on a connection that is accessed from the corresponding host to another host and leaving log data; Generating session change information of the user and leaving log data; Retrieving tracking information for a specific connection from log data of the user connection tracking information and user session change information; And retrieving user account change information.

그리고 상기 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.A computer readable recording medium having recorded thereon a program for executing the invention described above is provided.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 들어 상세히 설명한다. 먼저, 본 발명의 보안구조 및 전체적인 절차를 개략적으로 살펴보고 보다 상세한 설명을 하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention. First, the security structure and the overall procedure of the present invention will be outlined and described in more detail.

본 발명의 보안 구조는 실제 구현을 위해서는 크게 세 부분으로 나눌 수 있는데, 첫째, 각 호스트에서의 연결에 대한 정보를 남기기 위한 각 호스트 상에 설치되어 실행되는 세션 로그 프로그램과 외부 시스템으로의 인터페이스, 둘째, 공격에 대한 추적을 수행하기 위해 각 경유 호스트에 추적 정보를 요청하고 그 응답을 바탕으로 계속적인 추적 기능을 수행하는 보안관리시스템, 셋째, 보안시스템으로부터 특정 연결 트래픽에 대한 차단요청을 받아들이고 이를 수행할 수 있는 네트워크의 라우터로 구성된다.The security structure of the present invention can be divided into three parts for the actual implementation. First, an interface to an external system and a session log program installed and executed on each host to leave information on connection on each host. In order to trace the attack, the security management system requests tracing information from each transit host and performs continuous tracing based on the response. Third, it accepts the blocking request for specific connection traffic from the security system. It consists of routers of a network that can do it.

그리고 이에 대한 전체적인 절차는 다음과 같다. 우선 사전 정보수집 단계로 각 호스트에서는 네트워크 카드로부터 전송 및 수신되는 패킷으로부터 사용자의 연결과 관련된 정보를 수집하고, 동시에 해당 호스트에서 실행 중인 프로세스로부터 사용자 세션의 변경 내역에 대한 정보를 수집하여 이 두 데이터로부터 사용자 연결에 대한 추적 정보를 생성하여 해당 데이터를 저장하고 있다. 이 상태에서 여러 호스트를 경유하여 특정 호스트에 침입하는 공격이 이루어지고 공격 호스트가 존재하는 도메인(로컬 네트워크)에서 해당 공격을 탐지하면 이를 해당 도메인 상에 존재하는 보안 관리시스템에 통보함으로써 역추적이 이루어진다.The overall procedure is as follows. In the first step of collecting information, each host collects information related to the user's connection from packets sent and received from the network card, and simultaneously collects information about changes in user sessions from processes running on that host. It generates the tracking information about user connection from and stores the data. In this state, an attack that invades a specific host through multiple hosts is made, and when the attack is detected in the domain (local network) where the attacking host exists, the back trace is performed by notifying the security management system existing in the domain. .

보안 관리시스템은 탐지된 공격 통보시 같이 전송되는 연결을 구성하는 두 호스트의 주소, 연결의 접속 포트 번호, 접속 사용자 ID, 접속시간 등의 정보를 바탕으로 이전 호스트에 추적 요청을 한다. 요청을 받은 호스트도 해당 정보를 바탕으로 해당 연결에 대해서 자신으로 접속해온 이전 호스트 및 해당 연결에 대한 정보를 보안 관리시스템으로 전송하게 된다. 이런 작업을 반복하여 공격자가 실제 접속한 호스트까지 추적을 수행하게 된다.The security management system makes a trace request to the previous host based on information such as the address of the two hosts, the connection port number of the connection, the connection user ID, and the connection time. Based on the information, the requested host also transmits the information about the previous host and the connection to the security management system. By repeating this task, the attacker traces back to the real host.

추적이 완료되면 보안관리시스템은 공격자의 로그인 호스트가 속해있는 도메인(로컬 네트워크)이 접속하게 되는 공중망의 에지 라우터에 해당 공격의 트래픽에 대한 차단요청을 하게되고, 해당 라우터는 해당 트래픽을 차단함으로써 공격자에 대한 추적 및 네트워크로의 접근 차단의 수행을 완료하게 된다.When the tracking is completed, the security management system makes a request for blocking the traffic of the attack to the edge router of the public network where the domain (local network) to which the attacker's login host belongs is connected, and the router blocks the traffic by blocking the traffic. This completes the tracking and blocking of access to the network.

한편, 본 발명에 따른 공격자의 위치를 역추적하고 공격자의 공격을 차단하기 위한 보안네트워크에서의 공격자 역추적 및 공격차단 시스템 및 그 동작을 첨부된 도면에 따라 상세히 설명하기로 한다.Meanwhile, an attacker backtracking and attack blocking system and its operation in a security network for backtracking the attacker's position and blocking the attacker's attack according to the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명에 따른 보안네트워크에서의 공격자 역추적 및 공격차단 시스템의 일실시예를 도시한 것이다. 상기 보안네트워크에서의 공격자 역추적 및 공격차단 시스템은 호스트(210, 211, 212, 213)에 설치되어 실행되는 세션로깅부(240), 각 도메인에서 공격자 추적 기능을 수행하게 되는 보안관리시스템(220) 및 외부 시스템에 대한 인터페이스를 가지고 그 인터페이스를 통하여 공격자의 트래픽을 네트워크로의 인입점에서 차단하게 되는 트래픽차단부(230)를 포함하여 이루어진다.2 illustrates an embodiment of an attacker traceback and attack blocking system in a security network according to the present invention. The attacker traceback and attack blocking system in the security network is a session logging unit 240 installed and executed in the host 210, 211, 212, 213, security management system 220 to perform the attacker tracking function in each domain And a traffic blocker 230 having an interface to an external system and blocking the attacker's traffic at the point of entry into the network through the interface.

상기 트래픽차단부(230)는 보안관리시스템(220)으로부터 특정 연결 트래픽에 대한 차단요청을 받아들여 상기 특정 연결트래픽을 차단하며, 실제 구현할 때에는 공중망의 에지라우터에서 그 기능을 수행하게 하는 것이 바람직하며, 본 실시예에서도 그렇게 하였다.(이하, 트래픽차단부와 공중망의 에지라우터의 참조번호(230)는 동일하게 표시하기로 한다.)The traffic blocking unit 230 receives the blocking request for the specific connection traffic from the security management system 220 to block the specific connection traffic, and when the actual implementation, it is preferable to perform the function in the edge router of the public network. This is also the case in the present embodiment. (Hereinafter, reference numeral 230 of the traffic blocking unit and the edge router of the public network will be denoted the same.)

상기 세션로깅부(240)는 패킷데이터의 송신신을 위한 호스트간의 연결경로에 관한 정보를 가지고 있는 것으로서, 소프트웨어적으로는 세션로깅 프로그램으로 구현할 수 있다. 상기 세션 로깅 프로그램은 각 호스트에 미리 탑재되어 실행되면서 공격자의 연결에 대한 추적 정보를 구성하기 위해 필요한 테이타를 수집 및 가공하여 로그 정보를 남길 뿐만 아니라 보안관리시스템(220)으로부터 요청을 받고 응답할 수 있는 외부시스템으로의 인터페이스를 가진다. 공격자가 자신이 로그인(login)한 호스트(210)에서 여러 호스트(211, 212)를 경유하여 대상 호스트(213)로 침입한 경우, 이를 탐지하여 해당 도메인에 있는 보안관리시스템(220)에, 공격에 대한 내용과 연결을 구성하는 호스트(212, 213)의 주소, 포트번호, 접속 사용자 ID, 접속시간과 같은 연결에 대한 정보도 통보된다.The session logging unit 240 has information on a connection path between hosts for transmitting and receiving packet data, and may be implemented in software as a session logging program. The session logging program is preloaded and executed in each host, collects and processes data necessary to configure tracing information on an attacker's connection, leaves log information, and receives and responds to requests from the security management system 220. It has an interface to an external system. When the attacker intrudes into the target host 213 via the multiple hosts 211 and 212 from the host 210 where the user logs in, he detects it and attacks the security management system 220 in the corresponding domain. Information about the connection such as the address, port number, connection user ID, and connection time of the host 212 and 213 configuring the connection is also notified.

상기 보안관리시스템(220)은 해당 정보를 바탕으로 이전 호스트(212)에게 해당 연결에 대한 추적정보 요청(291)을 하면, 해당 호스트(212)는 자신의 세션로깅 프로그램에서 남긴 로그 정보를 바탕으로 해당 연결이 이루어진 이전 호스트(211)에 대한 정보와 이전 호스트와 자신간의 연결에 대한 정보를 보안관리시스템(220)에게 응답한다.(291)When the security management system 220 makes a request for tracking information 291 of the connection to the previous host 212 based on the corresponding information, the host 212 based on the log information left by its session logging program. The information on the previous host 211 and the connection between the previous host and itself is made to the security management system 220. (291)

이런 절차를 각 이전 호스트(211, 210)에 대해서 수행함으로써 공격자가 실제 로그인한 호스트(210)를 추적하게 된다. 이 단계에서 각 호스트와 호스트에 대해 요청을 하는 보안관리시스템 간에는 보안을 위해 상호 인증 절차와 교환되는 데이터에 대한 암호화 방법이 적용될 수 있다. 공격자의 호스트가 추적되었으면 해당 공격자의 도메인이 공중망으로 접속하게 되는 공중망의 에지 라우터(230)에게해당 공격자의 트래픽을 차단해주도록 요청함으로써 공격자를 네트워크 접속으로부터 차단하게 된다.By performing this procedure for each previous host 211, 210, the attacker actually tracks the host 210 logged in. At this stage, the encryption method for the data exchanged with the mutual authentication procedure can be applied for security between the host and the security management system requesting the host. If the attacker's host is tracked, the attacker's domain is blocked from the network connection by requesting the edge router 230 of the public network to which the attacker's domain is connected to the public network to block the attacker's traffic.

도 3은 해당 호스트에서 각 연결에 대한 추적 정보에 대한 로그 데이터를 남기고 보안관리 시스템과 통신하기 위한 각 기능 블록 및 그 동작을 도시한 것이다. 패킷데이터수집부(320)는 네트워크 카드(310)를 통해 송수신되는 패킷에 대한 정보를 수집한다. 세션정보수집부(321)는 해당 호스트에서 실행 중인 프로세스로부터 사용자 세션 변경 정보를 수집한다.FIG. 3 shows each function block and its operation for communicating with the security management system, leaving log data for tracking information for each connection in the host. The packet data collection unit 320 collects information on packets transmitted and received through the network card 310. The session information collecting unit 321 collects user session change information from a process running on the host.

사용자연결 추적정보 생성부(330)는 상기 패킷데이터수집부(320)와 세션정보수집부(321)에서 수집된 원시 데이터를 상호 결합하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 모든 연결에 대한 추적 정보를 생성하여 로그 데이터를 남긴다. 사용자 세션변경정보 생성부(331)는 사용자의 세션 변경 정보를 생성하여 로그 데이터를 남긴다.The user connection tracking information generating unit 330 combines the raw data collected by the packet data collecting unit 320 and the session information collecting unit 321 with each other and traces all connections that are connected to the other host from the corresponding host. Generates information and leaves log data. The user session change information generation unit 331 generates the session change information of the user and leaves log data.

추적대상 연결검색부(340)는 상기 사용자연결 추적정보 생성부(330)와 사용자 세션변경정보 생성부(331)에서 생성된 로그 데이터로부터 특정 연결에 대한 추적 정보를 검색하여 그 결과를 반환한다. 사용자 계정변경정보 검색부(341)는 사용자 계정 변경 정보 검색하여 반환한다.The tracking target connection searcher 340 retrieves tracking information about a specific connection from the log data generated by the user connection tracking information generator 330 and the user session change information generator 331 and returns the result. The user account change information search unit 341 searches for and returns the user account change information.

그리고 외부 인터페이스부(350)는 보안관리시스템과의 통신 기능을 제공한다. 통신보안부(392)는 통신 시의 보안을 위해 암호화 기능을 수행한다.In addition, the external interface unit 350 provides a communication function with the security management system. The communication security unit 392 performs an encryption function for security during communication.

또한 무결성검증부(390)는 해당 호스트에서 수행되는 각 모듈들이 침해되지 않았는지를 주기적으로 반복하여 검사한다. 생성정보 관리부(391)는 계속해서 생성되는 로그 데이터를 관리한다.In addition, the integrity verification unit 390 periodically and repeatedly checks whether each module executed in the host has not been violated. The generation information management unit 391 manages the log data generated continuously.

한편, 상술한 기능블록들은 소프트웨어적으로 구현할 시에는 기능 모듈로서 프로그래밍할 수 있게 된다.Meanwhile, the above-described functional blocks can be programmed as functional modules when implemented in software.

이상에서 상술한 바와 같이 본 발명에 의한 보안네트워크에서의 공격자 역추적 및 공격차단 시스템 및 방법에 대한 일실시예에서는 공격자 역추적 및 공격차단 기능까지 설명하였지만, 본 발명의 하나인 공격자 역추적 시스템 및 방법은 상기 공격자 역추적 및 공격차단시스템에서 공격차단을 제외한 공격자 역추적 부분만으로 이루어진다. 따라서 공격자 역추적에 대한 설명은 상술한 설명에 포함되어 있으므로 별도의 설명은 하지 않기로 한다.As described above, in one embodiment of the attacker traceback and attack blocking system and method in the security network according to the present invention, the attacker traceback and attack blocking functions have been described, but the attacker traceback system is one of the present inventions; The method comprises only the attacker traceback part of the attacker traceback and attack blocking system except for the attack blocking. Therefore, the description of the attacker traceback is included in the above description will not be described separately.

상술한 바와 같이 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.As described above, the present invention can also be embodied as computer readable codes on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

상술한 본 발명에 따르면, 본 발명은 다음과 같은 효과를 가진다. 첫째, 공격자가 여러 호스트를 경유하여 특정 호스트로 연결 설정을 통하여 침입하는 경우에도 공격자의 실제 위치를 파악할 수 있다. 둘째, 실제 위치를 추적하여 공격자의 네트워크로의 인입점에서 해당 연결을 차단함으로써 동일한 공격자에 의해 이루어지는 이후의 공격에 대해 대처할 수 있다. 셋째, 공격자의 위치를 식별함으로써 공격자에 대한 글로벌한 수준에서의 대응이 가능함으로써 사이버 공격에 대한 대처 능력을 급격히 향상시킬 수 있다.According to the present invention described above, the present invention has the following effects. First, even if an attacker intrudes through a host through a host connection setting, the attacker's actual location can be determined. Second, by tracking the actual location and blocking the connection at the point of entry to the attacker's network, it is possible to cope with subsequent attacks by the same attacker. Third, by identifying the attacker's location, it is possible to respond to the attacker on a global level, thereby rapidly improving the ability to cope with cyber attacks.

Claims (11)

패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서,A network comprising at least one local network having a host for transmitting and receiving packet data, the network comprising: 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 가지고 있는 세션로깅부; 및A session logging unit installed in the host and having information on a connection path between hosts for transmitting and receiving packet data; And 공격에 대한 추적을 수행하기 위해, 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 보안관리시스템을 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 시스템.In order to track the attack, the attacker station in the security network comprising a security management system for requesting the connection path information from the host of each local network, and using the response to track the location of the attacker Tracking system. 제1항에 있어서, 상기 세션 로깅부의 호스트간의 연결경로에 관한 정보는The method of claim 1, wherein the information about a connection path between hosts of the session logging unit is 송수신되는 패킷정보 및 해당 호스트에서 사용자 세션변경 정보를 이용하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 이를 로그 데이터를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 시스템.Attacker trace back in the security network, which includes log data by generating trace information about the connection from the host to the other host by using the transmitted / received packet information and the user session change information in the host. system. 제2항에 있어서, 상기 세션 로깅부는The method of claim 2, wherein the session logging unit 상기 로그데이터 및 사용자의 세션변경 정보로부터 특정 연결에 대한 추적 정보를 검색하고, 사용자계정 변경정보를 검색함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 시스템.And retrieving tracking information for a specific connection from the log data and session change information of the user, and retrieving user account change information. 패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서,A network comprising at least one local network having a host for transmitting and receiving packet data, the network comprising: 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 가지고 있는 세션로깅부;A session logging unit installed in the host and having information on a connection path between hosts for transmitting and receiving packet data; 공격에 대한 추적을 수행하기 위해, 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 보안관리시스템; 및A security management system that requests the connection path information from a host of each local network and tracks an attacker's location using the response to perform a trace of the attack; And 상기 보안관리시스템으로부터 특정 연결 트래픽에 대한 차단 요청을 받아들여 상기 특정 연결 트래픽을 차단하는 트래픽 차단부를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 및 차단 시스템.And a traffic blocker for blocking a specific connection traffic by receiving a block request for a specific connection traffic from the security management system. 제4항에 있어서, 상기 세션로깅부는The method of claim 4, wherein the session logging unit 송수신되는 패킷에 대한 정보를 수집하는 패킷데이터수집부;A packet data collecting unit collecting information on the transmitted and received packets; 해당 호스트에서 실행 중인 프로세스로부터 사용자 세션 변경 정보를 수집하는 세션정보수집부;A session information collecting unit collecting user session change information from a process running on the host; 상기 패킷데이터수집부 및 세션정보수집부에서 수집된 데이터를 상호 결합하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 로그 데이터를 남기는 사용자연결 추적정보 생성부;A user connection tracking information generation unit configured to leave log data by generating tracking information about a connection which is connected to the other host from the host by combining the data collected by the packet data collecting unit and the session information collecting unit with each other; 사용자의 세션 변경 정보를 생성하여 로그 데이터를 남기는 사용자 세션변경정보 생성부;A user session change information generation unit for generating session change information of a user and leaving log data; 상기 사용자연결 추적정보 생성부 및 사용자 세션변경정보 생성부에서 생성된 로그 데이터로부터 특정 연결에 대한 추적 정보를 검색하여 그 결과를 반환하는 추적대상연결검색부; 및A tracking target connection retrieving unit for retrieving the tracking information for a specific connection from the log data generated by the user connection tracking information generation unit and the user session change information generation unit and returning the result; And 사용자계정 변경정보를 검색하여 반환하는 사용자 계정변경정보 검색부를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 시스템.An attacker traceback system in a secure network, comprising: a user account change information search unit for searching for and returning user account change information. 제4항 또는 제5항에 있어서, 상기 트래픽 차단부는The method of claim 4 or 5, wherein the traffic blocking unit 공중망으로의 인입점에서 차단하는 공중망의 에지 라우터임을 특징으로 하는 보안 네트워크에서의 공격자 역추적 및 차단 시스템.Attacker backtracking and blocking system in a security network, characterized in that the edge router of the public network to block at the point of entry into the public network. 패킷 데이터를 송수신하는 호스트 및 보안관리를 담당하는 보안관리 시스템을 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서,In the network comprising at least one local network having a host for transmitting and receiving packet data and a security management system in charge of security management, 상기 호스트에서 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보를 생성하는 단계: 및Generating information regarding a connection path between hosts for transmitting and receiving packet data in the host; and 공격에 대한 추적을 수행하기 위해, 상기 보안관리 시스템이 상기 각 로컬네트워크의 호스트에 생성된 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 단계를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 방법.In order to track the attack, the security management system comprises the step of requesting the connection path information generated in the host of each local network, and using the response to track the attacker's location security Attacker traceback method in network. 제7항에 있어서, 상기 호스트간의 연결경로 정보 생성단계는The method of claim 7, wherein the generating of connection path information between the hosts comprises: 송수신되는 패킷정보 및 해당 호스트에서 사용자 세션변경 정보를 이용하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 이를 로그 데이터로 남기는 단계; 및Generating trace information on a connection to be accessed from the host to another host using packet information transmitted and received and user session change information in the host, and leaving it as log data; And 상기 로그데이터 및 사용자의 세션변경 정보로부터 특정 연결에 대한 추적 정보를 검색하고, 사용자계정 변경정보를 검색하는 단계로 이루어짐을 특징으로 하는 보안 네트워크에서의 공격자 역추적 방법.And retrieving tracking information for a specific connection from the log data and session change information of the user, and retrieving user account change information. 패킷 데이터를 송수신하는 호스트 및 보안관리를 담당하는 보안관리 시스템을 구비하는 적어도 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서,In the network comprising at least one local network having a host for transmitting and receiving packet data and a security management system in charge of security management, 상기 호스트에 설치되며, 패킷데이터의 송수신을 위한 호스트간의 연결경로에 관한 정보 생성하는 단계;Generating information on a connection path between hosts for transmitting and receiving packet data; 공격에 대한 추적을 수행하기 위해, 상기 보안관리시스템이 각 로컬네트워크의 호스트에 상기 연결경로 정보를 요청하고, 그 응답을 이용하여 공격자의 위치를 추적하는 단계; 및Requesting the connection path information from a host of each local network by the security management system to track the attack, and using the response to track the attacker's location; And 상기 보안관리시스템으로부터 특정 연결 트래픽에 대한 차단 요청을 받아들여 상기 특정 연결 트래픽을 차단하는 단계를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 및 차단 방법.And blocking the specific connection traffic by accepting a block request for the specific connection traffic from the security management system. 제9항에 있어서, 상기 연결경로정보 생성 단계는The method of claim 9, wherein the generating of the connection path information comprises: 송수신되는 패킷데이터 및 세션변경정보를 상호 결합하여 해당 호스트로부터 타 호스트로 접속하여 나가게 되는 연결에 대한 추적 정보를 생성하여 로그 데이터를 남기는 단계;Combining the transmitted and received packet data and the session change information with each other to generate tracking information on a connection that is connected to the other host from the host and leaving log data; 사용자의 세션 변경 정보를 생성하여 로그 데이터를 남기는 단계;Generating session change information of the user and leaving log data; 상기 사용자연결 추적정보 및 사용자 세션변경정보의 로그 데이터로부터 특정 연결에 대한 추적 정보를 검색하는 단계; 및Retrieving tracking information for a specific connection from log data of the user connection tracking information and user session change information; And 사용자계정 변경정보를 검색하는 단계를 포함함을 특징으로 하는 보안 네트워크에서의 공격자 역추적 및 차단 방법.A method for tracking and blocking attackers in a secure network, comprising retrieving user account change information. 제7항 내지 제10항 중 어느 한 항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the invention according to any one of claims 7 to 10.
KR10-2002-0067660A 2002-11-02 2002-11-02 Attacker traceback and isolation system and method in security network KR100450770B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0067660A KR100450770B1 (en) 2002-11-02 2002-11-02 Attacker traceback and isolation system and method in security network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0067660A KR100450770B1 (en) 2002-11-02 2002-11-02 Attacker traceback and isolation system and method in security network

Publications (2)

Publication Number Publication Date
KR20040039552A true KR20040039552A (en) 2004-05-12
KR100450770B1 KR100450770B1 (en) 2004-10-01

Family

ID=37337111

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0067660A KR100450770B1 (en) 2002-11-02 2002-11-02 Attacker traceback and isolation system and method in security network

Country Status (1)

Country Link
KR (1) KR100450770B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service
KR100706757B1 (en) * 2005-04-04 2007-04-13 이임영 A Method of Attacker trace techniques applying 2MAC authentication packet in Distribution Network
KR100733830B1 (en) * 2005-06-09 2007-07-02 충남대학교산학협력단 DDoS Detection and Packet Filtering Scheme
KR100790375B1 (en) * 2006-06-08 2008-01-02 한국정보통신주식회사 Intrusion Detection Devices and Program Recording Medium
KR100818374B1 (en) * 2007-06-21 2008-04-02 한국정보통신주식회사 Payment Terminal with Function of Intrusion Detection and Program Recording Medium

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR100424723B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100439170B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using edge router's log information in the internet
KR20030052843A (en) * 2001-12-21 2003-06-27 주식회사 케이티 System and method for inverse tracing a intruder
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service
KR100706757B1 (en) * 2005-04-04 2007-04-13 이임영 A Method of Attacker trace techniques applying 2MAC authentication packet in Distribution Network
KR100733830B1 (en) * 2005-06-09 2007-07-02 충남대학교산학협력단 DDoS Detection and Packet Filtering Scheme
KR100790375B1 (en) * 2006-06-08 2008-01-02 한국정보통신주식회사 Intrusion Detection Devices and Program Recording Medium
KR100818374B1 (en) * 2007-06-21 2008-04-02 한국정보통신주식회사 Payment Terminal with Function of Intrusion Detection and Program Recording Medium

Also Published As

Publication number Publication date
KR100450770B1 (en) 2004-10-01

Similar Documents

Publication Publication Date Title
CN109729180B (en) Whole system intelligent community platform
Asaka et al. A method of tracing intruders by use of mobile agents
Wang et al. Attack detection and distributed forensics in machine-to-machine networks
KR100456635B1 (en) Method and system for defensing distributed denial of service
Gao et al. Tracing cyber attacks from the practical perspective
Snapp et al. Dids (distributed intrusion detection system)–motivation
US7698444B2 (en) Systems and methods for distributed network protection
CN109347830B (en) Network dynamic defense system and method
US20050071684A1 (en) System and method for computer security using multiple cages
WO2002086724A1 (en) System and method for analyzing logfiles
JP2001217834A (en) System for tracking access chain, network system, method and recording medium
KR100450770B1 (en) Attacker traceback and isolation system and method in security network
KR101160219B1 (en) Tracking system and method of connecting route for the network security
KR100439169B1 (en) Attacker traceback method by using session information monitoring that use code mobility
Mugitama et al. An evidence-based technical process for openflow-based SDN forensics
KR100470917B1 (en) System and method for providing a real-time traceback technic based on active code
Olakanmi et al. Throttle: An efficient approach to mitigate distributed denial of service attacks on software‐defined networks
Abou Haidar et al. High perception intrusion detection system using neural networks
Selvaraj et al. An effective ODAIDS-HPs approach for preventing, detecting and responding to DDoS attacks
CN112637171A (en) Data traffic processing method, device, equipment, system and storage medium
Asaka et al. Local attack detection and intrusion route tracing
Asaka et al. Public information server for tracing intruders in the Internet
KR102184757B1 (en) Network hidden system and method
KR20040035305A (en) A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
Ao Design and deployment of border security in multimedia network

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090901

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee