[go: up one dir, main page]

KR100922582B1 - 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 - Google Patents

중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 Download PDF

Info

Publication number
KR100922582B1
KR100922582B1 KR1020070073059A KR20070073059A KR100922582B1 KR 100922582 B1 KR100922582 B1 KR 100922582B1 KR 1020070073059 A KR1020070073059 A KR 1020070073059A KR 20070073059 A KR20070073059 A KR 20070073059A KR 100922582 B1 KR100922582 B1 KR 100922582B1
Authority
KR
South Korea
Prior art keywords
node
centroid
tree
log
log information
Prior art date
Application number
KR1020070073059A
Other languages
English (en)
Other versions
KR20090009622A (ko
Inventor
김종현
김건량
손선경
장범환
정치윤
유종호
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070073059A priority Critical patent/KR100922582B1/ko
Priority to US12/669,633 priority patent/US8307441B2/en
Priority to PCT/KR2007/005859 priority patent/WO2009014283A1/en
Publication of KR20090009622A publication Critical patent/KR20090009622A/ko
Application granted granted Critical
Publication of KR100922582B1 publication Critical patent/KR100922582B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일실시 형태에 따른 중심점 분할(Centroid Decomposition) 기법을 이용하여 공격자를 역추적하는 시스템 및 방법에 관한 것으로, 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈; 망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리의 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈을 포함하여 구성됨으로써, 보안침해사고를 일으키는 공격자를 빠르게 찾아낼 수 있으며, 역추적 시스템의 부하를 줄이고, 위협 혹은 취약점이 노출되어 있는 경유 호스트를 쉽게 파악할 수 있으므로 공격에 대한 대응이 용이하다는 효과가 있다.
중심점 분할 기법, 침입 탐지, 로그 기반, 역추적

Description

중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및 방법{Log-based traceback system and method by using the centroid decomposition technique}
본 발명의 일실시 형태에 따른 중심점 분할 기법(Centroid Decomposition technique)을 이용하여 공격자를 역추적하는 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 침입탐지 시스템에서 발생하는 침입 경보의 로그 정보와 망 관리서버에서 수집한 공격패킷이 경유한 라우터의 로그 정보에 대해 중심점 분할 기법을 적용하여 공격자의 실제 위치를 정확하게 찾아내는 역추적 시스템 및 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-01, 과제명: AII-IP 환경의 지능형 사이버공격 감시 및 추적 시스템 개발].
인터넷을 이용한 각종 해킹 및 사이버 범죄가 급증하면서 시스템 및 네트워크를 보호하기 위한 보안 강화 시스템의 한 방편으로 해커의 실제 위치를 추적하는 역추적 시스템이 개발되고 있다.
기존의 역추적 기술을 살펴보면, 공격자가 여러 개의 시스템을 경유하여 특정 시스템을 공격했을 경우, 침입이 탐지된 시스템을 분석하여 침입자가 최종적으로 경유한 시스템의 IP(Internet Protocol) 주소를 획득하고, 해당 IP 주소의 시스템에 역추적 에이전트를 설치하여 이전 단계에서 경유한 시스템의 IP 주소를 획득하는 방식으로 역추적 에이전트를 이용하여 침입 경로를 순차적으로 역추적함으로써 침입자의 근원지를 찾는 방법이 있다.
그런데, 상기 방법은 경유한 시스템의 수가 많은 경우에는 역추적 시스템의 부하가 클 수 있고, 역추적 에이전트의 수가 증가함에 따라 역추적 에이전트의 관리가 어려울 뿐만 아니라, 공격자의 근원지까지 추적하는데 많은 시간과 자원을 소모하므로 비효율적인 문제가 존재한다.
다른 방법으로 에이전트 이동방식을 이용한 역추적 방법이 있는데, 이 방법은 공격당한 시스템에 에이전트를 설치하여 공격당한 시스템의 로그 정보를 분석해 공격패킷 정보를 획득하는 것이다.
상기 방법은 공격한 시스템이 n개의 경로상의 하나라면 공격당한 시스템에 에이전트를 설치하여 로그 정보를 분석해 공격패킷 정보를 획득하는 과정을 최종 네트워크 침입자의 첫째 경유지 서버까지 반복함으로써 네트워크 침입자의 경유지를 추적할 수 있다. 따라서 이 방법 또한 역추적 과정에서 많은 시간을 필요로 하 는 문제점이 존재한다.
또 다른 방법으로, 국내특허출원 제10-2001-0070766호(발명의 명칭: 인터넷에서 에지 라우터의 로그 정보를 이용한 공격자 역추적 방법)는 각각의 네트워크의 에지 라우터에서 내부로 접근하는 모든 패킷에 대한 로그 정보를 기록하도록 해서 공격자의 IP 주소 변경에 관계없이 해당 패킷에 대한 역추적을 가능하게 하는 것을 제안하고 있으나, 이 방법 또한 다수의 에지 라우터에 기록된 로그 정보를 모두 분석해야하므로 역추적 과정에 많은 시간이 소모되는 문제점이 존재한다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 인터넷 네트워크 토폴로지상에서 침입탐지 시스템으로부터 수집한 침입경보의 로그 정보와, 망 관리서버로부터 수집한 네트워크 라우터의 연결정보에 중심점 분할 기법을 적용하여 검출한 센트로이드 노드에 해당하는 라우터의 로그 정보를 비교함으로써 공격자의 실제 위치를 빠르고 정확하게 찾아내는 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법을 제공하는데 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템은, 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈; 망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 센트로이드 트리의 각 레벨별로 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈;을 포함하여 구성된다.
또한, 상기 로그 정보는 소스 IP 주소, 목적지 IP 주소, 소스 포트 번호, 목적지 포트 번호, 프로토콜, 서비스 타입, 라우터의 입출력 인터페이스 및 데이터 수집 시간을 포함한다.
또한, 상기 시스템은 상기 네트워크 공격자의 근원지를 역추적한 추적결과인 공격경로 정보를 저장하는 역추적결과 DB를 더 포함한다.
또한, 상기 시스템은 라우터를 원격제어하여 상기 센트로이드 트리의 각 레벨의 노드에 매칭되는 라우터의 로그 정보를 추출하여 상기 역추적처리모듈에 전달하는 라우터제어모듈을 더 포함한다.
또한, 상기 시스템은 상기 역추적한 공격자의 근원지에 연결된 라우터에 연결된 각 호스트의 MAC 주소를 검출하여 상기 역추적처리모듈에 전달하는 MAC주소검출모듈을 더 포함한다.
한편 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 방법은, 침입탐지 시스템에서 발생 되는 침입경보의 로그 정보(log data)와 망 관리서버에서 공격패킷이 경유한 네트워크 라우터의 연결정보를 수집하는 단계; 상기 공격패킷이 경유한 네트워크 라우터의 연결정보에 대해 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용해 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(centroid tree)를 생성하는 단계; 상기 센트로이드 트리의 각 레벨의 노드의 로그 정보와 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 공격자의 근원지와 연결된 라우터를 찾는 단계; 및 상기 매칭되는 라우터의 로그 정보에서 공격 패턴을 추출하여 일치하는 MAC 주소를 찾아 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지를 역추적하는 단계를 포함하여 이루어진다.
또한, 상기 센트로이드 트리를 생성하는 단계는, 상기 공격패킷이 경유한 네트워크 라우터 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하는 단계; 상기 최단 경로 트리에 대해 리프노드를 제거하는 중심점 분할 기법을 적용하여 센트로이드 노드를 검출하는 단계; 및 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계를 포함하여 이루어진다.
또한, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계는, 상기 최단 경로 트리에서 하위 리프노드를 제거하는 단계; 상기 하위 리프노드가 제거된 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계; 상기 최종 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하는 단계; 상기 최단 경로 트리에서 상기 상위 레벨의 센트로이드 노드를 제거하고 남은 복수 개의 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계; 상기 복수 개의 트리에서 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 결정하는 단계; 및 상기 상위 레벨의 센트로이드 노드를 루트로 하고, 상기 하위 레벨의 센트로이드 노드를 하위 노드로 하 는 센트로이드 트리를 생성하는 단계를 포함하여 이루어진다.
또한, 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 비교하여 매칭되는 노드의 라우터를 찾는 단계는, 상기 센트로이드 트리의 상위 레벨에서 하위 레벨 순으로, 동일 레벨에서는 좌측에서 우측 순서로 각 노드의 로그 정보를 질의하여 침입 경로의 로그 정보와 비교하는 단계; 상기 비교 결과 로그 정보가 일치하는 노드가 있으면, 해당 노드가 리프 노드인지 판단하는 단계; 및 상기 판단 결과 리프노드이면 공격자의 근원지와 연결된 라우터로 판단하는 단계를 포함하여 이루어진다.
상술한 바와 같이, 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법은 보안침해사고를 일으키는 공격자를 빠르게 찾아낼 수 있으며, 역추적 시스템의 부하를 줄이고, 위험 혹은 취약점이 노출되어 있는 경유 호스트를 쉽게 파악할 수 있으므로 공격에 대한 대응이 용이하다는 효과가 있다.
또한 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 공격자 역추적 시스템 및 방법은 네트워크의 규모가 커질수록 침입자의 근원지를 빠르게 역추적함으로써 사고 재발을 방지하고 안전하고 신뢰성 있는 인터넷 서비스를 제공할 수 있는 효과가 있다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다.
다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다.
또한 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, '모듈'이란 용어는 특정한 기능이나 동작을 처리하는 하나의 단위를 의미하며, 이는 하드웨어 또는 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 발명에 대한 설명에 들어가기 전에, 이후에 사용되는 본 발명과 관련된 용어의 개념을 정의하면 다음과 같다.
중심점 분할 기법(centroid decomposition technique)은 임의의 트리에서 최종적으로 한 개 또는 두 개의 노드가 남을 때까지 반복하여 리프노드(leaf-node)를 제거하는 기법으로, 상기 리프노드는 트리에서 자신의 후손 노드가 없는 노드를 말한다.
그리고 센트로이드 노드(centroid node)는 상기 중심점 분할 기법에 의해 최종적으로 남는 한 개의 노드이다.
그리고 센트로이드 트리(centroid tree)는 상기 센트로이드 노드를 각 레벨의 노드로 하며, 임의의 트리에서 센트로이드 트리를 생성하기 위해 상기 중심점 분할 기법을 적용한 횟수만큼의 레벨을 가지는 트리이다.
도 1은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템을 포함한 전체 망 구성도를 나타낸 것이다.
도 1을 참조하면, 인터넷 네트워크 토폴로지상에서 네트워크 공격자가 자신의 시스템(140)을 이용하여 경유지 라우터(50-> 60-> 20-> 10)를 거쳐 공격대상 호스트(130)를 공격하면, 침입탐지 시스템(120)은 이를 감지한 후 역추적 시스템(100)에 공격자의 공격패킷에 대한 로그 정보, 즉, 침입경보의 로그 정보를 전달하여 보고한다.
침입탐지 시스템(120)으로부터 침입경보의 로그 정보를 전달받은 역추적 시스템(100)은 망 관리서버(110)에서 네트워크 라우터의 연결정보를 수집한다.
그 후 역추적 시스템(100)은 상기 망관리서버(110)로부터 수집한 네트워크 라우터의 연결정보를 이용해 센트로이드 트리를 생성하고, 상기 센트로이드 트리의 노드에 매칭되는 라우터의 로그 정보와 상기 침입탐지 시스템(120)으로부터 전달받은 침입경보의 로그 정보가 일치하는지 비교함으로써 공격자의 근원지까지 역추적한다.
도 2는 본 발명의 일실시 형태에 따른 역추적 시스템(100)에서 센트로이드 트리(centroid tree)(210)를 중심점 분할 기법을 이용하여 생성한 예시도이다.
도 2를 참조하면, 상기 역추적 시스템(100)은 망 관리서버(110)로부터 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 사용하여 최단 경로 트리(200)를 생성한다.
여기서, 최단 경로 알고리즘은 전체 토폴로지에서 각 노드에 대한 최단거리의 경로를 계산하는 것으로, 딕스터라(Dijkstra) 알고리즘과 같이 일반적으로 알려진 알고리즘을 사용할 수 있다.
상기 최단 경로 트리(200)에서 루트는 공격대상 호스트(130)와 연결된 라우터(10)가 된다. 이어서, 상기 역추적 시스템(100)은 상기 최단 경로 트리(200)에 대해 중심점 분할 기법을 반복적으로 적용하여 상기 최단 경로 트리(200)상의 센트로이드 노드(centroid node)를 찾고, 상기 센트로이드 노드를 각 레벨의 노드로 하여 연결한 센트로이드 트리(210)를 생성한다.
이와 같이 생성된 센트로이드 트리는 상기 센트로이드 노드보다 상위에 존재 하는 노드들을 검색 대상에서 제외시킬 수 있다. 따라서 공격자 근원지를 추적하기 위해 모든 라우터를 검색할 필요가 없어 공격자 근원지를 역추적하는데 걸리는 시간 소모를 줄일 수 있다.
더 구체적으로 설명하면, 상기 최단 경로 트리(200)에서 중심점 분할 기법을 적용하여 센트로이드 트리(210)를 생성하는 과정은, 트리의 상위 레벨의 센트로이드 노드를 찾는 제1과정과, 트리의 하위 레벨들의 센트로이드 노드들을 찾는 제2과정으로 이루어진다.
제1과정은, 먼저, 최단 경로 트리(200)에서 하위 리프노드들(NL: 40, 50, 80)을 제거한다. 상기 리프노드들(40, 50, 80)을 제외하고 남아 있는 최단 경로 트리(10, 20, 30, 60, 70 노드가 존재)에서 다시 하위 리프노드(NL-1: 60, 70)를 제거한다. 또, 상기 리프노드(60, 70)를 제외하고 남아있는 최단 경로 트리(10, 20, 30 노드만 존재)에서 다시 하위 리프노드(NL-3: 20, 30)를 제거한다. 즉, 최단 경로 트리(200)에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복한다.
상기와 같이 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법을 반복하여 최종적으로 남은 한 개의 노드(10)가 센트로이드 노드가 되며, 이 센트로이드 노드가 센트로이드 트리(210)에서 상위 레벨의 노드, 즉 루트가 된다.
그런 다음, 센트로이드 트리(210)의 하위 레벨의 센트로이드 노드를 찾는 제2과정을 설명하면, 먼저, 제1과정에서 발견된 센트로이드 노드(10)를 최단 경로 트 리(200)에서 제거한다.
그러면, 노드 60, 50, 20으로 이뤄진 트리와 노드 70, 80, 40, 30으로 이뤄진 2개의 트리가 생성되는데, 각 트리에 대해 상기 제1과정과 같이 중심점 분할 기법을 적용하여 하위 리프노드를 반복적으로 제거하면, 두 개의 노드(60, 70)가 남게 된다.
남은 두 개의 노드(60, 70)는 상기 루트 노드(10)를 제거한 후의 두 트리의 센트로이드 노드가 되며, 이 센트로이드 노드가 상기 루트 노드(10)의 하위 노드가 된다.
따라서 제1과정에서 발견된 센트로이드 노드(10)를 루트로 하고, 제2과정에서 발견된 센트로이드 노드(60, 70)를 하위 노드로 하는 센트로이드 트리(210)가 생성된다.
상기 최단 경로 트리(200)상의 모든 노드가 센트로이드 트리(210)로 구현될 때까지 상기 제2과정은 반복되고, 제2과정의 반복 횟수가 센트로이드 트리의 레벨수가 된다.
도 3은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템을 설명하기 위한 상세 구성도를 나타낸 것이다.
도 3을 참조하면, 네트워크 공격자를 역추적하기 위한 역추적 시스템(100)은 로그정보입력모듈(101), 라우터제어모듈(102), 역추적처리모듈(103), 센트로이드노드검출모듈(104), MAC주소검출모듈(105) 및 역추적결과 DB(106)를 포함한다.
로그정보입력모듈(101)은 침입탐지 시스템(120)으로부터 네트워크 공격자의 침입경보에 대한 로그 정보를 수집하고, 수집된 침입경보의 로그 정보를 분석하고, 필요한 로그 정보를 추출하여 역추적처리모듈(103)로 전달한다.
상기 로그 정보는 소스 IP 주소, 목적지 IP 주소, 소스 포트 번호, 목적지 포트 번호, 프로토콜, 서비스 타입, 라우터의 입출력 인터페이스 및 데이터 수집 시간을 포함한다.
센트로이드노드검출모듈(104)은 침입경보의 로그 정보가 입력되면, 망 관리서버(110)로부터 네트워크 라우터의 연결정보를 수집하여 공격받은 시스템에 연결된 라우터를 루트로 하는 최단 경로 트리(200)를 생성한다. 더하여, 상기 생성한 최단 경로 트리(200)에 중심점 분할 기법을 반복적으로 적용하여 상기 네트워크의 센트로이드 노드들을 발견하고, 이 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(210)를 생성한다. 그리고 상기 생성한 센트로이드 트리에 관한 정보를 역추적처리모듈(103)로 전달한다.
역추적처리모듈(103)은 센트로이드노드검출모듈(104)에서 생성된 센트로이드 트리(210)에서 top-down 방향으로 루트부터 시작하여 하위 노드로 내려가면서 침입경보의 로그 정보와 일치하는 노드를 검색한다.
따라서 상기 역추적처리모듈(103)은 각 센트로이드 노드에 매칭되는 라우터 의 로그 정보를 라우터제어모듈(102)에 질의요청하고, 이에 대한 응답으로 라우터제어모듈(102)에서 전달받은 상기 센트로이드 노드에 매칭되는 라우터의 로그 정보와, 로그정보입력모듈(101)에서 전달된 침입경보의 로그 정보가 일치하는지 비교하여 네트워크 공격자의 근원지와 연결된 라우터를 역추적한다.
그런 다음, 상기 역추적처리모듈(103)은 상기 센트로이드 노드들 중 상기 침입경보의 로그정보와 일치하는 로그 정보를 갖는 라우터를 찾으면, 즉, 공격자 근원지와 연결된 라우터가 파악되면 해당 서브넷에서 어떤 호스트가 공격 트래픽을 발생시키는지 찾아야 한다. 따라서 역추적처리모듈(103)은 MAC주소검출모듈(104)에 상기 공격자 근원지와 연결된 라우터와 연결된 호스트의 MAC 주소를 요청한다.
그리고, 역추적처리모듈(103)은 MAC주소검출모듈(105)로부터 전달된 MAC 주소에서 상기 공격자 근원지와 연결된 라우터의 로그 정보로부터 추출한 공격 패턴과 일치하는 MAC 주소를 찾는다. 이러한 과정을 통해 찾은 상기 공격 패턴을 가진 MAC 주소와 일치하는 실제 IP 주소를 찾음으로써 실제 공격자 시스템을 추적할 수 있다.
라우터제어모듈(102)은 상기 역추적처리모듈(103)의 질의요청에 따라 상기 센트로이드 노드에 매칭되는 라우터를 원격 제어하여 필요한 로그 정보를 추출하고 이를 역추적처리모듈(103)에 전달한다.
MAC주소검출모듈(105)은 상기 역추적처리모듈(103)의 요청에 따라 발견된 네 트워크 공격자의 근원지와 연결된 라우터에 연결된 모든 호스트의 MAC 주소를 검출하여 역추적처리모듈(103)에게 전달한다.
역추적결과 DB(106)에는 상기 역추적처리모듈(103)의 네트워크 공격자의 근원지를 역추적하는 과정의 처리 결과인 라우터들의 공격경로 정보가 저장된다.
이어서, 상술한 역추적 시스템에서 이루어지는 역추적 방법을 도 4를 참조하여 설명한다. 도 4a 내지 도 4c는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법을 도시한 동작 흐름도이다.
본 발명의 일실시 형태에 따른 방법은 도 4a에 나타낸 센트로이드 트리를 생성하는 과정, 도 4b에 나타낸 공격자와 연결된 라우터에 해당하는 노드를 찾는 과정 및 도 4c에 나타낸 공격자 근원지를 추적하는 과정으로 이루어진다.
우선, 도 4a를 참조하여 센트로이드 트리가 생성되는 과정을 설명한다.
침입탐지 시스템(120)에서는 네트워크 공격자가 공격대상 호스트(130)에 대한 공격자의 침입을 감지하여 역추적 시스템(100)에 통지한다(S400).
이때 상기 로그정보입력모듈(101)은 침입탐지 시스템(120)에서 침입 경보에 대한 로그 정보를 수집하여 필요한 로그 정보를 분석하고(S410), 센트로이드노드검출모듈(104)은 망 관리서버(110)에서 네트워크 라우터의 연결정보를 수집한다(S411).
또한, 센트로이드노드검출모듈(104)은 망 관리서버(110)로부터 수집한 네트워크 라우터의 연결정보를 기반으로 중심점 분할 기법을 적용해 센트로이드 트리를 생성한다(S412).
생성된 센트로이드 트리에서 최상위 레벨부터 최하위 레벨까지 탑-다운(top-down) 방식으로 각 노드에 Nk, Nk-1, Nk-2, ...., Nk-n을 부여한다(도 2에 도시). 이러한 센트로이드 트리의 생성 과정은 도 2에서도 설명하였지만 도 5를 참조하여 더욱 상세하게 설명한다.
그런 다음, 도 4b를 참조하여 공격자의 근원지에 연결된 라우터와 매칭되는 노드를 역추적하는 과정을 설명한다.
역추적처리모듈(103)은 상기 S412 단계에서 생성한 센트로이드 트리의 상위레벨에서 하위레벨 순서로, 동일 레벨에서는 좌측에서 우측의 순서로 각 노드의 로그 정보 분석에 대한 질의를 라우터제어모듈(102)에 요청한다(S413).
역추적처리모듈(103)은 S413 단계에서 질의 요청한 노드의 로그 정보와 침입탐지 시스템(120)에서 전달된 침입경보의 로그 정보가 일치하는지 비교한다(S414).
상기 S414 단계의 판단 결과, 일치하면 일치하는 노드가 리프노드인지를 판단한다(S415).
S415 단계의 판단 결과, 로그 정보가 일치하는 노드가 리프노드이면 공격자의 근원지와 연결된 라우터로 판단한다(S416).
S415 단계의 판단 결과, 로그 정보가 일치하는 노드가 리프노드가 아니면, 최단 경로 트리에서 상기 로그 정보는 일치하나 리프노드가 아닌 노드의 상위 노드를 센트로이드 트리의 검색 대상에서 제거하여(S417) S413 단계로 리턴된다.
S413 단계로 리턴되면, 센트로이드 트리에서 제거되지 않고 남은 노드 중 상위 레벨에서 하위 레벨 순으로, 좌측에서 우측의 순서로 각 노드의 로그 정보를 질의한다(S413).
S414 단계의 비교 결과, 일치하는 노드가 없으면 상기 노드가 루트 인지 하위 노드인지 확인한다(S418).
S418 단계의 확인 결과, 루트이면 상기 루트의 상위 노드를 찾아야 한다(S419). 만약 상기 루트의 상위 노드가 있다면, 그 상위 노드에 대한 로그 정보와 침입경보의 로그 정보가 일치하는지를 비교한다.
S418 단계의 확인 결과, 하위 노드이면 가장 마지막에 검출한 일치하는 노드를 공격자 근원지와 연결된 라우터로 판단한다(S420).
상술한 과정을 도 1 및 도 2의 실시예를 적용하여 구체적으로 설명하면, 도 2의 센트로이드 트리(210)의 상위 레벨의 노드(Nk: 10)의 로그 정보를 질의하고, 질의한 노드(Nk)의 로그 정보와 상기 침입경보의 로그 정보를 비교하여 일치하는지 판단한다.
상기 판단 결과, 두 로그 정보가 일치하고, 상기 노드(Nk: 10)가 리프노드가 아니므로 도 2의 최단 경로 트리(200)에서 상기 노드(Nk: 10)의 상위 노드를 센트 로이드 트리(210)에서 제외시켜야 하지만, 노드(Nk: 10)보다 상위 노드가 없으므로 상기 노드(Nk: 10)를 제외한 센트로이드 트리에서 하위 레벨의 좌측 노드(Nk-1: 60)에 대한 로그 정보를 질의하여 침입경보의 로그정보를 다시 비교한다.
비교결과 로그 정보가 일치하고, 노드(Nk-1: 60)가 리프노드가 아니므로 다시 최단 경로 트리(200)에서 상위 노드(Nk-4: 20)를 센트로이드 트리(210)에서 제외시킨다.
센트로이드 트리에서 남은 노드(Nk-3: 50)의 로그 정보를 다시 질의하여 침입경보의 로그 정보와 비교한다. 비교 결과 로그 정보가 일치하고 리프노드이므로 상기 노드(Nk-3: 50)를 공격자 근원지와 연결된 라우터로 판단한다.
여기서, 최단 경로 트리에서 상기 노드(Nk-1: 60)에 해당하는 라우터의 상위 라우터, 즉 노드(Nk-4: 20)를 제외시키는 이유는, 상기 노드(Nk: 10)와 하위 노드(Nk-1: 60)가 모두 침입경보 로그 정보와 일치하면, 도 2에 보여진 최단 경로 트리(200)에서 노드(20)가 노드(60)에서 노드(10)로 경유하는 중간에 있으므로 검색하지 않아도 되기 때문이다.
따라서 노드(Nk-4: 20)의 로그 정보 비교는 생략되고, 남은 노드(Nk-3: 50)의 로그 정보를 질의하여 상기 침입경보의 로그 정보와 일치하는지 비교한다.
따라서 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법은 도 4b에 나타낸 바와 같이 중심점 분할 기법을 적용하여 생성한 센트로이드 트리와 최단 경로 트리를 이용하여 공격자 라우터를 역추적함으로써 검색해야 하는 노드의 수를 줄일 수 있다.
다음으로, 도 4c를 참조하여 공격자 근원지를 추적하는 과정을 설명한다.
상기 S416 또는 S420 단계에서 공격자와 연결된 라우터가 판단되면, 역추적처리모듈(103)은 상기 노드(Nk-3: 50)에 매칭되는 공격자와 연결된 라우터의 로그 정보로부터 공격 패턴을 추출하고(S421), 이 공격 패턴과 일치하는 MAC 주소를 상기 MAC주소검출모듈(105)로부터 제공받는다.
상기 찾은 공격 패턴을 가진 MAC 주소와 일치하는 IP 주소를 요청하여(S422) 네트워크 공격자로 인지한다(S423). 따라서 본 발명은 공격자가 IP 주소를 변경하여 공격하여도 그 근원지를 추적할 수 있다.
도 5는 본 발명의 일실시 형태에 따라 도 4a의 상기 센트로이드 트리를 생성하는 과정을 구체적으로 도시한 동작 흐름도이다.
도 5를 참조하면, 침입탐지 시스템으로부터 침입경보의 로그 정보가 전달되면, 센트로이드노드검출모듈(104)은 망 관리서버(110)로부터 네트워크 라우터 연결정보를 수집한다(S411).
수집한 네트워크 라우터 연결정보를 기반으로 일반적인 최단 경로 알고리즘을 구동하여 도 2와 같은 네트워크 공격자의 근원지와 공격대상이 연결된 라우터까지의 최단 경로 트리(200)를 생성한다(S412-1).
상기 생성한 최단 경로 트리(200)에서 하위 리프노드(NL: L 레벨에 존재하는 노드들)를 제거한다(S412-2).
상기 최단 경로 트리에서 한 개의 노드만 존재하는지 확인(S412-3)하고 그렇지 않다면, S412-2 단계, S412-3 단계 및 S412-4 단계를 반복하여, 하위 리프노드(NL)를 제거한 최단 경로 트리에서 최종적으로 한 개의 노드가 남을 때까지 하위 리프노드(L=L-1을 대입한 레벨의 노드)(S412-4)를 제거한다.
최종적으로 한 개의 노드만 존재하면, 남은 한 개의 노드가 상위 레벨의 센트로이드 노드가 된다(S412-5).
그런 다음, 최종적으로 남은 한 개의 노드를 최단 경로 트리(200)에서 제거한다(S412-6).
S412-6 단계에 의해 제거되지 않고 남은 노드들로 구성된 n(임의의 자연수)개의 트리에서 각각 하위 리프노드(NL)를 제거한다(S412-7).
그런 다음, n개의 트리에서 각각 최종적으로 한 개의 노드만 존재하는지 확인(S412-8)하여 그렇지 않다면, 각 트리에 대해 S412-7 단계, S412-8단계 및 S412-9 단계를 반복하여, 상기 하위 리프노드(NL)를 제거한 최단 경로 트리에서 최종적으로 한 개의 노드가 남을 때까지 하위 리프노드(L=L-1을 대입한 레벨의 노드)(S412-9)를 제거한다.
n개의 트리에서 각각 최종 한 개의 노드만 존재한다면, 이 한 개의 노드가 하위 레벨의 센트로이드 노드이다(S412-10). 즉, n개의 트리에 대해 n개의 센트로이드 노드가 존재한다.
따라서 상기 S412-5 단계에서 찾은 센트로이드 노드를 루트로 하고, 상기 S412-10 단계에서 찾은 센트로이드 노드를 하위 노드로 하는 센트로이드 트리가 생성된다(S412-11).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
도 1은 본 발명의 일실시 형태에 따른 중심점 분할 기법(centroid decomposition technique)을 이용한 로그(log) 기반의 역추적 시스템을 포함하는 전체 망 구성도,
도 2는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용하여 센트로이드 트리(centroid tree)를 생성하는 원리를 설명하기 위한 설명도,
도 3은 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템의 상세 구성도,
도 4는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용한 로그 기반의 역추적 방법을 도시한 동작 흐름도로서, 도 4a는 센트로이드 트리를 생성하는 과정, 도 4b는 공격자와 연결된 라우터와 매칭되는 노드를 찾는 과정 및 도 4c는 공격자 근원지를 추적하는 과정을 나타낸 흐름도, 그리고,
도 5는 본 발명의 일실시 형태에 따른 중심점 분할 기법을 이용하여 센트로이드 트리를 생성하는 방법을 도시한 동작 흐름도이다.
*도면의 주요 부호에 대한 설명*
10-80. 라우터 100. 역추적 시스템
101. 로그정보입력모듈 102. 라우터제어모듈
103. 역추적처리모듈 104. 센트로이드노드검출모듈
105. MAC주소검출모듈 106. 역추적결과DB
110. 망관리서버 120. 침입탐지시스템
130. 공격대상 140. 공격자

Claims (15)

  1. 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈;
    망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및
    상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈
    을 포함하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  2. 제1항에 있어서,
    라우터를 원격제어하여 상기 센트로이드 트리의 각 레벨의 노드에 매칭되는 라우터의 로그 정보를 추출하여 상기 역추적처리모듈에 전달하는 라우터제어모듈을 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  3. 제2항에 있어서,
    상기 역추적한 공격자의 근원지에 연결된 라우터에 연결된 호스트들의 MAC 주소를 검출하여 상기 역추적처리모듈에 전달하는 MAC주소검출모듈을 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  4. 제3항에 있어서,
    상기 역추적처리모듈은 상기 공격자의 근원지에 연결된 라우터의 로그 정보에서 공격패턴을 추출하여 일치하는 MAC 주소를 찾고, 상기 공격패턴을 가지는 MAC 주소에 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지로 추적하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  5. 제4항에 있어서,
    상기 네트워크 공격자의 근원지를 역추적한 추적결과인 공격경로 정보를 저장하는 역추적결과 DB를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  6. 제1항에 있어서,
    상기 센트로이드 트리는 상기 최단 경로 트리에 대해 하위 리프노드를 반복적으로 제거하여 최종적으로 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하고, 상기 최단 경로 트리에서 상기 최종 한 개의 노드를 제거한 복수 개의 트리에서 다시 리프노드를 반복적으로 제거한 후 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 하여 생성되는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템.
  7. 삭제
  8. 삭제
  9. 침입탐지 시스템에서 발생 되는 침입경보의 로그 정보(log data)와 망 관리서버에서 공격패킷이 경유한 네트워크 라우터의 연결정보를 수집하는 단계;
    상기 공격패킷이 경유한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리에 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용해 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리(centroid tree)를 생성하는 단계;
    상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보와 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 공격자의 근원지와 연결된 라우터를 찾는 단계; 및
    상기 공격자의 근원지와 연결된 라우터의 로그 정보에서 공격 패턴을 추출하여 일치하는 MAC 주소를 찾아 해당하는 IP 주소를 요청하여 네트워크 공격자의 근원지를 역추적하는 단계
    를 포함하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  10. 제9항에 있어서, 상기 센트로이드 트리를 생성하는 단계는,
    상기 공격패킷이 경유한 네트워크 라우터 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하는 단계;
    상기 최단 경로 트리에 대해 리프노드를 제거하는 중심점 분할 기법을 적용하여 센트로이드 노드를 검출하는 단계; 및
    상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계
    를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  11. 제10항에 있어서, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 단계는,
    상기 최단 경로 트리에서 하위 리프노드를 제거하는 단계;
    상기 하위 리프노드가 제거된 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;
    상기 최종 남은 한 개의 노드를 상위 레벨의 센트로이드 노드로 결정하는 단계;
    상기 최단 경로 트리에서 상기 상위 레벨의 센트로이드 노드를 제거하고 남은 복수 개의 트리에서 최종 한 개의 노드가 남을 때까지 리프노드의 제거를 반복하는 단계;
    상기 복수 개의 트리에서 최종적으로 남는 복수 개의 노드를 하위 레벨의 센트로이드 노드로 결정하는 단계; 및
    상기 상위 레벨의 센트로이드 노드를 루트로 하고, 상기 하위 레벨의 센트로이드 노드를 하위 노드로 하는 센트로이드 트리를 생성하는 단계
    를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  12. 제9항에 있어서, 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보와 상기 침입탐지 시스템에서 수집한 침입경보의 로그 정보를 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 공격자의 근원지와 연결된 라우터를 찾는 단계는,
    상기 센트로이드 트리의 상위 레벨에서 하위 레벨 순으로, 동일 레벨에서는 좌측에서 우측 순서로 각 노드의 로그 정보를 질의하여 침입 경로의 로그 정보와 비교하는 단계;
    상기 비교 결과 로그 정보가 일치하는 노드가 있으면, 해당 노드가 리프 노드인지 판단하는 단계; 및
    상기 판단 결과 리프노드이면 공격자의 근원지와 연결된 라우터로 판단하는 단계
    를 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  13. 제12항에 있어서,
    상기 비교 결과, 비교 대상 노드가 루트 노드이고, 로그 정보가 일치하지 않으면, 그 상위 노드가 존재하는지를 검색하여 공격자 근원지와 연결된 라우터를 역추적하는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  14. 제12항에 있어서,
    상기 비교 결과, 비교 대상 노드가 하위 노드이고, 로그 정보가 일치하지 않으면, 가장 마지막에 검출된 로그정보가 일치하는 노드를 공격자의 근원지와 연결된 라우터로 판단하는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
  15. 제12항에 있어서,
    상기 판단 결과, 상기 로그 정보가 일치하는 노드가 리프노드가 아니면, 상기 최단 경로 트리에서 상기 로그 정보가 일치하나 리프노드가 아닌 노드의 상위 노드들을 상기 센트로이드 트리에서 제거하고, 상기 비교 단계로 리턴되는 단계를 더 포함하는 것을 특징으로 하는 중심점 분할 기법을 이용한 로그 기반의 역추적 방법.
KR1020070073059A 2007-07-20 2007-07-20 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 KR100922582B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020070073059A KR100922582B1 (ko) 2007-07-20 2007-07-20 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
US12/669,633 US8307441B2 (en) 2007-07-20 2007-11-21 Log-based traceback system and method using centroid decomposition technique
PCT/KR2007/005859 WO2009014283A1 (en) 2007-07-20 2007-11-21 Log-based traceback system and method using centroid decomposition technique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070073059A KR100922582B1 (ko) 2007-07-20 2007-07-20 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법

Publications (2)

Publication Number Publication Date
KR20090009622A KR20090009622A (ko) 2009-01-23
KR100922582B1 true KR100922582B1 (ko) 2009-10-21

Family

ID=40281512

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070073059A KR100922582B1 (ko) 2007-07-20 2007-07-20 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법

Country Status (3)

Country Link
US (1) US8307441B2 (ko)
KR (1) KR100922582B1 (ko)
WO (1) WO2009014283A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106843111A (zh) * 2017-03-10 2017-06-13 中国石油大学(北京) 油气生产系统报警信号根原因精确溯源方法及装置

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8806634B2 (en) * 2005-04-05 2014-08-12 Donald N. Cohen System for finding potential origins of spoofed internet protocol attack traffic
US8171554B2 (en) * 2008-02-04 2012-05-01 Yuval Elovici System that provides early detection, alert, and response to electronic threats
KR101048991B1 (ko) * 2009-02-27 2011-07-12 (주)다우기술 봇넷 행동 패턴 분석 시스템 및 방법
CN102546275A (zh) * 2010-12-20 2012-07-04 中兴通讯股份有限公司 告警检测方法及装置
US8555385B1 (en) * 2011-03-14 2013-10-08 Symantec Corporation Techniques for behavior based malware analysis
US10356106B2 (en) 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
KR20130039175A (ko) * 2011-10-11 2013-04-19 한국전자통신연구원 내부자 위협 탐지 장치 및 방법
WO2013093209A1 (en) 2011-12-21 2013-06-27 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
JP6590481B2 (ja) * 2012-12-07 2019-10-16 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
KR20140075068A (ko) * 2012-12-10 2014-06-19 한국전자통신연구원 화상 통화 영상 변조 장치 및 그 방법
US9847915B2 (en) * 2013-01-11 2017-12-19 Huawei Technologies Co., Ltd. Network function virtualization for a network device
EP2946332B1 (en) * 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automated forensics of computer systems using behavioral intelligence
TWI484331B (zh) * 2013-08-28 2015-05-11 Univ Nat Cheng Kung 基於跨層日誌記錄的資料軌跡追蹤系統與方法
KR101889500B1 (ko) 2014-03-07 2018-09-20 한국전자통신연구원 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
US11159618B2 (en) 2014-07-25 2021-10-26 Hewlett Packard Enterprise Development Lp Software-defined sensing
WO2016072310A1 (ja) * 2014-11-05 2016-05-12 キヤノン電子株式会社 特定装置、その制御方法、及びプログラム
CN105825137B (zh) * 2015-01-05 2018-10-02 中国移动通信集团江苏有限公司 一种确定敏感数据扩散行为的方法及装置
US20160253501A1 (en) * 2015-02-26 2016-09-01 Dell Products, Lp Method for Detecting a Unified Extensible Firmware Interface Protocol Reload Attack and System Therefor
US10367842B2 (en) * 2015-04-16 2019-07-30 Nec Corporation Peer-based abnormal host detection for enterprise security systems
US10075461B2 (en) 2015-05-31 2018-09-11 Palo Alto Networks (Israel Analytics) Ltd. Detection of anomalous administrative actions
JP6906928B2 (ja) 2015-11-09 2021-07-21 韓國電子通信研究院Electronics and Telecommunications Research Institute ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法
US10440036B2 (en) * 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
US10140447B2 (en) 2015-12-11 2018-11-27 Sap Se Attack pattern framework for monitoring enterprise information systems
CN105681211B (zh) * 2015-12-31 2020-07-28 北京安天网络安全技术有限公司 基于信息萃取的流量记录方法和系统
US10192278B2 (en) * 2016-03-16 2019-01-29 Institute For Information Industry Traceable data audit apparatus, method, and non-transitory computer readable storage medium thereof
US10686829B2 (en) 2016-09-05 2020-06-16 Palo Alto Networks (Israel Analytics) Ltd. Identifying changes in use of user credentials
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
KR102588642B1 (ko) 2017-02-14 2023-10-11 한국전자통신연구원 스텝핑 스톤 검출 장치 및 방법
JP6714143B2 (ja) * 2017-03-03 2020-06-24 日本電信電話株式会社 学習装置、再学習要否判定方法及び再学習要否判定プログラム
US10671723B2 (en) 2017-08-01 2020-06-02 Sap Se Intrusion detection system enrichment based on system lifecycle
US11316877B2 (en) 2017-08-01 2022-04-26 Sap Se Intrusion detection system enrichment based on system lifecycle
US10637888B2 (en) 2017-08-09 2020-04-28 Sap Se Automated lifecycle system operations for threat mitigation
US10778556B2 (en) * 2017-12-28 2020-09-15 Intel Corporation Efficient mesh network data gathering
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
US10761879B2 (en) 2018-06-19 2020-09-01 Sap Se Service blueprint creation for complex service calls
US11601442B2 (en) * 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
US11729208B2 (en) * 2018-09-25 2023-08-15 Nec Corporation Impact range estimation apparatus, impact range estimation method, and computer-readable recording medium
US10768900B2 (en) 2018-12-05 2020-09-08 Sap Se Model-based service registry for software systems
US10637952B1 (en) 2018-12-19 2020-04-28 Sap Se Transition architecture from monolithic systems to microservice-based systems
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11012492B1 (en) 2019-12-26 2021-05-18 Palo Alto Networks (Israel Analytics) Ltd. Human activity detection in computing device transmissions
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US12039017B2 (en) 2021-10-20 2024-07-16 Palo Alto Networks (Israel Analytics) Ltd. User entity normalization and association
CN114338075B (zh) * 2021-11-10 2024-03-12 国网浙江省电力有限公司金华供电公司 基于广泛嗅探的攻击对象防御方法
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439170B1 (ko) 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
US7254633B2 (en) * 2002-02-07 2007-08-07 University Of Massachusetts Amherst Probabilistic packet marking
WO2004008700A2 (en) * 2002-07-12 2004-01-22 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
US7801857B2 (en) * 2003-12-19 2010-09-21 Solace Systems, Inc. Implicit routing in content based networks
US20050257263A1 (en) * 2004-05-13 2005-11-17 International Business Machines Corporation Andromeda strain hacker analysis system and method
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
JP4321550B2 (ja) * 2005-08-31 2009-08-26 ソニー株式会社 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
JP4899442B2 (ja) * 2005-11-21 2012-03-21 ソニー株式会社 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
US7881223B2 (en) * 2006-03-31 2011-02-01 Panasonic Corporation Method for on demand distributed hash table update
US7619990B2 (en) * 2006-06-30 2009-11-17 Alcatel-Lucent Usa Inc. Two tiered packet labeling for data network traceback
JP2008103007A (ja) * 2006-10-18 2008-05-01 Sony Nec Optiarc Inc 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム
US8695089B2 (en) * 2007-03-30 2014-04-08 International Business Machines Corporation Method and system for resilient packet traceback in wireless mesh and sensor networks
US7986636B2 (en) * 2007-11-09 2011-07-26 Polytechnic Institute Of New York University Efficient detection of relay node

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
‘마킹 알고리듬 기반 IP역추적에서의 공격 근원지 발견 기법’, 정보보호학회논문지 제13권 제1호, 2003.2
'ON INTRUSION SOURCE IDENTIFICATION'. In: Proceedings of the 2nd IASTED International Conference Communications, Internet, and Information Technology, November 17-19, 2003, pp.7-12

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106843111A (zh) * 2017-03-10 2017-06-13 中国石油大学(北京) 油气生产系统报警信号根原因精确溯源方法及装置
CN106843111B (zh) * 2017-03-10 2019-04-05 中国石油大学(北京) 油气生产系统报警信号根原因精确溯源方法及装置

Also Published As

Publication number Publication date
US20100212013A1 (en) 2010-08-19
KR20090009622A (ko) 2009-01-23
WO2009014283A1 (en) 2009-01-29
US8307441B2 (en) 2012-11-06

Similar Documents

Publication Publication Date Title
KR100922582B1 (ko) 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US9275224B2 (en) Apparatus and method for improving detection performance of intrusion detection system
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
JP3448254B2 (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
CN111200605B (zh) 一种基于Handle系统的恶意标识防御方法及系统
CN111698260A (zh) 一种基于报文分析的dns劫持检测方法及系统
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
CN113259349A (zh) 一种轨道交通控制网络的监测方法及装置
Sukhwani et al. A survey of anomaly detection techniques and hidden markov model
US12120135B2 (en) System and method to detect malicious activity through detecting anomalies in sinkholed traffic
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
CN115277173B (zh) 一种网络安全监测管理系统及方法
CN115189936B (zh) 一种基于特征选择的Tor隐藏服务流量识别方法
Mugitama et al. An evidence-based technical process for openflow-based SDN forensics
Li et al. Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks
KR102272018B1 (ko) 딥웹 환경에서의 네트워크 트래픽 상관도 분석을 이용한 악성코드 분석 시스템 및 그 방법
CN112511559B (zh) 内网横向移动攻击的检测方法及系统
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
TWI489820B (zh) 一種追蹤攻擊來源之方法
KR102661261B1 (ko) 봇넷 탐지 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20070720

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20090317

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20090916

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20091013

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20091014

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20120919

Year of fee payment: 18

PR1001 Payment of annual fee

Payment date: 20120919

Start annual number: 4

End annual number: 18