• Electronics and Telecommunications Trends
• /
• v.30 no.4
• /
• pp.120-128
• /
• 2015

최근 인터넷의 거대화와 더불어 기본적으로 ISP의 오버헤드를 최소화하는 요구사항을 만족시켜 줄 수 있는 역추적기술 보장에 큰 비중을 두고 있으며, 현재 또는 차세대 인터넷에서 적용 가능한 역추적기술이 필요하다. 본 논문은 사이버 표적공격(Advanced Persistent Threats: APT)에 적용 가능한 역추적(Traceback)기술에 대한 동향을 살펴본다. 특히 기존 IP 및 TCP Connection 기반 역추적방법 중 Network 기반 Connection 추적기술인 Timing-based Approach에 대해서 상세히 살펴보며 아울러 본 논문에서 제안하는 Netflow 기반의 ON-OFF 모델 확장을 통한 Timing-based Connection Traceback Approach의 기술적 적용을 통하여 공격 시스템의 위치와 실제 해킹을 시도하는 해커의 위치가 서로 다르다 하더라도 실제 해커의 위치인 공격 근원지를 추적할 수 있는 기술적 가능성 및 전망을 소개한다.

• The Journal of the Korea Contents Association
• /
• v.3 no.1
• /
• pp.21-30
• /
• 2003

Retracing schemes using packet marking are currently being studied to protect network resources by isolating DDoS attack. One promising solution is the probabilistic packet marking (PPM). However, PPM can't use ICMP by encoding a mark into the IP identification field. Likewise, it can't identify the original source through a hash function used to encode trace information and reduce the mark size. In addition, the retracing problem overlaps with the result from the XOR operation. An algorithm is therefore proposed to pursue the attacker's source efficiently. The source is marked in a packet using a router ID, with marking information abstracted.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2137-2140
• /
• 2003

최근 IP 역추적을 위한 다양한 연구가 진행되고 있다. 피 중 주목할 만한 역추적 시스템인 확률적 패킷 마킹 기법은 대량의 패킷을 필요로 하는 분산 서비스 거부 공격의 특징을 이용한 매우 효율적이고 실용적인 접근 방식이다. 그러나 이 방식은 모든 라우터의 수정이 불가피하다는 점과 공격을 당한 피해 시스템에서 완벽한 공격 경로를 재구성하기 위해 엄청난 부담을 짊어지게 되는 문제점을 드러냈다. 이러한 문제점에 대한 해결책으로 본 논문에서는 네트워크에 유입되는 패킷에 출발지 라우터의 주소만을 마킹하는 Admission Packet Marking 기법을 제안하고 기존 연구와의 비친 분석을 통해 기존 인터넷에의 적용 가능성을 판단한다.

• Journal of the Korea Society of Computer and Information
• /
• v.10 no.1 s.33
• /
• pp.27-34
• /
• 2005

Current security reinforcement systems are Passive defense system that only blocks filter to all traffic from the attacker. So, Those are weak re-attack and Stepping Stones attack because active response about attacker is lacking. Also, present techniques of traceback need much time and manpower by log information collection and trace through the personal inspection and active response is lacking. In this paper, We propose technique for TCP connection traceback that can apply in present internet and trace to inserted marking on IP header to correspond re-attack and Stepping Stones attack. Therefore, Proposed technique is unnecessary correction of existing network component and can reduce size of marked information and overhead of resources.

• KSCI Review
• /
• v.15 no.1
• /
• pp.53-64
• /
• 2007

Avoid at damage systems in order to avoid own IP address exposure, and an invader does not attack directly a system in recent hacking accidents at these papers, and use Stepping stone and carry out a roundabout attack. Use network audit Policy and use a CIS, AIAA technique and algorithm, the Sleep Watermark Tracking technique that used Thumbprints Algorithm, Timing based Algorithm, TCP Sequence number at network bases, and Presented a traceback system at TCP bases at log bases, and be at these papers Use the existing algorithm that is not one module in a system one harm for responding to invasion technology develop day by day in order to supplement the disadvantage where is physical logical complexity of configuration of present Internet network is large, and to have a fast technology development speed, and presentation will do an effective traceback system.

• Journal of Internet Computing and Services
• /
• v.11 no.2
• /
• pp.85-98
• /
• 2010

An advanced and proactive response mechanism against diverse attacks on All-IP network should be proposed for enhancing its security and reliability on open network. There are two main research works related to this study. First one is the SPIE system with hash function on Bloom filter and second one is the Sinkhole routing mechanism using BGP protocol for verifying its transmission path. Therefore, advanced traceback and network management mechanism also should be necessary on All-IP network environments against DDoS attacks. In this study, we studied and proposed a new IP traceback mechanism on All-IP network environments based on existing SPIE and Sinkhole routing model when diverse DDoS attacks would be happen. Proposed mechanism has a Manager module for controlling the regional router with using packet monitoring and filtering mechanism to trace and find the attack packet's real transmission path. Proposed mechanism uses simplified and optimized memory for storing and memorizing the packet's hash value on bloom filter, with which we can find and determine the attacker's real location on open network. Additionally, proposed mechanism provides advanced packet aggregation and monitoring/control module based on existing Sinkhole routing method. Therefore, we can provide an optimized one in All-IP network by combining the strength on existing two mechanisms. And the traceback performance also can be enhanced compared with previously suggested mechanism.

• Journal of KIISE:Computing Practices and Letters
• /
• v.11 no.3
• /
• pp.235-245
• /
• 2005

The rapid development of computer network technology has brought the Internet as the major infrastructure to our society. But the rapid increase in malicious computer intrusions using such technology causes urgent problems of protecting our information society. The recent trends of the intrusions reflect that the intruders do not break into victim host directly and do some malicious behaviors. Rather, they tend to use some automated intrusion tools to penetrate systems. Most of the unknown types of the intrusions are caused by using such tools, with some minor modifications. These tools are mostly similar to the Previous ones, and the results of using such tools remain the same as in common patterns. In this paper, we are describing design and implementation of attacker-traceback system, which traces the intruder based on the multi-agent architecture. The system first applied SOM to classify the unknown types of the intrusion into previous similar intrusion classes. And during the intrusion analysis stage, we formalized the patterns of the tools as a knowledge base. Based on the patterns, the agent system gets activated, and the automatic tracing of the intrusion routes begins through the previous attacked host, by finding some intrusion evidences on the attacked system.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.39-42
• /
• 2001

인터넷 기술자 시장의 급성장으로 인터넷통신은 우리 생활속에 크게 자리잡고 있다. 그런 만큼 인터넷으로부터 얻는 정보는 가히 무시할 수 없을 정도이다. 이런 환경에서 최근 웹사이트의 정상적인 서비스를 방해하는 DDoS 공격은 공격방법과 은닉기법이 날로 첨단화·다양화되고 있어, 이에 대한 탐지와 근원지 추적이 어려운 상태이다. 따라서 본 논문에서는 DDoS 공격의 중간 계층인 핸들러와 에이전트를 추적하기 위해, 핸들러·에이전트간의 통신 취약점을 이용, 이를 탐지하고 역추적할 수 있는 시스템을 제안하고자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.20 no.3
• /
• pp.31-41
• /
• 2010

It is difficult to identify attacker's real location when the attacker spoofs IP address in current IPv4-based Internet environment. If the attacks such as DDoS happen in the Internet, we can hardly expect the protection scheme to respond to these attacks in active or real-time manner. Many traceback techniques have been proposed to protect against these attacks, but most traceback schemes were designed to work with the IPv4-based Internet and found to be lack of verification of whether the traceback related information is forged or not. Few traceback schemes for IPv6-based network environment have been suggested, but it has these disadvantages that needs more study. In this paper, we propose the reliable IP traceback scheme supporting integrity of traceback-related information in IPv6 network environment, simulate it, and compare our proposed scheme with exsisting traceback mechanisms in terms of overhead and functionality.

• Proceedings of the Korea Water Resources Association Conference
• /
• 1998.05a
• /
• pp.62-67
• /
• 1998

낙동강 수계 다목적댐 하류 지역에 대한 홍수조절 의사결정 능력을 향상시키고자 강우- 유출 모형으로 선정된 저류함수법으로 낙동강 수계 다목적댐 하류부의 유역유출 체계를 먼저 구 성하였다. 저류함수법에 의한 낙동강 수계 유역유출 체계도는 유역의 물리적 특성을 감안하여 소 유역은 41개, 하동망은 28개로 구성하였다. 또한 수문학적 하도추적 기법이 갖는 결점을 보완하기 위하여 낙동강 본류 및 상류에 댐이 있는 금호강, 황강, 남강, 밀양강 등 1 지류 이상의 홍수추적 을 수리학적 모형으로 보완하여 유역유출 체계를 이원화하여 두시스템을 상호·연계할 수 있도록 하였다. 상기 두 시스템을 '93년 8월 홍수(8, 7~8, 15)에 시험 적용하였다. 모형수행 경과 홍수기 댐운영시 저류함수모형에 의한 강우 유출 모형과 수리학적 하도추적 모형을 통합한 시스템을 동시에 적용하여 상호 보완 과정을 통해 운영한다면 다목적댐의 홍수조절 의사결정능력을 향상시킬 수 있다고 판단된다. 본 연구에서는 사용자가 해석적 방법으로 유역에서 수문자료를 이용하여 매개변수를 대화식으로 산정할 수 있는 GUI 시스템을 EXCEL97 환경에서 개발하여 신뢰성 있는 Rating curve가 확보 상·하류에 위치한 12개 수위관측소에서 89개 홍수사상을 대상으로 유역의 매개변수를 산정하였다. 또한, 미계측 유역의 저류함수 관련 매개변수 확장을 위하여 12개 소유역 에 대한 매개변수의 평균값과 유역면적, 하도연장 및 경사, 유역의 사면경사 등의 지형인자들을 조합하여 지역화분석을 수행하여 미계측 유역의 매개변수 산정식으로 제안하였다. 본 회귀식으로 산정된 소유역별 매개변수를 '93년 8월 홍수(8, 7~8, 15)에 적용한 결과, 낙동강 수계 본류상 주요 수위관측소별 홍수량예측이 이근천공식 보다 양호한 결과를 주어 본 연구에서 제시한 유역의 매 개변수 회귀식은 미계측 유역의 매개변수 산정시 충분한 활용성을 입증하였다. 저류함수법에 의 한 낙동강 수계 다목적댐 하류부의 유역유출 체계도는 수리학적 하도추적 모형과의 연계와 유역 의 물리적 특성을 감안하여 현재의 홍수통제소에서 운영하는 홍수예경보 시스템의 유출체계도와 우리공사 물관리 상황실의 저수관리 모형의 유출체계도를 기준으로 재구성하여 다목적댐 하류부의 소유역은 41개, 하도망은 28개로 결정하였다.