KR101028101B1 - System and Method for Defending against Distributed Denial of Service Attack - Google Patents

System and Method for Defending against Distributed Denial of Service Attack Download PDF

Info

Publication number
KR101028101B1
KR101028101B1 KR1020090018051A KR20090018051A KR101028101B1 KR 101028101 B1 KR101028101 B1 KR 101028101B1 KR 1020090018051 A KR1020090018051 A KR 1020090018051A KR 20090018051 A KR20090018051 A KR 20090018051A KR 101028101 B1 KR101028101 B1 KR 101028101B1
Authority
KR
South Korea
Prior art keywords
packet
attack
ddos
address
unit
Prior art date
Application number
KR1020090018051A
Other languages
Korean (ko)
Other versions
KR20100099513A (en
Inventor
조태진
문종욱
Original Assignee
시큐아이닷컴 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐아이닷컴 주식회사 filed Critical 시큐아이닷컴 주식회사
Priority to KR1020090018051A priority Critical patent/KR101028101B1/en
Publication of KR20100099513A publication Critical patent/KR20100099513A/en
Application granted granted Critical
Publication of KR101028101B1 publication Critical patent/KR101028101B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 분산 서비스 거부 공격 방어 시스템 및 방법에 관한 것으로, 보다 구체적으로는 서비스 요청을 한 목적지 IP 주소를 가진 패킷에 대하여 분산 서비스 거부 공격(DDoS)에 대한 네트워크 보호를 위한 방어 장치 및 방법에 관한 것이다.The present invention relates to a distributed denial of service attack defense system and method, and more particularly, to a defense apparatus and method for network protection against distributed denial of service attacks (DDoS) for a packet having a destination IP address for the service request will be.

본 발명에 따른 분산 서비스 거부(DDos) 공격 방어 방법은 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 것으로서, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함한다.The distributed denial of service (DDos) attack defense method according to the present invention uses a security device including a mode switch tap device installed in a specific node of the network, the tap device is maintained in passive tapping mode, the packet passing through the node is analyzed Monitored; When the DDoS attack is detected, the tap device switches to the selective inline mode for the packet having the detected attack destination address; And a packet having an address other than the attack destination passes through the node, and the packet having the attack destination address is analyzed and discarded if the packet is a DDoS attack packet, and delivered to the node output terminal if the packet is a normal packet.

분산 서비스 거부 공격, DDoS, 패시브 태핑, 선택적 인라인, FPGA Distributed Denial of Service Attacks, DDoS, Passive Tapping, Selective Inline, FPGA

Description

분산 서비스 거부 공격 방어 보안장치 및 그 방법{System and Method for Defending against Distributed Denial of Service Attack}Distributed Denial of Service Defense Security System and its Method {System and Method for Defending against Distributed Denial of Service Attack}

본 발명은 네트워크 자원을 보호하기 위한 보안기술에 관한 것으로, 더욱 상세하게는 고속 트래픽을 위한 플로우 기반 패킷 처리방식의 분산 서비스 거부 (DDoS: Distributed Denial of Service) 공격의 방어 시스템 및 그 방법에 관한 것이다.The present invention relates to a security technology for protecting network resources, and more particularly, to a system and method for preventing distributed denial of service (DDoS) attacks based on flow-based packet processing for high speed traffic. .

일반적으로, 분산 서비스 거부 (DDoS, Distributed Denial of Service) 공격 이란 인터넷 상의 특정 웹 서버와 같은 목표 시스템 및 네트워크로 순간적으로 다량의 데이터를 보냄으로써 해당 시스템 및 네트워크가 정상적으로 동작하지 못하게 방해하는 것을 말한다.In general, a Distributed Denial of Service (DDoS) attack means sending a large amount of data instantaneously to a target system and network such as a specific web server on the Internet, thereby preventing the system and network from operating normally.

도 1은 분산 서비스 공격(DDoS)의 일반적인 구조를 도시한 것으로, 공격자(11)는 네트워크상의 보안이 허술한 시스템들(12, 13)을 이용하여 동시에 여러 곳에서 많은 양의 공격 트래픽(14)을 발생시켜 목표 희생자 서버(15)로 보낸다. 1 illustrates a general structure of Distributed Service Attack (DDoS), in which an attacker 11 uses a large number of insecure systems 12 and 13 on a network to simultaneously generate a large amount of attack traffic 14 at various locations. To the target victim server 15.

공격 트래픽(14)의 종류로는 TCP SYN 플러딩(flooding), ICMP 플러딩, UDP 플러딩 등이 있다. 특히, TCP SYN 플러딩 같은 경우 서버에게 지속적으로 SYN 패킷을 대량으로 보냄으로써 많은 TCP 연결이 발생하게 되고 서버의 자원이 고갈된다. 분산 서비스 거부 (DDoS) 공격에 따른 피해로는 네트워크를 통한 서비스의 거부(denial of service)와 함께 네트워크에 큰 부하를 주게 된다. 이러한 공격 흐름은 겉으로는 정상적인 데이터의 흐름으로 보이기 때문에 이런 공격을 감지하여 차단하는 기술이 중요하다. Types of attack traffic 14 include TCP SYN flooding, ICMP flooding, UDP flooding, and the like. In particular, in the case of TCP SYN flooding, a large amount of SYN packets are continuously sent to the server, resulting in many TCP connections and exhausting server resources. The damage caused by Distributed Denial of Service (DDoS) attacks places a heavy load on the network along with a denial of service over the network. Since such an attack flow appears to be a normal data flow, a technique for detecting and blocking such an attack is important.

공격 트래픽의 흐름 중 공격을 감지하는 방법으로 공격자(source or attacker) 측면에서 감지하는 방법, 목적지(destination or victim) 측면에서 감지하는 방법, 및 코어 네트워크에서 감지하는 방법이 있다.As a method of detecting an attack in the flow of attack traffic, there is a method of detecting at the source or attacker side, a method of detecting at the destination or victim side, and a method of detecting at the core network.

그런데, 기존의 기술들은 이미 네트워크에 많은 부하가 걸리고 나서야 분산 서비스 거부 공격을 감지하고 공격 근원지를 찾아 네트워크 상의 장비들(라우터)로 하여금 패킷 전송을 막게 하므로 이미 많은 피해가 발생된 후에 방어가 되거나, 소위 Out of Path 탐지 방법을 쓰는 경우에도 BGP(Border Gateway Protocol) 우회를 통해 수행하는데 패킷의 흐름이 BGP 우회를 수행하는 라우터에게 두 배의 트래픽 부담이 전가되어야 하고, 탐지기(detector)를 보호 대상 서브 망에 근접 배치해야 하는 등 BGP 우회를 위해 망 설정이 매우 복잡하게 된다. However, existing technologies only detect a distributed denial of service attack after a heavy load on the network, and find the source of the attack to prevent the devices (routers) in the network from transmitting packets. Even when using the so-called out-of-path detection method, it performs through BGP (Border Gateway Protocol) bypass, which doubles the burden of traffic to the router where the packet flow performs BGP bypass, and protects the detector. Network setup is very complex for BGP bypass, such as having to be in close proximity to the network.

그러므로 Gbps 급 이상의 초고속 네트워크 환경에서는 보다 빠르게 DDoS 공격을 감지하며, 망 설정을 보다 간편하게 할 수 있는 기술이 요구되고 있다. Therefore, in the high-speed network environment of Gbps or higher, a technology that detects a DDoS attack faster and makes network configuration easier is required.

본 발명은 이러한 문제를 해결하기 위해 제안된 것으로, 본 발명은 분산 서비스 거부(DDoS) 공격으로부터 보호 대상 서브네트를 효과적으로 보호하며, 구현이 간편하고, 망 설정이 간편한 DDoS 공격 방어 장치 및 방법을 제공하는 것을 목적으로 한다.The present invention has been proposed to solve such a problem, and the present invention provides a DDoS attack defense device and method that effectively protects a protected subnet from distributed denial of service (DDoS) attacks, is simple to implement, and easy to set up a network. It aims to do it.

상술한 목적을 달성하기 위해, 본 발명의 일 양상에 따른 장치는 네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위한 네트워크 탭장치로서, 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하며, 입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부; 상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치; 및 상기 패킷 복제부와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로 교차점 상에 위치하며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러;를 포함한다. In order to achieve the above object, an apparatus according to an aspect of the present invention is a network tap device for detecting and defending a distributed denial of service (DDoS) attack on the network, and comprises an input, an output, a duplicate packet transmitter, and a processed packet receiver. A packet replicating unit configured to copy a packet input through an input terminal and forward the packet to an output terminal side and a duplicate packet transmitting side; Located on the data path between the packet replicating unit and the output terminal, provided with a switch memory unit, and off when the destination address of the packet matches the address data stored in the switch memory unit to block the data path between the packet replication unit and the output terminal Soft switch; And a scheduler that is located on a data path intersection point between the packet copying unit and the output terminal and the data path intersection point between the processing packet receiving end and the output end, and determines a processing order of the delivered packets and transmits them to the output end.

또한 본 발명에 따른 네트워크 탭장치는 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터를 더 구비하며, 패킷의 목 적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단측으로 바이패스하는 것을 특징으로 할 수 있다.In addition, the network tap apparatus according to the present invention further includes a bypass filter including a filter memory unit on a data path between the input terminal and the packet copy unit, and when the destination address of the packet does not match the address data stored in the filter memory unit. It can be characterized by bypassing the packet to the output end side.

또한, 본 발명에 따른 네트워크 보안장치는 스위치 메모리부에 저장될 주소를 저장하는 임시메모리 영역을 구비하며, 복제 패킷 송신단을 통하여 전달된 패킷이 임시 메모리영역에 저장된 주소와 동일 목적지 주소를 가질 경우 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되는 경우에는 해당 패킷을 처리 패킷 수신단으로 리턴하는 프로세서부를 포함하는 것을 특징으로 할 수 있다.In addition, the network security apparatus according to the present invention includes a temporary memory area for storing an address to be stored in the switch memory unit, and the DDoS when a packet transmitted through the duplicate packet transmitter has the same destination address as the address stored in the temporary memory area. The processor may discard the packet if it is determined to be an attack packet, and return the packet to the processing packet receiver when the packet is determined to be normal data.

또한, 본 발명의 다른 양상에 따른 분산 서비스 거부(DDos) 공격 방어 방법은 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 것으로서, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함하는 것을 특징으로 한다.In addition, the distributed denial of service (DDos) attack defense method according to another aspect of the present invention uses a security device including a mode switch tap device installed in a specific node of the network, the tap device is maintained in the passive tapping mode to pass through the node Analyzing and monitoring the packet; When the DDoS attack is detected, the tap device switches to the selective inline mode for the packet having the detected attack destination address; And a packet having an address other than the attack destination passes through the node, and the packet having the attack destination address is analyzed and discarded if the packet is a DDoS attack packet and delivered to the node output terminal if the packet is a normal packet.

본 발명은 패시브 태핑 모드(Passive Tapping Mode)와 선택적 인라인 모드(Selective Inline Mode)가 전환 가능한 스마트 탭 장치를 이용하여, DDoS 공격 을 효과적으로 차단하는 것은 물론, FPGA(Field Programmable Gate Array) 등을 이용하여 손쉽게 구현할 수 있고, 초고속 네트워크 환경에서 실시간 동작이 가능하며, 네트워크의 특정 노드에 설치함으로써 망 설정이 매우 간편한 우수하며, 보안컴퓨터 처리 용량을 크게 줄일 수 있는 유리한 효과가 있다.The present invention utilizes a smart tap device that can switch between passive tapping mode and selective inline mode, effectively blocking DDoS attacks, and using a field programmable gate array (FPGA). It can be easily implemented, real-time operation is possible in the high-speed network environment, the network configuration is very easy by installing on a specific node of the network, and there is an advantageous effect that can greatly reduce the security computer processing capacity.

본 발명은 네트워크 상에서 분산 서비스 거부 (DDoS, Distributed Denial of Service) 공격으로부터 보호 대상 서버를 보호하기 위하여 패시브 태핑 모드(Passive Tapping Mode)와 선택적 인라인 모드(Selective Inline Mode)가 전환 가능한 스마트 탭 장치를 이용하는 기술에 관한 것이다.The present invention utilizes a smart tap device that can switch between passive tapping mode and selective inline mode to protect a server to be protected from distributed denial of service (DDoS) attacks on a network. It's about technology.

본 발명의 구체적인 특징은 이하에서 설명하는 일 실시예를 통해 더욱 구체화될 것이다. 이하 첨부된 도면을 참조하여 본 발명의 일 실시예를 설명한다.Specific features of the present invention will be further embodied through one embodiment described below. Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.

도 2은 본 발명의 일 실시예에 따른 DDoS 방어 개념을 나타낸 도면이다. 도2(a)는 탭장치(220)가 패시브 태핑(passive tapping) 모드 상태일 때의 패킷 흐름을 나타내고, 도2(b)는 탭장치(220)가 선택적 인라인(selective inline) 모드 상태일 때의 패킷 흐름을 나타낸다. 즉, 탭장치(220)는 패시브 태핑 모드와 선택적 인라인 모드로 전환이 가능한 스마트 탭으로서 오픈된 인터넷(230)으로부터 보호 대상 서브네트(240)를 구분할 수 있는 네트워크의 특정 노드에 설치된다. 탭장치(220)는 보안컴퓨터(210)에 연결되며, 평상시에는 패시브 태핑 모드로 유지되어 인터넷으로부터 수신되는 패킷을 서브네트로 전달하는 동시에 각 패킷을 복제하여 보안컴퓨터(210)로 전송한다. 보안컴퓨터(210)는 패시브 태핑 모드의 탭장치(220)로부터 전송된 패킷을 분석하여 DDoS공격이 발생하는지를 모니터링 한다. 만일 DDoS공격이 감지되는 경우 보안컴퓨터(210)는 즉시 탭장치(220)에 선택적 인라인 모드로 모드전환을 명령하여 특정 목적지를 갖는 패킷에 대하여 바이패스경로를 차단하고, 보안컴퓨터(210)는 해당 패킷을 분석하여 DDoS 공격을 하는 악의적인 패킷은 폐기하고 정상적인 패킷만을 탭장치(220)로 리턴하여 서브네트(240)로 정상적인 패킷의 흐름이 가능하도록 한다. 2 is a diagram illustrating a DDoS defense concept according to an embodiment of the present invention. Figure 2 (a) shows the packet flow when the tap device 220 is in passive tapping mode, and Figure 2 (b) is when the tap device 220 is in selective inline mode. Indicates the packet flow. That is, the tap device 220 is a smart tap that can be switched between the passive tapping mode and the selective inline mode, and is installed in a specific node of the network capable of distinguishing the protected subnet 240 from the open Internet 230. The tap device 220 is connected to the security computer 210, and is normally maintained in the passive tapping mode to transfer packets received from the Internet to the subnet, and to copy each packet to the security computer 210. The security computer 210 analyzes the packet transmitted from the tap device 220 in the passive tapping mode and monitors whether a DDoS attack occurs. If a DDoS attack is detected, the security computer 210 immediately instructs the tap device 220 to switch the mode to the selective inline mode to block the bypass path for the packet having a specific destination, and the security computer 210 corresponds to the corresponding device. By analyzing the packet, the malicious packet for the DDoS attack is discarded and only the normal packet is returned to the tap device 220 to enable the normal packet flow to the subnet 240.

즉, 본 발명에 따라 네트워크(230, 240)에서의 분산 서비스 거부(DDoS) 공격을 검출하여 방어하는 시스템은 오픈 인터넷(230)으로부터 전달된 패킷 중 악의적인 패킷을 검출하여 폐기하고, 유효한 패킷만을 보호 대상의 서브네트(240)로 전달하는 것을 특징으로 한다. 보안컴퓨터(210)는 인터넷(230)으로부터 전달된 패킷을 분석하여 DDoS 공격용의 악의적인 패킷과 유효한 패킷을 판단하는 기능을 하는 패킷 판단부를 구비한다. That is, according to the present invention, a system for detecting and defending a distributed denial of service (DDoS) attack in the networks 230 and 240 detects and discards malicious packets among the packets transmitted from the open Internet 230, and discards only valid packets. It is characterized in that the transmission to the subnet 240 to be protected. The security computer 210 includes a packet determination unit that analyzes packets transmitted from the Internet 230 to determine malicious packets for DDoS attacks and valid packets.

또한, 탭장비(220)는 수신된 패킷의 목적지 주소가 DDoS 공격 방어 서비스를 요청한 보호 대상 주소가 아닐 경우에는 패킷을 바이패스 하도록 하는 소위 선별 복제(filtered mirroring) 및 선별 인라인(filtered inlining)을 수행하게 할 수 있다. 이 경우 서비스를 요청하지 않은 목적지 주소를 갖는 패킷의 전달은 보안컴퓨터(210)를 통하지 않고 서브네트워크(240)로 바이패스 되므로, 특히 서브네트에 연결된 클라이언트가 많을 경우에 보안컴퓨터(210)가 부담할 부하를 경감시켜 준다. In addition, the tap device 220 performs so-called filtered mirroring and filtered inlining to bypass the packet when the destination address of the received packet is not the protected address that requested the DDoS attack defense service. It can be done. In this case, since the delivery of a packet having a destination address for which no service is requested is bypassed to the subnetwork 240 without passing through the security computer 210, the security computer 210 is burdened especially when there are many clients connected to the subnet. Reduce the load to be done.

상기와 같이 패시브 태핑(Passive Tapping) 모드와 선택적 인라인(Selective Inline) 모드의 전환이 가능한 스마트 탭장치는 게이트웨이 어레이와 같은 단일 소자로서 구현이 가능하다. 도3은 본 발명에 따른 스마트 탭소자를 설명하기 위한 도면이다.As described above, the smart tap device capable of switching between the passive tapping mode and the selective inline mode may be implemented as a single device such as a gateway array. 3 is a view for explaining a smart tap element according to the present invention.

스마트 탭소자(220)는 입력단(310), 출력단(320), 복제 패킷 송신단(330), 및 처리 패킷 수신단(340)을 구비하며, 오픈 인터넷(230)으로부터 입력단(310)을 통하여 입력된 패킷을 복제하여 출력단(320) 및 복제 패킷 송신단(330)으로 포워딩 하는 패킷 복제부(350)가 구비된다. 상기 패킷 복제부(350)와 출력단(320) 사이의 데이터 경로상에는 소프트 스위치(SW)가 위치하며, 소프트 스위치(SW)는 스위치 메모리부(Ms)를 구비하여 패킷의 목적지 주소가 메모리부(Ms)에 저장된 주소 데이터와 일치되면 소프트 스위치(SW)가 오프되어 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하며, 패킷은 복제 패킷 송신단(330)을 통하여 보안컴퓨터 또는 프로세서부(210)로만 전달된다. 프로세서부는(210)는 복제 패킷 송신단(330)을 통하여 전달된 패킷을 분석하여 DDoS 공격이 있는지 여부를 지속적으로 모니터링 하여, DDoS 공격이 감지되는 경우 해당 목적지 주소를 임시 메모리 영역(M211)에 저장하고, 또한 스마트 탭소자의 스위치 메모리부(Ms)에 저장되도록 한다. 이후 프로세서부는(210)는 복제 패킷 송신단(330)을 통하여 전달된 패킷이 임시 메모리영역(M211)에 저장된 주소와 동일 목적지를 가질 경우, 이를 분석하여 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되면 해당 패킷을 처리 패킷 수신단(340)으로 리턴하여 준다. 상기 처리 패킷 수신단(340)으로 입력된 패킷이 출력단을 통하여 송신되도록 데이터 경로가 형성되어, 처리 패킷은 보호 대상 서브네트(240)로 전달됨으로써 정상적인 패킷은 패킷 플로우가 제한되지 않게 된다. 상기 패킷 복제부(350)와 출력단(320) 사이의 데이터 경로와 상기 처리 패킷 수신단(340)과 출력단(320) 사이의 데이터 경로의 교차점 상에 위치하는 스케쥴러(380)를 더 포함할 수 있다. 상기 스케쥴러(380)는 상기 패킷 복제부(350) 또는 상기 처리 패킷 수신단(340)으로부터 전달되는 패킷의 처리 순서를 결정하여 출력단(320)측으로 전달하는 기능을 수행한다. DDoS 공격이 해제되었다고 판단되는 경우, 프로세서부는(210)는 임시 메모리 영역(M211)에서 해당 목적지 주소를 삭제하고 스마트 탭소자의 스위치 메모리부(Ms)의 주소 데이터를 갱신한다. The smart tap device 220 includes an input terminal 310, an output terminal 320, a duplicate packet transmitting terminal 330, and a processing packet receiving terminal 340, and a packet input through the input terminal 310 from the open Internet 230. The packet replica unit 350 is provided to copy the data and forward the duplicated data to the output terminal 320 and the duplicate packet transmitter 330. The soft switch SW is positioned on the data path between the packet copy unit 350 and the output terminal 320. The soft switch SW includes a switch memory unit Ms so that a destination address of the packet is the memory unit Ms. If the data is matched with the address data stored in the), the soft switch (SW) is turned off to block the data path between the packet replicating unit and the output terminal, the packet is transmitted only to the security computer or processor unit 210 through the duplicate packet transmission unit 330 do. The processor unit 210 continuously monitors whether there is a DDoS attack by analyzing the packet transmitted through the duplicate packet transmitter 330, and stores a corresponding destination address in the temporary memory area M211 when a DDoS attack is detected. In addition, it is to be stored in the switch memory unit (Ms) of the smart tap element. Afterwards, if the packet transmitted through the duplicate packet transmitter 330 has the same destination as the address stored in the temporary memory area M211, the processor 210 analyzes it and discards the packet if it is determined to be a DDoS attack packet. If it is determined that the data, the packet is returned to the processing packet receiving end (340). The data path is formed such that the packet inputted to the processing packet receiving end 340 is transmitted through the output end, so that the processing packet is delivered to the protected subnet 240 so that the normal packet is not restricted in the packet flow. The scheduler 380 may further include a scheduler 380 positioned at an intersection of the data path between the packet copying unit 350 and the output terminal 320 and the data path between the processing packet receiving end 340 and the output terminal 320. The scheduler 380 determines a processing order of packets transmitted from the packet copying unit 350 or the processing packet receiving end 340 and transmits the processing order to the output end 320. When it is determined that the DDoS attack is released, the processor 210 deletes the corresponding destination address from the temporary memory area M211 and updates the address data of the switch memory part Ms of the smart tap element.

상기 입력단(310)과 패킷 복제부(350) 사이의 데이터 경로상에는 필터 메모리부(Mf)를 구비하는 바이패스 필터(360)를 더 구비할 수 있다. 바이패스 필터(360)는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하게 된다. 상기 바이패스필터(360)로부터 출력단으로 바이패스 되는 패킷의 데이터 경로가 상기 스케쥴러(380)에 연결되도록 하며, 상기 스케쥴러(380)는 상기 패킷 복제부(350), 상기 처리 패킷 수신단(340) 또는 상기 바이패스필터(360)로부터 전달되는 패킷의 처리 순서를 결정하여 패킷 흐름을 제어할 수 있다. 예를 들어, 상기 스케쥴러(380)는 상기 패킷 복제부(350), 상기 처리 패킷 수신단(340) 또는 상기 바이패스필터(360)로부터 전달되 는 패킷 중 먼저 도달된 패킷을 우선적으로 출력단(320)으로 전송하는 FIFO제어 등을 적용할 수 있다.A bypass filter 360 including a filter memory unit Mf may be further provided on the data path between the input terminal 310 and the packet replica unit 350. The bypass filter 360 bypasses the packet to the output terminal when the destination address of the packet does not match the address data stored in the filter memory unit. The data path of the packet bypassed from the bypass filter 360 to the output terminal is connected to the scheduler 380, and the scheduler 380 is the packet copying unit 350, the processing packet receiving end 340 or The packet flow may be controlled by determining a processing order of packets transmitted from the bypass filter 360. For example, the scheduler 380 preferentially transmits the first arrived packet among the packets transmitted from the packet replicating unit 350, the processing packet receiving end 340, or the bypass filter 360 to the output end 320. FIFO control to transmit can be applied.

필터 메모리부(Mf)에는 사전에 서비스를 신청한 고객의 주소 데이터가 저장되며, 이의 프로세서부는(210)의 고객등록부(M212)를 통하여 갱신 가능하다. 또한 입력단의 직후단에는 위치하는 수동필터(370)를 더 포함할 수 있으며, 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하도록 하여 네트워크 보안장치의 전원 장애시에 패킷의 흐름이 비정상적으로 제한되는 상황을 방지하게 된다.In the filter memory unit Mf, address data of a customer who applied for service in advance is stored, and the processor unit may be updated through the customer registration unit M212 of the 210. In addition, the filter may further include a passive filter 370 positioned immediately after the input terminal. The passive filter bypasses all packets to the output terminal when the power is cut off, thereby abnormally restricting the flow of packets in the event of a power failure of the network security device. To avoid this situation.

DDoS 공격 판단은 일반적으로 알려진 방법을 사용할 수 있으며, 예컨대 동일 목적지 주소를 갖는 패킷 수가 초당 기준 수를 초과할 경우 해당 목적지 클라이언트 서버 또는 라우터가 DDoS 공격을 받는 것으로 1차적인 판단을 할 수 있으며, 기타 추가적인 기준을 적용하여 해당 목적지를 갖는 패킷에 대하여 선택적 인라인 모드를 적용할 수 있다. 목적지 주소는 특정 목적지의 IP 주소 또는 TCP/UDP 포트 번호 등으로 특정될 수 있다. 보안 컴퓨터의 패킷 분석은 목적지 주소(Destination Address), 목적지 포트(Destination Port) 등이 포함된 헤더 부분뿐 아니라, 데이터그램(패킷)의 페이로드 데이터 부분 등을 비교하여 미리 설정된 분류 기준에 따라 패킷의 유효성 여부를 판단한다.Determination of DDoS attacks can generally be done using a known method, for example, if the number of packets with the same destination address exceeds the standard number per second, the primary decision can be made that the destination client server or router is under DDoS attacks. Additional criteria can be applied to apply the optional inline mode for packets with the destination. The destination address may be specified as an IP address or a TCP / UDP port number of a specific destination. The packet analysis of the security computer compares the payload data portion of the datagram (packet) as well as the header portion including the destination address and destination port, and compares the packet according to a predetermined classification criteria. Determine the validity.

상기와 같은 탭장치를 FPGA 소자, 마이크로프로세서(microprocessor), ASIC 또는 이러한 것들을 결합하는 방법 등으로 다양하게 구현할 수 있으며, 패시브 태핑 모드 및 선택적 인라인 모드를 상호 전환에 의하여 Gbps 급 이상의 초고속 네트 워크 환경에서 실시간으로 전달되는 패킷을 통제할 수 있다. Such a tap device can be implemented in various ways such as an FPGA device, a microprocessor, an ASIC, or a combination thereof. In a high-speed network environment of Gbps or higher by switching between a passive tapping mode and an optional inline mode, You can control the packets delivered in real time.

상기와 같은 FPGA 소자로 구현한 탭장치 및 보안 컴퓨터를 포함하는 보안장치를 이용하여 분산 서비스 거부(DDos) 공격을 방어하는 방법은 보안장치를 서비스를 받고자 하는 클라이언트가 속하는 서브네트와 오픈된 인터넷이 특정 노드에 설치하고, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함한다. 이때 입력된 패킷의 목적지 주소가 미리 등록된 서비스 대상 주소와 일치되는 않는 경우에는 패킷을 출력단으로 바이패스 하는 단계를 먼저 실행할 수 있다. 또한 DDoS 공격이 해제되었다고 판단되는 경우, 탭장치가 해당 목적지 패킷에 대하여 패시브 태핑 모드로 전환되는 단계가 추가된다. 만일 탭장치에 전원이 차단되는 경우에는 모든 패킷을 출력단으로 바이패스 하는 것은 앞서 설명된 바와 같다. A method for preventing distributed denial of service (DDos) attacks by using a security device including a tap device and a security computer implemented with the above-described FPGA device includes a subnet to which the client to receive the security device and an open Internet. Installing at a specific node, and the tap device is maintained in passive tapping mode so that packets passing through the node are analyzed and monitored; When the DDoS attack is detected, the tap device switches to the selective inline mode for the packet having the detected attack destination address; The packet having an address other than the attack destination passes through the node, and the packet having the attack destination address is analyzed and discarded if the packet is a DDoS attack packet, and delivered to the node output terminal if the packet is a normal packet. In this case, if the destination address of the input packet does not match the pre-registered service target address, the step of bypassing the packet to the output terminal may be performed first. In addition, when it is determined that the DDoS attack is released, a step of switching the tapping device to the passive tapping mode for the corresponding destination packet is added. If the tap device is powered off, bypassing all packets to the output stage is as described above.

즉, 서비스 요청 목적지 주소를 포함하는 패킷인지 여부에 따라 바이패스 모드와 패시브 태핑 모드가 결정되고, 보안컴퓨터에 의하여 패킷의 유효성을 판단하고, 이에 따라 패시브 태핑 모드와 선택적 인라인 모드가 결정되는 방법이다. That is, the bypass mode and the passive tapping mode are determined according to whether the packet includes the service request destination address, the validity of the packet is determined by the security computer, and the passive tapping mode and the selective inline mode are determined accordingly. .

상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가진 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러하 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다. 또한, 상기의 실시예로 도시된 도면은 확대 또는 축소하여 도시된 것으로 보아야 할 것이다.The embodiments of the present invention described above are disclosed for the purpose of illustration, and those skilled in the art having various ordinary knowledge of the present invention may make various modifications, changes, and additions within the spirit and scope of the present invention. Additions should be considered to be within the scope of the following claims. In addition, the drawings shown in the above embodiments should be seen as being shown enlarged or reduced.

도1은 분산 서비스 공격(DDoS)의 일반적인 구조를 도시한 도면이다.1 is a diagram illustrating a general structure of a distributed service attack (DDoS).

도2는 본 발명의 일 실시예에 따른 DDoS 방어 개념을 나타낸 도면이다. 2 is a diagram illustrating a DDoS defense concept according to an embodiment of the present invention.

도3은 본 발명에 따른 스마트 탭소자를 설명하는 도면이다.3 is a view for explaining a smart tap element according to the present invention.

Claims (14)

네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위한 네트워크 탭장치로서, 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하며, A network tap device for detecting and defending a distributed denial of service (DDoS) attack on a network, comprising: an input, an output, a duplicate packet transmitter, and a processed packet receiver; 입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부; A packet replicating unit configured to copy the packet input through the input terminal and forward the packet to the output terminal side and the duplicate packet transmitting side; 상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치; Located on the data path between the packet replicating unit and the output terminal, provided with a switch memory unit, and off when the destination address of the packet matches the address data stored in the switch memory unit to block the data path between the packet replication unit and the output terminal Soft switch; 상기 소프트 스위치와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로의 교차점상에 위치되며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러; 및 A scheduler positioned on the intersection of the data path between the soft switch and the output terminal and the data path between the processing packet receiving end and the output end, the scheduler configured to determine a processing order of the transmitted packets and to transmit it to the output end; And 상기 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터;를 포함하며, And a bypass filter including a filter memory unit on a data path between the input terminal and the packet replica unit. 상기 바이패스 필터는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하는 네트워크 탭장치.And the bypass filter bypasses the packet to the output terminal when the destination address of the packet does not match the address data stored in the filter memory unit. 삭제delete 제1항에 있어서,The method of claim 1, 상기 바이패스필터로부터 출력단측으로 바이패스 되는 패킷의 데이터 경로가 상기 스케쥴러에 연결되는 것을 특징으로 하는 네트워크 탭장치.And a data path of a packet bypassed from the bypass filter to the output end is connected to the scheduler. 제1항 또는 제3항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 입력단의 직후단에위치하는 수동필터를 더 포함하며, Further comprising a passive filter located immediately after the input terminal, 상기 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 네트워크 탭장치.The passive filter is a network tap device, characterized in that bypassing all packets to the output terminal when the power is cut off. 네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위하여 게이트웨이 어레이부와 프로세서부를 포함하는 네트워크 보안장치로서, A network security device including a gateway array unit and a processor unit for detecting and defending a distributed denial of service (DDoS) attack on a network, 상기 게이트웨이 어레이부는 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하고, The gateway array unit includes an input terminal, an output terminal, a duplicate packet transmitting end, and a processing packet receiving end, 입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부;A packet replicating unit configured to copy the packet input through the input terminal and forward the packet to the output terminal side and the duplicate packet transmitting side; 상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치; Located on the data path between the packet replicating unit and the output terminal, provided with a switch memory unit, and off when the destination address of the packet matches the address data stored in the switch memory unit to block the data path between the packet replication unit and the output terminal Soft switch; 상기 처리 패킷 수신단으로 수신된 패킷이 출력단을 통하여 전달되도록 데이터 경로; 및 A data path such that a packet received at the processing packet receiving end is passed through an output end; And 상기 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터;를 포함하며,And a bypass filter including a filter memory unit on a data path between the input terminal and the packet replica unit. 상기 프로세서부는 스위치 메모리부에 저장될 주소를 저장하는 임시메모리 영역을 구비하며, 복제 패킷 송신단을 통하여 전달된 패킷이 임시메모리영역에 저장된 주소와 동일 목적지 주소를 가질 경우 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되는 경우에는 해당 패킷을 처리 패킷 수신단으로 리턴하며,The processor unit includes a temporary memory area for storing an address to be stored in the switch memory unit. If the packet transmitted through the duplicate packet transmitter has the same destination address as the address stored in the temporary memory area, the processor receives the packet if it is determined to be a DDoS attack packet. If discarded and determined to be normal data, the packet is returned to the processed packet receiver. 상기 바이패스 필터는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하는 것을 특징으로 하는 네트워크 보안장치.And the bypass filter bypasses the packet to the output terminal if the destination address of the packet does not match the address data stored in the filter memory unit. 제5항에 있어서,The method of claim 5, 상기 패킷 복제부와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로 교차점 상에 위치하며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러;를 더 포함하는 네트워크 보안장치.A scheduler positioned on a data path intersection point between the packet copying unit and the output end and a data path intersection point between the processing packet receiving end and the output end, and configured to determine a processing order of the transmitted packets and to transmit it to the output end. 삭제delete 제5항 또는 제6항에 있어서, The method according to claim 5 or 6, 상기 입력단의 직후단에 위치하는 수동필터를 더 포함하며, Further comprising a passive filter located immediately after the input terminal, 상기 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 네트워크 보안장치.The passive filter bypasses all packets to an output terminal when the power is cut off. 제5항 또는 제6항에 있어서, The method according to claim 5 or 6, 스위치 메모리부의 주소 데이터는 프로세서부에 의하여 갱신 가능한 것을 특징으로 하는 네트워크 보안장치.And the address data of the switch memory unit can be updated by the processor unit. 제5항에 있어서, The method of claim 5, 필터 메모리부의 주소 데이터는 프로세서부에 의하여 갱신 가능한 것을 특징으로 하는 네트워크 보안장치.And the address data of the filter memory unit may be updated by the processor unit. 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 분산 서비스 거부(DDos) 공격 방어 방법에 있어서,In the distributed denial of service (DDos) attack defense method using a security device including a mode switch tap device installed in a specific node of the network, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계;The tap device is maintained in passive tapping mode so that packets passing through the node are analyzed and monitored; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및 When the DDoS attack is detected, the tap device switches to the selective inline mode for the packet having the detected attack destination address; And 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함하며,A packet having an address other than the attack destination passes through the node, and a packet having the attack destination address is analyzed and discarded if the packet is a DDoS attack packet, and delivered to the node output terminal if the packet is a normal packet. 입력된 패킷의 목적지 주소가 미리 등록된 서비스 대상 주소와 일치되는 않는 경우에는 패킷을 출력단으로 바이패스 하는 단계를 먼저 실행하는 분산 서비스 거부(DDos) 공격 방어 방법.The distributed denial of service (DDos) attack defense method, if the destination address of the input packet does not match the pre-registered service target address, bypasses the packet to the output stage. 제11항에 있어서,The method of claim 11, DDoS 공격이 해제되었다고 판단되는 경우, 탭장치가 해당 목적지 패킷에 대하여 패시브 태핑 모드로 전환되는 단계;를 더 포함하는 분산 서비스 거부(DDos) 공격 방어 방법.If it is determined that the DDoS attack is released, the tap device is switched to the passive tapping mode for the destination packet; Distributed denial of service (DDos) attack defense method further comprising. 삭제delete 제11항 또는 제12항에 있어서,13. The method according to claim 11 or 12, 탭장치에 전원이 차단되는 경우에는 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 분산 서비스 거부(DDos) 공격 방어 방법.Distributed power denial of service (DDos) attack defense method characterized in that by bypassing all packets to the output terminal when the power to the tap device is cut off.
KR1020090018051A 2009-03-03 2009-03-03 System and Method for Defending against Distributed Denial of Service Attack KR101028101B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090018051A KR101028101B1 (en) 2009-03-03 2009-03-03 System and Method for Defending against Distributed Denial of Service Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090018051A KR101028101B1 (en) 2009-03-03 2009-03-03 System and Method for Defending against Distributed Denial of Service Attack

Publications (2)

Publication Number Publication Date
KR20100099513A KR20100099513A (en) 2010-09-13
KR101028101B1 true KR101028101B1 (en) 2011-04-08

Family

ID=43005800

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090018051A KR101028101B1 (en) 2009-03-03 2009-03-03 System and Method for Defending against Distributed Denial of Service Attack

Country Status (1)

Country Link
KR (1) KR101028101B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101979157B1 (en) * 2018-09-27 2019-05-15 이광원 Non-address network equipment and communication security system using it

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020085053A (en) * 2001-05-04 2002-11-16 이재형 Network traffic flow control system
KR20040044209A (en) * 2002-11-19 2004-05-28 한국전자통신연구원 METHOD AND APPARATUS FOR PROTECTING LEGITIMATE TRAFFIC FROM DoS AND DDoS ATTACKS
KR100596362B1 (en) 2006-03-27 2006-07-05 주식회사 윈스테크넷 System and method of controlling network traffic
KR20080021492A (en) * 2006-08-31 2008-03-07 영남대학교 산학협력단 Ddos protection system and method in per-flow based packet processing system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020085053A (en) * 2001-05-04 2002-11-16 이재형 Network traffic flow control system
KR20040044209A (en) * 2002-11-19 2004-05-28 한국전자통신연구원 METHOD AND APPARATUS FOR PROTECTING LEGITIMATE TRAFFIC FROM DoS AND DDoS ATTACKS
KR100596362B1 (en) 2006-03-27 2006-07-05 주식회사 윈스테크넷 System and method of controlling network traffic
KR20080021492A (en) * 2006-08-31 2008-03-07 영남대학교 산학협력단 Ddos protection system and method in per-flow based packet processing system

Also Published As

Publication number Publication date
KR20100099513A (en) 2010-09-13

Similar Documents

Publication Publication Date Title
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
US7707305B2 (en) Methods and apparatus for protecting against overload conditions on nodes of a distributed network
JP5826920B2 (en) Defense method against spoofing attacks using blocking server
US8484372B1 (en) Distributed filtering for networks
US10116692B2 (en) Scalable DDoS protection of SSL-encrypted services
US20090013404A1 (en) Distributed defence against DDoS attacks
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
US20060212572A1 (en) Protecting against malicious traffic
CN108353068B (en) SDN controller assisted intrusion prevention system
WO2002021771A1 (en) Device to protect victim sites during denial of service attacks
JP6599819B2 (en) Packet relay device
KR101042291B1 (en) System and method for detecting and blocking to distributed denial of service attack
WO2003050644A2 (en) Protecting against malicious traffic
Geneiatakis et al. A multilayer overlay network architecture for enhancing IP services availability against DoS
CA2469885C (en) Protecting against malicious traffic
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
KR101028101B1 (en) System and Method for Defending against Distributed Denial of Service Attack
CN110071905B (en) Method for providing a connection, border network and IP server
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
Du et al. Mantlet trilogy: ddos defense deployable with innovative anti-spoofing, attack detection and mitigation
US20050086524A1 (en) Systems and methods for providing network security with zero network footprint
Kimiyama et al. Autonomous and distributed internet security (AIS) infrastructure for safe internet
JP6934758B2 (en) Packet relay device and packet relay method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160323

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190402

Year of fee payment: 9