[go: up one dir, main page]

KR100456635B1 - 분산 서비스 거부 공격 대응 시스템 및 방법 - Google Patents

분산 서비스 거부 공격 대응 시스템 및 방법 Download PDF

Info

Publication number
KR100456635B1
KR100456635B1 KR10-2002-0070686A KR20020070686A KR100456635B1 KR 100456635 B1 KR100456635 B1 KR 100456635B1 KR 20020070686 A KR20020070686 A KR 20020070686A KR 100456635 B1 KR100456635 B1 KR 100456635B1
Authority
KR
South Korea
Prior art keywords
sensor
host
address
distributed denial
service attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR10-2002-0070686A
Other languages
English (en)
Other versions
KR20040042397A (ko
Inventor
김현주
나중찬
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0070686A priority Critical patent/KR100456635B1/ko
Priority to US10/640,400 priority patent/US7200866B2/en
Publication of KR20040042397A publication Critical patent/KR20040042397A/ko
Application granted granted Critical
Publication of KR100456635B1 publication Critical patent/KR100456635B1/ko
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 분산 서비스 거부 공격 대응 시스템은 서비스 거부 공격의 탐지에 따라 경보 데이터를 추출하는 침입 탐지 시스템과, 도메인을 관리하며, 경보 데이터를 분석하여 서비스 거부 공격이 분산 서비스 거부 공격인 경우에 분산 서비스 거부 공격자를 역추적하기 위한 역추적 센서를 생성 및 파송한 후에 상기 역추적 센서에 의해서 역추적된 호스트에 이동형 센서를 파송하여 호스트 내의 마스터 또는 에이전트 프로그램을 제거하고, 제거된 프로그램에 패킷을 송신한 호스트 IP 주소를 이용하여 역추적 센서를 생성 및 파송하는 능동 보안 관리 시스템 및 도메인의 경계에 위치하여 파송된 역추적 센서를 실행하여 분산 서비스 거부 공격 호스트를 역추적하고, 공격자 역추적 과정에서의 역추적한 호스트가 실제 공격자로 판단되면, 실제 공격자로부터 생성되는 트래픽을 차단시키는 능동 보안 노드를 포함한다.
상기와 같은 능동 보안 관리 시스템은 제거된 마스터 프로그램에 접근한 패킷의 근원지 IP 주소를 실제 공격자로 판단하고 실제 공격자로부터 생성되는 트래픽을 차단시킴으로써, 에이전트 및 마스터 프로그램 제거뿐만 아니라 공격자를 네트워크 상에서 고립시켜 공격자의 제 2, 3의 공격 시도를 차단할 수 있다.

Description

분산 서비스 거부 공격 대응 시스템 및 방법{METHOD AND SYSTEM FOR DEFENSING DISTRIBUTED DENIAL OF SERVICE}
본 발명은 분산 서비스 거부 공격 대응에 관한 것으로, 특히 에이전트 및 마스터 프로그램 제거와 함께 실제 공격자를 네트워크 상에서 고립시켜 분산 서비스 거부 공격을 능동적으로 대처할 수 있는 분산 서비스 거부 공격 대응 시스템 및 방법에 관한 것이다.
종래의 네트워크 보안 시스템은 침입 징후를 탐지하여 외부 침입자로부터 오는 트래픽을 차단함으로써 자신의 도메인만을 보호한다. 그러나, 이러한 경우 침입자는 아무런 제약 없이 인터넷을 자유로이 이용할 수 있어 제 2, 3의 공격을 시도하게 된다.
또한, 이러한 네트워크 보안 시스템은 동일한 공격에 대해서 전체 네트워크의 다른 부분에서 인식하는 정보와 전체 네트워크 차원에서 해당 데이터를 상호 결합하는 기능이 부족하고, 침입자에 대한 대응에 있어서도 각 도메인간의 협력이 없는 상태이다.
따라서, 전체 네트워크를 구성하는 각 도메인간의 데이터 상호 결합과 협력을 통해 침입자의 실제 위치를 추적하여 침입 근원지로부터의 트래픽을 차단함과 아울러 침입자를 네트워크로부터 고립시키고자 하는 연구가 진행되고 있다.
이와 관련된 대표적인 연구는 DARPA(Defense Advanced Research Project Agency) 프로젝트로 기존의 네트워크 보안 기술의 한계와 DARPA의 SLSS(Survivability of Large Scale System) 프로그램의 하나로 연구된IDIP(Itrusion Detection Isolation Protocol)를 보완한 AN-IDR(Active Network-Intrusion Detection and Response)을 들 수 있다.
AN-IDR은 IDIP 구조를 그대로 적용하고 보안상 계층 구조의 관리 도메인을 가짐으로써 침입자에 대한 추적 및 대응을 용이하게 하고, TCP, UDP 등을 통한 공격을 탐지하고 각 라우터에서 모니터링된 정보를 토대로 액티브 패킷을 이용하여 역추적을 수행하여 침입자를 고립시키는 메커니즘을 제공한다.
그러나, 이러한 AN-IDR은 분산 서비스 거부 공격 대응 메커니즘을 공격 에이전트로 한정하고 있기 때문에 분산된 공격 에이전트로부터 발생하는 트래픽에 대해서는 일단 차단하고 숙주로서 사용되는 에이전트를 제거한 후 차단을 해제하는 방식으로 대응하고 있다. 다시 말해서 분산 서비스 거부 공격을 위해 이용되는 에이전트만을 제거하기 때문에 실제 침입자를 네트워크로부터 고립시킬 수 없어 실제 침입자의 제 2, 3 공격 시도를 차단시킬 수 없다.
본 발명의 목적은 이와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 호스트 내에 공격자가 설치한 에이전트 또는 마스터 프로그램을 제거한 후에 제거된 프로그램으로 수신되는 패킷을 모니터링하여 실제 공격자를 역추적하고, 역추적된 공격자를 네트워크 상에서 고립시켜 공격자의 제 2, 3의 공격 시도를 차단할 수 있는 분산 서비스 거부 공격 대응 시스템 및 방법을 제공하고자 한다.
상기와 같은 목적을 달성하기 위하여 본 발명은, 서비스 거부 공격의 탐지에 따라 경보 데이터를 추출하는 침입 탐지 시스템과, 도메인을 관리하며, 상기 경보데이터를 분석하여 상기 서비스 거부 공격이 분산 서비스 거부 공격인 경우에 상기 분산 서비스 거부 공격자를 역추적하기 위한 역추적 센서를 생성 및 파송한 후에 상기 역추적 센서에 의해서 역추적된 호스트에 이동형 센서를 파송하여 상기 호스트 내의 마스터 또는 에이전트 프로그램을 제거하고, 상기 제거된 프로그램에 패킷을 송신한 호스트 IP 주소를 이용하여 역추적 센서를 생성 및 파송하는 능동 보안 관리 시스템 및 상기 도메인의 경계에 위치하여 상기 파송된 역추적 센서를 실행하여 분산 서비스 거부 공격 호스트를 역추적하고, 상기 공격자 역추적 과정에서의 역추적한 호스트가 실제 공격자로 판단되면, 상기 실제 공격자로부터 생성되는 트래픽을 차단시키는 능동 보안 노드를 포함한다.
또한, 본 발명은 침입 탐지 시스템으로부터 수신한 경보 데이터를 토대로 분산 서비스 거부 공격의 공격자를 추적 및 차단하는 능동 보안 관리 시스템의 분산 서비스 거부 공격 대응 방법에 있어서, 상기 능동 보안 관리 시스템은 경보 데이터에서 호스트의 IP 주소 및 맥주소를 추출하는 단계와, 상기 호스트를 역추적하기 위한 역추적 센서를 생성하여 호스트의 IP 주소에 해당되는 능동 보안 노드로 파송하는 단계와, 상기 능동 보안 노드는 역추적 센서를 실행하여 호스트를 추적하는 단계와, 상기 역추적한 호스트에 설치된 에이전트 또는 마스터 프로그램을 삭제하는 단계와, 상기 삭제된 프로그램으로 송신되는 패킷을 검사하여 패킷을 송신한 호스트를 역추적하기 위한 역추적 센서를 생성하여 상기 능동 보안 노드에 파송하는 단계와, 상기 역추적 센서에 의해서 역추적된 호스트가 실제 공격자인지의 여부를 판단하는 단계와, 상기 판단 결과, 상기 역추적된 호스트가 실제 공격자인 경우에 상기 실제 공격자의 IP 주소로부터 생성되는 트래픽을 차단시키는 단계를 포함한다.
도 1은 본 발명에 따른 액티브 네트워크 상에서 분산 서비스 거부 공격에 대응하기 위한 네트워크 구성도이고,
도 2는 본 발명에 따른 능동 보안 관리 시스템의 구조를 나타내는 블록도이고,
도 3은 본 발명에 따른 능동 보안 관리 시스템의 분산 서비스 공격에 대응하는 과정을 도시한 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 능동 보안 관리 시스템 101 : 경보 데이터 수집기
102 : 경보 데이터 분석기 103 : 대응 엔진
104 : 이벤트 관리기 105 : 센서 생성기
106 : 센서 파송기 110 : 침입 탐지 시스템
120 : 능동 보안 노드 140 : 이동형 센서
141 : 역추적 센서 142 : 제거 센서
143 : 스캐닝 센서 144 : 모니터링 센서
이하, 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 액티브 네트워크 상에서 분산 서비스 거부 공격에 대응하기 위한 네트워크 구성도이고, 도 2는 본 발명에 따른 능동 보안 관리 시스템의 구조를 나타내는 블록도이다.
분산 서비스 거부 공격에 대응하기 위한 네트워크 구성은, 도 1에 도시된 바와 같이, 다수의 도메인 A, B, C, D와 통신망(150)을 포함하며, 각 도메인에는 능동 보안 관리 시스템(100), 네트워크 기반의 침입 탐지 시스템(110), 능동 보안 노드(120)를 포함한다.
능동 보안 관리 시스템(100)은 능동 보안 보드(120)를 비롯하여 자신의 도메인을 관리 통제하며, 네트워크 기반의 침입 탐지 시스템(110)으로부터 경보 데이터를 전송받고, 경보 데이터를 토대로 이동형 센서(140)를 생성 및 파송한다. 특히, 능동 보안 관리 시스템(100)은 경보 데이터의 분석 결과 서비스 거부 공격이 분산 서비스 거부 공격인 경우에 역추적 센서를 생성 및 파송하여 호스트를 역추적하며, 이동형 센서(140)로 역추적한 호스트에 설치된 에이전트 또는 마스터 프로그램을 제거한 후에 제거된 프로그램으로 수신되는 패킷을 모니터링하여 실제 공격자를 역추적한다.
또한, 능동 보안 관리 시스템(100)은 다른 도메인내의 능동 보안 관리 시스템과 협력 관계를 유지하며, 그 구성은, 도 2에 도시된 바와 같이, 경보 데이터 수집기(101), 경보 데이터 분석기(102), 대응 엔진(103), 이벤트 관리기(104), 센서 생성기(105) 및 센서 파송기(106)를 포함한다.
경보 데이터 수집기(101)는 네트워크 기반의 침입 탐지 시스템(110)으로부터 경보 데이터를 수집하여 경보 데이터 분석기(102)에 전달하며, 경보 데이터 분석기(102)는 수집된 경보 데이터를 판단하고 역추적에 필요한 데이터를 추출한다. 여기서 역추적에 필요한 데이터로는 공격용 패킷을 송신한 호스트의 IP 주소와 맥(MAC) 주소를 들 수 있다.
센서 생성기(105)는 추출된 정보를 기반으로 공격용 패킷을 송신한 호스트의 IP 주소와 맥 주소를 포함한 역추적 센서(141)를 생성하고, 생성된 센서는 센서 파송기(106)에 의해서 역추적 센서(141)에 포함된 IP 주소에 대응되는 능동 보안 노드(110)로 파송된다.
이때 센서 생성기(105)에서 생성되는 이동형 센서(140)는 능동 보안 관리 시스템(100)에서 생성되는 것으로 능동 보안 노드(100)에서 실행되는 이동 코드이며, 그 종류로는 역추적 센서(141)뿐만 아니라 분산 서비스 공격 에이전트와 마스터 프로그램을 검출해 내기 위해 해당 호스트에서 수행되는 스캐닝 센서(143), 제거 센서(142), 모니터링 센서(143), 도시 생략된 역추적 완료 센서가 있다. 역추적 센서(141)는 경보 데이터 또는 모니터링 센서(143)에서 추출된 IP 주소에 대응되는 호스트를 역추적하는 센서이며, 역추적 완료 센서는 역추적 센서(141)에 의해 추적된 호스트가 실제 공격자 호스트인 경우에 능동 보안 노드(120)에 의해서 생성되는센서로서 호스트 역추적 과정이 종료되었음을 능동 보안 관리 시스템(100)에 알려준다. 역추적 완료 센서를 수신한 능동 보안 관리 시스템(100)은 역추적에 참여한 타 도메인 내의 능동 보안 관리 시스템(100)에게도 알려준다.
능동 보안 노드(110)는 각 도메인의 경계에 위치하여 라우터로써 사용되며, 능동 보안 관리 시스템(100)으로부터 파송된 이동형 센서(140)들을 실행하여 분산 서비스 거부 공격에 따른 패킷을 역추적하여 에이전트 또는 마스터 프로그램이 설치된 호스트를 찾고, 역추적된 호스트의 IP 주소로부터 생성되는 트래픽을 차단 및 해제한다.
센서 파송기(106)에 의해서 파송된 이동형 센서(140)들은 각 도메인의 경계에 위치한 능동 보안 노드(120)에서 실행되는데, 능동 보안 노드(120)는 리포팅 기능을 이용하여 이동형 센서(140)들의 실행 결과에 따라 실행 결과 데이터를 능동 보안 관리 시스템(100)에 보고한다.
능동 보안 노드(130)는 자신의 도메인 내에 존재하는 IP 주소와 맥 주소를 매칭할 수 있는 매핑 테이블을 가지며, 이를 토대로 역추적시 위조된 IP를 검출해 내어 위조된 IP 공격에 대응한다.
상기와 같은 구성을 갖는 능동 보안 관리 시스템의 분산 서비스 공격에 대응하는 과정은 도 3을 참조하여 설명한다. 도 3은 본 발명에 따른 능동 보안 관리 시스템의 분산 서비스 공격에 대응하는 과정을 도시한 흐름도이다.
먼저, 능동 보안 관리 시스템(100)의 경보 데이터 수집기(101)는 네트워크 기반의 침입 탐지 시스템(110)으로부터 침입 경보 데이터를 수집하고, 경보 데이터분분석기(102)는 수집된 침입 경보 데이터를 분석하여 침입 유형이 분산 서비스 거부 공격인지를 판단한다(S200, S202).
단계 S202의 판단 결과, 분산 서비스 거부 공격이 아닌 경우에 능동 보안 관리 시스템(100)은 침입 유형에 따른 대응 시나리오를 가동시킨다(S204).
단계 S202의 판단 결과, 분산 서비스 거부 공격인 경우에 능동 보안 관리 시스템(100)은 분산 서비스 거부 공격의 패킷들을 검사하여 패킷을 송신한 호스트의 IP 주소와 맥 주소를 검출한 후에, 분산 서비스 거부 공격의 숙주로 이용되는 에이전트 또는 마스터 프로그램을 제거하기 위한 역추적 센서(141)를 생성하여 파송한다(S206, S208). 파송되는 역추적 센서(141)에는 호스트의 IP 주소와 맥 주소가 포함되어 있다.
역추적 센서(141)는 분산 서비스 거부 공격의 숙주로 이용되는 에이전트가 설치된 호스트가 있는 도메인의 경계에 위치한 능동 보안 노드(120)에 전송되어 실행된다(S210). 이때 역추적 센서(141)내에 포함된 근원지 IP 주소가 능동 보안 노드(120)내의 매핑 테이블에 기록된 맥 주소와 일치하는지의 여부를 판단한다(S212). 단계 S212의 판단 결과, 일치하지 않는 경우에 능동 보안 노드(120)는 분산 서비스 거부 공격이 위조된 IP 주소로 이루어진 것으로 판단하여 역추적 센서(141)내에 포함된 맥 주소를 바탕으로 실제 에이전트의 IP 주소를 검출한 후에, 검출된 IP 주소에 대응되는 호스트로부터 생성되는 트래픽을 차단한다(S214, S216).
단계 S212의 판단 결과, 역추적 센서(141)내에 포함된 근원지 IP 주소가 능동 보안 노드(130)내의 매핑 테이블에 기록된 맥 주소와 일치한 경우에 능동 보안 노드(130)는 단계 216으로 바로 진행하여 역추적 센서내에 포함된 IP 주소로부터 생성되는 트래픽을 차단한다.
이후, 능동 보안 노드(130)는 역추적 센서(141)를 실행한 후에 트래픽 차단이나 해제 등의 이벤트 데이터를 능동 보안 관리 시스템(100)의 이벤트 관리기(104)에 보고한다. 능동 보안 관리 시스템(100)은 이벤트 데이터를 토대로 역추적 대상이 공격자와 동일한지의 여부를 판단하며, 동일한 경우에 역추적 완료 센서를 생성하여 파송하고, 동일하지 않은 경우에 호스트 내의 에이전트 또는 마스터 프로그램을 삭제하기 위한 스캐닝 센서(143), 제거 센서(142), 모니터링 센서(144)를 생성하여 역추적된 호스트에 파송한다(S218, S220, S222, S224).
이후, 각 센서의 실행 단계로, 먼저 스캐닝 센서(143)는 역추적 대상 호스트에 설치된 에이전트 또는 마스터 프로그램을 찾아내기 위한 것으로 기존의 분산 서비스 거부 공격의 다양한 유형에 따라 스캐닝하여 찾아내고, 제거 센서(142)는 스캐닝 센서에 의해서 찾아낸 프로그램을 삭제한다. 능동 보안 관리 시스템(100)은 능동 보안 노드(130)에 의해서 IP가 차단된 호스트에 대한 IP 차단을 해제시키고, 모니터링 센서(144)는 다음 단계의 역추적 과정을 진행하기 위해 삭제된 프로그램으로 접근하는 패킷들을 감시하는 센서로서, 삭제된 에이전트나 마스터 프로그램이 사용하는 포트로 접근하는 패킷이 검출된 경우에 이를 능동 보안 관리 시스템(100)에 통보한다(S226, S228).
이후, 능동 보안 관리 시스템(100)은 모니터링 센서(144)로부터 통보 받은패킷의 IP 주소를 검출한 후에 다음 단계인 역추적 과정을 수행한다(S230).
능동 보안 관리 시스템(100)의 역추적 과정은 에이전트 또는 마스터 프로그램을 제거하기 위한 과정으로서, 검출된 IP 주소를 토대로 하여 단계 S208부터 다시 수행하는 것으로 마스터가 설치된 호스트로 역추적 센서를 생성하여 파송하고, 마스터 프로그램을 제거한 후 공격자의 IP 주소를 검출하기 위해 이에 접근하는 패킷을 모니터링하게 된다.
능동 보안 관리 시스템(100)은 상기와 같은 과정을 반복 수행하여 모니터링 센서(144)로부터 보고된 패킷의 근원지 IP 주소가 실제 공격자의 위치일 경우에 공격자 IP로부터 생성되는 트래픽을 차단함으로써, 공격자를 네트워크로부터 고립시킨다.
본 발명에 따른 능동 보안 관리 시스템이 이와 같은 과정을 통해 분산 서비스 거부 공격에 대응하는 예는 도 1을 참조하여 설명한다.
도 1에 도시된 바와 같이, 도메인 A에 포함된 임의의 공격자는 도메인 D에 존재하는 공격 대상 호스트(이후, 공격 대상 이라함)를 공격하기 위하여 도메인 A의 임의의 호스트에 분산 서비스 거부 공격을 위한 DDoS(Distributed Denial Of Service) 마스터 프로그램을 설치한 후에 DDoS 마스터 프로그램을 이용하여 도메인 B, C의 임의의 호스트에 분산 서비스 거부 공격을 위한 DDoS 에이전트들을 설치한다. 이후 공격자는 DDoS 마스터 및 DDoS 에이전트 프로그램을 이용하여 경로 2, 3을 통해 도메인 A에 있는 호스트를 공격한다.
공격이 이루어지면 능동 보안 관리 시스템(100)은 침입 탐지 시스템(110)에서 송출되는 경보 데이터를 수집 및 분석하고(4), 이러한 과정을 통해 공격 대상에게 공격용 패킷을 송신한 호스트를 역추적하기 위한 역추적 센서(141)를 생성한 후에 패킷을 송신한 도메인 B,C의 능동 보안 노드(120)에 파송한다(5).
능동 보안 노드(120)는 역추적 센서(141)내의 IP 주소와 매핑 테이블내의 맥 주소가 일치하지 않은 경우에 역추적 센서(141)내의 맥 주소에 대응되는 IP 주소를 검출한 후에 IP 주소에 대응되는 호스트에서 생성되는 트래픽을 차단하고, 이를 도메인 B,C 내의 능동 보안 관리 시스템(100)에 보고한다(6).
도메인 B,C의 능동 보안 관리 시스템(100)은 IP 주소에 대응되는 호스트내의 DDoS 에이전트 프로그램을 제거하기 위하여 스캐닝 센서(143), 제거 센서(142) 및 모니터링 센서(144)를 생성하여 DDoS 에이전트 프로그램이 설치된 호스트에 파송한다(7).
능동 보안 관리 시스템(100)은 호스트 내에서 스캐닝 센서(143)와 제거 센서(142)를 실행하여 호스트내에 설치된 DDoS 에이전트 프로그램을 제거한 후에 모니터링 센서(144)를 실행하여 DDoS 에이전트 프로그램에 접근하는 패킷들을 모니터링한다. 이후 모니터링 센서(114)는 DDoS 에이전트 프로그램에 접근하는 패킷들에 대한 모니터링 정보를 능동 보안 관리 시스템(100)에 보고한다.
이때, 능동 보안 관리 시스템(100)은 DDoS 에이전트 프로그램이 제거된 후에 IP 차단을 해제하기 위하여 능동 보안 노드(120)에게 IP 차단 해제 명령을 내린다(8).
능동 보안 관리 시스템(100)은 모니터링 정보에서 제거된 DDoS 에이전트 프로그램에 접근하는 패킷의 IP 주소와 맥 주소를 인출하고, 이를 이용하여 다시 역추적 센서(141)를 생성하여 IP 주소에 대응되는 도메인 A의 능동 보안 노드(120)에 파송한다(9).
도메인 A의 능동 보안 노드(120)는 역추적 센서(141)내의 IP 주소에 대응되는 호스트를 추적한 후에 호스트에서 생성되는 트래픽을 차단하며, 이를 도메인 A의 능동 보안 관리 시스템(100)에 보고한다(10).
능동 보안 관리 시스템(100)은 호스트에 설치된 DDoS 마스터 프로그램을 제거하기 위하여 스캐닝 센서(143), 제거 센서(142) 및 모니터링 센서(144)를 생성하여 호스트 파송하고, 이러한 센서들을 실행하여 역추적된 호스트에 설치된 DDoS 마스터 프로그램을 제거한 후에 DDoS 마스터 프로그램에 접근하는 패킷을 모니터링하며, 이러한 모니터링 결과 데이터를 수신한다(11).
이때, 능동 보안 관리 시스템(100)은 DDoS 마스터 프로그램이 제거된 후에 IP 차단을 해제하기 위하여 능동 보안 노드(120)에게 IP 차단 해제 명령을 내린다(12).
능동 보안 관리 시스템(100)은 모니터링 결과 데이터로부터 실제 공격자의 IP 주소를 검출하여 이를 토대로 역추적 센서를 생성하여 IP 주소에 대응되는 도메인의 능동 보안 노드(120)에 파송한다(13). 도 1의 예에서는 실제 공격자의 IP 주소가 동일한 도메인 A에 존재하기 때문에 도메인 A의 능동 보안 노드(120)가 역추적 센서를 실행하여 실제 공격자에서 생성되는 트래픽을 차단하며, 이를 통해 공격자를 네트워크로부터 고립시킨다.
이후, 능동 보안 노드(120)는 역추적 완료를 알리는 역추적 완료 센서를 생성하여 능동 보안 관리 시스템(100)에 파송하고 이를 수신한 능동 보안 관리 시스템(100)은 역추적에 참여한 타 도메인의 능동 보안 관리 시스템(100)에게 이를 전달한다.
이상 설명한 바와 같이, 본 발명은 호스트 내에 공격자가 설치한 에이전트 또는 마스터 프로그램을 제거한 후에 제거된 프로그램으로 수신되는 패킷을 모니터링하여 실제 공격자를 역추적하고, 역추적된 공격자를 네트워크 상에서 고립시켜 공격자의 제 2, 3의 공격 시도를 차단할 수 있다.

Claims (16)

  1. 서비스 거부 공격의 탐지에 따라 경보 데이터를 추출하는 침입 탐지 시스템과,
    도메인을 관리하며, 상기 경보 데이터를 분석하여 상기 서비스 거부 공격이 분산 서비스 거부 공격인 경우에 상기 분산 서비스 거부 공격자를 역추적하기 위한 역추적 센서를 생성 및 파송한 후에 상기 역추적 센서에 의해서 역추적된 호스트에 이동형 센서를 파송하여 상기 호스트 내의 마스터 또는 에이전트 프로그램을 제거하고, 상기 제거된 프로그램에 패킷을 송신한 호스트 IP 주소를 이용하여 역추적 센서를 생성 및 파송하는 능동 보안 관리 시스템 및
    상기 도메인의 경계에 위치하여 상기 파송된 역추적 센서를 실행하여 분산 서비스 거부 공격 호스트를 역추적하고, 상기 공격자 역추적 과정에서의 역추적한 호스트가 실제 공격자로 판단되면, 상기 실제 공격자로부터 생성되는 트래픽을 차단시키는 능동 보안 노드를 포함하는 분산 서비스 거부 공격 대응 시스템 .
  2. 제 1 항에 있어서,
    상기 능동 보안 관리 시스템은,
    상기 침입 탐지 시스템으로부터 수신되는 경보 데이터를 수집하는 경보 데이터 수집기와,
    상기 수집된 경보 데이터에서 상기 분산 서비스 거부 공격자의 IP 주소와 맥주소를 추출하는 경보 데이터 분석기와,
    상기 추출된 IP 주소와 맥 주소를 포함하는 역추적 센서를 생성하는 센서 생성기와,
    상기 추출된 분산 서비스 거부 공격자의 IP 주소로 상기 역추적 센서를 파송하는 센서 파송기를 포함하는 분산 서비스 거부 공격 대응 시스템 .
  3. 제 1 항 및 제 2 항에 있어서,
    상기 능동 보안 노드는,
    맥주소가 기록된 매핑 테이블을 가지며, 수신한 상기 역추적 센서에 포함된 IP 주소가 상기 매핑 테이블에 기록된 맥주소와 일치하지 않은 경우에 상기 역추적 센서에 포함된 맥주소에 대응되는 IP 주소를 검출한 후에 상기 검출된 IP 주소로부터 생성되는 트래픽을 차단시키는 분산 서비스 거부 공격 대응 시스템.
  4. 제 1 항에 있어서,
    상기 능동 보안 관리 시스템은,
    상기 마스터 또는 호스트 프로그램을 삭제한 후에 상기 능동 보안 노드로 IP 차단 해제 명령을 송신하는 분산 서비스 거부 공격 대응 시스템.
  5. 제 4 항에 있어서,
    상기 능동 보안 노드는,
    상기 IP 차단 해제 명령에 따라 상기 호스트에서 발생되는 트래픽 차단을 해제한 후에 역추적 완료 센서를 생성하여 상기 능동 보안 관리 시스템에 파송하는 분산 서비스 거부 공격 대응 시스템 .
  6. 제 1 항에 있어서,
    상기 이동형 센서들은,
    상기 호스트에 설치되어 상기 분산 서비스 거부 공격에 사용되는 에이전트 또는 마스터 프로그램을 추출하기 위한 스캐닝 센서, 모니터링 센서, 제거 센서를 포함하는 분산 서비스 거부 공격 대응 시스템 .
  7. 제 6 항에 있어서,
    상기 스캐닝 센서는,
    분산 서비스 거부 공격의 다양한 유형에 따라 스캐닝하여 역추적 호스트에 설치된 분산 서비스 거부 공격 에이전트 또는 마스터 프로그램을 검색하는 분산 서비스 거부 공격 대응 시스템 .
  8. 제 6 및 7 항에 있어서,
    상기 제거 센서는,
    상기 스캐닝 센서에서 검색된 분산 서비스 거부 공격 에이전트 또는 마스터 프로그램을 삭제하는 분산 서비스 거부 공격 대응 시스템 .
  9. 제 6 항에 있어서,
    상기 모니터링 센서는,
    상기 삭제된 에이전트 또는 마스터 프로그램에 접근하는 패킷들을 감시하는 분산 서비스 거부 공격 대응 시스템 .
  10. 제 1 항에 있어서,
    상기 능동 보안 노드는,
    상기 역추적 센서에 의해서 추적된 호스트에 대한 실행 결과 데이터를 보고하는 리포팅 기능을 포함하는 분산 서비스 거부 공격 대응 시스템 .
  11. 침입 탐지 시스템으로부터 수신한 경보 데이터를 토대로 분산 서비스 거부 공격의 공격자를 추적 및 차단하는 능동 보안 관리 시스템의 분산 서비스 거부 공격 대응 방법에 있어서,
    상기 능동 보안 관리 시스템은 경보 데이터에서 호스트의 IP 주소 및 맥주소를 추출하는 단계와,
    상기 호스트를 역추적하기 위한 역추적 센서를 생성하여 호스트의 IP 주소에 해당되는 능동 보안 노드로 파송하는 단계와,
    상기 능동 보안 노드는 역추적 센서를 실행하여 호스트를 추적하는 단계와,
    상기 역추적한 호스트에 설치된 에이전트 또는 마스터 프로그램을 삭제하는단계와,
    상기 삭제된 프로그램으로 송신되는 패킷을 검사하여 패킷을 송신한 호스트를 역추적하기 위한 역추적 센서를 생성하여 상기 능동 보안 노드에 파송하는 단계와,
    상기 역추적 센서에 의해서 역추적된 호스트가 실제 공격자인지의 여부를 판단하는 단계와,
    상기 판단 결과, 상기 역추적된 호스트가 실제 공격자인 경우에 상기 실제 공격자의 IP 주소로부터 생성되는 트래픽을 차단시키는 단계를 포함하는 분산 서비스 거부 공격 대응 방법.
  12. 제 11 항에 있어서,
    상기 호스트를 추적하는 단계는,
    상기 호스트의 IP 주소와 상기 능동 보안 노드의 매핑 테이블 내의 맥 주소와 일치하는지의 여부를 판단하는 단계와,
    상기 판단 결과, 상기 맥 주소와 IP 주소가 일치한 경우에, 상기 IP 주소로부터 생성되는 트래픽을 차단 또는 해제한 후에 결과 데이터를 상기 능동 보안 관리 시스템에 송신하는 단계를 포함하는 분산 서비스 거부 공격 대응 방법.
  13. 제 12 항에 있어서,
    상기 맥 주소와 IP 주소가 일치하지 않은 경우에,
    상기 능동 보안 노드는 역추적 센서내에 포함된 맥 주소를 토대로 호스트의 실제 IP 주소를 검출하고, 상기 검출된 IP 주소로부터 생성되는 트래픽 차단 또는 해제하는 분산 서비스 거부 공격 대응 방법.
  14. 제 11 항에 있어서,
    상기 역추적된 호스트가 실제 공격자인 경우에, 상기 능동 보안 노드는 역추적 완료 센서를 생성하여 상기 능동 보안 시스템으로 파송하는 분산 서비스 거부 공격 대응 방법.
  15. 제 11 항에 있어서,
    상기 역추적된 호스트가 실제 공격자가 아닌 경우에, 상기 능동 보안 관리 시스템은 에이전트 또는 마스터 프로그램을 삭제하기 위해 역추적된 호스트에 이동형 센서들을 파송하는 단계와,
    상기 센서들의 실행을 통해 에이전트 또는 마스터 프로그램을 삭제한 후에 상기 삭제된 프로그램으로 접근하는 패킷의 근원지 IP 주소를 추출하는 단계와,
    상기 근원지 IP 주소를 토대로 역추적 센서를 생성하고, 상기 역추적 센서를 근원지 IP 주소에 대응되는 능동 보안 노드로 송출하여 분산 서비스 거부 공격 호스트를 역추적하는 단계를 포함하는 분산 서비스 거부 공격 대응 방법.
  16. 제 15 항에 있어서,
    상기 센서들은,
    상기 호스트에 설치되어 상기 분산 서비스 거부 공격에 사용되는 에이전트 또는 마스터 프로그램을 추출 및 제거하기 위한 스캐닝 센서 및 제거 센서와, 상기 제거된 프로그램에 접근하는 패킷을 모니터링하기 위한 모니터링 센서인 분산 서비스 거부 공격 대응 방법.
KR10-2002-0070686A 2002-11-14 2002-11-14 분산 서비스 거부 공격 대응 시스템 및 방법 Expired - Fee Related KR100456635B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2002-0070686A KR100456635B1 (ko) 2002-11-14 2002-11-14 분산 서비스 거부 공격 대응 시스템 및 방법
US10/640,400 US7200866B2 (en) 2002-11-14 2003-08-14 System and method for defending against distributed denial-of-service attack on active network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0070686A KR100456635B1 (ko) 2002-11-14 2002-11-14 분산 서비스 거부 공격 대응 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20040042397A KR20040042397A (ko) 2004-05-20
KR100456635B1 true KR100456635B1 (ko) 2004-11-10

Family

ID=32291729

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0070686A Expired - Fee Related KR100456635B1 (ko) 2002-11-14 2002-11-14 분산 서비스 거부 공격 대응 시스템 및 방법

Country Status (2)

Country Link
US (1) US7200866B2 (ko)
KR (1) KR100456635B1 (ko)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE483310T1 (de) * 2002-03-29 2010-10-15 Cisco Tech Inc Verfahren und system zur verringerung der falschalarmrate von netzwerk- eindringdetektionssystemen
US20030196123A1 (en) * 2002-03-29 2003-10-16 Rowland Craig H. Method and system for analyzing and addressing alarms from network intrusion detection systems
US7885190B1 (en) 2003-05-12 2011-02-08 Sourcefire, Inc. Systems and methods for determining characteristics of a network based on flow analysis
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US7805762B2 (en) * 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
US7539681B2 (en) * 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
CN100344090C (zh) * 2004-08-08 2007-10-17 华为技术有限公司 第三代移动通信网络中实现安全管理的系统及方法
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
EP1817888B1 (en) * 2004-11-29 2018-03-07 Telecom Italia S.p.A. Method and system for managing denial of service situations
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US8161555B2 (en) * 2005-06-28 2012-04-17 At&T Intellectual Property Ii, L.P. Progressive wiretap
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
TWI309956B (en) 2005-10-14 2009-05-11 Hon Hai Prec Ind Co Ltd Mobile station and method for detecting attack on power save mode thereof
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US8763103B2 (en) 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8144698B2 (en) * 2006-06-09 2012-03-27 Ericsson Ab Scalable data forwarding techniques in a switched network
KR101256671B1 (ko) * 2006-06-16 2013-04-19 주식회사 케이티 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그기록매체
US7948988B2 (en) * 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US7701945B2 (en) * 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
KR100818302B1 (ko) * 2006-09-29 2008-04-01 한국전자통신연구원 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치
CA2672908A1 (en) * 2006-10-06 2008-04-17 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
US8331904B2 (en) * 2006-10-20 2012-12-11 Nokia Corporation Apparatus and a security node for use in determining security attacks
US8484733B2 (en) * 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US8959647B2 (en) * 2007-02-27 2015-02-17 Microsoft Corporation Runtime security and exception handler protection
US8069352B2 (en) * 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
EP2061202A1 (en) * 2007-11-16 2009-05-20 British Telecmmunications public limited campany Identifying abnormal network traffic
EP2130350B1 (en) * 2007-03-28 2018-04-11 British Telecommunications public limited company Identifying abnormal network traffic
US8295188B2 (en) * 2007-03-30 2012-10-23 Extreme Networks, Inc. VoIP security
US8127353B2 (en) * 2007-04-30 2012-02-28 Sourcefire, Inc. Real-time user awareness for a computer network
US9009828B1 (en) * 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
KR20100078081A (ko) * 2008-12-30 2010-07-08 (주) 세인트 시큐리티 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
EP2559217B1 (en) 2010-04-16 2019-08-14 Cisco Technology, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
RU2014112261A (ru) 2011-09-15 2015-10-20 Зе Трастис Оф Коламбия Юниверсити Ин Зе Сити Оф Нью-Йорк Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования
US8949459B1 (en) 2011-10-06 2015-02-03 Amazon Technologies, Inc. Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9633201B1 (en) * 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
US8925084B2 (en) * 2012-10-26 2014-12-30 Cisco Technology, Inc. Denial-of-service attack protection
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
GB2508166B (en) * 2012-11-21 2018-06-06 Traffic Observation Via Man Limited Intrusion prevention and detection in a wireless network
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
KR20170096780A (ko) * 2016-02-17 2017-08-25 한국전자통신연구원 침해사고 정보 연동 시스템 및 방법
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data
JP6932779B2 (ja) 2016-11-23 2021-09-08 Line株式会社 検知結果が有効であるかないかを検証する方法およびシステム
US11991186B2 (en) 2018-05-22 2024-05-21 Nokia Technologies Oy Attack source tracing in SFC overlay network
CN110535707A (zh) * 2019-09-02 2019-12-03 北京云端智度科技有限公司 一种基于主动网络技术的混合网络监控系统
US11258580B2 (en) 2019-10-04 2022-02-22 Red Hat, Inc. Instantaneous key invalidation in response to a detected eavesdropper
US11423141B2 (en) 2020-02-10 2022-08-23 Red Hat, Inc. Intruder detection using quantum key distribution
US20230300157A1 (en) * 2022-03-17 2023-09-21 Nagravision Sarl Method and system for monitoring network activity
CN115811428B (zh) * 2022-11-28 2024-08-16 济南大学 一种抵御DDoS攻击的防御方法、系统、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040035305A (ko) * 2002-10-21 2004-04-29 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040039552A (ko) * 2002-11-02 2004-05-12 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
CA2327847C (en) * 2000-12-07 2010-02-23 Phasys Limited System for transmitting and verifying alarm signals
KR100422802B1 (ko) 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR20040035305A (ko) * 2002-10-21 2004-04-29 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040039552A (ko) * 2002-11-02 2004-05-12 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
액티브 네트워크 기반 네트워크 보안 기술동향. 이수형 외2. (본문(p1,2,3,12,13) 참조) *
정책기반 네트워크보안 프레임워크에서의 네트워크 침입자 역 추적 메커니즘. (본문 참조) *

Also Published As

Publication number Publication date
KR20040042397A (ko) 2004-05-20
US7200866B2 (en) 2007-04-03
US20040098618A1 (en) 2004-05-20

Similar Documents

Publication Publication Date Title
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
Bai et al. Intrusion detection systems: technology and development
KR100426317B1 (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100922582B1 (ko) 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
Jou et al. Architecture design of a scalable intrusion detection system for the emerging network infrastructure
CN107070929A (zh) 一种工控网络蜜罐系统
US8161554B2 (en) System and method for detection and mitigation of network worms
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
Dongxia et al. An intrusion detection system based on honeypot technology
CN118337540A (zh) 一种基于物联网的网络入侵攻击识别系统及方法
CN113783886A (zh) 一种基于情报和数据的电网智慧运维方法及其系统
CN113783880A (zh) 网络安全检测系统及其网络安全检测方法
Sekar et al. Toward a framework for internet forensic analysis
CN107040552A (zh) 网络攻击路径预测方法
CN115987531A (zh) 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
Vokorokos et al. Network security on the intrusion detection system level
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
CN106878338B (zh) 远动设备网关防火墙一体机系统
Asaka et al. Local attack detection and intrusion route tracing

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R14-asn-PN2301

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

FPAY Annual fee payment

Payment date: 20121030

Year of fee payment: 9

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R14-asn-PN2301

FPAY Annual fee payment

Payment date: 20131025

Year of fee payment: 10

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 10

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20141102

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20141102

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000