KR20130049336A - Method and system for tracking attack source and attack spreading site - Google Patents

Method and system for tracking attack source and attack spreading site Download PDF

Info

Publication number
KR20130049336A
KR20130049336A KR1020110114286A KR20110114286A KR20130049336A KR 20130049336 A KR20130049336 A KR 20130049336A KR 1020110114286 A KR1020110114286 A KR 1020110114286A KR 20110114286 A KR20110114286 A KR 20110114286A KR 20130049336 A KR20130049336 A KR 20130049336A
Authority
KR
South Korea
Prior art keywords
information
attack
file
uploader
agent
Prior art date
Application number
KR1020110114286A
Other languages
Korean (ko)
Inventor
서대희
안개일
김종현
서동일
김기영
이성원
임선희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110114286A priority Critical patent/KR20130049336A/en
Publication of KR20130049336A publication Critical patent/KR20130049336A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A method for tracking attack sources and attack distribution places and a system thereof are provided to manage a path and configuration for an attack scenario by tracking an abnormal file uploader in real-time. CONSTITUTION: An agent(500) receives an information confirmation message of an abnormal file corresponding to the information transmission of an abnormal file(S117). The agent selects a place corresponding to the information of the abnormal file as an attack distribution place(S119). The agent transmits an abnormal file uploader information request message. The agent receives the abnormal file uploader information corresponding to the request message(S121). When the received abnormal file uploader information corresponds to the stored uploader information, the agent sets an attack source using the abnormal file uploader information(S123). [Reference numerals] (100) Attack computer; (200) User computer; (300) Network security server; (400) Site file management server; (500) Agent; (S101) Upload an abnormal file; (S103) Analyze action and extract uploader information; (S105) Transmit the uploader information; (S107) Store the uploader information; (S109) Download abnormal file; (S111) Store downloaded user information with the uploader information; (S113) Transmit attack information when detecting cyber attack; (S115) Transmit transmission network address; (S117) Transmit confirmation message of the transmission network address; (S119) Define an attack distribution place; (S121) Receive the uploader information; (S123) Define an attack source

Description

공격 근원지 및 공격 유포지 추적 방법 및 시스템{METHOD AND SYSTEM FOR TRACKING ATTACK SOURCE AND ATTACK SPREADING SITE}METHOD AND SYSTEM FOR TRACKING ATTACK SOURCE AND ATTACK SPREADING SITE}

본 발명은 공격 근원지 및 공격 유포지 추적 방법 및 시스템에 관한 것으로, 더욱 상세하게는 사회 기반 시설의 정보 유출 및 개인 정보 유출을 막기 위한 공격 근원지 및 공격 유포지 추적 방법 및 시스템에 관한 것이다.The present invention relates to a method and a system for tracking an attack source and an attack distribution site, and more particularly, to a method and a system for tracking an attack source and an attack distribution site for preventing information leakage and personal information leakage of a social infrastructure.

최근 인터넷의 급속한 발전으로 사회 기반 시설 및 생활 저변에 인터넷이 확대되고 그 이용이 증가하고 있다. 사회 기반 시설 및 생활 저변에 인터넷이 확대됨에 따라 악의적인 공격자로 인해 사회 기반 시설의 정보 유출 및 개인 정보 유출이 빈번히 발생하였다.Recently, due to the rapid development of the Internet, the Internet is expanding and its use is increasing at the base of social infrastructure and living. As the Internet expands to the infrastructure and the base of life, malicious attackers frequently leak information of the infrastructure and personal information.

따라서, 사회 기반 시설의 정보 유출 및 개인 정보 유출을 막기 위해 공격 근원지 및 공격 유포지 추적 방법이 여러 가지 제시되었는데, 종래에 제시된 방법에는 로그 분석 방식, 샘플링 기법, SASS(Static Assembly Source code Scan)방식 등이 있었다.Therefore, in order to prevent the leakage of information and personal information from the infrastructure, various methods of tracking the origin of attack and the distribution of attack have been proposed.However, conventionally proposed methods include a log analysis method, a sampling method, a static assembly source code scan (SAS) method, and the like. There was this.

먼저, 로그 분석 방식은 로그 분석과정을 반복적으로 수행하여 공격 경로를 파악하는 수동적인 방법으로서 전체 네트워크 마비의 위험성이 내포되어 있다. 특히, 로그 정보가 삭제된 경우 전체적인 로그 분석 자체가 불가능할 뿐만 아니라 실제 구현시 데이터량 증가에 따라 효율이 떨어지는 문제점이 있다.First, the log analysis method is a passive method of identifying an attack path by repeatedly performing a log analysis process, which includes a risk of total network paralysis. In particular, when log information is deleted, not only the entire log analysis itself is impossible, but also the efficiency decreases as the amount of data increases in actual implementation.

샘플링 기법은 고정 헤더 필드에 라우터간의 에지 정보를 XOR하여 마킹(Marking)하는 방식으로 최종적으로 피해 시스템에서 수집된 정보를 기반으로 역으로 공격 경로를 재구성하게 되어 IP 스푸핑(IP Spoofing)된 공격 근원지를 역추적할 수 있다는 특징이 있다. 그러나 샘플링 기법은 대단위 DDOS(Distributed Denial of Service) 공격이 수행될 경우, 공격 근원지 역추적에 비효율적이며 에지 정보 또는 노드 정보 등이 마킹되지 않고 전달되는 패킷(packet)에 대해서는 완전하게 공격 근원지 추적이 어려운 문제점이 있다.Sampling technique XORs the edge information between routers in the fixed header field and marks it to reconstruct the attack path based on the information finally collected from the victim system, thereby reproducing the IP spoofing attack source. It can be traced back. However, the sampling technique is inefficient for traceback of attack origin when large-scale distributed denial of service (DDOS) attacks are performed, and it is difficult to completely trace the attack origin for packets transmitted without marking edge information or node information. There is a problem.

정적 어셈블리 코드 탐색(SASS : Static Assembly Source code Scan) 방식은 정적 어셈블리 코드를 탐색하는 방식으로 입력부 탐색, 요약 DB, 출력부 등으로 구성되어 버퍼 오버플로우(buffer overflow)를 비롯한 새로운 방식으로 접근하는 어셈블리 코드 탐색 방식이다. 그러나 정적 어셈블리 코드 탐색 방식은 실시간 추적이 어려우며 에뮬레이터(Emulator)에서 인터프리터(interpreter) 역할을 수행함으로써 많은 시간이 소요되는 문제점이 있다. 특히, 소스 코드에서의 흐름을 추적함으로써 대상을 탐색하는데 목적이 있어 공격 근원지 및 유포지 추적에 적용이 어려운 문제점이 있다.Static Assembly Source Code Scan (SASS) is a method of searching static assembly code. It consists of input search, summary DB, and output, and then accesses a new method including buffer overflow. Code search. However, the static assembly code search method has a problem that it is difficult to track in real time and takes a lot of time by acting as an interpreter in the emulator. In particular, there is a problem in that it is difficult to apply to tracking the source and distribution of the attack because the purpose is to search the target by tracking the flow in the source code.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 실시간으로 추적이 가능한 공격 근원지 및 공격 유포지 추적 방법을 제공하는 것이다.An object of the present invention for solving the above problems is to provide an attack source and attack distribution site tracking method that can be tracked in real time.

또한, 본 발명의 다른 목적은 실시간으로 추적이 가능한 공격 근원지 및 공격 유포지 추적 시스템을 제공하는 것이다.It is another object of the present invention to provide an attack source and attack distribution site tracking system that can be tracked in real time.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법에 따르면, 에이전트에서 수행되는 공격 근원지 및 유포지 추적 방법에 있어서, 에이전트에서 수행되는 공격 근원지 및 유포지 추적 방법에 있어서, 수신된 정보 중 비정상 파일의 정보를 전송하는 단계와, 상기 비정상 파일의 정보 전송에 상응하여 비정상 파일의 정보 확인 메시지가 수신된 경우, 상기 비정상 파일의 정보에 상응하는 위치를 공격 유포지로 규정하는 단계와, 상기 공격 유포지 규정 후, 상기 비정상 파일 업로드자 정보 요청 메시지를 전송하는 단계 및 상기 요청 메시지에 상응하여 비정상 파일 업로드자 정보가 수신된 경우, 수신된 상기 비정상 파일 업로드자 정보와 미리 저장된 업로드자 정보를 비교하여 비교 결과 대응되는 것으로 판단되면, 상기 비정상 파일 업로드자 정보를 이용하여 공격 근원지를 규정하는 단계를 포함한다. According to the attack source and attack distribution site tracking method according to an embodiment of the present invention for achieving the above object, in the attack source and distribution site tracking method performed by the agent, in the attack source and distribution site tracking method performed by the agent, Transmitting the information of the abnormal file among the received information, and if an information confirmation message of the abnormal file is received in response to the information transmission of the abnormal file, defining a location corresponding to the information of the abnormal file as the attack distribution site. Transmitting the abnormal file uploader information request message and the abnormal file uploader information and the previously stored uploader information when the abnormal file uploader information is received in response to the request message. Compare the information and judge that the comparison result Surface, and a step which defines the attack source using the abnormal file upload character information.

또한, 본 발명의 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템에 따르면, 에이전트 통신부와, 상기 에이전트 통신부를 통해 수신된 정보 중 비정상 파일의 정보를 전송하는 공격 유포지 추적부와, 상기 통신부를 통해 상기 비정상 파일의 정보 전송에 상응하여 비정상 파일의 정보 확인 메시지가 수신된 경우, 상기 비정상 파일 정보에 상응하는 위치를 공격 유포지로 규정하고 규정된 공격 유포지 정보를 제공하는 공격 유포지 추적부와, 상기 공격 유포지 추적부로부터 공격 유포지 정보가 제공된 경우 상기 비정상 파일 업로드자 정보 요청 메시지를 전송하는 제어부 및 상기 제어부의 상기 비정상 파일 업로드자 정보 요청 메시지에 상응하여 비정상 파일 업로드자 정보가 수신된 경우, 수신된 상기 비정상 파일 업로드자 정보와 미리 저장된 업로드자 정보를 비교하여 비교 결과 대응되는 것으로 판단되면, 상기 비정상 파일 업로드자 정보를 이용하여 공격 근원지를 규정하는 공격 근원지 추적부를 포함한다.In addition, according to the attack source and attack distribution site tracking system according to an embodiment of the present invention for achieving another object of the present invention, an attack for transmitting the information of the abnormal file of the information received through the agent communication unit and the agent communication unit When the information tracking message of the abnormal file is received in response to the distribution site tracking unit and the information transmission of the abnormal file through the communication unit, the location corresponding to the abnormal file information is defined as an attack distribution site and the prescribed attack distribution site information is provided. The attack distribution site tracking unit, the control unit for transmitting the abnormal file uploader information request message when the attack distribution site information is provided from the attack distribution site tracking unit, and the abnormal file uploader corresponding to the abnormal file uploader information request message of the control unit. If information is received, the received If it is determined that the result compared by comparing the uploading party information stored in advance and a normal file upload character information correspond, include tracking attack source portion, which defines the attack source using the abnormal file upload character information.

상기와 같은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 및 시스템에 따르면, 비정상 파일을 송신한 송신지 네트워크주소 확인 요청 메시지를 파일관리 서버에 전송하여 송신지 네트워크주소 확인 메시지가 수신된 경우, 파일관리 서버를 공격 유포지로 규정하고, 업로드자 정보가 미리 저장된 업로드자 정보와 대응되는 경우 업로드자 정보를 이용하여 공격 근원지를 규정하며 주위 에이전트에 공격 근원지 정보 및 유포지 정보를 전송할 수 있다.According to the attack source and attack distribution site tracking method and system according to an embodiment of the present invention as described above, the sender network address confirmation message is received by transmitting a sender network address confirmation request message that transmits an abnormal file to a file management server. In this case, the file management server may be defined as an attack distribution site, and if the uploader information corresponds to the pre-stored uploader information, the attack source may be defined using the uploader information, and the attack source information and the distribution site information may be transmitted to neighboring agents. .

따라서, 비정상 파일 업로드자에 대한 추적이 실시간으로 가능하여 공격 근원지 및 공격 유포지에 대한 공격 시나리오 구성과 경로에 대한 관리가 가능하며 공격 근원지 및 공격 유포지 정보를 실시간으로 공유할 수 있다. 또한, 방송통신융합 서비스 환경에서 정보통신 기술 위협에 대한 실시간 체계를 구축함으로써 향상된 형태의 유기적인 추적을 할 수 있다.Therefore, it is possible to track the abnormal file uploader in real time, and it is possible to manage the attack scenario configuration and path for the attack source and attack distribution site, and share the attack source and attack distribution site information in real time. In addition, by establishing a real-time system for threats of information and communication technology in the broadcasting communication convergence service environment, it is possible to improve the organic tracking of the improved form.

도 1은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법을 나타내는 순서도이다.
도 2는 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 중 사이트의 파일관리 서버에서 수행되는 절차를 나타내는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 중 에이전트에서 수행되는 절차를 나타내는 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법을 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템의 개념도이다.
도 6은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 사이트의 파일관리서버의 구성을 나타내는 블록도이다.
도 7은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 에이전트의 구성을 나타내는 블록도이다.1 is a flowchart illustrating a method for tracking an attack source and an attack distribution site according to an embodiment of the present invention.
2 is a flowchart illustrating a procedure performed in a file management server of a site in an attack source and attack distribution site tracking method according to an embodiment of the present invention.
3 is a flowchart illustrating a procedure performed by an agent in the attack source and attack distribution site tracking method according to an embodiment of the present invention.
4 is a flowchart illustrating a method for tracking an attack source and an attack distribution site according to another embodiment of the present invention.
5 is a conceptual diagram of an attack source and attack distribution site tracking system according to an embodiment of the present invention.
Figure 6 is a block diagram showing the configuration of the file management server of the site of the attack source and attack distribution site tracking system according to an embodiment of the present invention.
7 is a block diagram showing the configuration of an agent in the attack source and attack distribution site tracking system according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 및 시스템에서 비정상 파일 업로드자는 기존 안티 바이러스 제품 및 네트워크 보안 제품에 탐지되지 않는 형태의 악성 파일을 정상 파일로 위장하는 것으로 가정한다. 또한, 각 도메인 간에는 에이전트가 존재하며, 각 에이전트가 관할하는 사이트의 파일관리 서버가 있는 것으로 가정한다. 또한, 사이버 공격에 대한 탐지는 기존 네트워크 보안 서버를 활용하는 것으로 가정한다.
In the method and system for tracking the attack source and attack distribution site according to an embodiment of the present invention, it is assumed that the abnormal file uploader disguised as a normal file a malicious file that is not detected by the existing antivirus product and network security product. In addition, it is assumed that there is an agent between each domain, and that there is a file management server of a site controlled by each agent. In addition, the detection of cyber attacks is assumed to utilize an existing network security server.

도 1은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법을 나타내는 순서도이다.1 is a flowchart illustrating a method for tracking an attack source and an attack distribution site according to an embodiment of the present invention.

도 1에 도시된 공격 근원지 및 공격 유포지 추적 방법에서, 공격 근원지의 공격 컴퓨터(100)로부터 사이트의 파일관리 서버(400)(이하, '파일관리 서버'라 약칭함)에 비정상 파일이 업로드 된 경우(S101), 파일관리 서버(400)는 업로드 파일에 대한 행위 분석을 하여 비정상 파일로 판단되면 업로드 파일로부터 업로드자 정보를 추출한다(S103).In the attack source and attack distribution site tracking method shown in FIG. 1, when an abnormal file is uploaded from the attack computer 100 of the attack source to the file management server 400 (hereinafter, abbreviated as 'file management server') of the site In operation S101, the file management server 400 analyzes the behavior of the upload file and extracts uploader information from the upload file when it is determined to be an abnormal file (S103).

파일관리 서버(400)는 단계 103을 통해 추출된 업로드자 정보를 에이전트(500)에 전송한다(S105).The file management server 400 transmits the uploader information extracted through the step 103 to the agent 500 (S105).

에이전트(500)는 파일관리 서버(400)로부터 수신된 업로드자 정보를 저장한다(S107).Agent 500 stores the uploader information received from the file management server 400 (S107).

파일관리 서버(400)는 사용자 컴퓨터(200)가 파일관리 서버(400)로부터 비정상 파일을 다운로드 한 경우(S109), 다운로드한 사용자 컴퓨터(200) 정보를 비정상 파일의 업로드자 정보와 함께 저장한다(S111).When the user computer 200 downloads the abnormal file from the file management server 400 (S109), the file management server 400 stores the downloaded user computer 200 information together with uploader information of the abnormal file ( S111).

네트워크 보안서버(300)는 사용자 컴퓨터(200)가 비정상 파일을 다운로드 하여 사이버 공격이 감지된 경우, 사이버 공격에 대한 공격 정보를 에이전트(500)에 전송한다(S113).When the user computer 200 downloads an abnormal file and detects a cyber attack, the network security server 300 transmits attack information on the cyber attack to the agent 500 (S113).

에이전트(500)는 네트워크 보안서버(300)로부터 수신한 공격 정보 중 송신지 네트워크 주소를 파일관리 서버(400)에 전송하고(S115), 파일관리 서버(400)로부터 송신지 네트워크 주소 확인 메시지가 수신된 경우(S117) 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한다(S119).Agent 500 transmits the destination network address of the attack information received from the network security server 300 to the file management server (400) (S115), the destination network address confirmation message is received from the file management server (400) If it is (S117), the location corresponding to the destination network address is defined as the attack distribution (S119).

또한, 에이전트(500)는 파일관리 서버(400)로부터 업로드자 정보를 수신하여(S121), 수신된 업로드자 정보와 미리 저장된 업로드자 정보와 비교하고, 비교결과 대응되는 것으로 판단된 경우 업로드자 정보에 기초하여 공격 근원지를 규정할 수 있다(S123).
In addition, the agent 500 receives uploader information from the file management server 400 (S121), compares the received uploader information with pre-stored uploader information, and if it is determined that the comparison result corresponds to uploader information. Based on the attack source can be defined (S123).

도 2는 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 중 사이트의 파일관리 서버에서 수행되는 절차를 나타내는 흐름도이다.2 is a flowchart illustrating a procedure performed in a file management server of a site in an attack source and attack distribution site tracking method according to an embodiment of the present invention.

도 2에 도시된 공격 근원지 및 공격 유포지 추적 방법에서 파일관리 서버(400)에 파일이 업로드 된 경우, 파일관리 서버(400)는 업로드된 파일에 대한 행위 분석을 수행한다(S201).When a file is uploaded to the file management server 400 in the attack source and attack distribution site tracking method shown in FIG. 2, the file management server 400 performs behavior analysis on the uploaded file (S201).

여기서, 파일관리 서버(400)는 해당 파일관리 서버(400)에 업로드 또는 다운로드 되는 파일을 관리하며, 이러한 파일관리 서버(400)는 예를 들어, 포털 사이트 또는 그 밖의 다양한 파일 공유 사이트의 파일관리 서버일 수 있다.Here, the file management server 400 manages files uploaded or downloaded to the file management server 400, and such file management server 400 manages files of a portal site or various other file sharing sites, for example. It can be a server.

구체적으로, 업로드 파일에 대한 행위 분석은 업로드 파일이 정상 파일인지 비정상 파일인지 분석하는 것으로, 업로드 파일에 대한 속성 정보를 분석한 후 DB에 저장된 비정상 행위에 해당되는 속성 정보와 비교하는 등의 동작을 통해 보안 위험 버그, 파라미터 및 비정상 파일을 파악하는 순으로 진행될 수 있다.Specifically, the behavior analysis on the upload file is to analyze whether the upload file is a normal file or an abnormal file. This can be done in order to identify security risk bugs, parameters and abnormal files.

여기서, 속성 정보는 파일의 논리적 구조를 규정하기 위한 것으로 예를 들어 레코드 길이, 형식, 블록 길이, 파일 구조, 키 길이, 키의 위치 등이 될 수 있다.Here, the attribute information is for defining the logical structure of the file and may be, for example, a record length, a format, a block length, a file structure, a key length, a key position, and the like.

파일관리 서버(400)는 단계 201에서 행위 분석을 통해 업로드 파일이 비정상 파일인지 판단하고(S203), 업로드 파일이 비정상 파일로 판단된 경우 비정상 파일의 업로드자 정보를 추출한다(S205).The file management server 400 determines whether the upload file is an abnormal file through behavior analysis in step 201 (S203), and extracts uploader information of the abnormal file when it is determined that the upload file is an abnormal file (S205).

여기서, 업로드자 정보에는 업로드자 아이디(

Figure pat00001
), 네트워크 주소(
Figure pat00002
), 맥 어드레스(
Figure pat00003
), OS 정보(
Figure pat00004
), 해당 네트워크 주소에 대한 위치 정보(
Figure pat00005
) 등이 포함될 수 있다.Here, uploader information includes uploader ID (
Figure pat00001
), The network address (
Figure pat00002
), MAC address (
Figure pat00003
), OS information (
Figure pat00004
), The location information for that network address (
Figure pat00005
) May be included.

파일관리 서버(400)는 단계 S205에서 추출된 비정상 파일의 업로드자 정보에 해시함수(HASH FUNCTION)를 적용하여 해시값을 생성하고 생성된 해시값을 파일관리 서버(400)를 관리하는 에이전트(500)에 전송한다(S207).The file management server 400 generates a hash value by applying a hash function (HASH FUNCTION) to uploader information of the abnormal file extracted in step S205, and manages the generated hash value file management server 400 (500). (S207).

파일관리 서버(400)는 단계 207 이후, 소정의 사용자 컴퓨터(200)에서 비정상 파일을 다운로드 한 경우, 비정상 파일을 다운로드한 소정의 사용자 컴퓨터(200)의 정보를 비정상 파일 정보와 함께 저장한다(S209).When the file management server 400 downloads the abnormal file from the predetermined user computer 200 after step 207, the file management server 400 stores the information of the predetermined user computer 200 that downloaded the abnormal file together with the abnormal file information (S209). ).

여기서, 소정의 사용자 컴퓨터(200)의 정보는 예들 들어, 아이디(ID), 네트워크 주소(IP)일 수 있다.Here, the information of the predetermined user computer 200 may be, for example, an ID and a network address.

파일관리 서버(400)는 단계 109 이후, 당해 파일관리 서버(400)를 관리하는 에이전트(500)로부터 파일을 송신한 송신지 네트워크 주소가 수신된 경우(S211), 수신된 송신지 네트워크 주소에 대응되는 네트워크 주소가 저장되어 있는지 판단한다(S213).If the file management server 400 receives the destination network address from which the file is transmitted from the agent 500 managing the file management server 400 after step 109 (S211), the file management server 400 corresponds to the received destination network address. It is determined whether the network address is stored (S213).

여기서, 송신지 네트워크 주소는 파일 업로드자의 네트워크 주소 또는 파일관리 서버의 네트워크 주소일 수 있다.Here, the destination network address may be a network address of a file uploader or a network address of a file management server.

파일관리 서버(400)는 단계 213에서 대응되는 송신지 네트워크 주소가 저장되어 있는 것으로 판단된 경우, 송신지 네트워크 주소 확인 메시지를 당해 파일관리 서버(400)를 관리하는 에이전트(500)에 전송한다(S215).If it is determined in step 213 that the corresponding destination network address is stored, the file management server 400 transmits a destination network address confirmation message to the agent 500 managing the file management server 400 ( S215).

이후, 파일관리 서버(400)는 당해 파일관리 서버(400)를 관리하는 에이전트(500)로부터 비정상 파일 업로드자 정보 요청 메시지가 수신된 경우, 비정상 파일 업로드자 정보에 대응되는 업로드자 정보를 독출하고, 독출된 업로드자 정보를 에이전트(500)로 전송한다(S217).Thereafter, the file management server 400 reads uploader information corresponding to the abnormal file uploader information when the abnormal file uploader information request message is received from the agent 500 managing the file management server 400. In operation S217, the uploaded uploader information is transmitted to the agent 500.

여기서, 독출된 업로드자 정보는 복호화되어 에이전트(500)에 평문(Plain text)으로 전송될 수도 있다.
Here, the read uploader information may be decrypted and transmitted to the agent 500 in plain text.

도 3은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법 중 에이전트에서 수행되는 절차를 나타내는 흐름도이다.3 is a flowchart illustrating a procedure performed by an agent in the attack source and attack distribution site tracking method according to an embodiment of the present invention.

도 3에 도시된 공격 근원지 및 공격 유포지 추적 방법에서 에이전트(500)는 관리하는 파일관리 서버(400)로부터 업로드자 정보에 해당하는 해시값이 전송된 경우, 전송된 해시값과 해시값을 전송한 파일관리 서버(400)의 정보와 함께 DB화하여 저장한다(S301).In the attack source and attack distribution site tracking method shown in FIG. 3, when the hash value corresponding to the uploader information is transmitted from the managing file management server 400, the agent 500 transmits the transmitted hash value and the hash value. DB and store the information with the file management server 400 (S301).

여기서, 파일관리 서버(400)의 정보는 예를 들어, 맥어드레스(MAC address), 네트워크 주소(IP), OS정보, 해당 네트워크 주소에 대한 위치 정보 등을 포함할 수 있다.Here, the information of the file management server 400 may include, for example, a MAC address, a network address (IP), OS information, location information about the corresponding network address, and the like.

에이전트(500)는 네트워크 보안서버(300)로부터 송신지 네트워크 주소 및 목적지 네트워크 주소를 수신한 경우, 수신된 네트워크 주소 중 송신지 네트워크 주소를 파일관리 서버(400)에 전송한다(S303).When the agent 500 receives the source network address and the destination network address from the network security server 300, the agent 500 transmits the source network address among the received network addresses to the file management server 400 (S303).

여기서, 송신지 네트워크 주소는 파일 업로드자의 네트워크 주소 또는 파일관리 서버(400)의 네트워크 주소일 수 있으며, 목적지 네트워크 주소는 예를 들어, 파일이 다운로드된 사용자 컴퓨터(200)의 네트워크 주소일 수 있다.Here, the destination network address may be the network address of the file uploader or the network address of the file management server 400, and the destination network address may be, for example, the network address of the user computer 200 from which the file is downloaded.

본 발명의 일 실시예에서는 네트워크 보안서버(300)를 특정 그룹의 사용자들이 이용하는 독립된 서버의 형태로 구성하였으나, 본 발명의 다른 실시예에서 상기 네트워크 보안서버(300)는 사용자의 컴퓨터에 설치된 어플리케이션 프로그램의 형태로 구성될 수 있다.In an embodiment of the present invention, the network security server 300 is configured as an independent server used by a specific group of users. In another embodiment of the present invention, the network security server 300 is an application program installed in a user's computer. It may be configured in the form of.

상기 파일관리 서버(400)로부터 송신지 네트워크 주소 확인 메시지가 수신된 경우 에이전트(500)는 상기 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한다(S305).When the source network address confirmation message is received from the file management server 400, the agent 500 defines a location corresponding to the source network address as an attack distribution site (S305).

상기 파일관리 서버(400)를 공격 유포지로 규정한 후 에이전트(500)는 비정상 파일 업로드자 정보 요청 메시지를 상기 파일관리 서버(400)에 전송한다(S307).After defining the file management server 400 as an attack distribution site, the agent 500 transmits an abnormal file uploader information request message to the file management server 400 (S307).

여기서, 비정상 파일 업로드자 정보 요청 메시지는 비정상 파일 업로드자 정보를 복호화하여 평문(Plain text)으로 전송을 원하는 내용을 포함할 수 있다.In this case, the abnormal file uploader information request message may include contents to be transmitted in plain text by decoding the abnormal file uploader information.

에이전트(500)는 파일관리 서버(400)로부터 업로드자 정보가 수신된 경우, 수신된 상기 업로드자 정보에 해시함수 적용하여 해시값을 생성하고, 생성된 해시값과 미리 저장된 해시값을 비교하여 대응되는 경우 상기 업로드자 정보를 이용하여 공격 근원지를 규정한다(S309).When the uploader information is received from the file management server 400, the agent 500 generates a hash value by applying a hash function to the received uploader information, and compares the generated hash value with a previously stored hash value. If so, the attack origin is defined using the uploader information (S309).

에이전트(500)는 단계 309에서 공격 근원지를 규정한 경우, 주변 다른 에이전트들에게 상기 공격 근원지 및 유포지 정보를 전송할 수 있다(S311).When the agent 500 defines the attack source in step 309, the agent 500 may transmit the attack source and distribution information to other nearby agents (S311).

따라서, 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법에 의하면, 비정상 파일 업로드자에 대한 추적이 실시간으로 가능하여 공격 근원지 및 공격 유포지에 대한 공격 시나리오 구성과 경로에 대한 관리가 가능하다. 또한, 주변의 에이전트들과 공격 근원지 및 공격 유포지 정보를 실시간으로 공유할 수 있다.
Therefore, according to the attack source and attack distribution site tracking method according to an embodiment of the present invention, it is possible to track the abnormal file uploader in real time, it is possible to manage the attack scenario configuration and path for the attack source and attack distribution site. . In addition, it is possible to share the attack source and attack distribution information with the surrounding agents in real time.

도 1 내지 도 3에서는 사용자 컴퓨터(200)가 다운로드 받은 파일관리 서버(400)와 에이전트(500)가 관리하는 파일관리 서버(400)가 동일한 경우 공격 근원지 및 공격 유포지 추적 방법에 대하여 예를 들어 설명하였지만, 이하에서는 사용자 컴퓨터(200)가 다운로드 받은 파일관리 서버와 에이전트(500)가 관리하는 파일관리 서버가 상이한 경우 공격 근원지 및 공격 유포지 추적 방법에 대하여 예를 들어 설명하도록 한다.
1 to 3 illustrate an example of a method for tracking an attack source and an attack distribution site when the file management server 400 downloaded by the user computer 200 and the file management server 400 managed by the agent 500 are the same. However, hereinafter, when the file management server downloaded by the user computer 200 and the file management server managed by the agent 500 are different, an attack source and attack distribution tracking method will be described.

도 4는 본 발명의 다른 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법을 나타내는 순서도이다.4 is a flowchart illustrating a method for tracking an attack source and an attack distribution site according to another embodiment of the present invention.

도 4에 도시된 공격 근원지 및 공격 유포지 추적 방법에서 공격 컴퓨터(100)로부터 제2 사이트의 파일관리 서버(400-2)(이하 '제2 파일관리 서버'라 약칭함)에 비정상 파일이 업로드(S401)된 경우, 제2 파일관리 서버(400-2)는 업로드된 파일이 비정상 파일인지 여부를 판단하는 행위분석을 수행하고(S403), 행위분석 결과 비정상 파일로 판단되는 경우 업로드자 정보를 추출한다(S405).In the attack source and attack distribution site tracking method shown in FIG. 4, an abnormal file is uploaded from the attack computer 100 to the file management server 400-2 (hereinafter abbreviated as 'second file management server') of the second site. S401), the second file management server 400-2 performs behavior analysis to determine whether the uploaded file is an abnormal file (S403), and extracts uploader information when it is determined that the file is abnormal. (S405).

여기서, 업로드 파일에 대한 행위 분석은 업로드 파일이 정상 파일인지 비정상 파일인지 분석하는 것으로, 업로드 파일에 대한 속성 정보를 분석한 후 DB에 저장된 비정상 행위에 해당되는 속성 정보와 비교하는 등의 동작을 통해 보안 위험 버그, 파라미터 및 비정상 파일을 파악하는 순으로 진행될 수 있다.Here, the behavior analysis of the uploaded file is to analyze whether the uploaded file is a normal file or an abnormal file, and analyzes the attribute information of the uploaded file and compares it with the attribute information corresponding to the abnormal behavior stored in the DB. This can be done in order to identify security risk bugs, parameters, and abnormal files.

여기서, 속성 정보는 파일의 논리적 구조를 규정하기 위한 것으로 예를 들어 레코드 길이, 형식, 블록 길이, 파일 구조, 키 길이, 키의 위치 등이 될 수 있다.Here, the attribute information is for defining the logical structure of the file and may be, for example, a record length, a format, a block length, a file structure, a key length, a key position, and the like.

단계 405에서 비정상 파일을 업로드한 업로드자 정보를 추출한 경우, 제2 파일관리 서버(400-2)는 추출된 업로드자 정보에 해시함수를 적용하여 해시값을 생성한 후, 생성된 해시값을 제2 파일관리 서버(400-2)를 관리하는 제2 에이전트(500-2)에 전송한다(S407).When the uploader information uploading the abnormal file is extracted in step 405, the second file management server 400-2 generates a hash value by applying a hash function to the extracted uploader information, and then removes the generated hash value. 2 The file management server 400-2 is transmitted to the second agent 500-2 that manages it (S407).

단계 407 이후, 사용자 컴퓨터(200)에서 비정상 파일을 다운로드 한 경우(S409), 제2 파일관리 서버(400-2)는 상기 비정상 파일을 다운로드한 사용자 정보를 업로드자 정보와 함께 저장한다(S411).After the step 407, when the abnormal file is downloaded from the user computer 200 (S409), the second file management server 400-2 stores the user information that downloaded the abnormal file together with the uploader information (S411). .

사용자 컴퓨터(200)에서 상기 비정상 파일을 다운로드한 후 서버나 컴퓨터가 좀비화 되거나 불법 행위가 탐지된 경우(S413), 네트워크 보안서버(300)는 비정상 파일의 송신지 네트워크 주소 및 목적지 네트워크 주소를 도메인을 관리하는 제1 에이전트(500-1)로 전송한다(S415).After downloading the abnormal file from the user computer 200, when the server or the computer becomes zombie or illegal activity is detected (S413), the network security server 300 domains the destination network address and the destination network address of the abnormal file. It transmits to the first agent 500-1 managing (S415).

제1 에이전트(500-1)는 네트워크 보안서버(300)로부터 수신한 비정상 파일의 송신지 네트워크 주소 및 목적지 네트워크 주소 중 송신지 네트워크 주소를 제1 사이트의 파일관리 서버(400-1)(이하 '제1 파일관리 서버'라 약칭함)에 전송한다(S417).The first agent 500-1 may transmit the destination network address among the destination network address and the destination network address of the abnormal file received from the network security server 300 to the file management server 400-1 of the first site (hereinafter, ' Abbreviated as 'first file management server' (S417).

제1 파일관리 서버(400-1)는 제1 에이전트(500-1)로부터 송신지 네트워크 주소가 수신된 경우, 수신된 송신지 네트워크 주소에 대응되는 네트워크 주소가 제1 파일관리 서버(401)에 저장된 네트워크 주소인지 판단한다.When the source network address is received from the first agent 500-1, the first file management server 400-1 transmits a network address corresponding to the received source network address to the first file management server 401. Determine if it is a stored network address.

판단결과 제1 파일관리 서버(401)에 수신된 송신지 네트워크 주소에 대응되는 네트워크 주소가 저장되지 않은 것으로 판단되면, 제1 파일관리 서버(400-1)는 송신지 네트워크 주소가 확인되지 않는다는 내용의 메시지를 제1 에이전트(500-1)로 전송한다(S419).If it is determined that the network address corresponding to the destination network address received by the first file management server 401 is not stored, the first file management server 400-1 does not check the destination network address. Message is transmitted to the first agent 500-1 (S419).

제1 에이전트(500-1)은 제1 파일관리 서버(400-1)로부터 송신지 네트워크 주소가 확인되지 않는다는 메시지를 수신한 경우, 제2 에이전트(500-2)에 비정상 파일의 송신자 네트워크 주소 확인을 요청한다(S421).When the first agent 500-1 receives a message from the first file management server 400-1 that the destination network address is not confirmed, the first agent 500-1 checks the sender network address of the abnormal file at the second agent 500-2. Request (S421).

제2 에이전트(500-2)는 제1 에이전트(500-1)로부터 송신지 네트워크 주소 확인 요청을 수신한 경우, 제2 파일관리 서버(400-2)에 송신지 네트워크 주소 정보를 전송한다(S423).When the second agent 500-2 receives the source network address verification request from the first agent 500-1, the second agent 500-2 transmits source network address information to the second file management server 400-2 (S423). ).

제2 파일관리 서버(400-2)는 제2 에이전트(500-2)로부터 송신지 네트워크 주소 정보를 수신한 경우, 수신한 송신지 네트워크 주소에 대응되는 네트워크 주소가 제2 파일관리 서버(400-2)에 저장되어 있는지 여부를 판단하고, 저장되어 있다고 판단되면 송신지 네트워크 주소 확인 메시지를 제2 에이전트(500-2)에 전송한다(S425).When the second file management server 400-2 receives the destination network address information from the second agent 500-2, the second file management server 400-2 has a network address corresponding to the received destination network address. It is determined whether or not it is stored in 2), and if it is determined that it is stored, and transmits the destination network address confirmation message to the second agent (500-2) (S425).

제2 에이전트(500-2)는 제2 파일관리 서버(400-2)로부터 송신지 네트워크 주소 확인 메시지를 수신한 경우, 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한다(S427).When the second agent 500-2 receives the source network address confirmation message from the second file management server 400-2, the second agent 500-2 defines the location corresponding to the source network address as the attack distribution site (S427).

제2 에이전트(500-2)는 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한 후, 비정상 파일의 업로드자 정보 요청 메시지를 제2 파일관리 서버(400-2)에 전송한다(S429).The second agent 500-2 defines the location corresponding to the destination network address as the attack distribution site, and then transmits an uploader information request message of the abnormal file to the second file management server 400-2 (S429). .

제2 파일관리 서버(400-2)는 제2 에이전트(500-2)로부터 업로드자 정보 요청 메시지를 수신한 경우, 미리 저장된 업로드자 정보를 독출하고, 독출된 업로드자 정보를 제2 에이전트(500-2)에 전송한다(S431).When the second file management server 400-2 receives the uploader information request message from the second agent 500-2, the second file management server 400-2 reads uploader information stored in advance, and reads the uploaded uploader information from the second agent 500. -2) (S431).

제2 에이전트(500-2)는 제2 파일관리 서버(400-2)로부터 업로드자 정보가 수신된 경우, 수신된 상기 업로드자 정보에 해시함수를 적용하여 해시값을 생성하고, 생성된 해시값과 미리 저장된 해시값이 대응되는 경우 상기 업로드자 정보를 이용하여 공격 근원지를 규정한다(S433).When the uploader information is received from the second file management server 400-2, the second agent 500-2 generates a hash value by applying a hash function to the received uploader information, and generates the hash value. If the hash value and the pre-stored hash value corresponds to the attack source using the uploader information (S433).

이후, 제2 에이전트(500-2)는 제1 에이전트(500-1)에 공격 근원지 및 유포지 정보를 전송한다(S435).Thereafter, the second agent 500-2 transmits attack source and distribution information to the first agent 500-1 (S435).

본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법에서는 제1 에이전트(500-1) 및 제2 에이전트(500-2) 사이의 송수신 절차를 예를 들어 설명하였으나, 본 발명의 다른 실시예에서는 제1 에이전트(500-1) 및 제2 에이전트(500-2) 이외에 다수의 에이전트로 구성될 수 있고, 다수의 에이전트들 사이에 정보의 송수신이 이루어 질 수 있다.
In the attack source and attack distribution site tracking method according to an embodiment of the present invention, the transmission and reception procedure between the first agent 500-1 and the second agent 500-2 has been described as an example, but another embodiment of the present invention In addition to the first agent 500-1 and the second agent 500-2 may be composed of a plurality of agents, the information may be transmitted and received between the plurality of agents.

도 5는 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템의 개념도이다.5 is a conceptual diagram of an attack source and attack distribution site tracking system according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템은 공격 컴퓨터(100), 사용자 컴퓨터(200), 네트워크 보안서버(300), 사이트의 파일관리 서버(400) 및 에이전트(500)로 구성될 수 있다.5, the attack source and attack distribution site tracking system according to an embodiment of the present invention is the attack computer 100, the user computer 200, the network security server 300, the file management server 400 of the site and It may be configured as an agent 500.

공격 근원지의 공격 컴퓨터(100)로부터 사이트의 파일관리 서버(400)(이하, '파일관리 서버'라 약칭함)에 비정상 파일이 업로드 된 경우, 파일관리 서버(400)는 업로드 파일에 대한 행위 분석을 하여 비정상 파일로 판단되면 업로드 파일로부터 업로드자 정보를 추출한다.When an abnormal file is uploaded from the attack computer 100 of the attack source to the file management server 400 (hereinafter, abbreviated as 'file management server') of the site, the file management server 400 analyzes the behavior of the uploaded file. If it is determined that the file is abnormal, uploader information is extracted from the upload file.

파일관리 서버(400)는 추출된 업로드자 정보를 에이전트(500)에 전송한다.The file management server 400 transmits the extracted uploader information to the agent 500.

에이전트(500)는 파일관리 서버(400)로부터 수신된 업로드자 정보를 저장한다.Agent 500 stores the uploader information received from the file management server 400.

파일관리 서버(400)는 사용자 컴퓨터(200)에서 비정상 파일을 다운로드 한 경우, 다운로드한 사용자 컴퓨터 정보를 비정상 파일의 업로드자 정보와 함께 저장한다.When the file management server 400 downloads the abnormal file from the user computer 200, the file management server 400 stores the downloaded user computer information together with uploader information of the abnormal file.

네트워크 보안서버(300)는 사용자 컴퓨터(200)가 비정상 파일을 다운로드 한 후, 사이버 공격이 감지된 경우 에이전트(500)에 공격 정보를 전송한다.The network security server 300 transmits attack information to the agent 500 when a cyber attack is detected after the user computer 200 downloads the abnormal file.

에이전트(500)는 네트워크 보안서버(300)로부터 수신한 공격 정보 중 송신지 네트워크 주소를 파일관리 서버(400)에 전송하고, 파일관리 서버(400)로부터 송신지 네트워크 주소 확인 메시지가 수신된 경우 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한다.Agent 500 transmits the destination network address of the attack information received from the network security server 300 to the file management server 400, and when the destination network address confirmation message is received from the file management server 400 The location corresponding to the local network address is defined as the attack site.

또한, 에이전트(500)는 파일관리 서버(400)로부터 업로드자 정보를 수신하여(S121), 수신된 업로드자 정보와 미리 저장된 업로드자 정보와 비교한 결과 대응되는 것으로 판단되면 업로드자 정보에 기초하여 공격 근원지를 규정할 수 있다.
In addition, the agent 500 receives the uploader information from the file management server 400 (S121), and when it is determined that the corresponding uploader information is compared with the pre-stored uploader information, it is determined based on the uploader information. You can specify the source of the attack.

도 6은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 사이트의 파일관리서버의 구성을 나타내는 블록도이다.Figure 6 is a block diagram showing the configuration of the file management server of the site of the attack source and attack distribution site tracking system according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 파일관리 서버(400)는 행위 분석부(410), 파일관리 서버 저장부(420), 정보 추출부(430), 파일관리 서버 제어부(440) 및 파일관리 서버 통신부(450)로 구성될 수 있다.6, the file management server 400 of the attack source and attack distribution site tracking system according to an embodiment of the present invention is the behavior analysis unit 410, file management server storage unit 420, information extraction unit 430 ), A file management server control unit 440 and a file management server communication unit 450.

행위 분석부(410)는 파일 업로드자에 의해 파일관리 서버(400)에 파일이 업로드 된 경우, 업로드 된 파일에 대한 행위 분석을 수행하고 분석 결과를 파일관리 서버 제어부(440)에 제공한다.When the file is uploaded to the file management server 400 by the file uploader, the behavior analyzer 410 performs behavior analysis on the uploaded file and provides the analysis result to the file management server controller 440.

구체적으로, 업로드 파일에 대한 행위 분석은 업로드 파일이 정상 파일인지 비정상 파일인지 분석하는 것으로, 업로드 파일에 대한 속성 정보를 분석한 후 DB에 저장된 비정상 행위에 해당되는 속성 정보와 비교하는 등의 동작을 통해 보안 위험 버그, 파라미터 및 비정상 파일을 파악하는 순으로 진행될 수 있다.Specifically, the behavior analysis on the upload file is to analyze whether the upload file is a normal file or an abnormal file. This can be done in order to identify security risk bugs, parameters and abnormal files.

정보 추출부(430)는 비정상 파일의 업로드자 정보를 추출하여 파일관리 서버 제어부(440)에 제공한다.The information extraction unit 430 extracts uploader information of the abnormal file and provides the file management server control unit 440.

여기서, 업로드자 정보에는 업로드자 아이디(

Figure pat00006
), 네트워크 주소(
Figure pat00007
), 맥 어드레스(
Figure pat00008
), OS 정보(
Figure pat00009
), 해당 네트워크 주소에 대한 위치 정보(
Figure pat00010
) 등이 포함될 수 있다.Here, uploader information includes uploader ID (
Figure pat00006
), The network address (
Figure pat00007
), MAC address (
Figure pat00008
), OS information (
Figure pat00009
), The location information for that network address (
Figure pat00010
) May be included.

파일관리 서버 제어부(440)는 정보 추출부(430)로부터 제공된 비정상 파일의 업로드자 정보에 해시함수를 적용하여 생성된 해시값을 파일관리 서버 통신부(450)를 통해 당해 파일관리 서버(400)를 관리하는 에이전트(500)에 전송한다.The file management server controller 440 transmits the hash value generated by applying the hash function to the uploader information of the abnormal file provided from the information extraction unit 430 through the file management server communication unit 450. Send to the managing agent 500.

파일관리 서버 제어부(440)는 소정 사용자들이 비정상 파일을 다운로드 한 경우, 비정상 파일을 다운로드한 소정 사용자들의 정보를 비정상 파일 정보와 함께 파일관리 서버 저장부(420)에 저장한다.When the predetermined users download the abnormal file, the file management server controller 440 stores the information of the predetermined users who downloaded the abnormal file in the file management server storage 420 along with the abnormal file information.

여기서, 소정 사용자들의 정보는 예들 들어, 아이디(ID), 네트워크 주소(IP)일 수 있다.Here, the information of the predetermined users may be, for example, an ID and a network address.

파일관리 서버 제어부(440)는 파일관리 서버 통신부(450)를 통해 당해 파일관리 서버(400)를 관리하는 에이전트(500)로부터 송신지 네트워크 주소가 수신된 경우, 수신된 송신지 네트워크 주소에 상응하는 네트워크 주소가 파일관리 서버 저장부(420)에 있는지 판단한다.When the source network address is received from the agent 500 managing the file management server 400 through the file management server communication unit 450, the file management server controller 440 corresponds to the received source network address. It is determined whether the network address is in the file management server storage unit 420.

파일관리 서버 제어부(440)는 파일관리 서버 저장부(420)에 수신된 송신지 네트워크 주소에 상응하는 네트워크 주소가 있다고 판단된 경우, 송신지 네트워크 주소 확인 메시지를 파일관리 서버 통신부(450)를 통해 당해 파일관리 서버(400)를 관리하는 에이전트(500)에 전송한다.When the file management server controller 440 determines that there is a network address corresponding to the destination network address received in the file management server storage unit 420, the file management server control unit 440 transmits the destination network address confirmation message to the file management server communication unit 450. The file management server 400 manages the transmission to the agent 500.

파일관리 서버 제어부(440)는 당해 파일관리 서버(400)를 관리하는 에이전트(500)로부터 비정상 파일 업로드자 정보 요청 메시지가 수신된 경우, 업로드자 정보를 제1 저장부(420)로부터 독출한 후, 독출된 업로드자 정보를 파일관리 서버 통신부(450)를 통해 당해 파일관리 서버(400)를 관리하는 에이전트(500)에 전송한다.
The file management server controller 440 reads uploader information from the first storage unit 420 when an abnormal file uploader information request message is received from the agent 500 managing the file management server 400. The read uploader information is transmitted to the agent 500 managing the file management server 400 through the file management server communication unit 450.

도 7은 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 에이전트의 구성을 나타내는 블록도이다.7 is a block diagram showing the configuration of an agent in the attack source and attack distribution site tracking system according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 시스템 중 에이전트(500)는 공격 유포지 추적부(510), 에이전트 저장부(520), 공격 근원지 추적부(530), 에이전트 제어부(540) 및 에이전트 통신부(550)로 구성될 수 있다.7, the agent 500 of the attack source and attack distribution site tracking system according to an embodiment of the present invention is the attack distribution site tracking unit 510, agent storage unit 520, attack source tracking unit 530, The agent controller 540 and the agent communication unit 550 may be configured.

에이전트 제어부(540)는 에이전트 통신부(550)를 통해 파일관리 서버(400)로부터 업로드자 정보에 대한 해시값을 전송받은 경우, 전송받은 해시값을 업로드자 정보를 전송한 파일관리 서버 정보와 함께 DB화하여 에이전트 저장부(520)에 저장한다.When the agent control unit 540 receives the hash value for the uploader information from the file management server 400 through the agent communication unit 550, the agent control unit 540 together with the file management server information transmitting the uploader information And store in the agent storage unit 520.

여기서, 파일관리 서버 정보는 예를 들어, 맥어드레스(MAC address), 네트워크 주소(IP), OS정보, 해당 네트워크 주소에 대한 위치 정보 등을 포함할 수 있다.Here, the file management server information may include, for example, a MAC address, a network address (IP), OS information, location information on the corresponding network address, and the like.

에이전트 제어부(540)는 에이전트 통신부(550)를 통해 네트워크 보안 서버(300)로부터 송신지 네트워크 주소 및 목적지 네트워크 주소를 수신한 경우, 수신된 송신지 네트워크 주소 및 목적지 네트워크 주소를 공격 유포지 추적부(510)에 제공한다.When the agent control unit 540 receives the source network address and the destination network address from the network security server 300 through the agent communication unit 550, the agent control unit 540 attacks the distribution target tracking unit 510. To provide.

공격 유포지 추적부(510)는 에이전트 제어부(540)로부터 제공된 송신지 네트워크 주소에 대한 확인 요청 메시지를 생성하여 에이전트 제어부(540)에 제공한다.The attack distribution site tracking unit 510 generates a confirmation request message for the destination network address provided from the agent control unit 540 and provides it to the agent control unit 540.

에이전트 제어부(540)는 공격 유포지 추적부(510)로부터 제공된 송신지 네트워크 주소에 대한 확인 요청 메시지를 에이전트 통신부(550)를 통해 파일관리 서버(400)에 전송한다.The agent controller 540 transmits a confirmation request message for the destination network address provided from the attack distribution site tracking unit 510 to the file management server 400 through the agent communication unit 550.

에이전트 제어부(540)는 파일관리 서버(400)로부터 수신된 송신지 네트워크 주소 확인 메시지를 공격 유포지 추적부(510)에 제공한다.The agent controller 540 provides the attack distribution site tracking unit 510 with the destination network address confirmation message received from the file management server 400.

공격 유포지 추적부(510)는 송신지 네트워크 주소 확인 메시지가 수신된 경우, 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한다.When the attack distribution point tracking unit 510 receives the destination network address confirmation message, the attack distribution point tracking unit 510 defines a location corresponding to the destination network address as the attack distribution site.

에이전트 제어부(540)는 공격 유포지 추적부(510)에서 송신지 네트워크 주소에 상응하는 위치를 공격 유포지로 규정한 경우, 비정상 파일의 업로드자 정보 요청 메시지를 파일관리 서버(400)에 전송한다.When the attack distribution point tracking unit 510 defines the location corresponding to the source network address as the attack distribution point, the agent controller 540 transmits the uploader information request message of the abnormal file to the file management server 400.

에이전트 제어부(540)는 파일관리 서버(400)로부터 업로드자 정보가 수신된 경우, 수신된 상기 업로드자 정보를 공격 근원지 추적부(530)에 제공한다.When the uploader information is received from the file management server 400, the agent controller 540 provides the received uploader information to the attack source tracking unit 530.

공격 근원지 추적부(530)는 에이전트 제어부(540)로부터 업로드자 정보가 제공된 경우, 제공된 업로드자 정보에 해시함수를 적용하여 해시값을 생성하고, 생성된 해시값과 에이전트 저장부(520)에 미리 저장된 해시값과 비교하여 대응되는 것으로 판단되면 업로드자 정보를 이용하여 공격 근원지를 규정한다.When the upload source information is provided from the agent control unit 540, the attack source tracking unit 530 generates a hash value by applying a hash function to the uploader information provided, and advances the generated hash value and the agent storage unit 520 in advance. If it is determined that the correspondence is compared with the stored hash value, the attack source is defined using the uploader information.

에이전트 제어부(540)는 공격 근원지 추적부(530)에서 공격 근원지 규정을 완료한 경우, 에이전트 통신부(550)를 통해 주변 다른 에이전트들에게 상기 규정된 공격 근원지 및 유포지 정보를 전송한다(S211).When the attack source tracking unit 530 completes the attack source specification, the agent controller 540 transmits the prescribed attack source and distribution information to other nearby agents through the agent communication unit 550 (S211).

따라서, 본 발명의 일 실시예에 따른 공격 근원지 및 공격 유포지 추적 방법에 의하면, 비정상 파일 업로드자에 대한 추적이 실시간으로 가능하여 공격 근원지 및 공격 유포지에 대한 공격 시나리오 구성과 경로에 대한 관리가 가능하다. 또한, 다른 에이전트들과 공격 근원지 및 공격 유포지 정보를 실시간으로 공유할 수 있다.
Therefore, according to the attack source and attack distribution site tracking method according to an embodiment of the present invention, it is possible to track the abnormal file uploader in real time, it is possible to manage the attack scenario configuration and path for the attack source and attack distribution site. . In addition, it is possible to share the attack source and attack distribution information with other agents in real time.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined in the appended claims. It will be possible.

Claims (1)

에이전트에서 수행되는 공격 근원지 및 유포지 추적 방법에 있어서,
수신된 정보 중 비정상 파일의 정보를 전송하는 단계;
상기 비정상 파일의 정보 전송에 상응하여 비정상 파일의 정보 확인 메시지가 수신된 경우, 상기 비정상 파일의 정보에 상응하는 위치를 공격 유포지로 규정하는 단계;
상기 공격 유포지 규정 후, 상기 비정상 파일 업로드자 정보 요청 메시지를 전송하는 단계; 및
상기 요청 메시지에 상응하여 비정상 파일 업로드자 정보가 수신된 경우, 수신된 상기 비정상 파일 업로드자 정보와 미리 저장된 업로드자 정보를 비교하여 비교 결과 대응되는 것으로 판단되면, 상기 비정상 파일 업로드자 정보를 이용하여 공격 근원지를 규정하는 단계를 포함하는 공격 근원지 및 유포지 추적 방법.
In the method of tracking the origin and distribution of attacks performed by the agent,
Transmitting information of an abnormal file among the received information;
Defining a location corresponding to the information of the abnormal file as an attack distribution site when an information confirmation message of the abnormal file is received in response to the transmission of the information of the abnormal file;
Transmitting the abnormal file uploader information request message after defining the attack distribution site; And
When the abnormal file uploader information is received in response to the request message, when the abnormal file uploader information is compared with the pre-stored uploader information, and the comparison result is determined to correspond, the abnormal file uploader information is used. A method for tracking the source and distribution of attacks, including the step of defining the source of attack.
KR1020110114286A 2011-11-04 2011-11-04 Method and system for tracking attack source and attack spreading site KR20130049336A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110114286A KR20130049336A (en) 2011-11-04 2011-11-04 Method and system for tracking attack source and attack spreading site

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110114286A KR20130049336A (en) 2011-11-04 2011-11-04 Method and system for tracking attack source and attack spreading site

Publications (1)

Publication Number Publication Date
KR20130049336A true KR20130049336A (en) 2013-05-14

Family

ID=48660103

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110114286A KR20130049336A (en) 2011-11-04 2011-11-04 Method and system for tracking attack source and attack spreading site

Country Status (1)

Country Link
KR (1) KR20130049336A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9374382B2 (en) 2013-11-26 2016-06-21 Electronics And Telecommunications Research Institute Apparatus and method for attack source traceback
CN108322417A (en) * 2017-01-16 2018-07-24 阿里巴巴集团控股有限公司 Processing method, device and system and the safety equipment of network attack
CN110764969A (en) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 Network attack tracing method and device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9374382B2 (en) 2013-11-26 2016-06-21 Electronics And Telecommunications Research Institute Apparatus and method for attack source traceback
CN108322417A (en) * 2017-01-16 2018-07-24 阿里巴巴集团控股有限公司 Processing method, device and system and the safety equipment of network attack
CN108322417B (en) * 2017-01-16 2021-10-19 阿里巴巴集团控股有限公司 Network attack processing method, device and system and security equipment
CN110764969A (en) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 Network attack tracing method and device

Similar Documents

Publication Publication Date Title
US11151258B2 (en) System and method for identifying network security threats and assessing network security
US8789171B2 (en) Mining user behavior data for IP address space intelligence
CN104348914B (en) A kind of tamper resistant systems file syn chronizing system and its method
CN102546576A (en) Webpagehanging trojan detecting and protecting method and system as well as method for extracting corresponding code
US20190230097A1 (en) Bot Characteristic Detection Method and Apparatus
KR101623068B1 (en) System for collecting and analyzing traffic on network
CN105939326A (en) Message processing method and device
US20140130167A1 (en) System and method for periodically inspecting malicious code distribution and landing sites
CN105210076A (en) Resilient and restorable dynamic device identification
US10701087B2 (en) Analysis apparatus, analysis method, and analysis program
CN111182060A (en) Message detection method and device
KR101487476B1 (en) Method and apparatus to detect malicious domain
CN109660552A (en) A kind of Web defence method combining address jump and WAF technology
KR20170091989A (en) System and method for managing and evaluating security in industry control network
CN113746781A (en) Network security detection method, device, equipment and readable storage medium
JP2013257773A (en) Monitoring device and monitoring method
CN112422486A (en) SDK-based safety protection method and device
KR20130049336A (en) Method and system for tracking attack source and attack spreading site
Nikolaev et al. Exploit kit website detection using http proxy logs
Zhao et al. You are where you app: An assessment on location privacy of social applications
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
CN115603974A (en) Network security protection method, device, equipment and medium
Zadereyko et al. Algorithm of user’s personal data protection against data leaks in Windows 10 OS
KR100961870B1 (en) Web security system and method by examination in each network layer
CN114024740A (en) Threat trapping method based on secret tag bait

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination