• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.4
• /
• pp.3-11
• /
• 2003

It is very important to detect and remove original sources of various attacks through networks. One of the effective method to detect the sources is traceback systems. In this paper, we design and implement an agent-based traceback system that does not require the reaction of routers and administrators and does not need numerous log data. In the design, we introduce a traceback server and traceback agents in each network Using sniffing and spoofing, the server transmits a packet with a specific message. The agents detect the packet and provide the information for the server to trace back the original source.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.654-662
• /
• 2002

As the Internet technology becomes a major information infrastructure, an emerging problem is the tremendous increase of malicious computer intrusions. The present Intrusion Detection System (IDS) serves a useful purpose for detecting such intrusions, but the current situation requires more active response mechanism other than simple detection. This paper describes a multi-agent based tracing system against the intruders when the system is attacked. The focus of the study lies on the secure communication mechanism for the agent message communication. We have extended parameters on the KQML protocol, and apt)lied the public key encryption approach, The limitation might be the requirements of two-way authentication for every communication through the broker agent. This model ma)r not improve the efficiency, but it provides a concrete secure communication. Also this is one important factor to protect the agent and the tracing server during the tracing process.

• Proceedings of the Korean Information Science Society Conference
• /
• 2000.10c
• /
• pp.352-354
• /
• 2000

인터넷에서 해커 등 침입자를 추적하기 위한 방안들이 연구되고 있으나 아직 실용적인 연구성과가 거의 드문 실정이다. 지금까지는 침해사고대응팀(CERT)간의 협력과 상호 정보교류를 통한 대응체계를 통하여 이루어지고 있으나 실제 역추적으로서는 효과적인 방법이 아니며, 에이전트를 이용한 분석방법(AIAA)와 같은 경우도 에이전트의 수동적인 이동이 전제되어야 하는 것이다. 최근 해킹공격에 대한 적극적인 대응 방안으로 역공격 등의 적극적인 방법들이 고려되고 자신의 시스템에 대한 보호방법의 하나로서 받아들여지고 있는 경향이 있으므로 이러한 역공격 방법을 추적시스템에 접목하여 개량된 AIAA 모델로서 침입자 역추적방법을 설계하고 구현하였다. 여기에는 침입자 역공격 모듈과 침입자 미행모듈, AIAA 파견모듈등을 구현하여 자동적인 침입자 추적을 실현하였다.

• Journal of Industrial Technology
• /
• v.22 no.B
• /
• pp.147-153
• /
• 2002

It is very important to detect and remove original sources of DOS (Denial of Service) attacks or connection oriented/connectionless attacks. In this paper, we implement a traceback system that does not require the reaction of routers and administrators and does not need log data. We bring in a traceback server and traceback agents in each network and use sniffing and spoofing schemes. Finally, the traceback server detects attacking hosts using information transmitted from traceback agents.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.1133-1136
• /
• 2007

방화벽(Firewall), 침입탐지시스템(IDS) 등과 같은 기존의 이러한 수동적인 보안 시스템은 최근 능동적인 시스템으로 발전되고 있다. 이에 본 논문에서는 IP 역추적 기술을 이용한 능동적 보안 시스템을 제안한다. IP 역추적을 위해 ICMP 형태의 역추적 메시지를 구현하고 지역 네트워크에 배치되는 에이전트와 관리 네트워크에 배치되는 서버 프레임워크를 설계하고, 이러한 능동형 보안 시스템을 기반으로 네트워크 기반의 침입자를 추적하고 고립화하기 위한 보안 메커니즘을 구현한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.39-42
• /
• 2001

인터넷 기술자 시장의 급성장으로 인터넷통신은 우리 생활속에 크게 자리잡고 있다. 그런 만큼 인터넷으로부터 얻는 정보는 가히 무시할 수 없을 정도이다. 이런 환경에서 최근 웹사이트의 정상적인 서비스를 방해하는 DDoS 공격은 공격방법과 은닉기법이 날로 첨단화·다양화되고 있어, 이에 대한 탐지와 근원지 추적이 어려운 상태이다. 따라서 본 논문에서는 DDoS 공격의 중간 계층인 핸들러와 에이전트를 추적하기 위해, 핸들러·에이전트간의 통신 취약점을 이용, 이를 탐지하고 역추적할 수 있는 시스템을 제안하고자 한다.

• Journal of the Korea Computer Industry Society
• /
• v.10 no.1
• /
• pp.13-20
• /
• 2009

The rapid growth of the Internet has caused the hacking and virus. There are several vulnerabilities in current firewall and Intrusion Detection Systems of the Network Computing resources. Automatic real time station chase techniques can track the internet invader and reduce the probability of hacking Due to the recent trends the station chase technique has become inevitable. In this paper, we design and implement Active Security system using ICMP Traceback message. In this design no need to modify the router structure and we can deploy this technique in larger network. Our Implementation shows that ICMP Traceback system is safe to deploy and protect data in Internet from hackers and others.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• v.9 no.2
• /
• pp.823-827
• /
• 2005

최근의 정보보호 환경에서는 자신의 관리 도메인 내로 침입하게 되는 공격을 어떻게 잘 탐지 할 것인가와 탐지된 공격을 어떻게 효율적으로 차단하여 자신의 도메인을 잘 보호할 것인가에 초점이 맞추어 있다. 따라서 탐지된 침입의 공격자에 대한 대응도 자신의 도메인 경계에서 해당 트래픽을 차단하는 수동적인 방법 이외에는 별다른 방법이 없는 상태이고, 이 경우 자신의 도메인에서 파악한 침입자 정보를 바탕으로 자신의 도메인 입구에서만 해당 트래픽을 차단함으로써 침입자는 자유로이 인터넷을 이용할 수 있을 뿐만 아니라 다른 공격 기술이나 공격 루트를 이용한 제2, 제3의 공격이 이루어 질수 있다. 반면 인터넷을 이용한 경제 활동 및 그 액수가 점차 증가함에 따라 사이버 공격으로 입게 되는 피해는 점차 기업의 생존을 위협하는 수준에 도달하고 있다. 따라서 해킹에 능동적으로 대응할 수 있는 기술이 요구된다고 할 수 있으며, 능동적인 해킹 방어를 위한 가장 기본적인 기술로 해커의 실제 위치를 추적하는 역추적 기술을 활용할 수 있어야 한다. 그러나 현재까지 제안된 역추적 기술들은 인터넷이 보유한 다양성을 극복하지 못하여 현재의 인터넷 환경에 적용하는데 어려움이 따른다. 이에 본 논문에서는 해킹으로 판단되는 침입에 대하여 효율적으로 역추적 하기 위해서 iTrace 메시지를 이용한 역추적 시스템을 설계하고 구현한다.

• Journal of the Korea Society of Computer and Information
• /
• v.8 no.3
• /
• pp.34-39
• /
• 2003

There have been several researches to trace intruders on the Internet. But, up to now, few of them has shown a satisfactory and practicable result of the study. Recently, a little bit more active methods such as 'counter-attacking' have been considered to be an alternative to solve the problem of hacking, and some people showed a tendency to accept the method as one possible way to protect their systems. And the new intruder-retracing method suggested in this study is an improved AIAA(Autonomous Intrusion Analysis Agent) model which has been achieved by attaching the counter-attacking method to the existing tracing system. In this paper, the automatic intruder-tracking system is proposed, which was achieved through the design of the following three modules, such as the intruder-retracing module, intruder-tracing module and AIAA dispatch module.

• Journal of KIISE:Computing Practices and Letters
• /
• v.11 no.3
• /
• pp.235-245
• /
• 2005

The rapid development of computer network technology has brought the Internet as the major infrastructure to our society. But the rapid increase in malicious computer intrusions using such technology causes urgent problems of protecting our information society. The recent trends of the intrusions reflect that the intruders do not break into victim host directly and do some malicious behaviors. Rather, they tend to use some automated intrusion tools to penetrate systems. Most of the unknown types of the intrusions are caused by using such tools, with some minor modifications. These tools are mostly similar to the Previous ones, and the results of using such tools remain the same as in common patterns. In this paper, we are describing design and implementation of attacker-traceback system, which traces the intruder based on the multi-agent architecture. The system first applied SOM to classify the unknown types of the intrusion into previous similar intrusion classes. And during the intrusion analysis stage, we formalized the patterns of the tools as a knowledge base. Based on the patterns, the agent system gets activated, and the automatic tracing of the intrusion routes begins through the previous attacked host, by finding some intrusion evidences on the attacked system.