1 |
1
서비스 거부 공격의 탐지에 따라 경보 데이터를 추출하는 침입 탐지 시스템과, 도메인을 관리하며, 상기 경보 데이터를 분석하여 상기 서비스 거부 공격이 분산 서비스 거부 공격인 경우에 상기 분산 서비스 거부 공격자를 역추적하기 위한 역추적 센서를 생성 및 파송한 후에 상기 역추적 센서에 의해서 역추적된 호스트에 이동형 센서를 파송하여 상기 호스트 내의 마스터 또는 에이전트 프로그램을 제거하고, 상기 제거된 프로그램에 패킷을 송신한 호스트 IP 주소를 이용하여 역추적 센서를 생성 및 파송하는 능동 보안 관리 시스템 및 상기 도메인의 경계에 위치하여 상기 파송된 역추적 센서를 실행하여 분산 서비스 거부 공격 호스트를 역추적하고, 상기 공격자 역추적 과정에서의 역추적한 호스트가 실제 공격자로 판단되면, 상기 실제 공격자로부터 생성되는 트래픽을 차단시키는 능동 보안 노드를 포함하는 분산 서비스 거부 공격 대응 시스템
|
2 |
2
제 1 항에 있어서, 상기 능동 보안 관리 시스템은, 상기 침입 탐지 시스템으로부터 수신되는 경보 데이터를 수집하는 경보 데이터 수집기와, 상기 수집된 경보 데이터에서 상기 분산 서비스 거부 공격자의 IP 주소와 맥 주소를 추출하는 경보 데이터 분석기와, 상기 추출된 IP 주소와 맥 주소를 포함하는 역추적 센서를 생성하는 센서 생성기와, 상기 추출된 분산 서비스 거부 공격자의 IP 주소로 상기 역추적 센서를 파송하는 센서 파송기를 포함하는 분산 서비스 거부 공격 대응 시스템
|
3 |
3
제 1 항 및 제 2 항에 있어서, 상기 능동 보안 노드는, 맥주소가 기록된 매핑 테이블을 가지며, 수신한 상기 역추적 센서에 포함된 IP 주소가 상기 매핑 테이블에 기록된 맥주소와 일치하지 않은 경우에 상기 역추적 센서에 포함된 맥주소에 대응되는 IP 주소를 검출한 후에 상기 검출된 IP 주소로부터 생성되는 트래픽을 차단시키는 분산 서비스 거부 공격 대응 시스템
|
4 |
4
제 1 항에 있어서, 상기 능동 보안 관리 시스템은, 상기 마스터 또는 호스트 프로그램을 삭제한 후에 상기 능동 보안 노드로 IP 차단 해제 명령을 송신하는 분산 서비스 거부 공격 대응 시스템
|
5 |
5
제 4 항에 있어서, 상기 능동 보안 노드는, 상기 IP 차단 해제 명령에 따라 상기 호스트에서 발생되는 트래픽 차단을 해제한 후에 역추적 완료 센서를 생성하여 상기 능동 보안 관리 시스템에 파송하는 분산 서비스 거부 공격 대응 시스템
|
6 |
6
제 1 항에 있어서, 상기 이동형 센서들은, 상기 호스트에 설치되어 상기 분산 서비스 거부 공격에 사용되는 에이전트 또는 마스터 프로그램을 추출하기 위한 스캐닝 센서, 모니터링 센서, 제거 센서를 포함하는 분산 서비스 거부 공격 대응 시스템
|
7 |
7
제 6 항에 있어서, 상기 스캐닝 센서는, 분산 서비스 거부 공격의 다양한 유형에 따라 스캐닝하여 역추적 호스트에 설치된 분산 서비스 거부 공격 에이전트 또는 마스터 프로그램을 검색하는 분산 서비스 거부 공격 대응 시스템
|
8 |
8
제 6 및 7 항에 있어서, 상기 제거 센서는, 상기 스캐닝 센서에서 검색된 분산 서비스 거부 공격 에이전트 또는 마스터 프로그램을 삭제하는 분산 서비스 거부 공격 대응 시스템
|
9 |
9
제 6 항에 있어서, 상기 모니터링 센서는, 상기 삭제된 에이전트 또는 마스터 프로그램에 접근하는 패킷들을 감시하는 분산 서비스 거부 공격 대응 시스템
|
10 |
10
제 1 항에 있어서, 상기 능동 보안 노드는, 상기 역추적 센서에 의해서 추적된 호스트에 대한 실행 결과 데이터를 보고하는 리포팅 기능을 포함하는 분산 서비스 거부 공격 대응 시스템
|
11 |
11
침입 탐지 시스템으로부터 수신한 경보 데이터를 토대로 분산 서비스 거부 공격의 공격자를 추적 및 차단하는 능동 보안 관리 시스템의 분산 서비스 거부 공격 대응 방법에 있어서, 상기 능동 보안 관리 시스템은 경보 데이터에서 호스트의 IP 주소 및 맥주소를 추출하는 단계와, 상기 호스트를 역추적하기 위한 역추적 센서를 생성하여 호스트의 IP 주소에 해당되는 능동 보안 노드로 파송하는 단계와, 상기 능동 보안 노드는 역추적 센서를 실행하여 호스트를 추적하는 단계와, 상기 역추적한 호스트에 설치된 에이전트 또는 마스터 프로그램을 삭제하는 단계와, 상기 삭제된 프로그램으로 송신되는 패킷을 검사하여 패킷을 송신한 호스트를 역추적하기 위한 역추적 센서를 생성하여 상기 능동 보안 노드에 파송하는 단계와, 상기 역추적 센서에 의해서 역추적된 호스트가 실제 공격자인지의 여부를 판단하는 단계와, 상기 판단 결과, 상기 역추적된 호스트가 실제 공격자인 경우에 상기 실제 공격자의 IP 주소로부터 생성되는 트래픽을 차단시키는 단계를 포함하는 분산 서비스 거부 공격 대응 방법
|
12 |
12
제 11 항에 있어서, 상기 호스트를 추적하는 단계는, 상기 호스트의 IP 주소와 상기 능동 보안 노드의 매핑 테이블 내의 맥 주소와 일치하는지의 여부를 판단하는 단계와, 상기 판단 결과, 상기 맥 주소와 IP 주소가 일치한 경우에, 상기 IP 주소로부터 생성되는 트래픽을 차단 또는 해제한 후에 결과 데이터를 상기 능동 보안 관리 시스템에 송신하는 단계를 포함하는 분산 서비스 거부 공격 대응 방법
|
13 |
13
제 12 항에 있어서, 상기 맥 주소와 IP 주소가 일치하지 않은 경우에, 상기 능동 보안 노드는 역추적 센서내에 포함된 맥 주소를 토대로 호스트의 실제 IP 주소를 검출하고, 상기 검출된 IP 주소로부터 생성되는 트래픽 차단 또는 해제하는 분산 서비스 거부 공격 대응 방법
|
14 |
14
제 11 항에 있어서, 상기 역추적된 호스트가 실제 공격자인 경우에, 상기 능동 보안 노드는 역추적 완료 센서를 생성하여 상기 능동 보안 시스템으로 파송하는 분산 서비스 거부 공격 대응 방법
|
15 |
15
제 11 항에 있어서, 상기 역추적된 호스트가 실제 공격자가 아닌 경우에, 상기 능동 보안 관리 시스템은 에이전트 또는 마스터 프로그램을 삭제하기 위해 역추적된 호스트에 이동형 센서들을 파송하는 단계와, 상기 센서들의 실행을 통해 에이전트 또는 마스터 프로그램을 삭제한 후에 상기 삭제된 프로그램으로 접근하는 패킷의 근원지 IP 주소를 추출하는 단계와, 상기 근원지 IP 주소를 토대로 역추적 센서를 생성하고, 상기 역추적 센서를 근원지 IP 주소에 대응되는 능동 보안 노드로 송출하여 분산 서비스 거부 공격 호스트를 역추적하는 단계를 포함하는 분산 서비스 거부 공격 대응 방법
|
16 |
16
제 15 항에 있어서, 상기 센서들은, 상기 호스트에 설치되어 상기 분산 서비스 거부 공격에 사용되는 에이전트 또는 마스터 프로그램을 추출 및 제거하기 위한 스캐닝 센서 및 제거 센서와, 상기 제거된 프로그램에 접근하는 패킷을 모니터링하기 위한 모니터링 센서인 분산 서비스 거부 공격 대응 방법
|