KR100439170B1 - Attacker traceback method by using edge router's log information in the internet - Google Patents
Attacker traceback method by using edge router's log information in the internet Download PDFInfo
- Publication number
- KR100439170B1 KR100439170B1 KR10-2001-0070766A KR20010070766A KR100439170B1 KR 100439170 B1 KR100439170 B1 KR 100439170B1 KR 20010070766 A KR20010070766 A KR 20010070766A KR 100439170 B1 KR100439170 B1 KR 100439170B1
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion
- network
- attacker
- edge router
- internal network
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 인터넷 환경의 글로벌 네트워크(global network) 차원에서 특정 데이터나 시스템, 서비스의 해킹(hacking)에 대하여 이를 추적하기 위한 공격자 역 추적 방법에 관한 것이다. 종래에는 침입에 대한 로그정보의 기록방법과 형식이 호스트마다 다르기 때문에, 해커의 공격 경로를 수작업으로 분석할 수밖에 없다. 특히, 해커가 자신의 IP(Internet Protocol) 주소를 속여서 공격해 오는 경우에는 호스트에서 남긴 로그정보만으로 해커를 추적하는 것은 불가능하다. 본 발명은, 해커가 자신의 IP 주소를 속여 여러 네트워크를 경유해서 사이버 공격 예로, 서비스를 마비시키는 서비스거부공격(Denial Of Service : DOS) 등을 행할 경우 해커가 존재하는 네트워크의 위치를 추적하도록 한다. 따라서, 특정 기업이나 정부 부처 혹은 국가 차원에서, 국내외 해커로부터 사이버 공격에 효과적으로 대처할 수 있기 때문에, 안전하고 신뢰성 있는 인터넷환경을 보장할 수 있다.The present invention relates to an attacker reverse tracking method for tracking the hacking of a specific data, system, or service in the global network level of the Internet environment. Conventionally, since the method and format of recording the log information of the intrusion are different for each host, the attack path of the hacker has no choice but to be analyzed manually. In particular, if a hacker is attacking by tricking his IP (Internet Protocol) address, it is impossible to track the hacker using only the log information left by the host. The present invention allows a hacker to track the location of a network where a hacker exists when a hacker cheats his IP address and executes a cyber attack through several networks, for example, a denial of service (DOS) that paralyzes a service. . Therefore, it is possible to effectively cope with cyber attacks from domestic and foreign hackers at a specific company, government department or national level, thereby ensuring a safe and reliable Internet environment.
Description
본 발명은 인터넷(internet)에서 에지 라우터(edge router)의 로그정보(log information)를 이용한 공격자 역 추적 방법에 관한 것으로, 특히, 인터넷 환경의글로벌 네트워크(global network) 차원에서 특정 데이터나 시스템, 서비스의 해킹(hacking)에 대하여 이를 추적하기 위한 공격자 역 추적 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for tracing an attacker by using log information of edge routers in the Internet. In particular, the present invention relates to a specific data, system, and service in the global network level of an Internet environment. It is about the attacker reverse tracking method to track the hacking of the attacker.
종래에는 외부 네트워크로부터 내부 네트워크로의 공격자 침입에 대하여 경유 호스트(host) 측에서 로그정보를 기록하도록 했다가 이후에 이를 분석하여 해커(hacker)의 공격 경로를 추적하였다.Conventionally, log information is recorded at a host side of an intruder intrusion from an external network to an internal network, and then analyzed to track the attack path of a hacker.
그러나, 침입에 대한 로그정보의 기록방법과 형식이 호스트마다 다르기 때문에, 해커의 공격 경로를 수작업으로 분석할 수밖에 없다. 특히, 해커가 자신의 IP(Internet Protocol) 주소를 속여서 공격해 오는 경우에는 호스트에서 남긴 로그정보만으로 해커를 추적하는 것은 불가능하다.However, since the recording method and format of the log information of the intrusion are different from host to host, the attack path of the hacker has no choice but to be analyzed manually. In particular, if a hacker is attacking by tricking his IP (Internet Protocol) address, it is impossible to track the hacker using only the log information left by the host.
본 발명은 상술한 문제점을 해결하기 위하여 안출한 것으로, 글로벌 네트워크 환경에서 각각의 네트워크의 에지 라우터에서 내부로 접근하는 모든 패킷에 대한 로그정보를 기록하도록 해서 공격자의 IP 주소 변경에 관계없이 해당 패킷에 대한 역 추적을 가능하게 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 제공하는 데 그 목적이 있다.The present invention has been made to solve the above-mentioned problem, in the global network environment to log the log information for all packets that are accessed from the edge router of each network in the internal network regardless of the attacker's IP address change The purpose of the present invention is to provide an attacker traceback method using log information of an edge router in the Internet, which enables the traceback of an attacker.
이와 같은 목적을 달성하기 위한 본 발명은, 다수의 상대 네트워크와 선택적으로 각각 연결하는 다수의 에지 라우터, 다수의 호스트, 관리서버, 침입탐지 시스템을 각각 구비한 다수의 네트워크로 이루어지는 통신 시스템에 있어서, 내부의 특정 에지 라우터가 외부 네트워크로부터 내부 네트워크로 들어오는 패킷에 대한 로그정보를 기록하는 제 1 단계; 및 내부의 침입탐지 시스템으로부터 해킹이 감지되는 경우 내부 에지 라우터의 로그정보를 바탕으로 해커의 위치를 역 추적하는 제 2 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a communication system comprising a plurality of networks each including a plurality of edge routers, a plurality of hosts, a management server, and an intrusion detection system, each of which is selectively connected to a plurality of counterpart networks. A first step in which an internal specific edge router records log information about packets coming into the internal network from the external network; And a second step of tracking back the position of the hacker based on the log information of the internal edge router when the hack is detected from the internal intrusion detection system.
도 1은 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 실시하기 위한 네트워크 구성도,1 is a diagram illustrating a network configuration for performing an attacker reverse tracking method using log information of an edge router in the Internet according to the present invention;
도 2는 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법의 일 실시예를 단계별로 나타낸 순서도,Figure 2 is a flow chart illustrating a step-by-step embodiment of the attacker reverse tracking method using the log information of the edge router in the Internet according to the present invention,
도 3은 도 1에 도시된 에지 라우터에서 기록하는 패킷로그의 일부에 이용되는 IP 데이터그램을 나타낸 도면.3 is a diagram illustrating an IP datagram used for a part of a packet log recorded by the edge router shown in FIG. 1;
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
101 : 공격 호스트 102, 103, 104, 105, 106 : 에지 라우터101: attack host 102, 103, 104, 105, 106: edge router
107 : 침입 호스트 108 : 침입탐지 시스템107: intrusion host 108: intrusion detection system
109, 110, 111 : 관리서버109, 110, 111: management server
도 1은 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 실시하기 위한 네트워크 구성도로, 에지 라우터(102, 103)에 의해 공격자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되고 에지 라우터(105, 106)에 의해 침입자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되도록 구성된다. 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 공격자를 추적하기 위한 관리서버(109, 110, 111)가 각각 존재한다. 또한, 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 각각 다수의 호스트 및 특정 침입탐지 시스템(Intrusion Detection System : IDS)이 구성되어 있으나 도 1에는 본 발명의 동작 설명에 필요한 호스트 및 침입탐지 시스템만 도시된다.FIG. 1 is a network configuration diagram for performing an attacker reverse tracking method using log information of an edge router in the Internet according to an embodiment of the present invention. 105, 106 are configured to connect the intruder's local Internet and the Internet service provider network. There are management servers 109, 110, and 111 for tracking attackers in the attacker's local Internet, the Internet service provider network, and the attacker's local Internet, respectively. In addition, the intruder local Internet, the Internet service provider network and the attacker local Internet is configured with a plurality of hosts and specific intrusion detection system (IDS), respectively, Figure 1 host and intrusion detection required for explaining the operation of the present invention Only the system is shown.
동 도면에 있어서, 외부의 해커는 자신의 공격 호스트(101)에서 IP 주소를 속여 자신의 에지 라우터(102)와 ISP 도메인(Internet Service Provider domain)(인터넷 서비스 사업자 망)의 에지 라우터(103, 105)를 경유한 후, 침입 도메인(침입자 로컬 인터넷)의 에지 라우터(106)를 통해 침입 호스트(107)를 공격한다. 이 과정에서 각 도메인의 에지 라우터(103, 106)는 외부 도메인으로부터 접근하는 패킷에 대한 로그정보를 기록한다.In the figure, an external hacker cheats an IP address from his attacking host 101, and edge routers 103 and 105 of his edge router 102 and an ISP domain (Internet Service Provider network). And then attack the intrusion host 107 via the edge router 106 of the intrusion domain (intruder local internet). In this process, the edge routers 103 and 106 of each domain record log information about packets that are accessed from an external domain.
침입탐지 시스템(108)은 상기 공격자의 침입을 탐지할 경우 침입정보를 관리서버(109)에게 보고한다.The intrusion detection system 108 reports the intrusion information to the management server 109 when detecting the intrusion of the attacker.
관리서버(109)는 침입탐지 시스템(108)으로부터 침입정보를 전달받아 에지 라우터(106)의 로그정보를 바탕으로 해커가 위치한 공격자 도메인의 공격 호스트(101)를 추적한다.The management server 109 receives the intrusion information from the intrusion detection system 108 and tracks the attacking host 101 of the attacker domain where the hacker is located based on the log information of the edge router 106.
도 2는 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법의 일 실시예를 단계별로 나타낸 순서도이다.Figure 2 is a flow chart illustrating a step-by-step embodiment of an attacker backtracking method using the log information of the edge router in the Internet according to the present invention.
먼저, 내부의 침입탐지 시스템(108)은 공격자가 침입 호스트(107)를 공격할 경우 공격자의 침입을 감지한다(단계 201).First, the internal intrusion detection system 108 detects an attacker's intrusion when the attacker attacks the intrusion host 107 (step 201).
내부의 침입탐지 시스템(108)은 내부 네트워크의 관리서버(109)에게 공격자의 침입 사실을 알린다(단계 202).The internal intrusion detection system 108 informs the management server 109 of the internal network of the attacker's intrusion (step 202).
내부의 관리서버(109)는 내부 네트워크의 모든 에지 라우터(106)에게 내부 네트워크의 침입탐지 시스템(108)으로부터 전달받은 공격자 패킷의 흔적에 대응하는 침입탐지 로그분석을 질의한다(단계 203).The internal management server 109 queries all edge routers 106 of the internal network for intrusion detection log analysis corresponding to traces of attacker packets received from the intrusion detection system 108 of the internal network (step 203).
내부의 관리서버(109)는 침입 흔적이 발견되었는지 여부를 내부의 에지 라우터(106)를 통해 판단한다(단계 204).The internal management server 109 determines through the internal edge router 106 whether a trace of intrusion has been found (step 204).
내부의 관리서버(109)는 단계 204의 판단 결과, 침입 흔적이 발견되면 외부 네트워크로부터의 침입으로 판단하여 침입 흔적에 대응하는 타 네트워크의 관리서버(110)에게 자신의 관리 하에 있는 에지 라우터(103, 104, 105)에게 로그분석을 요청해 줄 것을 의뢰한다(단계 205). 반면, 내부의 관리서버(109)는 단계 204의 판단 결과, 침입 흔적이 발견되지 않으면 내부 네트워크에서의 침입으로 판단하여 내부 네트워크에 해커가 존재하는 것으로 판단한다(단계 208).The internal management server 109 determines that the intrusion is found from the external network if the intrusion trace is found as a result of step 204, and the edge router 103 under its management to the management server 110 of the other network corresponding to the intrusion trace. 104, 105) to request log analysis (step 205). On the other hand, the internal management server 109 determines that there is a hacker in the internal network if the trace of intrusion is not found as a result of the determination of step 204 (step 208).
타 네트워크의 관리서버(110)는 자신의 관리 하에 있는 에지 라우터(103, 104, 105)에게 로그분석을 요청한다(단계 206).The management server 110 of the other network requests log analysis from the edge routers 103, 104, and 105 under its management (step 206).
타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견했는지 여부를 판단한다(단계 207).It is determined whether the edge routers 103, 104, and 105 under other network management have found an intrusion trace (step 207).
타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견하는 경우 또 다른 외부 네트워크로부터의 침입이기 때문에, 상기 단계 205부터 상기 단계 207까지 수행하는 과정을 공격자 호스트(101)를 찾을 때까지 되풀이한다. 반면, 타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견하지 못하는 경우 타 네트워크에서의 침입으로 판단하여 타 네트워크에 해커가 존재하는 것으로 판단한다(단계 208).When the edge routers 103, 104, and 105 under other network management find an intrusion trace, since the intrusion is from another external network, the process of performing the steps 205 to 207 when the attacker host 101 is found. Repeat until. On the other hand, if the edge routers 103, 104, and 105 under other network management do not find an intrusion trace, it is determined that the intrusion is in the other network, and it is determined that a hacker exists in the other network (step 208).
여기서, 도메인과 네트워크는 동일한 영역을 의미한다.Here, the domain and the network mean the same area.
도 3은 도 1에 도시된 에지 라우터에서 기록하는 패킷로그의 일부에 이용되는 IP 데이터그램을 나타낸 도면이다.FIG. 3 is a diagram illustrating an IP datagram used for part of a packet log recorded by the edge router shown in FIG. 1.
동 도면에 있어서, 소스 IP 주소(source IP address)(301), 목적 IP 주소(destination IP address)(302), 프로토콜(protocol) 및 서비스 타입(service type)이 패킷로그에 포함된다. 로그정보에는 상기의 네 가지 정보와 패킷이 들어온 에지 라우터의 입력 인터페이스(input interface) 및 에지 라우터를 통과한 시간이 함께 기록된다.In the figure, a source IP address 301, a destination IP address 302, a protocol and a service type are included in the packet log. In the log information, the above four pieces of information and the input interface of the edge router to which the packet is input and the time passed through the edge router are recorded together.
이밖에 버전(version), 헤더 길이(header length), 총 길이(total length),식별자(identification), 플랙(flags), 프래그먼테이션 오프셋(fragmentation offset), 타임 투 리브(time to live), 헤더 체크섬(header checksum) 및 옵션(option) 등의 항목이 더 있다.In addition, version, header length, total length, identification, flags, fragmentation offset, time to live, There are more items, such as header checksums and options.
상기와 같은 로그파일은 컴퓨터로 읽을 수 있는 기록 매체에 기록되고, 컴퓨터에 의하여 처리될 수 있다.The log file as described above is recorded on a computer-readable recording medium, and can be processed by a computer.
본 발명은, 해커가 자신의 IP 주소를 속여 여러 네트워크를 경유해서 사이버 공격 예로, 서비스를 마비시키는 서비스거부공격(Denial Of Service : DOS) 등을 행할 경우 해커가 존재하는 네트워크의 위치를 추적하도록 한다. 따라서, 특정 기업이나 정부 부처 혹은 국가 차원에서, 국내외 해커로부터 사이버 공격에 효과적으로 대처할 수 있기 때문에, 안전하고 신뢰성 있는 인터넷환경을 보장할 수 있다.The present invention allows a hacker to track the location of a network where a hacker exists when a hacker cheats his IP address and executes a cyber attack through several networks, for example, a denial of service (DOS) that paralyzes a service. . Therefore, it is possible to effectively cope with cyber attacks from domestic and foreign hackers at a specific company, government department or national level, thereby ensuring a safe and reliable Internet environment.
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2001-0070766A KR100439170B1 (en) | 2001-11-14 | 2001-11-14 | Attacker traceback method by using edge router's log information in the internet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2001-0070766A KR100439170B1 (en) | 2001-11-14 | 2001-11-14 | Attacker traceback method by using edge router's log information in the internet |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20030039732A KR20030039732A (en) | 2003-05-22 |
KR100439170B1 true KR100439170B1 (en) | 2004-07-05 |
Family
ID=29569406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2001-0070766A KR100439170B1 (en) | 2001-11-14 | 2001-11-14 | Attacker traceback method by using edge router's log information in the internet |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100439170B1 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100426317B1 (en) * | 2002-09-06 | 2004-04-06 | 한국전자통신연구원 | System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor |
KR100447677B1 (en) * | 2002-11-01 | 2004-09-08 | 주식회사 케이티 | Method of spoofing attack system detection through network packet monitoring |
KR100450770B1 (en) * | 2002-11-02 | 2004-10-01 | 한국전자통신연구원 | Attacker traceback and isolation system and method in security network |
KR100608210B1 (en) * | 2004-02-25 | 2006-08-08 | 이형우 | SVM Based Advanced Packet Marking Mechanism for Traceback AND Router |
KR100614757B1 (en) * | 2004-07-14 | 2006-08-21 | 엘지엔시스(주) | Apparatus and method for searching and cutting off abnormal traffic by packet header analysis |
KR100706757B1 (en) * | 2005-04-04 | 2007-04-13 | 이임영 | A Method of Attacker trace techniques applying 2MAC authentication packet in Distribution Network |
KR100770354B1 (en) * | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | Method for ip tracing-back of attacker in ipv6 network |
KR100922582B1 (en) | 2007-07-20 | 2009-10-21 | 한국전자통신연구원 | Log-based traceback system and method by using the centroid decomposition technique |
KR101889500B1 (en) | 2014-03-07 | 2018-09-20 | 한국전자통신연구원 | Method and System for Network Connection-Chain Traceback using Network Flow Data |
CN104836815B (en) * | 2015-06-01 | 2018-07-20 | 广东电网有限责任公司信息中心 | A kind of security incident retrogressive method and system based on log analysis function |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000040269A (en) * | 1998-12-17 | 2000-07-05 | 이계철 | Method for realtime invasion detection using agent structure in realtime invasion detection system |
KR20000054538A (en) * | 2000-06-10 | 2000-09-05 | 김주영 | System and method for intrusion detection in network and it's readable record medium by computer |
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
KR20010078887A (en) * | 2001-05-09 | 2001-08-22 | 정지후 | Cracker tracing and certification System Using for Web Agent and method thereof |
KR20010088983A (en) * | 2001-08-30 | 2001-09-29 | 허기행 | The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress |
-
2001
- 2001-11-14 KR KR10-2001-0070766A patent/KR100439170B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000040269A (en) * | 1998-12-17 | 2000-07-05 | 이계철 | Method for realtime invasion detection using agent structure in realtime invasion detection system |
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
KR20000054538A (en) * | 2000-06-10 | 2000-09-05 | 김주영 | System and method for intrusion detection in network and it's readable record medium by computer |
KR20010078887A (en) * | 2001-05-09 | 2001-08-22 | 정지후 | Cracker tracing and certification System Using for Web Agent and method thereof |
KR20010088983A (en) * | 2001-08-30 | 2001-09-29 | 허기행 | The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress |
Also Published As
Publication number | Publication date |
---|---|
KR20030039732A (en) | 2003-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
US10740363B2 (en) | Domain classification based on domain name system (DNS) traffic | |
US10587636B1 (en) | System and method for bot detection | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
JP4906504B2 (en) | Intelligent integrated network security device | |
US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
US8789171B2 (en) | Mining user behavior data for IP address space intelligence | |
US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
KR100422802B1 (en) | Security System against intrusion among networks and the method | |
CN110362992B (en) | Method and apparatus for blocking or detecting computer attacks in cloud-based environment | |
JP2010508598A (en) | Method and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
KR100439170B1 (en) | Attacker traceback method by using edge router's log information in the internet | |
US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
KR100770354B1 (en) | Method for ip tracing-back of attacker in ipv6 network | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
KR102582837B1 (en) | Pharming dns analysis method and computing device therefor | |
TW201947442A (en) | Suspicious domain detecting method, gateway apparatus and non-transitory computer readable medium apparatus | |
Chen et al. | Detecting hybrid botnets with web command and control servers or fast flux domain. | |
KR101686472B1 (en) | Network security apparatus and method of defending an malicious behavior | |
Mohammed | Network-Based Detection and Prevention System Against DNS-Based Attacks | |
Takemori et al. | Host-based traceback; tracking bot and C&C server | |
CN114301689B (en) | Campus network security protection method and device, computing equipment and storage medium | |
WO2009145379A1 (en) | Access level network securing device and securing system thereof | |
JP3889701B2 (en) | Packet path tracking system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130527 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20130730 Year of fee payment: 18 |