ETRI-Knowledge Sharing Plaform

KOREAN

BROWSE

Titles

Home Titles Technology Transfer
기술이전 검색
Year ~ Transaction Count Keyword

Detail

List

Cyber Targeted Attack Traceback Technology

Manager
Kim Ik Kyun
Participants
강구홍, Kim Youngsoo, Kim Ik Kyun, Jung Tae Kim, Kim Jonghyun, Kim Hyun Joo, Moon Dae Sung, Jong-Hoon Lee, Cho Hyun Sook, Jin Seung Hun, Choi Yangseo, Han Min-Ho, Hwang Seung Ku
Transaction Count
3
Year
2016
Project Code
15MS9700, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
14MS2300, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
13PS1100, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
본 이전 기술은 Netflow 정보를 기반으로 공격자가 경유지를 경유하여 피해지를 공격하는 Interactive Connection을 Timing based Approach로 추적하는 기술로 Netflow를 수집하는 Netflow Collector (NC) 와 수집된 Netflow 정보로부터 공격 Target Session에 대한 유사 Candidate Connection을 검색하기 위하여 FingerPrint 정보를 생성 및 비교 분석하는 Traceback Agent (TA) 및 분산된 TA들을 관리하기 위한 Central P2P Manager (CM)로 구성된다.
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 공격 (DDoS 및 DRDoS) 에 대한 탐지를 통하여 피해를 최소화 하기 위한 실시간 추적에 대한 대책이 필요함
- 실시간 공격 경유지 및 근원지 추적을 통해서 DoS 공격과 같은 공격 근원지를 차단함으로써 망내 트래픽의 및 네트워크 장비 안정성 확보와 피해 시스템의 비정상 적인 공격에 대한 빠른 차단을 위한 대응 기술이 필요함
- IP Spoofing을 통한 공격자의 근원지 회피 및 암호화 채널 사용 등을 통한 기존 공격 경유지 및 근원지 추적 기술의 한계 극복이 필요함
- 본 기술은 최근 막대한 피해를 유발시키는 사이버 공격의 증가로 인하여 ISP 오버헤드를 최소화하는 요구사항을 만족시켜 줄 수 있는 역추적 기술 이 필요하며, 현재/차세대 인터넷에서 실제 적용 가능한 역추적 기술의 제공이 가능함
본 기술은 기존의 IP Packet 기반의 역추적 기술의 한계점, 즉 네트워크 상의 라우터 구성 변경 및 Agent 설치의 문제점을 극복하고, 또한 TCP Connection 기반의 Flow간 Inter-arrival Delay를 활용한 역추적 기술의 한계 (IP Spoofing 및 암호화된 세션에 대한 지원 불가)를 해결함
본 기술은 Netflow 기반의 TCP Connection 정보들을 분석하여 관련 Connection에 대한 FingerPrint 정보를 생성하여 공격 경유지 및 근원지에 대한 실시간 추적 기능을 제공하는 기술로 Netflow를 수집하는 Netflow Collector (NC) 와 수집된 Netflow 정보로부터 공격 Target Session에 대한 유사 Candidate Connection을 검색하기 위하여 FingerPrint 정보를 생성 및 비교 분석하는 Traceback Agent (TA) 및 분산된 TA들을 관리하기 위한 Central P2P Manager (CM) 기술로 구성됨

A. 기술명 : Netflow 정보 수집 및 저장 기술 (Netflow Collector)
- 라우터로부터 Netflow v5 정보 1:1 Sampling 포함 실시간 수집 및 File 기반 저장
- 해당 Netflow 정보로부터 Active/In-Active Session 정보 추출 및 저장

B. 기술명 : Flow 기반 Connection 분석 기술 (Traceback Agent)
- Time Series Analysis 기반 Flow 에 대한 FingerPrint 생성
- FingerPrint 기반 Connection 분석 (Correlation Point Function) 기능
- Web UI 기반 Connection 검색 및 Traceback Result 결과 Display 기능

C. 기술명 : Netflow 정보 공유 기술 (Central P2P Manager)
- 분산된 Traceback Agent 들의 통신 관리
- 분산된 Traceback Agent 간의 Connection 정보 공유
A. 기술명 : Netflow 정보 수집 및 저장 기술
- 소스코드: 넷플로우 기반 역추적기용 수집 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131206KR/PR20131908KR/PR20141600KR/PR20140931KR/PR20141649KR/PR20131169KR

B. 기술명 : Flow 기반 Connection 분석 기술
- 소스코드: 넷플로우 기반 역추적기용 추적 에이전트 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131908KR/PR20141649KR

C. 기술명 : Netflow 정보 공유 기술
- 소스코드: 넷플로우 기반 역추적기용 분산 에이전트 관리 프로그램
- 문서: 역추적 시스템 요구사항정의서/상위구조설계서/상세 설계서
- 특허: PR20131206KR/PR20131908KR/PR20141600KR/PR20140931KR/PR20141649KR/PR20131169KR
o 사이버 표적공격 (APT) 공격 및 근원지 역추적 대응 수단
. Flow 정보 기반 해킹 및 DDoS 공격 등에 대한 역추적 분석 및 추적 기술로 활용

o Netflow 기반 Finger Print 생성 알고리즘
. Time Series 분석 기반 Flow Connection 분석 및 추적 기능 활용
Copyright Policy Privacy Policy

218 Gajeong-ro, Yuseong-gu, Daejeon, 34129, KOREA, Contact: sh.kim@etri.re.kr

2016 Electronics and Telecommunications Research Institute. All rights reserved.

Please refrain from automatic collection of e-mail addresses posted on this homepage.

제1유형