KR100439170B1 - Attacker traceback method by using edge router's log information in the internet - Google Patents

Attacker traceback method by using edge router's log information in the internet Download PDF

Info

Publication number
KR100439170B1
KR100439170B1 KR10-2001-0070766A KR20010070766A KR100439170B1 KR 100439170 B1 KR100439170 B1 KR 100439170B1 KR 20010070766 A KR20010070766 A KR 20010070766A KR 100439170 B1 KR100439170 B1 KR 100439170B1
Authority
KR
South Korea
Prior art keywords
intrusion
network
attacker
edge router
internal network
Prior art date
Application number
KR10-2001-0070766A
Other languages
Korean (ko)
Other versions
KR20030039732A (en
Inventor
이승민
남택용
이수형
지정훈
오승희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0070766A priority Critical patent/KR100439170B1/en
Publication of KR20030039732A publication Critical patent/KR20030039732A/en
Application granted granted Critical
Publication of KR100439170B1 publication Critical patent/KR100439170B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷 환경의 글로벌 네트워크(global network) 차원에서 특정 데이터나 시스템, 서비스의 해킹(hacking)에 대하여 이를 추적하기 위한 공격자 역 추적 방법에 관한 것이다. 종래에는 침입에 대한 로그정보의 기록방법과 형식이 호스트마다 다르기 때문에, 해커의 공격 경로를 수작업으로 분석할 수밖에 없다. 특히, 해커가 자신의 IP(Internet Protocol) 주소를 속여서 공격해 오는 경우에는 호스트에서 남긴 로그정보만으로 해커를 추적하는 것은 불가능하다. 본 발명은, 해커가 자신의 IP 주소를 속여 여러 네트워크를 경유해서 사이버 공격 예로, 서비스를 마비시키는 서비스거부공격(Denial Of Service : DOS) 등을 행할 경우 해커가 존재하는 네트워크의 위치를 추적하도록 한다. 따라서, 특정 기업이나 정부 부처 혹은 국가 차원에서, 국내외 해커로부터 사이버 공격에 효과적으로 대처할 수 있기 때문에, 안전하고 신뢰성 있는 인터넷환경을 보장할 수 있다.The present invention relates to an attacker reverse tracking method for tracking the hacking of a specific data, system, or service in the global network level of the Internet environment. Conventionally, since the method and format of recording the log information of the intrusion are different for each host, the attack path of the hacker has no choice but to be analyzed manually. In particular, if a hacker is attacking by tricking his IP (Internet Protocol) address, it is impossible to track the hacker using only the log information left by the host. The present invention allows a hacker to track the location of a network where a hacker exists when a hacker cheats his IP address and executes a cyber attack through several networks, for example, a denial of service (DOS) that paralyzes a service. . Therefore, it is possible to effectively cope with cyber attacks from domestic and foreign hackers at a specific company, government department or national level, thereby ensuring a safe and reliable Internet environment.

Description

인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법{ATTACKER TRACEBACK METHOD BY USING EDGE ROUTER'S LOG INFORMATION IN THE INTERNET}ATTACKER TRACEBACK METHOD BY USING EDGE ROUTER'S LOG INFORMATION IN THE INTERNET}

본 발명은 인터넷(internet)에서 에지 라우터(edge router)의 로그정보(log information)를 이용한 공격자 역 추적 방법에 관한 것으로, 특히, 인터넷 환경의글로벌 네트워크(global network) 차원에서 특정 데이터나 시스템, 서비스의 해킹(hacking)에 대하여 이를 추적하기 위한 공격자 역 추적 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for tracing an attacker by using log information of edge routers in the Internet. In particular, the present invention relates to a specific data, system, and service in the global network level of an Internet environment. It is about the attacker reverse tracking method to track the hacking of the attacker.

종래에는 외부 네트워크로부터 내부 네트워크로의 공격자 침입에 대하여 경유 호스트(host) 측에서 로그정보를 기록하도록 했다가 이후에 이를 분석하여 해커(hacker)의 공격 경로를 추적하였다.Conventionally, log information is recorded at a host side of an intruder intrusion from an external network to an internal network, and then analyzed to track the attack path of a hacker.

그러나, 침입에 대한 로그정보의 기록방법과 형식이 호스트마다 다르기 때문에, 해커의 공격 경로를 수작업으로 분석할 수밖에 없다. 특히, 해커가 자신의 IP(Internet Protocol) 주소를 속여서 공격해 오는 경우에는 호스트에서 남긴 로그정보만으로 해커를 추적하는 것은 불가능하다.However, since the recording method and format of the log information of the intrusion are different from host to host, the attack path of the hacker has no choice but to be analyzed manually. In particular, if a hacker is attacking by tricking his IP (Internet Protocol) address, it is impossible to track the hacker using only the log information left by the host.

본 발명은 상술한 문제점을 해결하기 위하여 안출한 것으로, 글로벌 네트워크 환경에서 각각의 네트워크의 에지 라우터에서 내부로 접근하는 모든 패킷에 대한 로그정보를 기록하도록 해서 공격자의 IP 주소 변경에 관계없이 해당 패킷에 대한 역 추적을 가능하게 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 제공하는 데 그 목적이 있다.The present invention has been made to solve the above-mentioned problem, in the global network environment to log the log information for all packets that are accessed from the edge router of each network in the internal network regardless of the attacker's IP address change The purpose of the present invention is to provide an attacker traceback method using log information of an edge router in the Internet, which enables the traceback of an attacker.

이와 같은 목적을 달성하기 위한 본 발명은, 다수의 상대 네트워크와 선택적으로 각각 연결하는 다수의 에지 라우터, 다수의 호스트, 관리서버, 침입탐지 시스템을 각각 구비한 다수의 네트워크로 이루어지는 통신 시스템에 있어서, 내부의 특정 에지 라우터가 외부 네트워크로부터 내부 네트워크로 들어오는 패킷에 대한 로그정보를 기록하는 제 1 단계; 및 내부의 침입탐지 시스템으로부터 해킹이 감지되는 경우 내부 에지 라우터의 로그정보를 바탕으로 해커의 위치를 역 추적하는 제 2 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a communication system comprising a plurality of networks each including a plurality of edge routers, a plurality of hosts, a management server, and an intrusion detection system, each of which is selectively connected to a plurality of counterpart networks. A first step in which an internal specific edge router records log information about packets coming into the internal network from the external network; And a second step of tracking back the position of the hacker based on the log information of the internal edge router when the hack is detected from the internal intrusion detection system.

도 1은 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 실시하기 위한 네트워크 구성도,1 is a diagram illustrating a network configuration for performing an attacker reverse tracking method using log information of an edge router in the Internet according to the present invention;

도 2는 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법의 일 실시예를 단계별로 나타낸 순서도,Figure 2 is a flow chart illustrating a step-by-step embodiment of the attacker reverse tracking method using the log information of the edge router in the Internet according to the present invention,

도 3은 도 1에 도시된 에지 라우터에서 기록하는 패킷로그의 일부에 이용되는 IP 데이터그램을 나타낸 도면.3 is a diagram illustrating an IP datagram used for a part of a packet log recorded by the edge router shown in FIG. 1;

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

101 : 공격 호스트 102, 103, 104, 105, 106 : 에지 라우터101: attack host 102, 103, 104, 105, 106: edge router

107 : 침입 호스트 108 : 침입탐지 시스템107: intrusion host 108: intrusion detection system

109, 110, 111 : 관리서버109, 110, 111: management server

도 1은 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법을 실시하기 위한 네트워크 구성도로, 에지 라우터(102, 103)에 의해 공격자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되고 에지 라우터(105, 106)에 의해 침입자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되도록 구성된다. 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 공격자를 추적하기 위한 관리서버(109, 110, 111)가 각각 존재한다. 또한, 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 각각 다수의 호스트 및 특정 침입탐지 시스템(Intrusion Detection System : IDS)이 구성되어 있으나 도 1에는 본 발명의 동작 설명에 필요한 호스트 및 침입탐지 시스템만 도시된다.FIG. 1 is a network configuration diagram for performing an attacker reverse tracking method using log information of an edge router in the Internet according to an embodiment of the present invention. 105, 106 are configured to connect the intruder's local Internet and the Internet service provider network. There are management servers 109, 110, and 111 for tracking attackers in the attacker's local Internet, the Internet service provider network, and the attacker's local Internet, respectively. In addition, the intruder local Internet, the Internet service provider network and the attacker local Internet is configured with a plurality of hosts and specific intrusion detection system (IDS), respectively, Figure 1 host and intrusion detection required for explaining the operation of the present invention Only the system is shown.

동 도면에 있어서, 외부의 해커는 자신의 공격 호스트(101)에서 IP 주소를 속여 자신의 에지 라우터(102)와 ISP 도메인(Internet Service Provider domain)(인터넷 서비스 사업자 망)의 에지 라우터(103, 105)를 경유한 후, 침입 도메인(침입자 로컬 인터넷)의 에지 라우터(106)를 통해 침입 호스트(107)를 공격한다. 이 과정에서 각 도메인의 에지 라우터(103, 106)는 외부 도메인으로부터 접근하는 패킷에 대한 로그정보를 기록한다.In the figure, an external hacker cheats an IP address from his attacking host 101, and edge routers 103 and 105 of his edge router 102 and an ISP domain (Internet Service Provider network). And then attack the intrusion host 107 via the edge router 106 of the intrusion domain (intruder local internet). In this process, the edge routers 103 and 106 of each domain record log information about packets that are accessed from an external domain.

침입탐지 시스템(108)은 상기 공격자의 침입을 탐지할 경우 침입정보를 관리서버(109)에게 보고한다.The intrusion detection system 108 reports the intrusion information to the management server 109 when detecting the intrusion of the attacker.

관리서버(109)는 침입탐지 시스템(108)으로부터 침입정보를 전달받아 에지 라우터(106)의 로그정보를 바탕으로 해커가 위치한 공격자 도메인의 공격 호스트(101)를 추적한다.The management server 109 receives the intrusion information from the intrusion detection system 108 and tracks the attacking host 101 of the attacker domain where the hacker is located based on the log information of the edge router 106.

도 2는 본 발명에 따른 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법의 일 실시예를 단계별로 나타낸 순서도이다.Figure 2 is a flow chart illustrating a step-by-step embodiment of an attacker backtracking method using the log information of the edge router in the Internet according to the present invention.

먼저, 내부의 침입탐지 시스템(108)은 공격자가 침입 호스트(107)를 공격할 경우 공격자의 침입을 감지한다(단계 201).First, the internal intrusion detection system 108 detects an attacker's intrusion when the attacker attacks the intrusion host 107 (step 201).

내부의 침입탐지 시스템(108)은 내부 네트워크의 관리서버(109)에게 공격자의 침입 사실을 알린다(단계 202).The internal intrusion detection system 108 informs the management server 109 of the internal network of the attacker's intrusion (step 202).

내부의 관리서버(109)는 내부 네트워크의 모든 에지 라우터(106)에게 내부 네트워크의 침입탐지 시스템(108)으로부터 전달받은 공격자 패킷의 흔적에 대응하는 침입탐지 로그분석을 질의한다(단계 203).The internal management server 109 queries all edge routers 106 of the internal network for intrusion detection log analysis corresponding to traces of attacker packets received from the intrusion detection system 108 of the internal network (step 203).

내부의 관리서버(109)는 침입 흔적이 발견되었는지 여부를 내부의 에지 라우터(106)를 통해 판단한다(단계 204).The internal management server 109 determines through the internal edge router 106 whether a trace of intrusion has been found (step 204).

내부의 관리서버(109)는 단계 204의 판단 결과, 침입 흔적이 발견되면 외부 네트워크로부터의 침입으로 판단하여 침입 흔적에 대응하는 타 네트워크의 관리서버(110)에게 자신의 관리 하에 있는 에지 라우터(103, 104, 105)에게 로그분석을 요청해 줄 것을 의뢰한다(단계 205). 반면, 내부의 관리서버(109)는 단계 204의 판단 결과, 침입 흔적이 발견되지 않으면 내부 네트워크에서의 침입으로 판단하여 내부 네트워크에 해커가 존재하는 것으로 판단한다(단계 208).The internal management server 109 determines that the intrusion is found from the external network if the intrusion trace is found as a result of step 204, and the edge router 103 under its management to the management server 110 of the other network corresponding to the intrusion trace. 104, 105) to request log analysis (step 205). On the other hand, the internal management server 109 determines that there is a hacker in the internal network if the trace of intrusion is not found as a result of the determination of step 204 (step 208).

타 네트워크의 관리서버(110)는 자신의 관리 하에 있는 에지 라우터(103, 104, 105)에게 로그분석을 요청한다(단계 206).The management server 110 of the other network requests log analysis from the edge routers 103, 104, and 105 under its management (step 206).

타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견했는지 여부를 판단한다(단계 207).It is determined whether the edge routers 103, 104, and 105 under other network management have found an intrusion trace (step 207).

타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견하는 경우 또 다른 외부 네트워크로부터의 침입이기 때문에, 상기 단계 205부터 상기 단계 207까지 수행하는 과정을 공격자 호스트(101)를 찾을 때까지 되풀이한다. 반면, 타 네트워크 관리 하의 에지 라우터(103, 104, 105)가 침입 흔적을 발견하지 못하는 경우 타 네트워크에서의 침입으로 판단하여 타 네트워크에 해커가 존재하는 것으로 판단한다(단계 208).When the edge routers 103, 104, and 105 under other network management find an intrusion trace, since the intrusion is from another external network, the process of performing the steps 205 to 207 when the attacker host 101 is found. Repeat until. On the other hand, if the edge routers 103, 104, and 105 under other network management do not find an intrusion trace, it is determined that the intrusion is in the other network, and it is determined that a hacker exists in the other network (step 208).

여기서, 도메인과 네트워크는 동일한 영역을 의미한다.Here, the domain and the network mean the same area.

도 3은 도 1에 도시된 에지 라우터에서 기록하는 패킷로그의 일부에 이용되는 IP 데이터그램을 나타낸 도면이다.FIG. 3 is a diagram illustrating an IP datagram used for part of a packet log recorded by the edge router shown in FIG. 1.

동 도면에 있어서, 소스 IP 주소(source IP address)(301), 목적 IP 주소(destination IP address)(302), 프로토콜(protocol) 및 서비스 타입(service type)이 패킷로그에 포함된다. 로그정보에는 상기의 네 가지 정보와 패킷이 들어온 에지 라우터의 입력 인터페이스(input interface) 및 에지 라우터를 통과한 시간이 함께 기록된다.In the figure, a source IP address 301, a destination IP address 302, a protocol and a service type are included in the packet log. In the log information, the above four pieces of information and the input interface of the edge router to which the packet is input and the time passed through the edge router are recorded together.

이밖에 버전(version), 헤더 길이(header length), 총 길이(total length),식별자(identification), 플랙(flags), 프래그먼테이션 오프셋(fragmentation offset), 타임 투 리브(time to live), 헤더 체크섬(header checksum) 및 옵션(option) 등의 항목이 더 있다.In addition, version, header length, total length, identification, flags, fragmentation offset, time to live, There are more items, such as header checksums and options.

상기와 같은 로그파일은 컴퓨터로 읽을 수 있는 기록 매체에 기록되고, 컴퓨터에 의하여 처리될 수 있다.The log file as described above is recorded on a computer-readable recording medium, and can be processed by a computer.

본 발명은, 해커가 자신의 IP 주소를 속여 여러 네트워크를 경유해서 사이버 공격 예로, 서비스를 마비시키는 서비스거부공격(Denial Of Service : DOS) 등을 행할 경우 해커가 존재하는 네트워크의 위치를 추적하도록 한다. 따라서, 특정 기업이나 정부 부처 혹은 국가 차원에서, 국내외 해커로부터 사이버 공격에 효과적으로 대처할 수 있기 때문에, 안전하고 신뢰성 있는 인터넷환경을 보장할 수 있다.The present invention allows a hacker to track the location of a network where a hacker exists when a hacker cheats his IP address and executes a cyber attack through several networks, for example, a denial of service (DOS) that paralyzes a service. . Therefore, it is possible to effectively cope with cyber attacks from domestic and foreign hackers at a specific company, government department or national level, thereby ensuring a safe and reliable Internet environment.

Claims (5)

다수의 상대 네트워크와 선택적으로 각각 연결하는 다수의 에지 라우터, 다수의 호스트, 관리서버, 침입탐지 시스템을 각각 구비한 다수의 네트워크로 이루어지는 통신 시스템에 있어서,A communication system comprising a plurality of networks each having a plurality of edge routers, a plurality of hosts, a management server, and an intrusion detection system, each of which selectively connects with a plurality of partner networks. 내부 네트워크의 침입탐지 시스템이 공격자가 침입 호스트를 공격할 경우 공격자의 침입을 감지하는 제 1 단계;A first step of the intrusion detection system of the internal network detecting the attacker's intrusion when the attacker attacks the intrusion host; 상기 내부 네트워크의 침입탐지 시스템이 내부 네트워크의 관리서버에게 공격자의 침입 사실을 알리는 제 2 단계;A second step in which the intrusion detection system of the internal network notifies the management server of the internal network of the attacker's intrusion; 상기 내부 네트워크의 관리서버가 내부 네트워크의 모든 에지 라우터에게 상기 내부 네트워크의 침입탐지 시스템으로부터 전달받은 공격자 패킷의 흔적에 대응하는 침입탐지 로그분석을 질의하는 제 3 단계;A third step of the management server of the internal network querying all edge routers of the internal network an intrusion detection log analysis corresponding to a trace of an attacker packet received from the intrusion detection system of the internal network; 상기 내부 네트워크의 관리서버가 침입 흔적이 발견되었는지 여부를 상기 내부 네트워크의 에지 라우터를 통해 판단하는 제 4 단계;A fourth step of the management server of the internal network determining whether an intrusion trace has been found through an edge router of the internal network; 상기 내부 네트워크의 관리서버가 상기 제 4 단계의 판단 결과, 침입 흔적이 발견되면 외부 네트워크로부터의 침입으로 판단하여 침입 흔적에 대응하는 타 네트워크의 관리서버에게 자신의 관리 하에 있는 에지 라우터에게 로그분석을 요청해 줄 것을 의뢰하는 제 5 단계;If the management server of the internal network determines that an intrusion trace is found as a result of the fourth step, the management server determines that the intrusion is from an external network and performs log analysis on the edge router under its management to the management server of another network corresponding to the intrusion trace. A fifth step of requesting a request; 상기 타 네트워크의 관리서버가 자신의 관리 하에 있는 에지 라우터에게 로그분석을 요청하는 제 6 단계;A sixth step of requesting, by a management server of the other network, log analysis to an edge router under its management; 상기 타 네트워크의 관리 하의 에지 라우터가 침입 흔적을 발견했는지 여부를 판단하는 제 7 단계;A seventh step of determining whether an edge router under management of the other network has found an intrusion trace; 상기 타 네트워크 관리 하의 에지 라우터가 침입 흔적을 발견하는 경우 또 다른 외부 네트워크로부터의 침입이기 때문에, 상기 제 5 단계부터 상기 제 7 단계까지 수행하는 과정을 공격자 호스트를 찾을 때까지 되풀이하는 제 8 단계를 포함하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법.If the edge router under the control of the other network detects an intrusion trace, since the intrusion is from another external network, the eighth step of repeating the steps from the fifth step to the seventh step until the attacker host is found is performed. Attacker backtracking method using log information of edge router on the containing internet. 제 1 항에 있어서, 상기 내부 네트워크의 관리서버가 상기 제 4 단계의 판단 결과, 침입 흔적이 발견되지 않으면 내부 네트워크에서의 침입으로 판단하여 내부 네트워크에 해커가 존재하는 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법.The method of claim 1, further comprising: determining, by the management server of the internal network, that the intrusion is found in the internal network if no trace of intrusion is found as a result of the determination in the fourth step, and that the hacker is present in the internal network. Attacker backtracking method using the log information of the edge router in the Internet. 제 1 항에 있어서, 상기 타 네트워크 관리 하의 에지 라우터가 침입 흔적을 발견하지 못하는 경우 상기 타 네트워크에서의 침입으로 판단하여 상기 타 네트워크에 해커가 존재하는 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법.The method of claim 1, further comprising: determining that a hacker is present in the other network by determining that the intrusion in the other network is not found by the edge router under the management of the other network. Attacker traceback method using log information of edge router on internet. 제 1 항 내지 제 3 항 중 적어도 어느 한 항에 있어서, 상기 로그정보는 외부 네트워크로부터 내부 네트워크로 접근하는 패킷에 대한 정보인 것을 특징으로 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법.4. The method according to any one of claims 1 to 3, wherein the log information is information on a packet accessing an internal network from an external network. 제 1 항 내지 제 3 항 중 적어도 어느 한 항에 있어서, 상기 로그정보는 소스 IP 주소, 목적 IP 주소, 프로토콜, 서비스 타입, 패킷이 들어온 라우터의 입력 인터페이스 및 에지 라우터를 통과한 시간을 포함하는 것을 특징으로 하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법.4. The method of claim 1, wherein the log information includes a source IP address, a destination IP address, a protocol, a service type, an input interface of a router into which a packet comes in, and a time passing through an edge router. Attacker backtracking method using log information of edge router in internet.
KR10-2001-0070766A 2001-11-14 2001-11-14 Attacker traceback method by using edge router's log information in the internet KR100439170B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070766A KR100439170B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using edge router's log information in the internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070766A KR100439170B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using edge router's log information in the internet

Publications (2)

Publication Number Publication Date
KR20030039732A KR20030039732A (en) 2003-05-22
KR100439170B1 true KR100439170B1 (en) 2004-07-05

Family

ID=29569406

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0070766A KR100439170B1 (en) 2001-11-14 2001-11-14 Attacker traceback method by using edge router's log information in the internet

Country Status (1)

Country Link
KR (1) KR100439170B1 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100426317B1 (en) * 2002-09-06 2004-04-06 한국전자통신연구원 System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
KR100447677B1 (en) * 2002-11-01 2004-09-08 주식회사 케이티 Method of spoofing attack system detection through network packet monitoring
KR100450770B1 (en) * 2002-11-02 2004-10-01 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR100608210B1 (en) * 2004-02-25 2006-08-08 이형우 SVM Based Advanced Packet Marking Mechanism for Traceback AND Router
KR100614757B1 (en) * 2004-07-14 2006-08-21 엘지엔시스(주) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis
KR100706757B1 (en) * 2005-04-04 2007-04-13 이임영 A Method of Attacker trace techniques applying 2MAC authentication packet in Distribution Network
KR100770354B1 (en) * 2006-08-03 2007-10-26 경희대학교 산학협력단 Method for ip tracing-back of attacker in ipv6 network
KR100922582B1 (en) 2007-07-20 2009-10-21 한국전자통신연구원 Log-based traceback system and method by using the centroid decomposition technique
KR101889500B1 (en) 2014-03-07 2018-09-20 한국전자통신연구원 Method and System for Network Connection-Chain Traceback using Network Flow Data
CN104836815B (en) * 2015-06-01 2018-07-20 广东电网有限责任公司信息中心 A kind of security incident retrogressive method and system based on log analysis function

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000040269A (en) * 1998-12-17 2000-07-05 이계철 Method for realtime invasion detection using agent structure in realtime invasion detection system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
KR20010078887A (en) * 2001-05-09 2001-08-22 정지후 Cracker tracing and certification System Using for Web Agent and method thereof
KR20010088983A (en) * 2001-08-30 2001-09-29 허기행 The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000040269A (en) * 1998-12-17 2000-07-05 이계철 Method for realtime invasion detection using agent structure in realtime invasion detection system
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20010078887A (en) * 2001-05-09 2001-08-22 정지후 Cracker tracing and certification System Using for Web Agent and method thereof
KR20010088983A (en) * 2001-08-30 2001-09-29 허기행 The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress

Also Published As

Publication number Publication date
KR20030039732A (en) 2003-05-22

Similar Documents

Publication Publication Date Title
US11405359B2 (en) Network firewall for mitigating against persistent low volume attacks
US10740363B2 (en) Domain classification based on domain name system (DNS) traffic
US10587636B1 (en) System and method for bot detection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
JP4906504B2 (en) Intelligent integrated network security device
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
US8789171B2 (en) Mining user behavior data for IP address space intelligence
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
KR100422802B1 (en) Security System against intrusion among networks and the method
CN110362992B (en) Method and apparatus for blocking or detecting computer attacks in cloud-based environment
JP2010508598A (en) Method and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
Manna et al. Review of syn-flooding attack detection mechanism
KR100439170B1 (en) Attacker traceback method by using edge router&#39;s log information in the internet
US20230283631A1 (en) Detecting patterns in network traffic responses for mitigating ddos attacks
KR100770354B1 (en) Method for ip tracing-back of attacker in ipv6 network
Prieto et al. Botnet detection based on DNS records and active probing
KR102582837B1 (en) Pharming dns analysis method and computing device therefor
TW201947442A (en) Suspicious domain detecting method, gateway apparatus and non-transitory computer readable medium apparatus
Chen et al. Detecting hybrid botnets with web command and control servers or fast flux domain.
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior
Mohammed Network-Based Detection and Prevention System Against DNS-Based Attacks
Takemori et al. Host-based traceback; tracking bot and C&C server
CN114301689B (en) Campus network security protection method and device, computing equipment and storage medium
WO2009145379A1 (en) Access level network securing device and securing system thereof
JP3889701B2 (en) Packet path tracking system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130527

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 18