KR101598187B1 - Method and apparatus for blocking distributed denial of service - Google Patents
Method and apparatus for blocking distributed denial of service Download PDFInfo
- Publication number
- KR101598187B1 KR101598187B1 KR1020140187206A KR20140187206A KR101598187B1 KR 101598187 B1 KR101598187 B1 KR 101598187B1 KR 1020140187206 A KR1020140187206 A KR 1020140187206A KR 20140187206 A KR20140187206 A KR 20140187206A KR 101598187 B1 KR101598187 B1 KR 101598187B1
- Authority
- KR
- South Korea
- Prior art keywords
- counter
- source
- image
- text
- http
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/32—Flooding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 DDoS 공격 차단 방법 및 장치에 관한 것이다. The present invention relates to a DDoS attack blocking method and apparatus.
DDoS 또는 분산 서비스 거부 공격은 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다. 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터 시스템이 처리할 수 없을 정도로 많은 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.DDoS or Distributed Denial of Service attack is one of the hacking methods that attack specific sites by distributing and deploying multiple attackers at the same time. The tools for attacking the service are put on several computers and the system of the network is degraded or the system is paralyzed by overflowing a lot of packets simultaneously so that the site's computer system can not handle the attack target.
이러한 DDoS 공격에 대하여 종래의 웹 플루딩(web flooding) 방어 기능의 경우, 발신지 IP별로 일정 시간 동안 GET/POST 등의 HTTP 메소드(HTTP method)의 요청 횟수가 임계치 이상 발생하는 경우, 공격으로 판단하고 해당 IP를 차단하는 방법이 대부분이다. 하지만, 이러한 종래 기술에 따르면, 정상적인 웹 접속과 비정상적인 웹 접속에 대해서 판단하기가 어려워 정상적인 웹 접속의 경우에도 차단이 되는 경우가 발생하게 된다는 문제점이 있다. In the case of the conventional web flooding defense function against the DDoS attack, if the number of requests of the HTTP method such as GET / POST occurs more than the threshold value for each time period of the source IP, it is determined that the attack Most of the way to block that IP. However, according to the related art, it is difficult to judge whether a normal web connection or an abnormal web connection occurs, so that there is a problem that a normal web connection may be blocked.
본 발명은 정상적인 웹 접속과 비정상적인 웹 접속을 판단하여, 정상적인 웹 접속 요청에 대한 서비스는 유지하고 비정상적인 웹 접속 요청에 대해서는 공격을 차단할 수 있는 DDoS 공격 차단 방법 및 장치를 제공하는데 그 목적이 있다. An object of the present invention is to provide a method and apparatus for blocking a DDoS attack by determining normal web connection and abnormal web connection, and maintaining a service for a normal web connection request and blocking an attack against an abnormal web connection request.
본 발명의 일 실시예에 따른 DDoS 공격 차단 방법은, 출발지 IP(source IP)로부터 HTTP 패킷을 수신하는 단계, 상기 HTTP 패킷의 HTTP 요청 라인(HTTP Request Line)에서 GET 메소드(GET method)를 포함하는지 여부를 판단하는 단계, 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI(Uniform Resource Identifier)가 텍스트(text)인지 이미지(image)인지 판단하는 단계, 상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터(text counter)를 증가시키고, 상기 GET 메소드가 요청하는 URI(request URI)가 이미지인 경우, 이미지 카운터(image counter)를 증가시키는 단계 및 상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계를 포함하는 것을 특징으로 한다. A method for blocking a DDoS attack according to an embodiment of the present invention includes receiving an HTTP packet from a source IP, including a GET method in an HTTP request line of the HTTP packet Determining whether a Uniform Resource Identifier (URI) requested by the GET method is a text or an image if the HTTP request line of the HTTP packet includes a GET method; Incrementing a text counter if the URI requested by the GET method is text and incrementing an image counter if the URI requested by the GET method is an image; Comparing the text counter with the value of the image counter, and blocking the packet received from the source IP.
본 발명의 다른 실시예에 따른 DDoS 공격 차단 장치는, 출발지 IP로부터 HTTP 패킷을 수신하는 통신부, 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 패킷 분석부, 상기 패킷 분석부에서 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI가 텍스트인지 이미지인지 판단하는 요청 URI 분석부, 텍스트 카운터와 이미지 카운터를 포함하며, 상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터를 증가시키고, 상기 GET 메소드가 요청하는 URI가 이미지인 경우, 이미지 카운터를 증가시키는 카운터부 및 상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 제어부를 포함하는 것을 특징으로 한다. A DDoS attack blocking apparatus according to another embodiment of the present invention includes a communication unit for receiving an HTTP packet from a source IP, a packet analyzing unit for determining whether the HTTP request line of the HTTP packet includes a GET method, Wherein the GET method comprises a request URI analysis unit, a text counter, and an image counter for determining whether a URI requested by the GET method is text or an image, when the HTTP request line of the HTTP packet includes a GET method, A counter for incrementing an image counter when the URI requested by the GET method is an image, and a counter for comparing the text counter and the value of the image counter when the URI is text, And a control unit for blocking a packet to be received.
본 발명의 또다른 실시예에 따른 DDoS 공격 차단을 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에서, 상기 DDoS 공격 차단을 위해 프로세서에 의해 수행되는 명령은, 출발지 IP로부터 HTTP 패킷을 수신하는 단계, 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 단계, 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI가 텍스트인지 이미지인지 판단하는 단계, 상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터를 증가시키고, 상기 GET 메소드가 요청하는 URI가 이미지인 경우, 이미지 카운터를 증가시키는 단계 및 상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계를 수행하는 것을 특징으로 한다. In a computer-readable storage medium storing instructions executed by a processor for blocking a DDoS attack according to another embodiment of the present invention, an instruction executed by a processor for blocking the DDoS attack is transmitted from a source IP to an HTTP Determining whether the HTTP request line of the HTTP packet includes a GET method, determining whether the HTTP request line of the HTTP packet includes a GET method, receiving a URI requested by the GET method Incrementing a text counter if the URI requested by the GET method is text and incrementing an image counter if the URI requested by the GET method is an image; And compares the value of the image counter with the packet received from the source IP, And performing the steps as claimed.
본 발명에 따르면, HTTP 웹 서버를 공격하기 위해서 악의적인 GET 플루딩 공격에 대해서 정상적인 요청과 비정상적인 요청을 판단하여, 정상적인 요청에 대해서는 서비스를 지속해주고 비정상적인 요청에 대해서는 공격으로 판단하여 웹 서버가 공격으로부터 보호할 수 있다. 특히, 오탐 및 지능적인 방어 체계 무력화에 대응할 수 있다. According to the present invention, in order to attack an HTTP web server, a normal request and an abnormal request are determined for a malicious GET-flooding attack, and the service is continued for a normal request. If an abnormal request is determined to be an attack, Can be protected. Especially, it can cope with false alarms and intelligent defenses.
도 1은 본 발명이 적용되는 네트워크 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 DDoS 공격 차단 방법을 나타내는 순서도이다.
도 3은 본 발명의 다른 실시예에 따른 DDoS 공격 차단 방법을 나타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 차단 장치의 내부 구성을 나타내는 블럭도이다.
도 5 내지 도 7은 본 발명이 적용되는 실제 예시를 나타내는 도면이다.1 is a diagram showing a network system to which the present invention is applied.
2 is a flowchart illustrating a DDoS attack blocking method according to an embodiment of the present invention.
3 is a flowchart illustrating a DDoS attack blocking method according to another embodiment of the present invention.
4 is a block diagram illustrating an internal configuration of a DDoS attack blocking apparatus according to an embodiment of the present invention.
5 to 7 are views showing actual examples to which the present invention is applied.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
도 1은 본 발명이 적용되는 네트워크 시스템을 나타내는 도면이다. 1 is a diagram showing a network system to which the present invention is applied.
도 1을 참조하면, 네트워크 시스템은 복수의 단말 장치(111, 112, … ,11k), 네트워크(120), DDoS 보안 장치(130) 및 웹 서버(140)를 포함한다.Referring to FIG. 1, a network system includes a plurality of
복수의 단말 장치(111, 112, … ,11k)는 네트워크(120)를 통해 웹 서버(140)에 연결되어 웹 서버(140)가 제공하는 서비스를 이용할 수 있다. 또한, 복수의 단말 장치(111, 112, … ,11k)는 컴퓨터, PC, 노트북, 휴대폰 등 네트워크(120)에 접속할 수 있는 모든 단말 장치를 포함할 수 있다. The plurality of terminal devices 111 to 112 may be connected to the
네트워크(120)는 복수의 단말 장치(111, 112, … ,11k)와 웹 서버(140)를 연결한다. 또한, 네트워크(120)는 인터넷, 인트라넷 등 복수의 단말 장치(111, 112, … ,11k)가 접속할 수 있는 모든 네트워크를 포함할 수 있다. The
DDoS 공격 차단 장치(130)는 네트워크(120)와 웹 서버(140) 사이에 위치할 수 있다. 또한, DDoS 공격 차단 장치(130)는 네트워크(120)와 웹 서버(140) 사이에서 통신되는 데이터 패킷들을 관리하도록 구성될 수 있다. 이러한 DDoS 공격 차단 장치(130)는 다른 보안 기능들을 함께 수행할 수도 있다. 예를 들면, DDoS 공격 차단 장치(130)는 방화벽(Firewall), 침입 차단 시스템(Intrusion Prevention System; IPS), 안티 바이러스(Anti-Virus), 안티 스팸(Anti-Spam), 웹 서버에 설치된 애플리케이션 제어 관련 기능 등을 수행할 수 있다. 또한, DDoS 공격 차단 장치(130)는 통합보안관리(Unified Threat Management; UTM) 장비, 방화벽(Firewall) 장비, 침입 차단 시스템(Intrusion Prevention System; IPS) 장비, WAF(Web Application Firewall) 장비, 애플리케이션 제어 장비와 결합될 수도 있다.The DDoS
뿐만 아니라 DDoS 공격 차단 장치(130)는 복수의 단말 장치(111, 112, … ,11k)와 네트워크(120) 사이에 위치할 수도 있다. 이 경우, 내부 네트워크에서 외부로 전송되어 DDoS 공격에 참여하는 데이터 패킷들을 관리할 수 있다. In addition, the DDoS
본 발명의 일 실시예에 따른 DDoS 공격 차단 장치(130)는 정상적인 웹 접속과 비정상적인 웹 접속을 판단하여, 정상적인 웹 접속 요청에 대한 서비스는 유지하고 비정상적인 웹 접속 요청에 대해서는 공격을 차단할 수 있다. 따라서, 특히, 오탐 및 지능적인 방어 체계 무력화에 대응할 수 있다. The DDoS
웹 서버(140)는 DDoS 공격 차단 장치(130)를 통해 네트워크 (120)에 연결된다. 웹 서버(110)는 네트워크(120)를 통해 복수의 단말 장치(111, 112, … ,11k)에 연결되며, 복수의 단말 장치(111, 112, … ,11k)에 서비스를 제공할 수 있다.
The
도 2는 본 발명의 일 실시예에 따른 DDoS 공격 차단 방법을 나타내는 순서도이다. 2 is a flowchart illustrating a DDoS attack blocking method according to an embodiment of the present invention.
먼저, 210 단계에서 출발지 IP(source IP)로부터 HTTP 패킷을 수신하고, 220 단계에서 수신한 HTTP 패킷을 분석하여, HTTP 요청 라인(HTTP Request Line)에서 GET 메소드(GET method)를 포함하고 있는지 여부를 판단한다. 정상적인 웹 접속의 경우, TEXT/HTML을 요청한 이후 해당 HTML 파일 내에 있는 이미지, 스크립트 또는 Flash 파일 등을 GET 메소드로 요청을 한다. 이와 비교하여, 웹 플루딩(web flooding) 공격의 경우, 특정 페이지 및 경로만 요청하게 된다. 본 발명의 일 실시예에 따르면, 이러한 정상과 비정상 요청에 대한 차이점을 이용하기 위하여 HTTP 요청 라인(HTTP Request Line)에서 GET 메소드(GET method)를 포함하고 있는지 여부를 판단한다. First, in step 210, an HTTP packet is received from a source IP. In
220 단계에서 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 230 단계로 진행하여, GET 메소드가 요청하는 URI(Uniform Resource Identifier)가 텍스트인지 이미지인지 판단한다. GET 메소드가 요청하는 URI가 텍스트인 경우, 240 단계로 진행하여 텍스트 카운터(text counter)를 증가시키고, GET 메소드가 요청하는 URI가 이미지인 경우, 250 단계로 진행하여 이미지 카운터(image counter)를 증가시킨다. 텍스트는 HTML, ASP, CGI, PHP 등의 확장자로 확인 가능하고, 이미지는 JPG, JPEG, PNG, GIF 등의 확장자로 확인 가능하다. If it is determined in
그 후, 260 단계에서, 텍스트 카운터와 이미지 카운터의 값을 비교하여, 출발지 IP로부터 수신하는 패킷을 차단한다. 이때, 본 발명의 일 실시예에 따르면, 텍스트 카운터 또는 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 출발지 IP를 차단할 수 있다. 특히, 설정된 시간동안 상기 텍스트 카운터 또는 상기 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 출발지 IP를 차단할 수도 있다. 즉, 공격 판단 시, 일정 시간 동안 전체 GET 메소드가 몇 개 도착했는지 확인한 후, GET 메소드에 텍스트 URI 및 이미지 URI가 몇 개 있는지 판단하여, 텍스트 카운트만 증가하거나, 이미지 카운트만 증가한 경우에 공격으로 판단하여 출발지 IP를 차단할 수 있다. Thereafter, in
일반적인 BOT들의 공격은 특정 URL에 대한 플루딩 공격을 반복한다는 특징이 있다. 특정 URL은 텍스트 URL일 수도 있고, 이미지 URL일 수도 있는데, 종래 기술은 출발지 IP별로 GET 메소드에 대한 임계치만으로 공격을 판단하였다. 따라서, 특정 URL에 이미지가 많은 경우, GET 메소드가 많이 발생하여 공격으로 오탐하는 경우가 있었고, 오탐을 방지하기 위해서 GET 메소드에 대한 임계치를 증가시킬 경우, 증가된 임계치만큼 공격 트래픽이 유입되게 된다는 문제점이 있었다.Common BOT attacks are characterized by repetitive flooding attacks on specific URLs. The specific URL may be a text URL or an image URL, but the prior art has determined the attack only by the threshold for the GET method for each source IP. Therefore, if there is a large number of images in a specific URL, there are cases where a large number of GET methods occur and attacks are misleading. In order to prevent false positives, when the threshold value for the GET method is increased, attack traffic is increased .
이와 비교하여, 본 발명의 일 실시예에 따르면, 단순히 GET 메소드의 임계치를 고려하는 것이 아니라, 텍스트 카운터와 이미지 카운터의 값을 비교하여 오탐을 방지하면서도 공격 트래픽의 유입을 차단할 수 있다는 장점이 있다.
In contrast to this, according to the embodiment of the present invention, not only the threshold value of the GET method is considered but also the value of the text counter and the image counter are compared to prevent the false alarm, and the inflow of the attack traffic can be blocked.
도 3은 본 발명의 다른 실시예에 따른 DDoS 공격 차단 방법을 나타내는 순서도이다. 3 is a flowchart illustrating a DDoS attack blocking method according to another embodiment of the present invention.
먼저, 310 단계에서 출발지 IP로부터 HTTP 패킷을 수신한다. First, in step 310, an HTTP packet is received from the source IP.
이후, 320 단계에서 출발지 IP가 블랙 리스트(black list)에 등록된 IP인지 판단하여, 출발지 IP가 블랙 리스트에 등록된 IP라고 판단되는 경우, 340 단계로 진행하여 출발지 IP를 바로 차단한다. If it is determined in
320 단계에서 출발지 IP가 블랙 리스트에 등록된 IP가 아니라고 되는 경우, 330 단계로 진행하여 출발지 IP가 화이트 리스트(white list)에 등록된 IP인지 판단한다. 출발지 IP가 화이트 리스트에 등록된 IP라고 판단되는 경우, 350 단계로 진행하여 HTTP 패킷을 바로 통과시킨다. If it is determined in
330 단계에서 출발지 IP가 화이트 리스트에 등록된 IP가 아니라고 판단되는 경우, HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 단계, 즉, 도 2의 220 단계로 진행하고 그에 따른 과정을 진행한다. If it is determined in
이러한 본 발명의 일 실시예에 따르면, 이미 차단해야할 IP로 판단되어 블랙 리스트에 등록된 IP에 대해서는 굳이 분석과정을 진행하지 않고 바로 차단하고, 마찬가지로, 통과시켜도 되는 IP로 판단되어 화이트 리스트에 등록된 IP에 대해서는 굳이 분석과정을 진행하지 않고 바로 통과시키게 되어 효율성을 높일 수 있다. According to the embodiment of the present invention, IPs that have been judged as IPs to be blocked and registered in the black list are immediately blocked without performing an analysis process. Similarly, IPs judged to be passed are registered in the whitelist IP can be bypassed without going through the analysis process, thus increasing efficiency.
이 경우, 320 단계와 330 단계는 그 순서가 바뀌어도 무방하다. 즉, 출발지 IP가 화이트 리스트에 등록된 IP인지 여부를 먼저 확인하고, 그 이후 출발지 IP가 블랙 리스트에 등록된 IP인지 여부를 확인하는 것도 가능하다. In this case, the order of
나아가, 정상적인 웹 접속으로 판단된 출발지 IP에 대해서는 일정 시간 동안 화이트 리스트에 등록하여 해당 방어 기능을 우회하도록 하고, 비정상적인 웹 접속이라고 판단된 출발지 IP에 대해서는 일정 시간 동안 블랙 리스트에 등록하여 차단하도록 할 수도 있다.
Further, the source IP determined to be a normal web connection may be registered in the whitelist for a certain period of time to bypass the defensive function, and the source IP determined to be an abnormal web connection may be registered in the black list for a certain period of time have.
지금까지 살펴본 발명의 실시예들은 프로세서에 의해 수행되는 명령들로 구현되어 컴퓨터에 의해 판독 가능한 저장 매체에 저장될 수 있다. 이러한 명령들이 프로세서에 의해 실행되는 경우, 위에서 설명한 흐름도 및/또는 블록도에서 특정된 기능들/동작들을 구현하는 수단을 생성할 수 있다. 흐름도/블록도들에서의 각 블록은 본 발명의 실시예들을 구현하는 하드웨어 및/또는 소프트웨어모듈 또는 로직을 나타낼 수도 있다. 또한, 블록도들에 언급한 기능들은 도면들에서 언급한 순서를 벗어나 발생할 수도 있고, 동시에 발생할 수도 있다. The embodiments of the invention thus far described may be embodied in instructions carried out by a processor and stored in a computer-readable storage medium. When these instructions are executed by a processor, they may generate means for implementing the functions / operations specified in the flowcharts and / or block diagrams described above. Each block in the flowcharts / block diagrams may represent hardware and / or software modules or logic that implement embodiments of the present invention. Further, the functions referred to in the block diagrams may occur outside the order mentioned in the drawings, or may occur simultaneously.
컴퓨터에 의해 판독 가능한 매체는 예를 들어, 플로피 디스크, ROM, 플래시 메모리, 디스크 드라이브 메모리, CD-ROM, 및 다른 영구 저장부와 같은 비휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않고 다양한 매체가 사용 가능하다.
The computer-readable medium can include, for example, but is not limited to, a non-volatile memory such as a floppy disk, ROM, flash memory, disk drive memory, CD-ROM, and other persistent storage, Available.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 차단 장치의 내부 구성을 나타내는 블럭도이다. 4 is a block diagram illustrating an internal configuration of a DDoS attack blocking apparatus according to an embodiment of the present invention.
도 4를 참조하면, 본 발명의 일 실시예에 따른 DDoS 공격 차단 장치(400)는 통신부(410), 패킷 분석부(420), 요청 URI 분석부(430), 카운터부(440), 저장부(450) 및 제어부(460)를 포함할 수 있다. 4, a DDoS
통신부(410)는 DDoS 공격 차단 장치(400)와 네트워크 시스템을 연결하는 역할을 수행하며, 유선 또는/및 무선 통신을 수행한다. 통신부(410)는 DDoS 공격 차단 장치(400)와 웹 서버(140) 및 네트워크(120) 간에 통신을 위한 데이터의 송수신 기능을 수행할 수 있다. 본 발명의 실시예에 따르면, 통신부(410)는 출발지 IP로부터 HTTP 패킷을 수신한다. The communication unit 410 connects the DDoS
패킷 분석부(420)는 통신부(410)를 통해 수신한 HTTP 패킷을 분석하는 역할을 수행한다. 본 발명의 일 실시예에 따르면, 패킷 분석부(420)는 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단한다. 또한, 패킷 분석부(420)는 임시 리스트(450)에 등록된 정보를 바탕으로 수신한 HTTP 패킷을 분석할 수 있다. The
요청 URI 분석부(430)는 GET 메소드가 요청하는 URI를 분석하는 역할을 수행한다. 본 발명의 일 실시예에 따르면, 패킷 분석부(420)에서 수신한 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 요청 URI 분석부(430)는 GET 메소드가 요청하는 URI가 텍스트인지 이미지인지 여부를 판단한다. 또한, 요청 URI 분석부(430)는 임시 리스트(450)에 등록된 정보를 바탕으로 GET 메소드가 요청하는 URI를 분석할 수 있다. The request
카운터부(440)는 텍스트 카운터(441)와 이미지 카운터(442)를 포함하며, 카운팅하는 역할을 수행한다. 본 발명의 일 실시예에 따르면, 카운터부(440)는 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터를 증가시키고, GET 메소드가 요청하는 URI가 이미지인 경우, 이미지 카운터를 증가시킨다. The
저장부(450)는 DDoS 공격 차단 장치(400)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행한다. 저장부(450)는 휘발성(volatile) 저장 매체 또는 비휘발성(nonvolatile) 저장 매체로 구성될 수 있으며, 양 저장 매체의 조합(combination)으로 구성될 수도 있다. 휘발성 저장 매체로는 RAM, DRAM, SRAM과 같은 반도체 메모리(semiconductor memory)가 포함될 수 있으며, 비휘발성 저장 매체로는 하드 디스크(hard disk), 플래시 낸드 메모리(Flash NAND Memory)가 포함될 수 있다. 본 발명의 일 실시예에 따르면, 저장부(450)는 블랙 리스트(451), 화이트 리스트(452) 및 임시 리스트(450)를 저장한다. The
제어부(460)는 DDoS 공격 차단 장치(400)의 전반적인 동작을 제어하는 구성요소이다. 본 발명에서 제어부(460)는 DDoS 공격 차단 장치(400)가 패킷을 분석하고, 패킷의 통과/차단을 결정하는 과정의 전반적인 동작을 제어하는 역할을 수행한다. 본 발명의 일 실시예에 따르면, 제어부(460)는 텍스트 카운터(441)와 이미지 카운터(442)의 값을 비교하여, 출발지 IP로부터 수신하는 패킷을 차단한다. 나아가, 제어부(460)는 텍스트 카운터(441) 또는 이미지 카운터(442) 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 출발지 IP를 차단할 수 있고, 특히, 제어부(460)는 설정된 시간동안 텍스트 카운터(441) 또는 이미지 카운터(442) 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 출발지 IP를 차단할 수도 있다. The
또한, 본 발명의 일 실시예에 따르면, 제어부(460)는 출발지 IP가 블랙 리스트(451)에 등록된 IP라고 판단되는 경우, 출발지 IP를 차단할 수 있다. 또한, 제어부(460)는 출발지 IP가 화이트 리스트에 등록된 IP라고 판단되는 경우, HTTP 패킷을 통과시킬수 있다. 나아가, 제어부(460)는 출발지 IP가 블랙 리스트 또는 화이트 리스트에 등록되지 않은 IP인 경우, 임시 리스트에 등록할 수도 있다.
In addition, according to an embodiment of the present invention, the
위에서 설명한 것과 같이 본 발명의 실시예에 따른 DDoS 공격 차단 장치(400)는 통신부(410), 패킷 분석부(420), 요청 URI 분석부(430), 카운터부(440), 저장부(450) 및 제어부(460)를 이용하여 패킷을 분석하고, 패킷의 통과/차단을 결정할 수 있다. As described above, the DDoS
위 설명에서는 패킷 분석부(420), 요청 URI 분석부(430), 카운터부(440) 및 제어부(460)가 별도의 블록으로 구성되고, 각 블록이 상이한 기능을 수행하는 것으로 기술하였지만 이는 기술상의 편의를 위한 것일 뿐, 반드시 이와 같이 각 기능이 구분되는 것은 아니다. 예를 들어, 패킷 분석부(420), 요청 URI 분석부(430) 및 카운터부(440)가 수행하는 기능을 제어부(460) 자체가 수행할 수도 있다.
In the above description, the
도 5 내지 도 7은 본 발명이 적용되는 실제 예시를 나타내는 도면으로, DDoS 공격 차단 장치(130)를 통과하는 패킷을 캡쳐한 화면이다. 5 to 7 are views showing an actual example to which the present invention is applied. FIG. 5 is a screen capturing a packet passing through the DDoS
먼저, 도 5를 참조하면, No. 및 Time(510)은 인덱스를 나타내고, Source(520)는 출발지 IP, Destination(530)은 목적지 IP를 나타내며, Protocol(540)은 사용되는 프로토콜, Length(550)는 크기, Info(560) 해당 패킷의 정보를 나타낸다. First, referring to FIG. And
도 5는 정상적인 웹 접속인 경우에 텍스트와 이미지를 골고루 요청하는 과정을 나타내고 있다. Info(560)를 살펴보면, GET 메소드를 사용할 때, 텍스트(html, css, javascript)를 요청하는 경우가 있고, 이미지(PNG)를 이용하는 경우가 있어 정상적인 웹 접속으로 판단된다. FIG. 5 shows a process of evenly requesting text and images in the case of a normal web connection. Looking at the
도 6은 비정상적인 웹 접속을 나타내는 화면으로 텍스트(html)만 요청하는 것을 나타내고, 도 7 역시 비정상적인 웹 접속을 나타내는 화면으로 이미지(jpeg)만을 요청하는 것을 나타내고 있다. FIG. 6 shows a request for only text (html) on a screen showing an abnormal web connection, and FIG. 7 shows a request for only an image (jpeg) on a screen showing an abnormal web connection.
도 5 내지 도 7에서 도시하고 있는 실제 동작화면을 보면, 정상적인 웹 접속과 비정상적인 웹 접속이 확연히 다른 것을 알 수 있다. 본 발명은 이러한 점에 착안한 것으로 위와 같은 차이점을 이용하여 정상적인 요청과 비정상적인 요청을 판단하고, 정상적인 요청에 대해서는 서비스를 지속해주고 비정상적인 요청에 대해서는 공격으로 판단하여 웹 서버가 공격으로부터 보호할 수 있다. 특히, 오탐 및 지능적인 방어 체계 무력화에 대응할 수 있다.
5 to 7, it can be seen that the normal web connection and the abnormal web connection are significantly different from each other. The present invention is based on this point, and it can judge a normal request and an abnormal request by using the difference as described above, and continues the service for a normal request, and judges that an abnormal request is an attack, thereby protecting the web server from an attack. Especially, it can cope with false alarms and intelligent defenses.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments of the present invention disclosed in the present specification and drawings are merely illustrative examples of the present invention and are not intended to limit the scope of the present invention in order to facilitate understanding of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.
111, 112, … ,11k: 단말 장치
120: 네트워크
130: DDoS 공격 차단 장치
140: 웹 서버111, 112, ... , 11k: terminal device
120: Network
130: DDoS attack blocking device
140: Web server
Claims (14)
상기 HTTP 패킷의 HTTP 요청 라인(HTTP Request Line)에서 GET 메소드(GET method)를 포함하는지 여부를 판단하는 단계;
상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI(Uniform Resource Identifier)가 텍스트(text)인지 이미지(image)인지 판단하는 단계;
상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터(text counter)를 증가시키고, 상기 GET 메소드가 요청하는 URI(request URI)가 이미지인 경우, 이미지 카운터(image counter)를 증가시키는 단계; 및
상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 차단 방법.
Receiving an HTTP packet from a source IP;
Determining whether the HTTP request line of the HTTP packet includes a GET method;
Determining whether a URI (Uniform Resource Identifier) requested by the GET method is a text or an image if the HTTP request line of the HTTP packet includes a GET method;
Increasing a text counter if the URI requested by the GET method is text and increasing an image counter if the request URI requested by the GET method is an image; And
Comparing the text counter with the value of the image counter, and blocking the packet received from the source IP.
상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계는,
상기 텍스트 카운터 또는 상기 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 상기 출발지 IP를 차단하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 차단 방법.
The method according to claim 1,
Comparing the text counter and the value of the image counter to block packets received from the source IP,
And blocking the source IP if a counter of only one of the text counter or the image counter increases by more than a predetermined value.
상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계는,
설정된 시간동안 상기 텍스트 카운터 또는 상기 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 상기 출발지 IP를 차단하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 차단 방법.
The method according to claim 1,
Comparing the text counter and the value of the image counter to block packets received from the source IP,
And blocking the source IP when the number of the counter of either the text counter or the image counter increases by more than the set value during the set time.
상기 출발지 IP로부터 HTTP 패킷을 수신하는 단계 이후,
상기 출발지 IP가 블랙 리스트(black list)에 등록된 IP인지 판단하는 단계; 및
상기 출발지 IP가 블랙 리스트에 등록된 IP라고 판단되는 경우, 상기 출발지 IP를 차단하는 단계를 더 포함하는 것을 특징으로 하는 DDoS 공격 차단 방법.
The method according to claim 1,
After receiving the HTTP packet from the originating IP,
Determining whether the source IP is an IP registered in a black list; And
And blocking the source IP if the source IP is determined to be an IP registered in the black list.
상기 출발지 IP로부터 HTTP 패킷을 수신하는 단계 이후,
상기 출발지 IP가 화이트 리스트(white list)에 등록된 IP인지 판단하는 단계; 및
상기 출발지 IP가 화이트 리스트에 등록된 IP라고 판단되는 경우, 상기 HTTP 패킷을 통과시키는 단계를 더 포함하는 것을 특징으로 하는 DDoS 공격 차단 방법.
The method according to claim 1,
After receiving the HTTP packet from the originating IP,
Determining whether the source IP is an IP registered in a white list; And
Further comprising the step of passing the HTTP packet if the source IP is determined to be an IP registered in the whitelist.
상기 출발지 IP로부터 HTTP 패킷을 수신하는 단계 이후,
상기 출발지 IP가 블랙 리스트 또는 화이트 리스트에 등록된 IP인지 판단하하여, 상기 출발지 IP가 블랙 리스트 또는 화이트 리스트에 등록되지 않은 IP인 경우, 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 단계로 진행하는 것을 특징으로 하는 DDoS 공격 차단 방법.
The method according to claim 1,
After receiving the HTTP packet from the originating IP,
It is determined whether the source IP is an IP registered in the black list or the whitelist. If the source IP is an IP not registered in the black list or the whitelist, whether or not the HTTP request line of the HTTP packet includes a GET method The method comprising the steps of: detecting a DDoS attack;
상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 패킷 분석부;
상기 패킷 분석부에서 상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI가 텍스트인지 이미지인지 판단하는 요청 URI 분석부;
텍스트 카운터와 이미지 카운터를 포함하며, 상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 상기 텍스트 카운터를 증가시키고, 상기 GET 메소드가 요청하는 URI가 이미지인 경우, 상기 이미지 카운터를 증가시키는 카운터부; 및
상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 제어부를 포함하는 것을 특징으로 하는 DDoS 공격 차단 장치.
A communication unit for receiving an HTTP packet from a source IP;
A packet analyzer for determining whether the HTTP request line of the HTTP packet includes a GET method;
A request URI analysis unit for determining whether the URI requested by the GET method is a text or an image if the packet analyzing unit determines that the HTTP request line of the HTTP packet includes a GET method;
A counter for incrementing the image counter if the URI requested by the GET method is an image; and a counter for incrementing the image counter if the URI requested by the GET method is an image; And
And a controller for comparing the text counter and the value of the image counter to block packets received from the source IP.
상기 제어부는,
상기 텍스트 카운터 또는 상기 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 상기 출발지 IP를 차단하는 것을 특징으로 하는 DDoS 공격 차단 장치.
8. The method of claim 7,
Wherein,
And blocks the source IP when the counter of only one of the text counter and the image counter increases by more than a set value.
상기 제어부는,
설정된 시간동안 상기 텍스트 카운터 또는 상기 이미지 카운터 중 하나의 카운터만 설정값 이상으로 증가하는 경우, 상기 출발지 IP를 차단하는 것을 특징으로 하는 DDoS 공격 차단 장치.
8. The method of claim 7,
Wherein,
And blocks the source IP when a counter of only one of the text counter and the image counter increases by more than a predetermined value during a set time.
블랙 리스트, 화이트 리스트 및 임시 리스트를 저장하는 저장부를 더 포함하는 것을 특징으로 하는 DDoS 공격 차단 장치.
8. The method of claim 7,
A black list, a whitelist, and a temporary list.
상기 제어부는,
상기 출발지 IP가 상기 블랙 리스트에 등록된 IP라고 판단되는 경우, 상기 출발지 IP를 차단하는 것을 특징으로 하는 DDoS 공격 차단 장치.
11. The method of claim 10,
Wherein,
And blocks the source IP if the source IP is determined to be an IP registered in the black list.
상기 제어부는,
상기 출발지 IP가 상기 화이트 리스트에 등록된 IP라고 판단되는 경우, 상기 HTTP 패킷을 통과시키는 것을 특징으로 하는 DDoS 공격 차단 장치.
11. The method of claim 10,
Wherein,
And to pass the HTTP packet if the source IP is determined to be an IP registered in the whitelist.
상기 제어부는,
상기 출발지 IP가 상기 블랙 리스트 또는 상기 화이트 리스트에 등록되지 않은 IP인 경우, 상기 임시 리스트에 등록하고,
상기 패킷 분석부 및 상기 요청 URI 분석부는 상기 임시 리스트에 등록된 정보를 통해 분석을 수행하는 것을 특징으로 하는 DDoS 공격 차단 장치.
11. The method of claim 10,
Wherein,
Registering the source IP in the temporary list when the source IP is an IP not registered in the black list or the whitelist,
Wherein the packet analysis unit and the request URI analysis unit perform analysis through information registered in the temporary list.
상기 DDoS 공격 차단을 위해 프로세서에 의해 수행되는 명령은,
출발지 IP로부터 HTTP 패킷을 수신하는 단계;
상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함하는지 여부를 판단하는 단계;
상기 HTTP 패킷의 HTTP 요청 라인에서 GET 메소드를 포함한다고 판단하는 경우, 상기 GET 메소드가 요청하는 URI가 텍스트인지 이미지인지 판단하는 단계;
상기 GET 메소드가 요청하는 URI가 텍스트인 경우, 텍스트 카운터를 증가시키고, 상기 GET 메소드가 요청하는 URI가 이미지인 경우, 이미지 카운터를 증가시키는 단계; 및
상기 텍스트 카운터와 상기 이미지 카운터의 값을 비교하여, 상기 출발지 IP로부터 수신하는 패킷을 차단하는 단계를 수행하는 것을 특징으로 하는 컴퓨터에 의해 판독 가능한 저장 매체.In a computer readable storage medium in which instructions executed by a processor for blocking a DDoS attack are stored,
The command executed by the processor for blocking the DDoS attack includes:
Receiving an HTTP packet from a source IP;
Determining whether the HTTP request line of the HTTP packet includes a GET method;
Determining whether the URI requested by the GET method is a text or an image if the HTTP request line of the HTTP packet includes a GET method;
Increasing the text counter if the URI requested by the GET method is text, and incrementing the image counter if the URI requested by the GET method is an image; And
Comparing the text counter with the value of the image counter, and blocking the packet received from the source IP.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140187206A KR101598187B1 (en) | 2014-12-23 | 2014-12-23 | Method and apparatus for blocking distributed denial of service |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140187206A KR101598187B1 (en) | 2014-12-23 | 2014-12-23 | Method and apparatus for blocking distributed denial of service |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101598187B1 true KR101598187B1 (en) | 2016-02-26 |
Family
ID=55447669
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140187206A KR101598187B1 (en) | 2014-12-23 | 2014-12-23 | Method and apparatus for blocking distributed denial of service |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101598187B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180118401A (en) * | 2017-04-21 | 2018-10-31 | 에스케이브로드밴드주식회사 | Apparatus and method for network management |
CN111090426A (en) * | 2019-12-19 | 2020-05-01 | 北京浪潮数据技术有限公司 | Method, system and equipment for processing http request |
WO2021221266A1 (en) * | 2020-04-28 | 2021-11-04 | 주식회사 락인컴퍼니 | Method of blocking malicious user access and program security application method |
CN115225368A (en) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | Message processing method and device, electronic equipment and storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110048112A (en) * | 2009-11-02 | 2011-05-11 | 한국인터넷진흥원 | Apparatus for detecting and filtering DDoS attack based on request URI type |
KR20110048349A (en) * | 2009-11-02 | 2011-05-11 | 한국전자통신연구원 | Method and apparatus for denial of service detection against incomplete get request of http |
KR101095447B1 (en) * | 2011-06-27 | 2011-12-16 | 주식회사 안철수연구소 | Apparatus and method for preventing distributed denial of service attack |
-
2014
- 2014-12-23 KR KR1020140187206A patent/KR101598187B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110048112A (en) * | 2009-11-02 | 2011-05-11 | 한국인터넷진흥원 | Apparatus for detecting and filtering DDoS attack based on request URI type |
KR20110048349A (en) * | 2009-11-02 | 2011-05-11 | 한국전자통신연구원 | Method and apparatus for denial of service detection against incomplete get request of http |
KR101095447B1 (en) * | 2011-06-27 | 2011-12-16 | 주식회사 안철수연구소 | Apparatus and method for preventing distributed denial of service attack |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180118401A (en) * | 2017-04-21 | 2018-10-31 | 에스케이브로드밴드주식회사 | Apparatus and method for network management |
KR101977612B1 (en) * | 2017-04-21 | 2019-05-13 | 에스케이브로드밴드주식회사 | Apparatus and method for network management |
CN111090426A (en) * | 2019-12-19 | 2020-05-01 | 北京浪潮数据技术有限公司 | Method, system and equipment for processing http request |
WO2021221266A1 (en) * | 2020-04-28 | 2021-11-04 | 주식회사 락인컴퍼니 | Method of blocking malicious user access and program security application method |
CN115225368A (en) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | Message processing method and device, electronic equipment and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US9443075B2 (en) | Interception and policy application for malicious communications | |
US9654494B2 (en) | Detecting and marking client devices | |
US9258328B2 (en) | Identifying malicious devices within a computer network | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US20160308898A1 (en) | Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform | |
KR101095447B1 (en) | Apparatus and method for preventing distributed denial of service attack | |
CN106850690B (en) | Honeypot construction method and system | |
EP2850781B1 (en) | Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic | |
US9444830B2 (en) | Web server/web application server security management apparatus and method | |
US11165817B2 (en) | Mitigation of network denial of service attacks using IP location services | |
KR101598187B1 (en) | Method and apparatus for blocking distributed denial of service | |
US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
TWM542807U (en) | Network information security inspection system | |
CN113810423A (en) | Industrial control honey pot | |
KR20110059963A (en) | Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same | |
US10296744B1 (en) | Escalated inspection of traffic via SDN | |
Gao et al. | Software-defined firewall: Enabling malware traffic detection and programmable security control | |
KR100983549B1 (en) | System for defending client distribute denial of service and method therefor | |
Reti et al. | Honey Infiltrator: Injecting Honeytoken Using Netfilter | |
KR101231966B1 (en) | Server obstacle protecting system and method | |
Balogh et al. | LAN security analysis and design | |
EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
KR101686472B1 (en) | Network security apparatus and method of defending an malicious behavior | |
Jamar et al. | E-shield: Detection and prevention of website attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190201 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20200203 Year of fee payment: 5 |