네트워크 기술의 발달에 힘입어 인터넷이 국가와 사회의 중요한 기반 시설로 자리잡고 있으며, 이를 통한 범죄적 동기를 갖는 해킹 사고의 증가 추세로 인해, 우리 사회 전반적으로 정보에 대한 보호가 시급한 문제로 대두되고 있다. 최근 침입의 형태는 기존 공격자의 직접적인 시스템 침입 및 악의적 행위들의 행사와는 달리 침입 자동화 도구들을 사용하는 형태로 변모해 가고 있다. 알려지지 않은 공격의 유형 또한 변형된 이들 도구들의 사용이 대부분이다. 이들 공격 도구들 대부분은 기존 형태에서 크게 벗어나지 않으며, 침입 도구의 산출물 또한 공통적인 형태로 존재한다. 본 논문에서는 멀티 에이전트 기반의 침입자 역 추적 시스템의 설계 및 구현에 관하여 기술하였다. 본 연구의 시스템은 우선, 알려지지 않은 다양한 공격을 기존 유사한 공격군으로 분류하기 위하여 SOM(Self-Organizing Maps)을 적용하였고, 침입 분석 단계에서는 공격 도구들의 패턴을 지식베이스로 정형화하였다. 이를 기반으로 에이전트 기반의 역 추적 시스템이 활성화 되고, 피 침입 시스템으로부터의 침입 흔적을 발견하여 이전 침입 경유 시스템으로의 경로를 자동으로 역 추적 하게 된다.
The rapid development of computer network technology has brought the Internet as the major infrastructure to our society. But the rapid increase in malicious computer intrusions using such technology causes urgent problems of protecting our information society. The recent trends of the intrusions reflect that the intruders do not break into victim host directly and do some malicious behaviors. Rather, they tend to use some automated intrusion tools to penetrate systems. Most of the unknown types of the intrusions are caused by using such tools, with some minor modifications. These tools are mostly similar to the Previous ones, and the results of using such tools remain the same as in common patterns. In this paper, we are describing design and implementation of attacker-traceback system, which traces the intruder based on the multi-agent architecture. The system first applied SOM to classify the unknown types of the intrusion into previous similar intrusion classes. And during the intrusion analysis stage, we formalized the patterns of the tools as a knowledge base. Based on the patterns, the agent system gets activated, and the automatic tracing of the intrusion routes begins through the previous attacked host, by finding some intrusion evidences on the attacked system.
