ETRI-Knowledge Sharing Plaform

ENGLISH

BROWSE

성과물

Home 성과물 기술이전
기술이전 검색
연도 ~ 이전수 키워드

상세정보

목록

사이버 표적공격 추적 기술

전수책임자
김익균
참여자
강구홍, 김영수, 김익균, 김정태, 김종현, 김현주, 문대성, 이종훈, 조현숙, 진승헌, 최양서, 한민호, 황승구
기술이전수
3
이전연도
2016
협약과제
13PS1100, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
14MS2300, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
15MS9700, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
본 이전 기술은 Netflow 정보를 기반으로 공격자가 경유지를 경유하여 피해지를 공격하는 Interactive Connection을 Timing based Approach로 추적하는 기술로 Netflow를 수집하는 Netflow Collector (NC) 와 수집된 Netflow 정보로부터 공격 Target Session에 대한 유사 Candidate Connection을 검색하기 위하여 FingerPrint 정보를 생성 및 비교 분석하는 Traceback Agent (TA) 및 분산된 TA들을 관리하기 위한 Central P2P Manager (CM)로 구성된다.
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 공격 (DDoS 및 DRDoS) 에 대한 탐지를 통하여 피해를 최소화 하기 위한 실시간 추적에 대한 대책이 필요함
- 실시간 공격 경유지 및 근원지 추적을 통해서 DoS 공격과 같은 공격 근원지를 차단함으로써 망내 트래픽의 및 네트워크 장비 안정성 확보와 피해 시스템의 비정상 적인 공격에 대한 빠른 차단을 위한 대응 기술이 필요함
- IP Spoofing을 통한 공격자의 근원지 회피 및 암호화 채널 사용 등을 통한 기존 공격 경유지 및 근원지 추적 기술의 한계 극복이 필요함
- 본 기술은 최근 막대한 피해를 유발시키는 사이버 공격의 증가로 인하여 ISP 오버헤드를 최소화하는 요구사항을 만족시켜 줄 수 있는 역추적 기술 이 필요하며, 현재/차세대 인터넷에서 실제 적용 가능한 역추적 기술의 제공이 가능함
본 기술은 기존의 IP Packet 기반의 역추적 기술의 한계점, 즉 네트워크 상의 라우터 구성 변경 및 Agent 설치의 문제점을 극복하고, 또한 TCP Connection 기반의 Flow간 Inter-arrival Delay를 활용한 역추적 기술의 한계 (IP Spoofing 및 암호화된 세션에 대한 지원 불가)를 해결함
본 기술은 Netflow 기반의 TCP Connection 정보들을 분석하여 관련 Connection에 대한 FingerPrint 정보를 생성하여 공격 경유지 및 근원지에 대한 실시간 추적 기능을 제공하는 기술로 Netflow를 수집하는 Netflow Collector (NC) 와 수집된 Netflow 정보로부터 공격 Target Session에 대한 유사 Candidate Connection을 검색하기 위하여 FingerPrint 정보를 생성 및 비교 분석하는 Traceback Agent (TA) 및 분산된 TA들을 관리하기 위한 Central P2P Manager (CM) 기술로 구성됨

A. 기술명 : Netflow 정보 수집 및 저장 기술 (Netflow Collector)
- 라우터로부터 Netflow v5 정보 1:1 Sampling 포함 실시간 수집 및 File 기반 저장
- 해당 Netflow 정보로부터 Active/In-Active Session 정보 추출 및 저장

B. 기술명 : Flow 기반 Connection 분석 기술 (Traceback Agent)
- Time Series Analysis 기반 Flow 에 대한 FingerPrint 생성
- FingerPrint 기반 Connection 분석 (Correlation Point Function) 기능
- Web UI 기반 Connection 검색 및 Traceback Result 결과 Display 기능

C. 기술명 : Netflow 정보 공유 기술 (Central P2P Manager)
- 분산된 Traceback Agent 들의 통신 관리
- 분산된 Traceback Agent 간의 Connection 정보 공유
A. 기술명 : Netflow 정보 수집 및 저장 기술
- 소스코드: 넷플로우 기반 역추적기용 수집 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131206KR/PR20131908KR/PR20141600KR/PR20140931KR/PR20141649KR/PR20131169KR

B. 기술명 : Flow 기반 Connection 분석 기술
- 소스코드: 넷플로우 기반 역추적기용 추적 에이전트 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131908KR/PR20141649KR

C. 기술명 : Netflow 정보 공유 기술
- 소스코드: 넷플로우 기반 역추적기용 분산 에이전트 관리 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131206KR/PR20131908KR/PR20141600KR/PR20140931KR/PR20141649KR/PR20131169KR
o 사이버 표적공격 (APT) 공격 및 근원지 역추적 대응 수단
. Flow 정보 기반 해킹 및 DDoS 공격 등에 대한 역추적 분석 및 추적 기술로 활용

o Netflow 기반 Finger Print 생성 알고리즘
. Time Series 분석 기반 Flow Connection 분석 및 추적 기능 활용
저작권정책

(34129) 대전광역시 유성구 가정로 218, ETRI 대표 문의처: TEL 1466-38(6자리) / KSP 오류, 불편접수: TEL 042-860-6981

2016 Electronics and Telecommunications Research Institute. All rights reserved.

본 홈페이지는 게시된 이메일 주소가 자동수집되는 것을 거부하며, 이를 위반시 정보통신망법에 의해 처벌됨을 유념하시기 바랍니다.

제1유형