1
다수의 상대 네트워크와 선택적으로 각각 연결하는 다수의 에지 라우터, 다수의 호스트, 관리서버, 침입탐지 시스템을 각각 구비한 다수의 네트워크로 이루어지는 통신 시스템에 있어서, 내부 네트워크의 침입탐지 시스템이 공격자가 침입 호스트를 공격할 경우 공격자의 침입을 감지하는 제 1 단계; 상기 내부 네트워크의 침입탐지 시스템이 내부 네트워크의 관리서버에게 공격자의 침입 사실을 알리는 제 2 단계; 상기 내부 네트워크의 관리서버가 내부 네트워크의 모든 에지 라우터에게 상기 내부 네트워크의 침입탐지 시스템으로부터 전달받은 공격자 패킷의 흔적에 대응하는 침입탐지 로그분석을 질의하는 제 3 단계; 상기 내부 네트워크의 관리서버가 침입 흔적이 발견되었는지 여부를 상기 내부 네트워크의 에지 라우터를 통해 판단하는 제 4 단계; 상기 내부 네트워크의 관리서버가 상기 제 4 단계의 판단 결과, 침입 흔적이 발견되면 외부 네트워크로부터의 침입으로 판단하여 침입 흔적에 대응하는 타 네트워크의 관리서버에게 자신의 관리 하에 있는 에지 라우터에게 로그분석을 요청해 줄 것을 의뢰하는 제 5 단계; 상기 타 네트워크의 관리서버가 자신의 관리 하에 있는 에지 라우터에게 로그분석을 요청하는 제 6 단계; 상기 타 네트워크의 관리 하의 에지 라우터가 침입 흔적을 발견했는지 여부를 판단하는 제 7 단계; 상기 타 네트워크 관리 하의 에지 라우터가 침입 흔적을 발견하는 경우 또 다른 외부 네트워크로부터의 침입이기 때문에, 상기 제 5 단계부터 상기 제 7 단계까지 수행하는 과정을 공격자 호스트를 찾을 때까지 되풀이하는 제 8 단계를 포함하는 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역 추적 방법
|