KR20090009622A - 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 - Google Patents
중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 Download PDFInfo
- Publication number
- KR20090009622A KR20090009622A KR1020070073059A KR20070073059A KR20090009622A KR 20090009622 A KR20090009622 A KR 20090009622A KR 1020070073059 A KR1020070073059 A KR 1020070073059A KR 20070073059 A KR20070073059 A KR 20070073059A KR 20090009622 A KR20090009622 A KR 20090009622A
- Authority
- KR
- South Korea
- Prior art keywords
- node
- centroid
- tree
- log
- log information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
본 발명의 일실시 형태에 따른 중심점 분할(Centroid Decomposition) 기법을 이용하여 공격자를 역추적하는 시스템 및 방법에 관한 것으로, 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈; 망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리의 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈을 포함하여 구성됨으로써, 보안침해사고를 일으키는 공격자를 빠르게 찾아낼 수 있으며, 역추적 시스템의 부하를 줄이고, 위협 혹은 취약점이 노출되어 있는 경유 호스트를 쉽게 파악할 수 있으므로 공격에 대한 대응이 용이하다는 효과가 있다.
중심점 분할 기법, 침입 탐지, 로그 기반, 역추적
Description
본 발명의 일실시 형태에 따른 중심점 분할 기법(Centroid Decomposition technique)을 이용하여 공격자를 역추적하는 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 침입탐지 시스템에서 발생하는 침입 경보의 로그 정보와 망 관리서버에서 수집한 공격패킷이 경유한 라우터의 로그 정보에 대해 중심점 분할 기법을 적용하여 공격자의 실제 위치를 정확하게 찾아내는 역추적 시스템 및 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-01, 과제명: AII-IP 환경의 지능형 사이버공격 감시 및 추적 시스템 개발].
인터넷을 이용한 각종 해킹 및 사이버 범죄가 급증하면서 시스템 및 네트워크를 보호하기 위한 보안 강화 시스템의 한 방편으로 해커의 실제 위치를 추적하는 역추적 시스템이 개발되고 있다.
기존의 역추적 기술을 살펴보면, 공격자가 여러 개의 시스템을 경유하여 특정 시스템을 공격했을 경우, 침입이 탐지된 시스템을 분석하여 침입자가 최종적으로 경유한 시스템의 IP(Internet Protocol) 주소를 획득하고, 해당 IP 주소의 시스템에 역추적 에이전트를 설치하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 방식으로 역추적 에이전트를 이용하여 침입 경로를 순차적으로 역추적함으로써 침입자의 근원지를 찾는 방법이 있다.
그런데, 상기 방법은 경유한 시스템의 수가 많은 경우에는 역추적 시스템의 부하가 클 수 있고, 역추적 에이전트의 수가 증가함에 따라 역추적 에이전트의 관리가 어려울 뿐만 아니라, 공격자의 근원지까지 추적하는데 많은 시간과 자원을 소모하므로 비효율적인 문제가 존재한다.
다른 방법으로 에이전트 이동방식을 이용한 역추적 방법이 있는데, 이 방법은 공격당한 시스템에 에이전트를 설치하여 공격당한 시스템의 로그 정보를 분석해 공격패킷 정보를 획득하는 것이다.
상기 방법은 공격한 시스템이 n개의 경로상의 하나라면 공격당한 시스템에 에이전트를 설치하여 로그 정보를 분석해 공격패킷 정보를 획득하는 과정을 최종 네트워크 침입자의 첫째 경유지 서버까지 반복함으로써 네트워크 침입자의 경유지를 추적할 수 있다. 따라서 이 방법 또한 역추적 과정에서 많은 시간을 필요로 하 는 문제점이 존재한다.
또 다른 방법으로, 국내특허출원 제10-2001-0070766호(발명의 명칭: 인터넷에서 에지 라우터의 로그 정보를 이용한 공격자 역추적 방법)는 각각의 네트워크의 에지 라우터에서 내부로 접근하는 모든 패킷에 대한 로그 정보를 기록하도록 해서 공격자의 IP 주소 변경에 관계없이 해당 패킷에 대한 역추적을 가능하게 하는 것을 제안하고 있으나, 이 방법 또한 다수의 에지 라우터에 기록된 로그 정보를 모두 분석해야하므로 역추적 과정에 많은 시간이 소모되는 문제점이 존재한다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 인터넷 네트워크 토폴로지상에서 침입탐지 시스템으로부터 수집한 침입경보의 로그 정보와, 망 관리서버로부터 수집한 네트워크 라우터의 연결정보에 중심점 분할 기법을 적용하여 검출한 센트로이드 노드에 해당하는 라우터의 로그 정보를 비교함으로써 공격자의 실제 위치를 빠르고 정확하게 찾아내는 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법을 제공하는데 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템은, 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈; 망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈;을 포함하여 구성된다.
또한, 상기 로그 정보는 소스 IP 주소, 목적지 IP 주소, 소스 포트 번호, 목적지 포트 번호, 프로토콜, 서비스 타입, 라우터의 입출력 인터페이스 및 데이터 수집 시간을 포함한다.
또한, 상기 시스템은 상기 네트워크 공격자의 근원지를 역추적한 추적결과인 공격경로 정보를 저장하는 역추적결과 DB를 더 포함한다.
또한, 상기 시스템은 라우터를 원격제어하여 상기 센트로이드 트리의 각 레벨의 노드에 매칭되는 라우터의 로그 정보를 추출하여 상기 역추적처리모듈에 전달하는 라우터제어모듈을 더 포함한다.
또한, 상기 시스템은 상기 역추적한 공격자의 근원지에 연결된 라우터에 연결된 각 호스트의 MAC 주소를 검출하여 상기 역추적처리모듈에 전달하는 MAC주소검출모듈을 더 포함한다.
한편 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 방법은, 침입탐지 시스템에서 발생 되는 침입경보의 로그 정보(log data)와 망 관리서버에서 공격패킷이 경유한 네트워크 라우터의 연결정보를 수집하는 단계; 상기 공격패킷이 경유한 네트워크 라우터의 연결정보에 대해 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용해 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(centroid tree)를 생성하는 단계; 상기 센트로이드 트 리의 각 레벨의 노드의 로그 정보와 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 비교하여 공격자의 근원지와 연결된 라우터를 찾는 단계; 및 상기 매칭되는 라우터의 로그 정보에서 공격 패턴을 추출하여 일치하는 MAC 주소를 찾아 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지를 역추적하는 단계를 포함하여 이루어진다.
또한, 상기 센트로이드 트리를 생성하는 단계는, 상기 공격패킷이 경유한 네트워크 라우터 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하는 단계; 상기 최단 경로 트리에 대해 리프노드를 제거하는 중심점 분할 기법을 적용하여 센트로이드 노드를 검출하는 단계; 및 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계를 포함하여 이루어진다.
또한, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계는, 상기 최단 경로 트리에서 하위 리프노드를 제거하는 단계; 상기 하위 리프노드가 제거된 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계; 상기 최종 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하는 단계; 상기 최단 경로 트리에서 상기 상위 레벨의 센트로이드 노드를 제거하고 남은 복수 개의 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계; 상기 복수 개의 트리에서 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 결정하는 단계; 및 상기 상위 레벨의 센트로이드 노드를 루트로 하고, 상기 하위 레벨의 센트로이드 노드를 하위 노드로 하 는 센트로이드 트리를 생성하는 단계를 포함하여 이루어진다.
또한, 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 비교하여 매칭되는 노드의 라우터를 찾는 단계는, 상기 센트로이드 트리의 상위 레벨에서 하위 레벨 순으로, 동일 레벨에서는 좌측에서 우측 순서로 각 노드의 로그 정보를 질의하여 침입 경로의 로그 정보와 비교하는 단계; 상기 비교 결과 로그 정보가 일치하는 노드가 있으면, 해당 노드가 리프 노드인지 판단하는 단계; 및 상기 판단 결과 리프노드이면 공격자의 근원지와 연결된 라우터로 판단하는 단계를 포함하여 이루어진다.
상술한 바와 같이, 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법은 보안침해사고를 일으키는 공격자를 빠르게 찾아낼 수 있으며, 역추적 시스템의 부하를 줄이고, 위험 혹은 취약점이 노출되어 있는 경유 호스트를 쉽게 파악할 수 있으므로 공격에 대한 대응이 용이하다는 효과가 있다.
또한 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법은 네트워크의 규모가 커질수록 침입자의 근원지를 빠르게 역추적함으로써 사고 재발을 방지하고 안전하고 신뢰성 있는 인터넷 서비스를 제공할 수 있는 효과가 있다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다.
다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다.
또한 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, '모듈'이란 용어는 특정한 기능이나 동작을 처리하는 하나의 단위를 의미하며, 이는 하드웨어 또는 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 발명에 대한 설명에 들어가기 전에, 이후에 사용되는 본 발명과 관련된 용어의 개념을 정의하면 다음과 같다.
중심점 분할 기법(centroid decomposition technique)은 임의의 트리에서 최종적으로 한 개 또는 두 개의 노드가 남을 때까지 반복하여 리프노드(leaf-node)를 제거하는 기법으로, 상기 리프노드는 트리에서 자신의 후손 노드가 없는 노드를 말한다.
그리고 센트로이드 노드(centroid node)는 상기 중심점 분할 기법에 의해 최종적으로 남는 한 개의 노드이다.
그리고 센트로이드 트리(centroid tree)는 상기 센트로이드 노드를 각 레벨의 노드로 하며, 임의의 트리에서 센트로이드 트리를 생성하기 위해 상기 중심점 분할 기법을 적용한 횟수만큼의 레벨을 가지는 트리이다.
도 1은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템을 포함한 전체 망 구성도를 나타낸 것이다.
도 1을 참조하면, 인터넷 네트워크 토폴로지상에서 네트워크 공격자가 자신의 시스템(140)을 이용하여 경유지 라우터(50-> 60-> 20-> 10)를 거쳐 공격대상 호스트(130)를 공격하면, 침입탐지 시스템(120)은 이를 감지한 후 역추적 시스템(100)에 공격자의 공격패킷에 대한 로그 정보, 즉, 침입경보의 로그 정보를 전달하여 보고한다.
침입탐지 시스템(120)으로부터 침입경보의 로그 정보를 전달받은 역추적 시스템(100)은 망 관리서버(110)에서 네트워크 라우터의 연결정보를 수집한다.
그 후 역추적 시스템(100)은 상기 망관리서버(110)로부터 수집한 네트워크 라우터의 연결정보를 이용해 센트로이드 트리를 생성하고, 상기 센트로이드 트리의 노드에 매칭되는 라우터의 로그 정보와 상기 침입탐지 시스템(120)으로부터 전달받은 침입경보의 로그 정보가 일치하는지 비교함으로써 공격자의 근원지까지 역추적한다.
도 2는 본 발명의 일실시 형태에 따른 역추적 시스템(100)에서 센트로이드 트리(centroid tree)(210)를 중심점 분할 기법을 이용하여 생성한 예시도이다.
도 2를 참조하면, 상기 역추적 시스템(100)은 망 관리서버(110)로부터 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 사용하여 최단 경로 트리(200)를 생성한다.
여기서, 최단 경로 알고리즘은 전체 토폴로지에서 각 노드에 대한 최단거리의 경로를 계산하는 것으로, 딕스터라(Dijkstra) 알고리즘과 같이 일반적으로 알려진 알고리즘을 사용할 수 있다.
상기 최단 경로 트리(200)에서 루트는 공격대상 호스트(130)와 연결된 라우터(10)가 된다. 이어서, 상기 역추적 시스템(100)은 상기 최단 경로 트리(200)에 대해 중심점 분할 기법을 반복적으로 적용하여 상기 최단 경로 트리(200)상의 센트로이드 노드(centroid node)를 찾고, 상기 센트로이드 노드를 각 레벨의 노드로 하여 연결한 센트로이드 트리(210)를 생성한다.
이와 같이 생성된 센트로이드 트리는 상기 센트로이드 노드보다 상위에 존재 하는 노드들을 검색 대상에서 제외시킬 수 있다. 따라서 공격자 근원지를 추적하기 위해 모든 라우터를 검색할 필요가 없어 공격자 근원지를 역추적하는데 걸리는 시간 소모를 줄일 수 있다.
더 구체적으로 설명하면, 상기 최단 경로 트리(200)에서 중심점 분할 기법을 적용하여 센트로이드 트리(210)를 생성하는 과정은, 트리의 상위 레벨의 센트로이드 노드를 찾는 제1과정과, 트리의 하위 레벨들의 센트로이드 노드들을 찾는 제2과정으로 이루어진다.
제1과정은, 먼저, 최단 경로 트리(200)에서 하위 리프노드들(NL: 40, 50, 80)을 제거한다. 상기 리프노드들(40, 50, 80)을 제외하고 남아 있는 최단 경로 트리(10, 20, 30, 60, 70 노드가 존재)에서 다시 하위 리프노드(NL-1: 60, 70)를 제거한다. 또, 상기 리프노드(60, 70)를 제외하고 남아있는 최단 경로 트리(10, 20, 30 노드만 존재)에서 다시 하위 리프노드(NL-3: 20, 30)를 제거한다. 즉, 최단 경로 트리(200)에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복한다.
상기와 같이 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법을 반복하여 최종적으로 남은 한 개의 노드(10)가 센트로이드 노드가 되며, 이 센트로이드 노드가 센트로이드 트리(210)에서 상위 레벨의 노드, 즉 루트가 된다.
그런 다음, 센트로이드 트리(210)의 하위 레벨의 센트로이드 노드를 찾는 제2과정을 설명하면, 먼저, 제1과정에서 발견된 센트로이드 노드(10)를 최단 경로 트 리(200)에서 제거한다.
그러면, 노드 60, 50, 20으로 이뤄진 트리와 노드 70, 80, 40, 30으로 이뤄진 2개의 트리가 생성되는데, 각 트리에 대해 상기 제1과정과 같이 중심점 분할 기법을 적용하여 하위 리프노드를 반복적으로 제거하면, 두 개의 노드(60, 70)가 남게 된다.
남은 두 개의 노드(60, 70)는 상기 루트 노드(10)를 제거한 후의 두 트리의 센트로이드 노드가 되며, 이 센트로이드 노드가 상기 루트 노드(10)의 하위 노드가 된다.
따라서 제1과정에서 발견된 센트로이드 노드(10)를 루트로 하고, 제2과정에서 발견된 센트로이드 노드(60, 70)를 하위 노드로 하는 센트로이드 트리(210)가 생성된다.
상기 최단 경로 트리(200)상의 모든 노드가 센트로이드 트리(210)로 구현될 때까지 상기 제2과정은 반복되고, 제2과정의 반복 횟수가 센트로이드 트리의 레벨수가 된다.
도 3은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템을 설명하기 위한 상세 구성도를 나타낸 것이다.
도 3을 참조하면, 네트워크 공격자를 역추적하기 위한 역추적 시스템(100)은 로그정보입력모듈(101), 라우터제어모듈(102), 역추적처리모듈(103), 센트로이드노드검출모듈(104), MAC주소검출모듈(105) 및 역추적결과 DB(106)를 포함한다.
로그정보입력모듈(101)은 침입탐지 시스템(120)으로부터 네트워크 공격자의 침입경보에 대한 로그 정보를 수집하고, 수집된 침입경보의 로그 정보를 분석하고, 필요한 로그 정보를 추출하여 역추적처리모듈(103)로 전달한다.
상기 로그 정보는 소스 IP 주소, 목적지 IP 주소, 소스 포트 번호, 목적지 포트 번호, 프로토콜, 서비스 타입, 라우터의 입출력 인터페이스 및 데이터 수집 시간을 포함한다.
센트로이드노드검출모듈(104)은 침입경보의 로그 정보가 입력되면, 망 관리서버(110)로부터 네트워크 라우터의 연결정보를 수집하여 공격받은 시스템에 연결된 라우터를 루트로 하는 최단 경로 트리(200)를 생성한다. 더하여, 상기 생성한 최단 경로 트리(200)에 중심점 분할 기법을 반복적으로 적용하여 상기 네트워크의 센트로이드 노드들을 발견하고, 이 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(210)를 생성한다. 그리고 상기 생성한 센트로이드 트리에 관한 정보를 역추적처리모듈(103)로 전달한다.
역추적처리모듈(103)은 센트로이드노드검출모듈(104)에서 생성된 센트로이드 트리(210)에서 top-down 방향으로 루트부터 시작하여 하위 노드로 내려가면서 침입경보의 로그 정보와 일치하는 노드를 검색한다.
따라서 상기 역추적처리모듈(103)은 각 센트로이드 노드에 매칭되는 라우터 의 로그 정보를 라우터제어모듈(102)에 질의요청하고, 이에 대한 응답으로 라우터제어모듈(102)에서 전달받은 상기 센트로이드 노드에 매칭되는 라우터의 로그 정보와, 로그정보입력모듈(101)에서 전달된 침입경보의 로그 정보가 일치하는지 비교하여 네트워크 공격자의 근원지와 연결된 라우터를 역추적한다.
그런 다음, 상기 역추적처리모듈(103)은 상기 센트로이드 노드들 중 상기 침입경보의 로그정보와 일치하는 로그 정보를 갖는 라우터를 찾으면, 즉, 공격자 근원지와 연결된 라우터가 파악되면 해당 서브넷에서 어떤 호스트가 공격 트래픽을 발생시키는지 찾아야 한다. 따라서 역추적처리모듈(103)은 MAC주소검출모듈(104)에 상기 공격자 근원지와 연결된 라우터와 연결된 호스트의 MAC 주소를 요청한다.
그리고, 역추적처리모듈(103)은 MAC주소검출모듈(105)로부터 전달된 MAC 주소에서 상기 공격자 근원지와 연결된 라우터의 로그 정보로부터 추출한 공격 패턴과 일치하는 MAC 주소를 찾는다. 이러한 과정을 통해 찾은 상기 공격 패턴을 가진 MAC 주소와 일치하는 실제 IP 주소를 찾음으로써 실제 공격자 시스템을 추적할 수 있다.
라우터제어모듈(102)은 상기 역추적처리모듈(103)의 질의요청에 따라 상기 센트로이드 노드에 매칭되는 라우터를 원격 제어하여 필요한 로그 정보를 추출하고 이를 역추적처리모듈(103)에 전달한다.
MAC주소검출모듈(105)은 상기 역추적처리모듈(103)의 요청에 따라 발견된 네 트워크 공격자의 근원지와 연결된 라우터에 연결된 모든 호스트의 MAC 주소를 검출하여 역추적처리모듈(103)에게 전달한다.
역추적결과 DB(106)에는 상기 역추적처리모듈(103)의 네트워크 공격자의 근원지를 역추적하는 과정의 처리 결과인 라우터들의 공격경로 정보가 저장된다.
이어서, 상술한 역추적 시스템에서 이루어지는 역추적 방법을 도 4를 참조하여 설명한다. 도 4a 내지 도 4c는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법을 도시한 동작 흐름도이다.
본 발명의 일실시 형태에 따른 방법은 도 4a에 나타낸 센트로이드 트리를 생성하는 과정, 도 4b에 나타낸 공격자와 연결된 라우터에 해당하는 노드를 찾는 과정 및 도 4c에 나타낸 공격자 근원지를 추적하는 과정으로 이루어진다.
우선, 도 4a를 참조하여 센트로이드 트리가 생성되는 과정을 설명한다.
침입탐지 시스템(120)에서는 네트워크 공격자가 공격대상 호스트(130)에 대한 공격자의 침입을 감지하여 역추적 시스템(100)에 통지한다(S400).
이때 상기 로그정보입력모듈(101)은 침입탐지 시스템(120)에서 침입 경보에 대한 로그 정보를 수집하여 필요한 로그 정보를 분석하고(S410), 센트로이드노드검출모듈(104)은 망 관리서버(110)에서 네트워크 라우터의 연결정보를 수집한다(S411).
또한, 센트로이드노드검출모듈(104)은 망 관리서버(110)로부터 수집한 네트워크 라우터의 연결정보를 기반으로 중심점 분할 기법을 적용해 센트로이드 트리를 생성한다(S412).
생성된 센트로이드 트리에서 최상위 레벨부터 최하위 레벨까지 탑-다운(top-down) 방식으로 각 노드에 Nk, Nk-1, Nk-2, ...., Nk-n을 부여한다(도 2에 도시). 이러한 센트로이드 트리의 생성 과정은 도 2에서도 설명하였지만 도 5를 참조하여 더욱 상세하게 설명한다.
그런 다음, 도 4b를 참조하여 공격자의 근원지에 연결된 라우터와 매칭되는 노드를 역추적하는 과정을 설명한다.
역추적처리모듈(103)은 상기 S412 단계에서 생성한 센트로이드 트리의 상위레벨에서 하위레벨 순서로, 동일 레벨에서는 좌측에서 우측의 순서로 각 노드의 로그 정보 분석에 대한 질의를 라우터제어모듈(102)에 요청한다(S413).
역추적처리모듈(103)은 S413 단계에서 질의 요청한 노드의 로그 정보와 침입탐지 시스템(120)에서 전달된 침입경보의 로그 정보가 일치하는지 비교한다(S414).
상기 S414 단계의 판단 결과, 일치하면 일치하는 노드가 리프노드인지를 판단한다(S415).
S415 단계의 판단 결과, 로그 정보가 일치하는 노드가 리프노드이면 공격자의 근원지와 연결된 라우터로 판단한다(S416).
S415 단계의 판단 결과, 로그 정보가 일치하는 노드가 리프노드가 아니면, 최단 경로 트리에서 상기 로그 정보는 일치하나 리프노드가 아닌 노드의 상위 노드를 센트로이드 트리의 검색 대상에서 제거하여(S417) S413 단계로 리턴된다.
S413 단계로 리턴되면, 센트로이드 트리에서 제거되지 않고 남은 노드 중 상위 레벨에서 하위 레벨 순으로, 좌측에서 우측의 순서로 각 노드의 로그 정보를 질의한다(S413).
S414 단계의 비교 결과, 일치하는 노드가 없으면 상기 노드가 루트 인지 하위 노드인지 확인한다(S418).
S418 단계의 확인 결과, 루트이면 상기 루트의 상위 노드를 찾아야 한다(S419). 만약 상기 루트의 상위 노드가 있다면, 그 상위 노드에 대한 로그 정보와 침입경보의 로그 정보가 일치하는지를 비교한다.
S418 단계의 확인 결과, 하위 노드이면 가장 마지막에 검출한 일치하는 노드를 공격자 근원지와 연결된 라우터로 판단한다(S420).
상술한 과정을 도 1 및 도 2의 실시예를 적용하여 구체적으로 설명하면, 도 2의 센트로이드 트리(210)의 상위 레벨의 노드(Nk: 10)의 로그 정보를 질의하고, 질의한 노드(Nk)의 로그 정보와 상기 침입경보의 로그 정보를 비교하여 일치하는지 판단한다.
상기 판단 결과, 두 로그 정보가 일치하고, 상기 노드(Nk: 10)가 리프노드가 아니므로 도 2의 최단 경로 트리(200)에서 상기 노드(Nk: 10)의 상위 노드를 센트 로이드 트리(210)에서 제외시켜야 하지만, 노드(Nk: 10)보다 상위 노드가 없으므로 상기 노드(Nk: 10)를 제외한 센트로이드 트리에서 하위 레벨의 좌측 노드(Nk-1: 60)에 대한 로그 정보를 질의하여 침입경보의 로그정보를 다시 비교한다.
비교결과 로그 정보가 일치하고, 노드(Nk-1: 60)가 리프노드가 아니므로 다시 최단 경로 트리(200)에서 상위 노드(Nk-4: 20)를 센트로이드 트리(210)에서 제외시킨다.
센트로이드 트리에서 남은 노드(Nk-3: 50)의 로그 정보를 다시 질의하여 침입경보의 로그 정보와 비교한다. 비교 결과 로그 정보가 일치하고 리프노드이므로 상기 노드(Nk-3: 50)를 공격자 근원지와 연결된 라우터로 판단한다.
여기서, 최단 경로 트리에서 상기 노드(Nk-1: 60)에 해당하는 라우터의 상위 라우터, 즉 노드(Nk-4: 20)를 제외시키는 이유는, 상기 노드(Nk: 10)와 하위 노드(Nk-1: 60)가 모두 침입경보 로그 정보와 일치하면, 도 2에 보여진 최단 경로 트리(200)에서 노드(20)가 노드(60)에서 노드(10)로 경유하는 중간에 있으므로 검색하지 않아도 되기 때문이다.
따라서 노드(Nk-4: 20)의 로그 정보 비교는 생략되고, 남은 노드(Nk-3: 50)의 로그 정보를 질의하여 상기 침입경보의 로그 정보와 일치하는지 비교한다.
따라서 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법은 도 4b에 나타낸 바와 같이 중심점 분할 기법을 적용하여 생성한 센트로이드 트리와 최단 경로 트리를 이용하여 공격자 라우터를 역추적함으로써 검색해야 하는 노드의 수를 줄일 수 있다.
다음으로, 도 4c를 참조하여 공격자 근원지를 추적하는 과정을 설명한다.
상기 S416 또는 S420 단계에서 공격자와 연결된 라우터가 판단되면, 역추적처리모듈(103)은 상기 노드(Nk-3: 50)에 매칭되는 공격자와 연결된 라우터의 로그 정보로부터 공격 패턴을 추출하고(S421), 이 공격 패턴과 일치하는 MAC 주소를 상기 MAC주소검출모듈(105)로부터 제공받는다.
상기 찾은 공격 패턴을 가진 MAC 주소와 일치하는 IP 주소를 요청하여(S422) 네트워크 공격자로 인지한다(S423). 따라서 본 발명은 공격자가 IP 주소를 변경하여 공격하여도 그 근원지를 추적할 수 있다.
도 5는 본 발명의 일실시 형태에 따라 도 4a의 상기 센트로이드 트리를 생성하는 과정을 구체적으로 도시한 동작 흐름도이다.
도 5를 참조하면, 침입탐지 시스템으로부터 침입경보의 로그 정보가 전달되면, 센트로이드노드검출모듈(104)은 망 관리서버(110)로부터 네트워크 라우터 연결정보를 수집한다(S411).
수집한 네트워크 라우터 연결정보를 기반으로 일반적인 최단 경로 알고리즘을 구동하여 도 2와 같은 네트워크 공격자의 근원지와 공격대상이 연결된 라우터까지의 최단 경로 트리(200)를 생성한다(S412-1).
상기 생성한 최단 경로 트리(200)에서 하위 리프노드(NL: L 레벨에 존재하는 노드들)를 제거한다(S412-2).
상기 최단 경로 트리에서 한 개의 노드만 존재하는지 확인(S412-3)하고 그렇지 않다면, S412-2 단계, S412-3 단계 및 S412-4 단계를 반복하여, 하위 리프노드(NL)를 제거한 최단 경로 트리에서 최종적으로 한 개의 노드가 남을 때까지 하위 리프노드(L=L-1을 대입한 레벨의 노드)(S412-4)를 제거한다.
최종적으로 한 개의 노드만 존재하면, 남은 한 개의 노드가 상위 레벨의 센트로이드 노드가 된다(S412-5).
그런 다음, 최종적으로 남은 한 개의 노드를 최단 경로 트리(200)에서 제거한다(S412-6).
S412-6 단계에 의해 제거되지 않고 남은 노드들로 구성된 n(임의의 자연수)개의 트리에서 각각 하위 리프노드(NL)를 제거한다(S412-7).
그런 다음, n개의 트리에서 각각 최종적으로 한 개의 노드만 존재하는지 확인(S412-8)하여 그렇지 않다면, 각 트리에 대해 S412-7 단계, S412-8단계 및 S412-9 단계를 반복하여, 상기 하위 리프노드(NL)를 제거한 최단 경로 트리에서 최종적으로 한 개의 노드가 남을 때까지 하위 리프노드(L=L-1을 대입한 레벨의 노드)(S412-9)를 제거한다.
n개의 트리에서 각각 최종 한 개의 노드만 존재한다면, 이 한 개의 노드가 하위 레벨의 센트로이드 노드이다(S412-10). 즉, n개의 트리에 대해 n개의 센트로이드 노드가 존재한다.
따라서 상기 S412-5 단계에서 찾은 센트로이드 노드를 루트로 하고, 상기 S412-10 단계에서 찾은 센트로이드 노드를 하위 노드로 하는 센트로이드 트리가 생성된다(S412-11).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
도 1은 본 발명의 일실시 형태에 따른 중심점 분할 기법(centroid decomposition technique)을 이용한 로그(log) 기반의 역추적 시스템을 포함하는 전체 망 구성도,
도 2는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용하여 센트로이드 트리(centroid tree)를 생성하는 원리를 설명하기 위한 설명도,
도 3은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템의 상세 구성도,
도 4는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법을 도시한 동작 흐름도로서, 도 4a는 센트로이드 트리를 생성하는 과정, 도 4b는 공격자와 연결된 라우터와 매칭되는 노드를 찾는 과정 및 도 4c는 공격자 근원지를 추적하는 과정을 나타낸 흐름도, 그리고,
도 5는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용하여 센트로이드 트리를 생성하는 방법을 도시한 동작 흐름도이다.
*도면의 주요 부호에 대한 설명*
10-80. 라우터 100. 역추적 시스템
101. 로그정보입력모듈 102. 라우터제어모듈
103. 역추적처리모듈 104. 센트로이드노드검출모듈
105. MAC주소검출모듈 106. 역추적결과DB
110. 망관리서버 120. 침입탐지시스템
130. 공격대상 140. 공격자
Claims (15)
- 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈;망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈을 포함하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 제1항에 있어서,라우터를 원격제어하여 상기 센트로이드 트리의 각 레벨의 노드에 매칭되는 라우터의 로그 정보를 추출하여 상기 역추적처리모듈에 전달하는 라우터제어모듈을 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 제2항에 있어서,상기 역추적한 공격자의 근원지에 연결된 라우터에 연결된 호스트들의 MAC 주소를 검출하여 상기 역추적처리모듈에 전달하는 MAC주소검출모듈을 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 제3항에 있어서,상기 역추적처리모듈은 상기 공격자의 근원지에 연결된 라우터의 로그 정보에서 공격패턴을 추출하여 일치하는 MAC 주소를 찾고, 상기 공격패턴을 가지는 MAC 주소에 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지로 추적하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 제4항에 있어서,상기 네트워크 공격자의 근원지를 역추적한 추적결과인 공격경로 정보를 저장하는 역추적결과 DB를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 제1항에 있어서,상기 센트로이드 트리는 상기 최단 경로 트리에 대해 하위 리프노드를 반복적으로 제거하여 최종적으로 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하고, 상기 최단 경로 트리에서 상기 최종 한 개의 노드를 제거한 복수 개의 트리에서 다시 리프노드를 반복적으로 제거한 후 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 하여 생성되는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
- 망 관리서버로부터 네트워크 라우터 연결정보를 수집하는 단계;상기 수집한 네트워크 라우터 연결 정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하는 단계; 및상기 최단 경로 트리에 대해 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(centroid tree)를 생성하는 단계를 포함하는 중심점 분할 기법을 이용한 센트로이드 트리 생성 방법.
- 제7항에 있어서, 상기 센트로이드 트리를 생성하는 단계는,상기 최단 경로 트리의 하위 리프노드(leaf node)를 제거하는 단계;상기 하위 리프노드가 제거되고 남은 노드로 구성된 트리에서 최종적으로 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;상기 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하는 단계;상기 최단 경로 트리에서 상기 상위 레벨의 센트로이드 노드를 제거하고 남은 복수 개의 트리에서 각각 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;상기 복수 개의 트리에서 최종적으로 남은 복수 개의 노드를 하위 레벨의 센트로이드 노드로 결정하는 단계; 및상기 상위 레벨의 센트로이드 노드를 루트로 하고, 상기 하위 레벨의 센트로이드 노드를 하위 노드로 하는 센트로이드 트리를 생성하는 단계를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 센트로이드 트리 생성 방법.
- 침입탐지 시스템에서 발생 되는 침입경보의 로그 정보(log data)와 망 관리서버에서 공격패킷이 경유한 네트워크 라우터의 연결정보를 수집하는 단계;상기 공격패킷이 경유한 네트워크 라우터의 연결정보에 대해 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용해 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(centroid tree)를 생성하는 단계;상기 센트로이드 트리의 각 레벨의 노드의 로그 정보와 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 비교하여 공격자의 근원지와 연결된 라우터를 찾는 단계; 및상기 공격자의 근원지와 연결된 라우터의 로그 정보에서 공격 패턴을 추출하여 일치하는 MAC 주소를 찾아 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지를 역추적하는 단계를 포함하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제9항에 있어서, 상기 센트로이드 트리를 생성하는 단계는,상기 공격패킷이 경유한 네트워크 라우터 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하는 단계;상기 최단 경로 트리에 대해 리프노드를 제거하는 중심점 분할 기법을 적용하여 센트로이드 노드를 검출하는 단계; 및상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제10항에 있어서, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계는,상기 최단 경로 트리에서 하위 리프노드를 제거하는 단계;상기 하위 리프노드가 제거된 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;상기 최종 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하는 단계;상기 최단 경로 트리에서 상기 상위 레벨의 센트로이드 노드를 제거하고 남은 복수 개의 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;상기 복수 개의 트리에서 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 결정하는 단계; 및상기 상위 레벨의 센트로이드 노드를 루트로 하고, 상기 하위 레벨의 센트로이드 노드를 하위 노드로 하는 센트로이드 트리를 생성하는 단계를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제9항에 있어서, 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 비교하여 매칭되는 노드의 라우터를 찾는 단계는,상기 센트로이드 트리의 상위 레벨에서 하위 레벨 순으로, 동일 레벨에서는 좌측에서 우측 순서로 각 노드의 로그 정보를 질의하여 침입 경로의 로그 정보와 비교하는 단계;상기 비교 결과 로그 정보가 일치하는 노드가 있으면, 해당 노드가 리프 노드인지 판단하는 단계; 및상기 판단 결과 리프노드이면 공격자의 근원지와 연결된 라우터로 판단하는 단계를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제12항에 있어서,상기 비교 결과, 비교 대상 노드가 루트 노드이고, 로그 정보가 일치하지 않으면, 그 상위 노드가 존재하는지를 검색하여 공격자 근원지와 연결된 라우터를 역추적하는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제12항에 있어서,상기 비교 결과, 비교 대상 노드가 하위 노드이고, 로그 정보가 일치하지 않으면, 가장 마지막에 검출된 로그정보가 일치하는 노드를 공격자의 근원지와 연결된 라우터로 판단하는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
- 제12항에 있어서,상기 판단 결과, 상기 로그 정보가 일치하는 노드가 리프노드가 아니면, 상기 최단 경로 트리에서 상기 로그 정보가 일치하나 리프노드가 아닌 노드의 상위 노드들을 상기 센트로이드 트리에서 제거하고, 상기 비교 단계로 리턴되는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070073059A KR100922582B1 (ko) | 2007-07-20 | 2007-07-20 | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 |
US12/669,633 US8307441B2 (en) | 2007-07-20 | 2007-11-21 | Log-based traceback system and method using centroid decomposition technique |
PCT/KR2007/005859 WO2009014283A1 (en) | 2007-07-20 | 2007-11-21 | Log-based traceback system and method using centroid decomposition technique |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070073059A KR100922582B1 (ko) | 2007-07-20 | 2007-07-20 | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090009622A true KR20090009622A (ko) | 2009-01-23 |
KR100922582B1 KR100922582B1 (ko) | 2009-10-21 |
Family
ID=40281512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070073059A KR100922582B1 (ko) | 2007-07-20 | 2007-07-20 | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8307441B2 (ko) |
KR (1) | KR100922582B1 (ko) |
WO (1) | WO2009014283A1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101048991B1 (ko) * | 2009-02-27 | 2011-07-12 | (주)다우기술 | 봇넷 행동 패턴 분석 시스템 및 방법 |
US10264004B2 (en) | 2015-11-09 | 2019-04-16 | Electronics And Telecommunications Research Institute | System and method for connection fingerprint generation and stepping-stone traceback based on netflow |
US10805319B2 (en) | 2017-02-14 | 2020-10-13 | Electronics And Telecommunications Research Institute | Stepping-stone detection apparatus and method |
Families Citing this family (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8806634B2 (en) * | 2005-04-05 | 2014-08-12 | Donald N. Cohen | System for finding potential origins of spoofed internet protocol attack traffic |
US8171554B2 (en) * | 2008-02-04 | 2012-05-01 | Yuval Elovici | System that provides early detection, alert, and response to electronic threats |
CN102546275A (zh) * | 2010-12-20 | 2012-07-04 | 中兴通讯股份有限公司 | 告警检测方法及装置 |
US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
US10356106B2 (en) | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
KR20130039175A (ko) * | 2011-10-11 | 2013-04-19 | 한국전자통신연구원 | 내부자 위협 탐지 장치 및 방법 |
EP2792104B1 (en) * | 2011-12-21 | 2021-06-30 | SSH Communications Security Oyj | Automated access, key, certificate, and credential management |
WO2014087597A1 (ja) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
KR20140075068A (ko) * | 2012-12-10 | 2014-06-19 | 한국전자통신연구원 | 화상 통화 영상 변조 장치 및 그 방법 |
CN105247826B (zh) * | 2013-01-11 | 2018-07-13 | 华为技术有限公司 | 网络设备的网络功能虚拟化 |
EP2946332B1 (en) | 2013-01-16 | 2018-06-13 | Palo Alto Networks (Israel Analytics) Ltd | Automated forensics of computer systems using behavioral intelligence |
TWI484331B (zh) * | 2013-08-28 | 2015-05-11 | Univ Nat Cheng Kung | 基於跨層日誌記錄的資料軌跡追蹤系統與方法 |
KR101889500B1 (ko) | 2014-03-07 | 2018-09-20 | 한국전자통신연구원 | 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템 |
WO2016014086A1 (en) * | 2014-07-25 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Software-defined sensing |
JP6461992B2 (ja) * | 2014-11-05 | 2019-01-30 | キヤノン電子株式会社 | 特定装置、その制御方法、及びプログラム |
CN105825137B (zh) * | 2015-01-05 | 2018-10-02 | 中国移动通信集团江苏有限公司 | 一种确定敏感数据扩散行为的方法及装置 |
US20160253501A1 (en) * | 2015-02-26 | 2016-09-01 | Dell Products, Lp | Method for Detecting a Unified Extensible Firmware Interface Protocol Reload Attack and System Therefor |
US10367842B2 (en) * | 2015-04-16 | 2019-07-30 | Nec Corporation | Peer-based abnormal host detection for enterprise security systems |
US10075461B2 (en) | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
US10440036B2 (en) * | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
US10140447B2 (en) | 2015-12-11 | 2018-11-27 | Sap Se | Attack pattern framework for monitoring enterprise information systems |
CN105681211B (zh) * | 2015-12-31 | 2020-07-28 | 北京安天网络安全技术有限公司 | 基于信息萃取的流量记录方法和系统 |
US10192278B2 (en) * | 2016-03-16 | 2019-01-29 | Institute For Information Industry | Traceable data audit apparatus, method, and non-transitory computer readable storage medium thereof |
US10686829B2 (en) | 2016-09-05 | 2020-06-16 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying changes in use of user credentials |
US10462170B1 (en) * | 2016-11-21 | 2019-10-29 | Alert Logic, Inc. | Systems and methods for log and snort synchronized threat detection |
US11233809B2 (en) * | 2017-03-03 | 2022-01-25 | Nippon Telegrape And Telephone Corporation | Learning device, relearning necessity determination method, and relearning necessity determination program |
CN106843111B (zh) * | 2017-03-10 | 2019-04-05 | 中国石油大学(北京) | 油气生产系统报警信号根原因精确溯源方法及装置 |
US11316877B2 (en) | 2017-08-01 | 2022-04-26 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
US10671723B2 (en) | 2017-08-01 | 2020-06-02 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
US10637888B2 (en) | 2017-08-09 | 2020-04-28 | Sap Se | Automated lifecycle system operations for threat mitigation |
US10778556B2 (en) * | 2017-12-28 | 2020-09-15 | Intel Corporation | Efficient mesh network data gathering |
US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
US10761879B2 (en) | 2018-06-19 | 2020-09-01 | Sap Se | Service blueprint creation for complex service calls |
US11601442B2 (en) * | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
JP7099533B2 (ja) * | 2018-09-25 | 2022-07-12 | 日本電気株式会社 | 影響範囲推定装置、影響範囲推定方法、及びプログラム |
US10768900B2 (en) | 2018-12-05 | 2020-09-08 | Sap Se | Model-based service registry for software systems |
US10637952B1 (en) | 2018-12-19 | 2020-04-28 | Sap Se | Transition architecture from monolithic systems to microservice-based systems |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
US11012492B1 (en) | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100439170B1 (ko) | 2001-11-14 | 2004-07-05 | 한국전자통신연구원 | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 |
US7254633B2 (en) * | 2002-02-07 | 2007-08-07 | University Of Massachusetts Amherst | Probabilistic packet marking |
AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
US7801857B2 (en) * | 2003-12-19 | 2010-09-21 | Solace Systems, Inc. | Implicit routing in content based networks |
US20050257263A1 (en) * | 2004-05-13 | 2005-11-17 | International Business Machines Corporation | Andromeda strain hacker analysis system and method |
US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
JP4321550B2 (ja) * | 2005-08-31 | 2009-08-26 | ソニー株式会社 | 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム |
JP4899442B2 (ja) * | 2005-11-21 | 2012-03-21 | ソニー株式会社 | 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム |
US7881223B2 (en) * | 2006-03-31 | 2011-02-01 | Panasonic Corporation | Method for on demand distributed hash table update |
US7619990B2 (en) * | 2006-06-30 | 2009-11-17 | Alcatel-Lucent Usa Inc. | Two tiered packet labeling for data network traceback |
JP2008103007A (ja) * | 2006-10-18 | 2008-05-01 | Sony Nec Optiarc Inc | 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム |
US8695089B2 (en) * | 2007-03-30 | 2014-04-08 | International Business Machines Corporation | Method and system for resilient packet traceback in wireless mesh and sensor networks |
US7986636B2 (en) * | 2007-11-09 | 2011-07-26 | Polytechnic Institute Of New York University | Efficient detection of relay node |
-
2007
- 2007-07-20 KR KR1020070073059A patent/KR100922582B1/ko active IP Right Grant
- 2007-11-21 US US12/669,633 patent/US8307441B2/en not_active Expired - Fee Related
- 2007-11-21 WO PCT/KR2007/005859 patent/WO2009014283A1/en active Application Filing
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101048991B1 (ko) * | 2009-02-27 | 2011-07-12 | (주)다우기술 | 봇넷 행동 패턴 분석 시스템 및 방법 |
US10264004B2 (en) | 2015-11-09 | 2019-04-16 | Electronics And Telecommunications Research Institute | System and method for connection fingerprint generation and stepping-stone traceback based on netflow |
US10805319B2 (en) | 2017-02-14 | 2020-10-13 | Electronics And Telecommunications Research Institute | Stepping-stone detection apparatus and method |
Also Published As
Publication number | Publication date |
---|---|
WO2009014283A1 (en) | 2009-01-29 |
US20100212013A1 (en) | 2010-08-19 |
US8307441B2 (en) | 2012-11-06 |
KR100922582B1 (ko) | 2009-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US9275224B2 (en) | Apparatus and method for improving detection performance of intrusion detection system | |
KR100456635B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 방법 | |
JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
CN107196939B (zh) | 一种适用于sdn网络的混合包标记溯源系统和方法 | |
CN110505235B (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
KR20030021338A (ko) | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 | |
CN111698260A (zh) | 一种基于报文分析的dns劫持检测方法及系统 | |
CN104901850B (zh) | 一种恶意代码终端感染机器网络定位方法 | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
CN101741745B (zh) | 识别对等网络应用流量的方法及其系统 | |
KR102149531B1 (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
CN113259349A (zh) | 一种轨道交通控制网络的监测方法及装置 | |
CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
RU2622788C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
Li et al. | Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks | |
Mugitama et al. | An evidence-based technical process for openflow-based SDN forensics | |
KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
TWI489820B (zh) | 一種追蹤攻擊來源之方法 | |
EP3484122A1 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
KR20100041471A (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120919 Year of fee payment: 18 |