KR101048000B1 - DDoS Attack Detection and Defense - Google Patents
DDoS Attack Detection and Defense Download PDFInfo
- Publication number
- KR101048000B1 KR101048000B1 KR1020090064010A KR20090064010A KR101048000B1 KR 101048000 B1 KR101048000 B1 KR 101048000B1 KR 1020090064010 A KR1020090064010 A KR 1020090064010A KR 20090064010 A KR20090064010 A KR 20090064010A KR 101048000 B1 KR101048000 B1 KR 101048000B1
- Authority
- KR
- South Korea
- Prior art keywords
- site
- attack
- dns
- terminal
- user
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 광대역 망에 연결되어 인터넷을 사용하는 모든 단말들 중에 바이러스, 웜, 트로이목마 등을 단말에 감염시켜 제어권을 획득하고, 특정사이트를 고의적으로 반복 접속하여 네트워크 대역폭 또는 접속 서버의 자원을 고갈 시켜 정상 단말들의 접근을 거부하는 분산 서비스 거부공격(Distributed Denial of Service 이하 DDoS)의 감지 및 방어 방법에 관한 것으로 기존에 DDoS공격 방어 장비들이 해당 사이트로 접속하는 외부망과 서버의 중간에 위치하여 공격을 막아왔다.The present invention obtains control by infecting a virus, a worm, a Trojan horse, etc. among all the terminals using the Internet connected to the broadband network, and deliberately repeatedly accesses a specific site to deplete network bandwidth or access server resources. It is a method of detecting and defending Distributed Denial of Service (DDoS) that denies access to normal terminals by making it denied. The existing DDoS attack defense devices are located in the middle of the external network and server connected to the site. To prevent it.
그러나 방어장비와 서버 사이의 네트워크 부하만을 줄일 수 있을 뿐 외부망에서부터 방어 장비까지의 네트워크부분은 그대로 공격에 노출되기 때문에 DDoS공격 트래픽이 외부망에서 방어 장비까지의 네트워크 대역폭을 넘어서는 순간 방어기능을 더 이상 할 수 없는 한계에 이르게 되었다.However, the network load between the defense equipment and the server can be reduced only, and the network portion from the external network to the defense equipment is exposed to the attack, so the DDoS attack traffic increases the defense function as soon as the network bandwidth exceeds the network bandwidth from the external network to the defense equipment. It came to a limit that could not be strange.
이러한 한계를 극복하기 위하여 감염된 단말의 공격을 감지하고 공격 사이트로 접근하기 위한 요청의 응답을 변경하여 공격 차단 사이트로 유도하고 공격 대상 사이트로의 접근을 차단함으로써 DDoS 공격이 증가하여도 공격 대상 사이트의 네트워크 대역폭에 대한 트래픽량은 안정적으로 유지되는 감지/검출 및 방어 시스템 이다.In order to overcome this limitation, it detects the attack of the infected terminal, changes the response of the request to access the attack site, directs it to the attack blocking site, and blocks the access to the target site. The traffic volume for the network bandwidth is a stable detection / detection and defense system.
DDoS: Distributed Denial of Service(분산 서비스 공격), SYN: TCP 프로토콜의 특성상 신뢰성 있는 연결을 하기 위하여 요청하는 패킷을 SYN이라 하고 요청한 것을 받았다고 응답하는 패킷을 ACK, DNS Lookup: Domain Name Server로부터 해당 사이트의 IP주소를 받기 위해 도메인 정보를 넘겨주는 것(DNS Request 패킷과 DNS Response 패킷으로 이루어짐), DNS 패킷 변조 기술: DNS Lookup을 할 때 Domain Name Server보다 빠르게 응답을 주면 해당 사이트의 IP주소를 변조할 수 있는 기술, DNS Flush: DNS 캐쉬의 정보를 삭제하는 것, DNS 캐쉬: DNS Lookup을 통하여 획득한 사이트의 URL과 IP주소를 일정시간 동안 저장하는 저장소, 도메인뷰: 인터넷 사용자가 인터넷상에 있는 홈페이지 도메인에 접속한 횟수, 페이지뷰: 인터넷 사용자가 인터넷 상에 있는 홈페이지를 열어본 횟수, 좀비PC: 악성코드에 감염된 컴퓨터(C&C 서버의 제어를 받아 주로 DDoS 공격등에 이용) DDoS: Distributed Denial of Service (SDo), SYN: Due to the nature of the TCP protocol, a requesting packet is called a SYN to establish a reliable connection. Passing domain information to obtain an IP address (consisting of DNS Request packet and DNS Response packet), DNS packet modulation technology: When DNS Lookup responds faster than Domain Name Server, the site's IP address can be modified. Technology, DNS Flush: clearing DNS cache information, DNS cache: storage for storing the URL and IP address of a site acquired through DNS Lookup for a certain time, domain view: homepage domain where Internet users are on the Internet The number of times you access the website, pageviews: The number of times an Internet user opens the homepage on the Internet, the zombie PC: The computer infected with malware Emitter (C & C used mainly under the control of the server, etc. DDoS attack)
Description
본 발명은 광대역 망에 연결되어 인터넷을 사용하는 모든 단말들 중에 바이러스, 웜, 트로이목마 등 을 단말에 감염 시켜 제어권을 획득하고, 특정 사이트를 공격하는 분산 서비스 거부공격(Distributed Denial of Service 이하 DDoS)의 감지/검출 및 방어 방법에 관한 것으로 , DDoS공격을 하는 단말을 분류하여 감염 단말이 특정 사이트에 접근을 시도할 때 기존의 방식인 목적지 도착 직전에 차단하는 것이 아닌 이상트래픽 징후를 감지, 바이러스에 걸려 좀비PC 역할을 하는 단말들을 검출하고, 공격 대상 사이트를 더 이상 DDoS 공격을 하지 못하도록 별도의 공격 차단 네트워크 및 공격 차단 사이트로 우회 시킨다. 또한 바이러스에 걸린 해당 좀비PC 단말에 팝업공지/차단공지와 같은 메시지 등을 전송하여 해당 단말 사용자에게 사실을 알려 치료를 유도하는 방식으로, 공격 대상 사이트도 보호하고, 원천적으로 더 이상 공격이 발생하지 않도록 해당 단말도 찾아내어 치료를 유도 및 차단하여 인터넷망과 공격 대상 서버간의 네트워크 대역폭에 영향을 주지 않도록 보안을 강화한 것이다.The present invention obtains control by infecting a virus, a worm, a Trojan horse, etc. among all terminals connected to a broadband network using the Internet, and performs a distributed denial of service attack (DDoS) attacking a specific site. It is about detection / detection and defense method of security. It detects abnormal traffic signs by classifying terminals that are attacked by DDoS and blocking the attack just before the arrival of destination, which is the existing method, when infected terminal tries to access a specific site. Detects terminals acting as a zombie PC, and bypasses the target site to a separate attack blocking network and attack blocking site to prevent DDoS attacks. In addition, by sending a message such as pop-up notification / blocking notification to the corresponding zombie PC terminal affected by the virus, the terminal user is protected by informing the facts and protecting the target site. In order to prevent the terminal from finding and inducing treatment and blocking, the security of the network bandwidth between the Internet network and the target server is enhanced.
기존에는 DDoS공격 방어 장비들이 해당 사이트로 접속하는 외부망과 서버의 중간에 위치하여 공격을 받으면 공격 패턴을 분석하여 좀비PC 단말이라고 판단될 경우 해당 IP에 대한 요청을 막아왔다.Previously, DDoS attack defense devices were located in the middle of the external network and server accessing the site, and when attacked, the attack pattern was analyzed to prevent the request for the IP when it was determined to be a zombie PC terminal.
그러나 요청을 거부하더라도 해당 요청을 분석하여 좀비PC 단말인지 판단하기 위한 트래픽은 발생하기 때문에, 방어장비와 서버 간의 네트워크 트래픽은 줄어들지만, 외부망으부터 방어장비까지의 트래픽은 계속 증가하게 되며 방어 장비가 방어할 수 있는 한계 트래픽 또는, 네트워크 트래픽을 넘게 되면 방어장비는 더 이상 요청에 대한 처리나 및 응답을 하지 못하게 된다.However, even if the request is rejected, traffic is generated to analyze the request and determine whether it is a zombie PC terminal. However, network traffic between the defense equipment and the server decreases, but traffic from the external network to the defense equipment continues to increase. Beyond the limitable traffic or network traffic, defenses can no longer process and respond to requests.
특히, 네트워크 대역폭을 증가시키는 데는 물리적인 한계가 있기 때문에, 대형 사이트라고 할지라도 공격 단말의 수가 증가되면 감염된 단말들에게 공격 명령을 내리는 지휘 단말을 찾아 명령을 차단하는 방법을 사용하고 있지만, 역추적하기가 쉽지 않아 대응하기가 현실적으로 힘든 상태였다.In particular, since there are physical limitations in increasing network bandwidth, even if a large site is used, if the number of attack terminals is increased, a method of blocking a command by searching for a command terminal that gives an attack command to infected terminals is blocked. It was difficult to do so it was hard to respond.
최근에는 공격 명령을 내리는 지휘 단말이 없이 미리 프로그램되어 단말이 감염되는 즉시 특정 사이트들을 지속적으로 공격하도록 하는 사례도 빈번히 이루어지고 있다. 이러한 상황에서 감염 단말이 다수가 될 시기 까지 잠복해 있다가 예정된 시간이 되면 특정 사이트를 공격하도록 미리 프로그램된 악성 프로그램을 유포하게 된다면, 그 피해도 심각해질 뿐만 아니라, 누가 공격 명령을 내렸는지 추적도 불가능할 수 있는 문제점이 있다.Recently, there have been frequent cases where a predetermined terminal is not programmed to attack and continuously attacks specific sites as soon as the terminal is infected. In such a situation, if the malware is lurking until the majority of infected terminals are distributed, and when a predetermined time comes, a malicious program pre-programmed to attack a specific site is spread, and the damage is not only serious but also traced to who issued the attack command. There is a problem that may be impossible.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 감염된 단말의 공격을 감지하고 공격 대상 사이트로 접근하기 위한 요청에 대한 응답을 변경하여 공격 차단 사이트로 유도하고 악성 프로그램을 백신으로 치료하여 감염 단말의 수를 줄이고, 공격 대상 사이트로 접근을 차단함으로써 DDoS 공격이 증가하여도 공격 대상 사이트의 네트워크 대역폭에 대한 트래픽량은 안정적으로 유지할 수 있고, 또한 감염 단말의 치료를 유도함으로써 인터넷망의 품질 개선도 이루어질 수 있는 디도스(DDoS) 공격 감지 및 방어방법의 제공을 목적으로 하고 있다.Therefore, the present invention has been devised to solve the above problems, detects an attack of an infected terminal and changes the response to a request for access to the target site to induce the attack blocking site and treat the malicious program with a vaccine. By reducing the number of infected terminals and blocking access to the target site, even if the DDoS attack increases, the traffic volume for the network bandwidth of the target site can be stably maintained. Also, by inducing the treatment of the infected terminal, It aims to provide a DDoS attack detection and defense method that can also improve quality.
상술한 목적을 달성하기 위한 본 발명은, 단말이 인터넷을 사용할 경우 해당 트래픽을 모니터링 할 수 있는 환경에서, 인터넷을 사용할 경우 트래픽을 검출엔진이 모니터링하여 설정된 시간마다 인터넷 접속 성향을 분석 서버 DB의 접속 기록 테이블에 저장하는 기술;The present invention for achieving the above object, in the environment that the terminal can monitor the corresponding traffic when using the Internet, when using the Internet to detect the traffic by the detection engine to analyze the Internet connection tendency at a set time to access the server DB Storing in a record table;
이상 트래픽 징후를 감지하기 위해 일반적이지 않는 패턴의 데이터를 모아 분석하여 데이터화 하고, 해당 패턴을 바탕으로 검출하는 기술;A technique of collecting and analyzing data of unusual patterns in order to detect abnormal traffic signs and making data based on the patterns;
접속 기록 테이블에 저장된 인터넷 접속 성향을 분석하여 정상 사용 단말과 악성 프로그램에 감염되어 특정 사이트를 공격하는 감염 단말을 구분하여 감염 단말의 사용자를 검출하고 검출된 목록을 방어 정책에 저장하는 기술;Analyzing a connection tendency of the Internet stored in the access record table to distinguish between a normal use terminal and an infected terminal infected by a malicious program to attack a specific site, and detect a user of the infected terminal and store the detected list in a defense policy;
방어 정책에 저장된 정보를 관리 감독을 목적으로 보여주기 위한 리포트 DB로 저장하는 기술;Storing the information stored in the defense policy as a report DB for management supervision;
방어 정책에 저장된 정보를 정책엔진이 내려받아 단말이 인터넷을 접속하기 위한 DNS Lookup을 정책엔진에서 먼저 감지하여 감염된 단말 사용자이면 접속하려는 사이트의 주소를 공격 차단 사이트로 변조시켜 해당 사이트의 서비스 운영을 정상화 할 수 있도록 하는 기술;The policy engine downloads the information stored in the defense policy and detects DNS lookup for the terminal to access the Internet first. If the infected terminal user is infected, the address of the site to be accessed is changed to the attack blocking site to normalize the service operation of the site. Technology to make it possible;
바이러스에 걸려 이상 트래픽을 계속 발생시키는 해당 좀비PC에 팝업공지/차단공지와 같은 메시지 등을 전송하여 해당 단말 사용자에게 사실을 알려 치료 안내 사이트로 접속을 유도하는 기술;Transmitting a message such as a pop-up notification / blocking notification to a corresponding zombie PC that continues to generate abnormal traffic due to a virus, thereby informing the terminal user of the fact and inducing access to a treatment guide site;
해당 단말 사용자에게 (1) 재부팅권유, (2) DNS Flush 등 DNS Lookup이 다시 일어날 수 있도록 메시지를 전송하여 유도하는 기술;A technique of transmitting and inducing a message so that a DNS lookup such as (1) rebooting recommendation and (2) DNS Flush occurs again to the corresponding terminal user;
치료 안내 사이트에서 백신을 받아 악성 프로그램의 치료가 끝난 단말들을 확인 절차를 통하여 정책엔진의 감염 단말 사용자 목록에서 제외시켜주는 기술을 포함하여 구성된 것을 특징으로 한다.It is characterized by including a technology that excludes the terminal that has been treated by the malicious program received from the treatment information site from the list of infected terminal users of the policy engine through the verification process.
본 발명의 일 측면에 따르면, 광대역 망에 연결되어 인터넷을 사용하는 모든 단말들 중에 DDoS공격을 하는 대상자를 분류하여 차단 또는 치료 안내 페이지로 유도하는 방법 및 기술을 제공하였다.According to an aspect of the present invention, there is provided a method and technology for classifying a target subject to DDoS attack among all the terminals using the Internet connected to the broadband network to the blocking or treatment guide page.
본 발명의 특성상 감염 단말이 공격 대상 사이트에 접근을 시도할 때 기존의 방식인 IPS 장비, 방화벽 등 공격 대상 사이트의 네트워크 도착 직전에 차단하는 것이 아닌, ISP 업체의 백본망 또는 그 유사한 네트워크 단에서 애초에 감염된 단말을 검출 및 원천 차단하는 방식으로서 DDoS공격 목표를 다른곳으로 우회 및 유도하여 인터넷망과 공격 대상 서버간의 네트워크 대역폭에 영향을 주지 않도록 보안을 강화하였기 때문에 실제 공격 대상 사이트를 안전하게 보호할 수 있다.Due to the characteristics of the present invention, when an infected terminal attempts to access an attacked site, the ISP does not block the IPS device, a firewall, or the like immediately before the network arrives. As a method of detecting and blocking the source of infected devices, by bypassing and inducing DDoS attack targets elsewhere, the security is strengthened so as not to affect the network bandwidth between the internet network and the target server, so the actual target site can be protected. .
본 발명의 다른 측면에 따르면, 대부분의 감염된 단말을 사용하는 클라이언트는 감염된 사실을 모르고 사용을 하게 되는데, 치료 안내 페이지에서 감염 사실을 사용자에게 알려주고 백신의 설치를 권장함으로써 인터넷 망 개선 효과도 제공할 수 있다.According to another aspect of the present invention, the client using most of the infected terminal is not used to know that the infection, the treatment guide page to inform the user of the infection and can also provide the effect of improving the Internet network by recommending the installation of the vaccine have.
이하, 본 발명에 따른 하나의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명한다. 먼저, 도면에 걸쳐 기능적으로 동일하거나, 유사한 부분에는 동일한 부호를 부여한다.Hereinafter, one preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings. First, like reference numerals designate functionally identical or similar parts throughout the drawings.
도 1은 감염 단말의 공격을 감지하고 차단하는 전체 구성도이고, 도 2는 감염 단말의 공격을 감지하고 차단하는 엔진과 분석 서버의 구성을 나타내는 도면이다.1 is an overall configuration diagram for detecting and blocking an attack of an infected terminal, and FIG. 2 is a diagram illustrating a configuration of an engine and an analysis server for detecting and blocking an attack of an infected terminal.
도 1에 나타낸 바와 같이, 광대역 망에 연결되어 인터넷을 사용하는 모든 단말(101, 102)들 중에 바이러스, 웜, 트로이목마 등을 단말(101)에 감염시켜 제어권을 획득하고, 특정 사이트를 공격하는 분산 서비스 거부공격(Distributed Denial of Service 이하 DDoS)의 감지 및 방어 방법으로, 감염 단말(101)이 특정 사이트(113)를 공격하기 위해 DNS 서버(110)로 해당 사이트(113, 예를 들면, www.abc.com)의 IP주소를 요청하는 DNS Lookup을 하게 되면, DNS 서버(110)는 감염 단말(101)에 공격 대상이 되는 특정 사이트(www.abc.com)(113)의 IP주소는 255.255.111.111이라고 알려준다.As shown in FIG. 1, among all the
감염 단말(101)은 받은 IP주소를 사용하여 공격 대상 사이트(113)에 HTTP GET/POST 메시지를 보내 공격을 하게 된다. 이때 TAP 장비(105)를 통하여 복사된 공격 패킷 중에서 HTTP GET/POST 만을 검출엔진(106)이 수집하여 데이터화 시켜 두었다가, 일정 시간 간격으로 분석 서버(107)의 접속 기록 테이블로 전송하게 된다.The infected
분석 서버(107)는 도 2에 나타낸 바와 같이, 접속 기록 테이블(201)에 기록된 로우 데이터를 일정 시간 간격으로 분석하여 SYN 패킷의 수, 도메인뷰와 페이지뷰 비율을 분석하여 설정해놓은 정책에 해당 될 경우 방어 정책으로 저장하게 되는데, 감염 단말(101)의 IP정보는 감염 사용자 테이블(202)로, 공격 대상 사이트(113)의 URL은 공격 대상 테이블(203)로 저장한다.As shown in FIG. 2, the
방어 정책의 데이터는 보고서 작성 및 현황 파악 등의 목적을 위해 리포트 DB로 제공되며, 정책엔진(108)은 일정시간 간격으로 방어 정책에 접근하여 정책으로 활용할 데이터 즉, 일정시간 간격으로 감염 대상자 IP와 공격 대상 사이트 URL을 분석 서버(107)로부터 내려받는다.The data of the defense policy is provided as a report DB for the purpose of writing a report and grasping the status, and the
감염 단말(101)이 다시 특정 사이트(113)를 공격하기 위하여 DNS Lookup을 하게 되면 정책엔진(108)이 그 요청을 먼저 감지하고, 도 3에 나타낸 바와 같이, DNS 패킷 변조 기술을 사용하여 특정 사이트(113)의 IP 주소를 변조한다.When the infected
감염 단말(101)이 공격을 시도하려면 먼저 공격 대상 사이트(113)의 URL로 DNS 서버에 DNS Request 패킷을 보내어 IP 주소를 획득하는데, 이때 정책엔진(108)은 분석 서버(107)로부터 정책을 내려받아, 인터넷 사이트에 접속하려는 감염 단말(101)의 DNS Lookup을 감지하고 DNS Response 패킷을 생성한다.In order for the infected
생성된 DNS Response 패킷 구조는 ID 헤더, Flag, Queries, Answers 로 구성되며, 여기서 Flag 값중 Answer RRs 값을 변경하고, Answers 부분을 추가하는데, 이때 IP주소 항목인 Addr을 변조할 IP로 변경하여 감염 단말(101)에 DNS 서버의 응답보다 빠르게 전달한다.The generated DNS Response packet structure is composed of ID header, Flag, Queries, and Answers. Here, the Answer RRs value is changed and the Answers part is added among Flag values. Forward to 101 faster than the DNS server's response.
감염 단말(101)은 DNS 서버의 정상적인 응답이라고 판단하여 공격 대상 사이트(113)의 IP주소를 변조된 IP주소로 DNS 캐쉬에 입력하게 되면서 원래 호출된 응답은 무시된다. DNS 캐쉬에 입력된 변조 IP 주소로 DDoS 공격 목표를 변경시키는 방식으로 공격 대상 사이트일 경우는 우회하여 공격 차단 사이트(111)로 유도되고, 정상 사용 사이트일 경우는 감염 사실 및 치료 안내 페이지(112)로 팝업 등의 메시지를 보내거나 또는 안내 사이트로 접속을 유도한다.The infected
도 4에 나타낸 바와 같이, 단말들(101, 102)이 인터넷을 사용하면, 검출엔진(106)이 해당 트래픽을 수집하고(S101), 검출엔진(106)에서 트래픽을 분석하여 필요한 정보들을 추출한다(S102). 이후, 추출된 정보들을 분석 서버(107)의 접속 기록 테이블(201)에 저장하고(S103), 주기적으로 접속 기록 테이블(201)을 분석하여 감염 사용자 IP와 공격 대상 URL을 방어정책으로 사용하기 위해 정책엔진(108)에 저장하고(S104), 방어정책 목록을 전송한다(S105).As shown in FIG. 4, when the
이후, 감염 단말(101)로부터 공격 대상 사이트(113)의 DNS Lookup 요청을 받고(S106), DNS 패킷을 변조하여 공격 차단 사이트(111)의 IP주소를 돌려준다(S107).Thereafter, the DNS terminal receives a DNS Lookup request from the
예를 들어, 감염 단말(101)이 www.abc.com이라는 사이트를 공격할 때, DNS 서버(110)에 DNS Lookup 절차인 DNS Request 패킷을 보내면, 정책엔진(108)이 이를 감지하여 IP를 분석하고 정책에 있는 감염 대상자이면, DNS Response 패킷을 생성한다. 도 3에서, 응답할 DNS 패킷 부분에 표시되어 있는 Flag 부분의 Answer RRs 값을 변경하고 Answers 부분을 생성할 때 Addr 값을, 유도할 사이트의 IP주소를 넣어 DNS 서버(110)보다 빠르게 응답을 보내면, 감염 단말(101)은 www.abc.com의 실제 IP주소인 255.255.111.111이 아닌 111.111.111.111로 인식하여 공격 대상 사이트(113)의 IP를 111.111.111.111로 도 3에 나타낸 바와 같이 DNS 캐쉬에 기억하게 된다.For example, when the infected
또한, 도 5는 감염 단말 사용자의 인터넷 사용을 감지하고 치료 안내 사이트로 유도하는 흐름도를 나타내는 것으로, 정책엔진(108)으로 방어정책 목록을 전송하는 단계까지는 도 4의 내용과 동일하여 상세한 설명은 생략한다.In addition, FIG. 5 shows a flow chart of detecting Internet usage of an infected terminal user and leading to a treatment guidance site, and the detailed description thereof is omitted since the defense policy list is transmitted to the
이후, 감염 단말(101)의 사용자로부터 정상 사이트의 DNS Lookup 요청을 받고(S201), DNS 패킷을 변조하여 치료 안내 사이트(112)의 IP주소를 돌려준다(S202).Thereafter, the user of the
따라서, 변조하는 IP주소는 감염 단말이 요청한 URL에 따라, 도 4에서와 같이 공격 대상 사이트이면 DDoS 공격이라고 판단하여 공격 차단페이지의 IP주소, 또 한, 도 5에서와 같이 일반 사이트이면 사용자의 인터넷 사용이라고 판단하여 치료 안내 페이지의 IP주소로 변조하게 된다.Therefore, the IP address to be modulated is determined to be a DDoS attack if the target site is attacked as shown in FIG. 4 according to the URL requested by the infected terminal, and the IP address of the attack blocking page. If it is determined to be used, it is altered to the IP address of the treatment guide page.
감염 단말(101)은 공격을 시도할 경우 변조된 IP주소로 공격 차단 사이트(111)를 공격하게 되고, 사용자가 일반 사이트를 접속할 경우 치료 안내 사이트(112)로 유도된다.The
도 6은, 차단 해제 절차의 전체 구성도를 나타내고, 도 7은 차단 해제 절차의 전체 흐름도를 나타낸다. 도 6 및 도 7에 나타낸 바와 같이, 치료 안내 사이트(112)에서는 감염 사실을 알려주고 치료백신 및 차단 해제 방법을 제공한다.6 shows an overall configuration diagram of the unblocking procedure, and FIG. 7 shows an overall flowchart of the unblocking procedure. As shown in Figures 6 and 7, the
먼저, 치료 안내 사이트(112)에서 백신을 설치하고(S301), 설치된 백신을 통하여 악성 프로그램을 제거한다(S302). 백신을 사용하여 치료가 끝난 사용자 PC(601)가, 차단 해제 사이트(602)를 통하여 치료사실이 확인되거나(S303), 분석 서버(107)에 있는 접속 기록을 일정 시간 간격으로 분석하여 감염 판단 기준보다 낮아지거나(S304), 또는 콜센터(603)를 통해 단말에 악성 프로그램이 제거되었다는 사실이 확인되어(S305), DDoS 공격이 중단되었으면 차단을 해제 작업을 실행한다(S306).First, a vaccine is installed in the treatment guide site 112 (S301), and the malicious program is removed through the installed vaccine (S302). The user's PC 601, which has been treated using the vaccine, has confirmed the treatment fact through the unblocking site 602 (S303), or analyzed the access records in the
그리고, 분석 서버(107)에 있는 감염 사용자 테이블(202)에서 사용자(601)를 제거하고(S307), 정책엔진(108)에서 차단 정책에 대한 해당 사용자(601)를 삭제한다(S308).Then, the user 601 is removed from the infected user table 202 in the analysis server 107 (S307), and the corresponding user 601 for the blocking policy is deleted from the policy engine 108 (S308).
따라서, 상기와 같은 방식으로 계속 진행을 하면서, DDoS 공격을 감지 및 방어를 행할 수 있다.Thus, while continuing in the above manner, it is possible to detect and defend DDoS attacks.
본 발명의 채택된 실시예는 구체적인 조건을 이용하여 기술되었지만, 이러한 기재는 설명의 목적만을 위한 것이고, 이하의 청구범위의 정신 및 범위를 일탈하지 않는 범위에서 변경 및 변화가 이루어질 수 있음은 물론이다.While the preferred embodiments of the present invention have been described using specific conditions, these descriptions are for illustrative purposes only, and modifications and changes may be made without departing from the spirit and scope of the following claims. .
도 1은, 감염 단말의 공격을 감지하고 차단하는 전체 구성도이다.1 is an overall configuration diagram of detecting and blocking an attack of an infected terminal.
도 2는, 감염 단말의 공격을 감지하고 차단하는 엔진과 분석 서버의 흐름도이다.2 is a flowchart of an engine and an analysis server for detecting and blocking an attack of an infected terminal.
도 3은, DNS 패킷 변조 기술에 대한 구성도이다.3 is a block diagram of a DNS packet modulation technique.
도 4는, 감염 단말이 공격 대상 사이트를 공격하는 것을 감지하고 차단하는 전체 흐름도이다.4 is an overall flowchart of detecting and blocking an infected terminal attacking an attack target site.
도 5는, 감염 단말 사용자의 인터넷 사용을 감지하고 치료 안내 사이트로 유도하는 전체 흐름도이다.5 is an overall flowchart of detecting the Internet usage of an infected terminal user and leading to a treatment guidance site.
도 6은, 치료가 끝난 단말에 대한 차단 해제 절차의 전체 구성도이다.6 is an overall configuration diagram of an unblocking procedure for a terminal after treatment.
도 7은, 치료가 끝난 단말에 대한 차단 해제 절차를 나타내는 전체 흐름도이다.7 is an overall flowchart illustrating an unblocking procedure for a terminal which has been treated.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090064010A KR101048000B1 (en) | 2009-07-14 | 2009-07-14 | DDoS Attack Detection and Defense |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090064010A KR101048000B1 (en) | 2009-07-14 | 2009-07-14 | DDoS Attack Detection and Defense |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110006398A KR20110006398A (en) | 2011-01-20 |
KR101048000B1 true KR101048000B1 (en) | 2011-07-13 |
Family
ID=43613244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090064010A KR101048000B1 (en) | 2009-07-14 | 2009-07-14 | DDoS Attack Detection and Defense |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101048000B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101230919B1 (en) * | 2011-03-21 | 2013-02-07 | 에스케이브로드밴드주식회사 | Distributed denial of service attack auto protection system and method |
WO2013184099A1 (en) | 2012-06-05 | 2013-12-12 | Empire Technology Development, Llc | Cross-user correlation for detecting server-side multi-target intrusion |
CN114785555A (en) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | Protection method and system for coping DDoS attack |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060103600A (en) * | 2005-03-28 | 2006-10-04 | 엘지엔시스(주) | Method and system for isolating the harmful traffic generating host from the network |
KR20070029540A (en) * | 2005-09-10 | 2007-03-14 | 배기봉 | The implementation method of total system security managements solution which supports anti-virus function and patch management function and early warning of the emergence of malicious codes which is based on insertion of the particular designed digital mark and the new detection and removal algorithem of the malicious files |
-
2009
- 2009-07-14 KR KR1020090064010A patent/KR101048000B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060103600A (en) * | 2005-03-28 | 2006-10-04 | 엘지엔시스(주) | Method and system for isolating the harmful traffic generating host from the network |
KR20070029540A (en) * | 2005-09-10 | 2007-03-14 | 배기봉 | The implementation method of total system security managements solution which supports anti-virus function and patch management function and early warning of the emergence of malicious codes which is based on insertion of the particular designed digital mark and the new detection and removal algorithem of the malicious files |
Also Published As
Publication number | Publication date |
---|---|
KR20110006398A (en) | 2011-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI294726B (en) | ||
US9762543B2 (en) | Using DNS communications to filter domain names | |
US7225468B2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
JP2020515962A (en) | Protection against APT attacks | |
US20130312081A1 (en) | Malicious code blocking system | |
Chung et al. | Allergy attack against automatic signature generation | |
US9124617B2 (en) | Social network protection system | |
KR100973076B1 (en) | System for depending against distributed denial of service attack and method therefor | |
TWI407328B (en) | Network virus protection method and system | |
Latha et al. | A survey on network attacks and Intrusion detection systems | |
CN116132090B (en) | Spoofing defending system for Web security protection | |
Tariq et al. | A comprehensive categorization of DDoS attack and DDoS defense techniques | |
KR101072981B1 (en) | Protection system against DDoS | |
KR101048000B1 (en) | DDoS Attack Detection and Defense | |
WO2007096659A1 (en) | Phishing mitigation | |
KR100722720B1 (en) | A secure gateway system and method with internal network user authentication and packet control function | |
CN116471121A (en) | Security defense method, gateway proxy device, and storage medium | |
Nayak et al. | Depth analysis on DoS & DDoS attacks | |
Behal et al. | Signature-based botnet detection and prevention | |
KR101375375B1 (en) | Zombie pc detection and protection system based on gathering of zombie pc black list | |
KR20120000942A (en) | Bot-infected host detection apparatus and method based on blacklist access statistics | |
Syaifuddin et al. | Automation Snort Rule for XSS Detection with Honeypot | |
WO2005065023A2 (en) | Internal network security | |
EP1751651B1 (en) | Method and systems for computer security | |
Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140521 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150506 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160628 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170705 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180703 Year of fee payment: 8 |