한국정보과학회논문지:컴퓨팅의 실제 및 레터 (Journal of KIISE:Computing Practices and Letters)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

SOM을 이용한 멀티 에이전트 기반의 침입자 역 추적 시스템

Mutiagent based on Attacker Traceback System using SOM

  • 발행 : 2005.06.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

네트워크 기술의 발달에 힘입어 인터넷이 국가와 사회의 중요한 기반 시설로 자리잡고 있으며, 이를 통한 범죄적 동기를 갖는 해킹 사고의 증가 추세로 인해, 우리 사회 전반적으로 정보에 대한 보호가 시급한 문제로 대두되고 있다. 최근 침입의 형태는 기존 공격자의 직접적인 시스템 침입 및 악의적 행위들의 행사와는 달리 침입 자동화 도구들을 사용하는 형태로 변모해 가고 있다. 알려지지 않은 공격의 유형 또한 변형된 이들 도구들의 사용이 대부분이다. 이들 공격 도구들 대부분은 기존 형태에서 크게 벗어나지 않으며, 침입 도구의 산출물 또한 공통적인 형태로 존재한다. 본 논문에서는 멀티 에이전트 기반의 침입자 역 추적 시스템의 설계 및 구현에 관하여 기술하였다. 본 연구의 시스템은 우선, 알려지지 않은 다양한 공격을 기존 유사한 공격군으로 분류하기 위하여 SOM(Self-Organizing Maps)을 적용하였고, 침입 분석 단계에서는 공격 도구들의 패턴을 지식베이스로 정형화하였다. 이를 기반으로 에이전트 기반의 역 추적 시스템이 활성화 되고, 피 침입 시스템으로부터의 침입 흔적을 발견하여 이전 침입 경유 시스템으로의 경로를 자동으로 역 추적 하게 된다.

The rapid development of computer network technology has brought the Internet as the major infrastructure to our society. But the rapid increase in malicious computer intrusions using such technology causes urgent problems of protecting our information society. The recent trends of the intrusions reflect that the intruders do not break into victim host directly and do some malicious behaviors. Rather, they tend to use some automated intrusion tools to penetrate systems. Most of the unknown types of the intrusions are caused by using such tools, with some minor modifications. These tools are mostly similar to the Previous ones, and the results of using such tools remain the same as in common patterns. In this paper, we are describing design and implementation of attacker-traceback system, which traces the intruder based on the multi-agent architecture. The system first applied SOM to classify the unknown types of the intrusion into previous similar intrusion classes. And during the intrusion analysis stage, we formalized the patterns of the tools as a knowledge base. Based on the patterns, the agent system gets activated, and the automatic tracing of the intrusion routes begins through the previous attacked host, by finding some intrusion evidences on the attacked system.

키워드

참고문헌

  1. Symantec Internet Security Threat Report, Vol. 3, 2002, available at http://www.symantec.com/region/hu/huresc/download/2003_02_03SymantecInternetSecurityThreatReport.pdf
  2. Korea Computer Emergency Response Team Coordination Center, 2004. available at http://www.certcc.or.kr/statistics/hack/hack.htm
  3. CERT Coordination Center, 'Overview of Attack Trends,' Carnegie Mellon University, 2002. available at http://www.cert.org/archive/pdf/attacktrends.pdf
  4. Allen, J. H., 'CERT Guide to System and Network Security Practices,' Addison-Wesley, 2001
  5. Savage, S., Wetherall, D., Karlin, A. and Anderson, T., 'Practical Network Support for IP Traceback,' In Proc. of the 2000 ACM SIGCOMM Conference, pp 295-306, 2000 https://doi.org/10.1145/347057.347560
  6. Song, D. X. and Perrig, A. 'Advanced and Authenticated Marking Schemes for IP Traceback,' In Proceedings of the IEEE Infocomm 2001, April 2001 https://doi.org/10.1109/INFCOM.2001.916279
  7. Bellovin, S., Leech, M. and Taylor, T. 'ICMP Traceback Messages,' 2001. available at http://www.cse.ogi.edu/~wuchang/cse581_winter2002/papers/draft-ietf-itrace-01.txt
  8. Kohonen, T., Self-Organizing Maps, Springer-Verlag, Berlin, 1995
  9. KddCup'99. available at http://kdd.ics.uci.edu/databases-kddcup99/kddcup99.html
  10. Franklin, S. and Graesser, A., 'Is it an agent, or just program?: A taxonomy for autonomous agents,' Proc. Of the Third International Workshop on Agent Theories, Architectures, and Language, 1996
  11. Wooldridge, M. and Jennings, N. 'Intelligent Agents,' Lecture Notes in Artificial Intelligence #890, Springer-Verlag, 1995
  12. Nwana, H. S., 'Software agents: An Overview,' The Knowledge Engineering Review, 11(3), pp 205-244, 1996 https://doi.org/10.1017/S026988890000789X
  13. Chalupsky, H., Finin, T., Fritzson, R. McKay, D., Shapiro, S. and Weiderhold, G. 'An overview of KQML: A knowledge query and manipulation language,' Technical report, KQML Advisory Group, April 1992. available at http://www.csee.umbc.edu/kqml/papers/kqmloverview.ps
  14. Finin, T., Fritzson, R., McKay, D. and McEntire, R. 'KQML as an agent communication language,' Proc. of CIKM'94, pp. 126-130, 1994
  15. Petrie, C., 'JATLite,' Online Documentation, 1998. available at http://java.stanford.edu/