1 |
1
호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버; 및
상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버;를 포함하며,
상기 역추적 서버는,
상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
2 |
2
제1항에 있어서,
상기 스파이 봇 에이전트는,
상기 위험 호스트가 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득하는 네트워크 정보 획득모듈;
상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위에 해당하는지를 판단하는 패킷 분석모듈; 및
상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위를 이탈 시, 이를 상기 스파이 봇 관리 서버로 통보하는 리포트 모듈;을 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
3 |
3
제2항에 있어서,
프록시 서버에 대한 IP 정보를 구비하는 데이터 저장모듈;을 더 포함하며,
상기 패킷 분석모듈은,
상기 위험 호스트를 출입하는 패킷의 발신 IP가 상기 프록시 서버에 해당하는지의 여부를 판단하고 그 결과를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
4 |
4
제2항에 있어서,
상기 스파이 봇 에이전트는,
상기 위험 호스트와 동일 도메인에 속하는 적어도 하나의 타 호스트로 호스트 스캐닝을 수행하며,
상기 호스트 스캐닝을 통해 해킹에 취약한 통신 포토의 개방 여부를 판단하고 이를 상기 스파이 봇 관리 서버로 통보하는 스캐닝 모듈;을 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
5 |
5
제4항에 있어서,
상기 스파이 봇 관리 서버는,
상기 스파이 봇 에이전트의 호스트 스캐닝에 의해 해킹에 취약한 통신 포트가 개방된 타 호스트로 새로운 스파이 봇 에이전트를 전송하여 설치하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
6 |
6
제2항에 있어서,
상기 네트워크 정보 획득모듈은,
상기 위험 호스트에서, 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대해 조회하고, 조회된 결과를 상기 리포트 모듈을 통해 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
7 |
7
제2항에 있어서,
상기 네트워크 정보 획득모듈은,
상기 위험 호스트로 향하는 SYN 패킷이 미리 정해진 개수를 초과하여 연속으로 인가될 시, 이를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템
|
8 |
8
복수의 호스트와 네트워크 접속되고, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며,
상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계;
상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계;
상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계; 및
상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계;를 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법
|
9 |
9
제8항에 있어서,
상기 근원지 정보와 목적지 정보를 획득하는 단계는,
상기 위험 호스트의 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대한 정보를 상기 스파이 봇 에이전트를 통해 획득하는 단계;를 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법
|
10 |
10
제8항에 있어서,
상기 역 추적하는 단계는,
상기 위험 패킷에 포함되는 MAC 어드레스를 기준으로 하여 상기 각 위험 호스트를 경유하는 위험 패킷의 동질성 여부를 판단하며, 이를 토대로 상기 위험 패킷의 근원지를 추적하는 단계인 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법
|