• Proceedings of the Korea Contents Association Conference
• /
• 2003.05a
• /
• pp.223-226
• /
• 2003

The best way in order to protect the system resource front Distributed Denial of Service(DDoS) attack is cut off the source of DDoS attack with path retracing the packet which transferred by attacker. Packet marking method can not use ICMP cause by using IP identifier field as marking field. And in case of increasing the number of router, retracing method using router ID has the size of marking field's increasing problem. In this paper, we propose that retracing method can be available the ICMP using marking field for option field in IP header and the size of making Held do not change even though the number of router is increased using the mark information which value obtained through XOR operation on IP address.

• Journal of Industrial Technology
• /
• v.22 no.B
• /
• pp.147-153
• /
• 2002

It is very important to detect and remove original sources of DOS (Denial of Service) attacks or connection oriented/connectionless attacks. In this paper, we implement a traceback system that does not require the reaction of routers and administrators and does not need log data. We bring in a traceback server and traceback agents in each network and use sniffing and spoofing schemes. Finally, the traceback server detects attacking hosts using information transmitted from traceback agents.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.654-662
• /
• 2002

As the Internet technology becomes a major information infrastructure, an emerging problem is the tremendous increase of malicious computer intrusions. The present Intrusion Detection System (IDS) serves a useful purpose for detecting such intrusions, but the current situation requires more active response mechanism other than simple detection. This paper describes a multi-agent based tracing system against the intruders when the system is attacked. The focus of the study lies on the secure communication mechanism for the agent message communication. We have extended parameters on the KQML protocol, and apt)lied the public key encryption approach, The limitation might be the requirements of two-way authentication for every communication through the broker agent. This model ma)r not improve the efficiency, but it provides a concrete secure communication. Also this is one important factor to protect the agent and the tracing server during the tracing process.

• The KIPS Transactions:PartC
• /
• v.13C no.1 s.104
• /
• pp.11-18
• /
• 2006

In the field of network defense, a lot of researches are directed toward locating the source of network attacks. When an intruder launches attack not from their own computer but from intermediate hosts that they previously compromised, and these intermediate hosts are called stepping-stones. There we two kinds of traceback technologies : IP packet traceback and connection traceback. We focused on connection traceback in this paper This paper classifies process structures of detoured attack type in stepping stone, designs an algorithm for traceback agent, and implements the traceback system based on the agent

• Journal of the Korea Society of Computer and Information
• /
• v.13 no.1
• /
• pp.143-151
• /
• 2008

Execute IP traceback at this paper as target an intruder's attacking that Bypass Attack in order to avoid an exposure of own Real IP address Design IP traceback server and agent module, and install in Internet network system for Real IP traceback. Set up detection and chase range aggressive loop around connection arbitrariness, and attack in practice, and generate Real IP data cut off by fatal attacks after data and intrusion detection accessed general IP, and store to DB. Generate the Forensic data which Real IP confirms substance by Whois service, and ensured integrity and the reliability that buy to early legal proof data, and was devoted to of an invader Present the cyber criminal preventive effect that is dysfunction of Ubiquitous Information Society and an effective Real IP traceback system, and ensure a Forensic data generation basis regarding a judge's robe penalty through this paper study.

• Proceedings of the Korea Contents Association Conference
• /
• 2004.05a
• /
• pp.291-295
• /
• 2004

Recently, distributing information on the Internet is common in our daily li(e. Also, data exchange on Internet has rapidly changed the way we connect with other people. But current firewall and IDS(Intrusion Detection System) of the network level suffers from many vulnerabilities in internal computing informations and resources. In this paper, we analyzes Traceback System that based on active network and design of Traceback System that based on active network for efficiently traceback.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.646-648
• /
• 2001

최근의 침입이나 공격들은 광범위한 망의 이용과 긴 시간을 두고 공격을 행하는 추세로 발전하고 있다. 이러한 공격들에 대한 탐지 및 대응을 위하여 침입탐지 시스템들은 시스템에 걸쳐 있는 정보의 공유, 침입이나 공격에 적극 대응하기 위한 자원의 이용 등의 상호협력이 요구되고 있다. 본 논문에서는 시스템에서 기록하는 많은 종류의 로그 정보를 침입 탐지에 이용할 수 있는 정보만을 추출하고 분석하여 저장함으로써, 침입 탐지 시스템이 이용할 수 있게 하고, 다른 시스템에서 정보를 필요로 할 때 제공할 수 있으며, 또한 침입이라 간주되어지는 행위에 대하여 대응하기 위한 추적 및 정보 수집 그리고 접속 거부 등을 행하는 Agent 시스템의 설계 및 개발을 목적으로 한다. 이를 위해 리눅스 시스템 기반 하에서 로그를 기록하는 SYSLOG, 발생한 시스템 콜 정보를 기록하는 LSM, 망에서 시스템으로 들어오는 패킷을 분석하는 Pcap Library를 이용한 로그 등을 통합하는 과정을 설명하고, 침입탐지 시스템에 의해서 침입이라 판단되었을 경우, DART Agent가 그 경로를 역추적하고 여러 시스템에 걸쳐 있는 정보들을 수집하는 과정, 고리고 공격에 대한 대응을 하는 과정을 설명한다.

• The Journal of Society for e-Business Studies
• /
• v.22 no.4
• /
• pp.129-139
• /
• 2017

With the advent of FinTech, many financial services have become available in the mobile Internet environment and recently, there is an internet bank that provides all bank services online. As the proportion of financial services over the Internet increases, it offers convenience to users, but at the same time, the threat of financial network is increasing. Financial institutions are investing heavily in security systems in case of an intrusion. However attacks by hackers are getting more sophisticated and difficult to cope with. However, applying an IP Trace-back method that can detect the actual location of an attacker to a financial network can prepare for an attacker's arrest and additional attacks. In this paper, we investigate IP Trace-back technology that can detect the actual location of attacker and analyze it to apply it to financial network. And we propose a new IP Trace-back method through Infra-structure construction through simulation experiments.

• Proceedings of the Korea Water Resources Association Conference
• /
• 2023.05a
• /
• pp.482-482
• /
• 2023

상수도관은 사용년수가 경과함에 따라 노후화가 진행되며, 노후화된 상수관은 내부적으로 부식, 이물질 퇴적, 균열 등의 현상이 발생하게 되고, 이는 결국 수질문제로 연결되어, 탁수사고 발생 확률증가의 주요 원인이 되고 있다. 국내 상수도관의 경우 매설년수의 증가로 인해 내구연한이 도래한 상수관망의 비중이 점차 증가하고 있으며, 2019년 서울시 문래동 수질사고, 2019년 인천 붉은 수돗물 사고, 2022년 안양 동안구 탁수사고, 2022년 여수시 웅천 탁수사고 등 관의 노후화로인한 탁수 사고가 빈번하게 발생되고 있어 수도 사용자에게 불편함을 끼치고 있다. 현재 정수장 및 상수관망에 설치된 탁도계를 통해 수질에 대한 감시를 진행하고 있지만, 경제적인 문제로 인해 모든 상수도관에 탁도계를 설치하기에는 현실적으로 불가능하며, 제한적인 탁도계의 개수를 통해 수질에 대한 감시 및 관리를 진행하고 있는 실정이다. 이러한 상황으로 인해 탁수사고 발생 시 발생 원인분석 및 최초 발생위치 결정이 쉽지 않으며, 보수 보강을 통한 상수도관의 정상화까지 오랜 시간이 걸리게 된다. 이에 본 연구에서는 상수관망에서 탁수 발생 시 최초 발생 위치를 결정할 수 있는 기법을 개발하였으며, 이를 실제 상수도관망에 적용하여 탁수발생 파이프를 탐지하였다. 탁수사고 발생 시 실측된 수질 데이터의 부족으로 인해 임의의 파이프에서 탁수가 발생하였다고 가상의 탁수 발생시나리오를 가정하였으며, 완전혼합농도식을 통해 관망에 설치된 탁도계의 NTU(Nethelometric Paultity Unit) 농도를 계산하여 가상의 탁수발생 시나리오를 상수도관망에 적용하였다. 이후, 역추적 계산기법을 통해 파이프의 초기 NTU 농도를 변화시켜주며 관망내 설치된 탁도계의 NTU 농도를 계산하였으며, 가상 시나리오를 적용하여 계산된 탁도계의 NTU 농도와 역추적 계산법을 적용하여 계산된 탁도계의 NTU 농도의 Percentage Error를 비교/분석하여 탁수 발생 파이프를 탐지하였다. 분석결과, 가상 시나리오의 최초 탁수발생 파이프와 역추적 계산법을 적용하여 탐지한 최초 탁수발생 파이프의 위치가 일치하는 것으로 나타났다. 본 연구에서 개발된 역추적계산을 통한 탁수발생 파이프 탐지기법을 실제 관로 교체사업에 활용한다면 파이프의 개선 우선순위를 보다 명확하게 판단할 수 있으며, 더 나아가 상수도 관망의 유지관리에 활용하여 경제적이고 효율적인 상수관망 시스템관리를 할 수 있을 것으로 판단된다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.3
• /
• pp.39-47
• /
• 2002

This paper deals with study of a new framework for the traceback of distributed DoS(Denial of Service) attacks in the Internet, in which many sources flood "spoofed" IP packets towards a single victim. In our scheme, the destination host traces those anonymous packets' losses, and infers the logical end-to-end paths back towards the sources. This method is based on the fact that there is a strong correlation between packet losses when those packets traverse along a same route, and the simulation results show high probabilities of detecting the topology under a certain condition. Compared with previous approaches, our scheme has a number of distinct features: It can be performed in realtime or non-realtime, without any supports of routers or ISPs. Our results may be applied to the inference of physical topology and to support previous approaches.pproaches.