차세대 정보전에서는 자신의 정보 시스템에 대한 침해방지, 복구 등의 수동적인 형태의 보호뿐만 아니라 상대방의 정보 기반구조(Information Infrastructure)에 대한 공격과 같은 적극적인 형태의 보호가 요구된다. 침입이 발생함과 동시에 시스템에 대한 피해를 최소화하고 침입자 추적 등의 즉각적인 대응을 위해 정보 보호 시스템은 침입에 대한 정보를 능동적으로 분석하고 실시간으로 대응하는 기능을 제공할 필요가 있다. 본 논문에서는 거짓 세션(fake session)과 허니팟(Honeypot) 모니터링 기법을 기반으로 설계된 능동적 침입 대응 시스템을 제시한다. 본 논문에서 제시하는 능동적 침입 대응 시스템은 거짓 세션을 이용하여 DoS(Denial of Service)나 포트 스캔과 같은 공격에 대응할 수 있는 기능을 수행한다. 또한 침입 규칙 관리자(IRM : Intrusion Rule Manager)를 이용하는 허니팟과 침입자 이주를 통한 허니팟 모니터링은 모니터링 정보 수집과 침입에 대한 능동적 대처 기능을 제공함으로써 침입탐지와 침입대응에 정확도를 높인다.
In the coming age of information warfare, information security patterns need to be changed such as to the active approach using offensive security mechanisms rather than traditional passive approach just protecting the intrusions. In an active security environment, it is essential that, when detecting an intrusion, the immediate confrontation such as analysing the intrusion situation in realtime, protecting information from the attacks, and even tracing the intruder. This paper presents an active intrusion-confronting system using a fake session and a honeypot. Through the fake session, the attacks like Dos(Denial of Service) and port scan can be intercepted. By monitoring honeypot system, in which the intruders are migrated from the protected system and an intrusion rule manager is being activated, new intrusion rules are created and activated for confronting the next intrusions.
