KR101713909B1 - Method for defending network using white domain and apparatus therefor - Google Patents

Method for defending network using white domain and apparatus therefor Download PDF

Info

Publication number
KR101713909B1
KR101713909B1 KR1020150139787A KR20150139787A KR101713909B1 KR 101713909 B1 KR101713909 B1 KR 101713909B1 KR 1020150139787 A KR1020150139787 A KR 1020150139787A KR 20150139787 A KR20150139787 A KR 20150139787A KR 101713909 B1 KR101713909 B1 KR 101713909B1
Authority
KR
South Korea
Prior art keywords
domain
request
packet
main
white
Prior art date
Application number
KR1020150139787A
Other languages
Korean (ko)
Inventor
주은영
박지백
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150139787A priority Critical patent/KR101713909B1/en
Application granted granted Critical
Publication of KR101713909B1 publication Critical patent/KR101713909B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A method and apparatus for efficiently defending a network attack while maintaining existing equipment are disclosed. The method according to the present invention may compare a domain included in a packet with the main domain and the sub domain of a white domain list and determine whether a corresponding request is a white domain request. Also, the method according to the present invention may drop a corresponding packet if a corresponding request is not a white domain request.

Description

화이트 도메인을 이용한 네트워크 방어 방법 및 이를 위한 장치{METHOD FOR DEFENDING NETWORK USING WHITE DOMAIN AND APPARATUS THEREFOR}TECHNICAL FIELD [0001] The present invention relates to a network defense method using a white domain,

본 발명은 화이트 도메인(white domain)을 이용한 네트워크 방어 방법 및 이를 위한 장치에 대한 것이다. 특히, 본 발명은 화이트 도메인 엔진을 이용한 서버의 과부하(overload)를 방지하는 방법 및 장치에 대한 것이다.The present invention relates to a network defense method using a white domain and an apparatus therefor. In particular, the present invention relates to a method and apparatus for preventing overloading of a server using a white domain engine.

네트워크 상의 네트워크 엔티티(entity)를 과부하시키기 위한 공격이 공격자들에 의하여 널리 이용되고 있다. 이러한 네트워크 상의 공격은, 예를 들어, 서버(server)를 과부하시켜 서버의 동작을 중지시키는 것을 목적으로 수행된다. 이러한 공격에 의하여 서버의 동작이 중지되는 경우, 서버는 서비스의 제공할 수 없다. 아울러, 네트워크 공격으로부터 기인하는 서버의 보안 정보의 누출 위험이 있다. Attacks to overload network entities on the network have been widely used by attackers. Such an attack on the network is performed, for example, in order to overload the server to stop the operation of the server. When the operation of the server is stopped by such an attack, the server can not provide the service. In addition, there is a risk of leakage of security information of the server caused by a network attack.

예를 들어, 서비스 거부(Denial of Service, DoS) 공격이 이용될 수도 있다. DoS 공격은 인터넷에 연결된 호스트의 사용자들을 위한 서비스를 일시적으로 또는 무기한 방해 또는 정지시키는 것을 의미할 수 있다. 또한, 분산 서비스 거부(Distributed DoS, DDoS) 공격은 공격의 근원지가 하나 이상인 서비스 거부 공격을 의미할 수 있으며, 보통 천 개 이상의 고유 IP(Intenet Protocol) 주소로부터 DDoS 공격이 수행될 수 있다.For example, a Denial of Service (DoS) attack may be used. A DoS attack may imply temporarily or indefinitely blocking or stopping services for users of hosts connected to the Internet. Distributed Denial of Service (DDoS) attacks can also be denial of service attacks, which are one or more origins of attacks. DDoS attacks can usually be performed from more than a thousand unique IP addresses.

이러한 서버의 과부하를 목적으로 한 공격의 예시로서, 포이즈닝 인터넷 공격(poisoning internet attack) 및 DNS NX 도메인 공격(Domain Name System Non-eXistent Domain attack)이 있다. DNS NX 도메인 공격은 비-존재 인터넷 도메인 명칭(non-existent internet domain names) 공격 또는 NX 도메인 공격으로 호칭될 수도 있다. 포이즈닝 인터넷 공격은 특정 방화벽(firewall)에서 사용자가 사이트에 대한 접속 요청을 송신할 경우, 목적지(destination) IP 주소를 변경함으로써 해당 접속 요청을 리다이렉션(redirection) 시키고, 사용자의 접속을 제한시키는 것을 의미할 수 있다. 또한, DNS NX 도메인 공격은 도메인 정보가 존재하지 않는 도메인에 정보를 요청하여 서버에 부하를 주는 공격을 의미할 수 있다.Examples of attacks aimed at overloading these servers are poisoning internet attack and DNS NX Domain Attack (Domain Name System Non-eXistent Domain attack). A DNS NX domain attack may be referred to as a non-existent internet domain names attack or an NX domain attack. A poisoning Internet attack means that when a user sends a connection request to a site in a specific firewall, it redirects the connection request by changing the destination IP address and restricts the user's access. can do. Also, the DNS NX domain attack may mean an attack that loads the server by requesting information from a domain in which domain information does not exist.

이러한 네트워크 공격이 잦아짐에 따라서, 서비스의 제공 불능으로 인한 불편이 증가하고 있다. 또한, 서비스의 복구를 위한 비용과 서버 정보 누출로 인한 피해가 증가하고 있다. 따라서, 이러한 네트워크 공격을 보다 원천적으로 차단할 수 있는 방법이 요구된다.As the network attacks become more frequent, inconveniences caused by inability to provide services are increasing. In addition, the cost of recovering the service and the damage caused by server information leakage are increasing. Therefore, there is a need for a method that can more effectively block such network attacks.

대한민국 특허 등록 번호 제 10-1038673 호Korean Patent Registration No. 10-1038673

본 발명의 기술적 과제는 네트워크 공격으로부터 서버를 보호할 수 있는 방법을 제공하는 데에 있다. It is a technical object of the present invention to provide a method for protecting a server from a network attack.

본 발명의 또 다른 기술적 과제는 서버의 과부하를 방지하면서도 적은 비용으로 네트워크 공격을 방지할 수 있는 방법을 제공하는 데에 있다.It is another object of the present invention to provide a method of preventing a network attack while preventing an overload of a server, at a low cost.

또한, 본 발명의 또 다른 기술적 과제는 화이트 도메인 엔진을 이용하여 사용자의 정상적 연결 요청을 분류할 수 있는 방법을 제공하는 데에 있다.It is another object of the present invention to provide a method for classifying a normal connection request of a user using a white domain engine.

본 발명에서 이루고자 하는 기술적 과제들은 상기 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.,It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. ,

상기 기술적 과제를 달성하기 위한 일 실시형태로서, 화이트 도메인(white domain)을 이용한 네트워크 방어 방법은, 사용자 장치로부터 수신된 패킷(packet)을 판독하는 단계; 상기 판독된 패킷에 포함된 제1 요청의 제1 도메인(domain)을 메인 도메인 테이블(main domain table)과 매칭하는 단계; 상기 제1 도메인의 메인 도메인이 상기 메인 도메인 테이블 내의 하나의 메인 도메인과 매칭되면, 상기 제1 도메인을 서브 도메인 테이블(sub domain table)과 매칭하는 단계; 상기 제1 도메인의 서브 도메인이 상기 서브 도메인 테이블의 하나의 서브 도메인과 매칭되면, 상기 제1 요청을 화이트 도메인 요청(white domain request)으로서 결정하는 단계; 및 상기 제1 도메인이 상기 메인 도메인 테이블 또는 상기 서브 도메인 테이블과 매칭되지 않으면, 상기 패킷을 드롭(drop)하는 단계를 포함할 수 있다.According to an aspect of the present invention, there is provided a network defense method using a white domain, comprising: reading a packet received from a user equipment; Matching a first domain of a first request included in the read packet with a main domain table; Matching the first domain with a sub domain table if the main domain of the first domain matches one of the main domains in the main domain table; Determining a first request as a white domain request if the sub domain of the first domain matches a sub domain of the sub domain table; And dropping the packet if the first domain does not match the main domain table or the subdomain table.

상기 기술적 과제를 달성하기 위한 일 실시형태로서, 화이트 도메인(white domain)을 이용한 네트워크 방어를 위한 장치는, 패킷을 판독하는 패킷 수집부; 상기 패킷에 포함된 제1 요청의 제1 도메인(domain)을 메인 도메인 테이블(main domain table) 및 서브 도메인 테이블과 매칭하는 화이트 도메인 엔진(white domain engine) 처리부; 및 상기 패킷 수집부 및 상기 화이트 도메인 엔진 처리부를 제어하는 프로세서를 포함하고, 상기 프로세서는, 상기 제1 도메인의 메인 도메인이 상기 메인 도메인 테이블의 하나의 메인 도메인과 매칭되고 상기 제2 도메인의 서브 도메인이 상기 서브 도메인 테이블의 하나의 서브 도메인과 매칭되는 경우, 상기 제1 요청을 화이트 도메인 요청(white domain request)으로서 결정하고, 상기 제1 도메인의 메인 도메인이 상기 메인 도메인 테이블 또는 상기 서브 도메인 테이블과 매칭되지 않으면, 상기 패킷을 드롭(drop)하도록 구성될 수 있다.According to an aspect of the present invention, there is provided an apparatus for network defense using a white domain, comprising: a packet collecting unit for reading a packet; A white domain engine processing unit for matching a first domain of the first request included in the packet with a main domain table and a sub domain table; And a processor for controlling the packet collecting unit and the white domain engine processing unit, wherein the main domain of the first domain matches one main domain of the main domain table, and the sub domain of the second domain Domain sub-domain table matches a sub-domain of the sub-domain table, the first request is determined as a white domain request, and the main domain of the first domain requests the main domain table or the sub- If not, it may be configured to drop the packet.

본 발명의 실시예들에 따르면, 네트워크 공격에 대한 효율적인 방어 방법이 제공될 수 있다.According to embodiments of the present invention, an effective defense method against a network attack can be provided.

본 발명의 실시에들에 따르면, 비 정상적인 접속 요청에 대한 효율적인 처리 방법이 제공될 수 있다.According to the embodiments of the present invention, an efficient processing method for an abnormal connection request can be provided.

본 발명의 실시예들에 따르면, 화이트 도메인(white domain) 상에 존재하는 도멘인에 대한 접속 요청을 처리함으로써 서버의 과부하를 방지할 수 있는 효과가 있다.According to the embodiments of the present invention, an overload of the server can be prevented by processing a connection request for a domain that exists on a white domain.

본 발명의 실시예들에 따르면, 기존의 장비의 교체 없이도 네트워크 공격에 대한 효율적인 방어 방법이 제공될 수 있다.According to embodiments of the present invention, an efficient defense method against network attacks can be provided without replacing existing equipment.

본 발명에서 얻을 수 있는 효과는 상기에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those skilled in the art from the following description will be.

본 발명에 관한 이해를 돕기 위하여 상세한 설명의 일부로 포함되는, 첨부도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1a는 포이즈닝 인터넷 공격의 개략도이다.
도 1b는 포이즈닝 인터넷 공격의 흐름도이다.
도 2a는 NX 도메인 공격의 개략도이다.
도 2b는 NX 도메인 공격의 흐름도이다.
도 3은 일 실시예에 따른 고속 네트워크 보안 장치 엔진의 구성도이다.
도 4는 일 실시예에 따른 메인 도메인 테이블 및 서브 도메인 테이블을 도시한다.
도 5는 일 실시예에 따른 공격 방어 방법의 제1 흐름도이다.
도 6은 일 실시예에 따른 공격 방어 방법의 제2 흐름도이다.
도 7은 일 실시예에 따른 공격 방어 방법의 제3 흐름도이다.
도 8은 일 실시예에 따른 공격 방어 방법의 제4 흐름도이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of the specification, illustrate embodiments of the invention and, together with the description, serve to explain the principles of the invention.
1A is a schematic diagram of a poisoning Internet attack.
1B is a flow chart of a poisoning Internet attack.
2A is a schematic diagram of an NX domain attack.
2B is a flow chart of the NX domain attack.
3 is a block diagram of a high-speed network security device engine according to an embodiment.
FIG. 4 illustrates a main domain table and a subdomain table according to an embodiment.
5 is a first flowchart of an attack defense method according to an embodiment.
6 is a second flowchart of an attack defense method according to an embodiment.
7 is a third flowchart of an attack defense method according to an embodiment.
8 is a fourth flowchart of an attack defense method according to an embodiment.

이하의 실시예들은 본 발명의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수도 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성할 수도 있다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수도 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수도 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수도 있다. The following embodiments are a combination of elements and features of the present invention in a predetermined form. Each component or characteristic may be considered optional unless otherwise expressly stated. Each component or feature may be implemented in a form that is not combined with other components or features. In addition, some of the elements and / or features may be combined to form an embodiment of the present invention. The order of the operations described in the embodiments of the present invention may be changed. Some configurations or features of certain embodiments may be included in other embodiments, or may be replaced with corresponding configurations or features of other embodiments.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들을 명백하게 특별히 정의되지 않는 한 사전의 의미 이상으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. Unless defined otherwise, all terms used herein may be used in a sense that is commonly understood by one of ordinary skill in the art to which this invention belongs. In addition, commonly used predefined terms are not interpreted beyond or in excess of the meaning of the dictionary unless expressly defined otherwise. The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention.

이하에서는, 도면을 참조하여 실시예들에 대하여 설명한다.Hereinafter, embodiments will be described with reference to the drawings.

도 1a는 포이즈닝 인터넷 공격의 개략도이다.1A is a schematic diagram of a poisoning Internet attack.

도 1a에서, 사용자 장치(User Equipment, UE, 110), 방화벽(130), 제1 서버(121), 제2 서버(125), 및 고속 네트워크 보안 시스템(126)으로 구성된 네트워크의 일 예시가 도시된다. 도 1a에는 하나의 사용자 장치(110) 만이 도시되어 있으나, 복수의 사용자 장치들이 포이즈닝 인터넷 공격을 수행할 수 있음은 자명하다. 제1 서버(121)는, 예를 들어, 사이트 A에 대한 서버이고, 제2 서버(125)는 사이트 B에 대한 서버일 수도 있다. 1A, an example of a network comprised of User Equipment (UE) 110, a firewall 130, a first server 121, a second server 125, and a high speed network security system 126, do. Although only one user device 110 is shown in FIG. 1A, it is apparent that a plurality of user devices can perform a poisoning Internet attack. The first server 121 may be, for example, a server for Site A, and the second server 125 may be a server for Site B.

도 1b는 포이즈닝 인터넷 공격의 흐름도이다.1B is a flow chart of a poisoning Internet attack.

사용자 장치(110)의 사용자는 사이트 A에 접속하고자 할 수도 있다. 이 경우, 사용자의 입력 등에 기초하여 사용자 장치(110)로부터 접속 요청이 전송(S110)될 수 있다. A user of the user device 110 may wish to access site A. In this case, a connection request may be transmitted (S110) from the user device 110 based on a user's input or the like.

방화벽(130)은 차단 사이트 목록(예를 들어, 블랙 리스트(black list))을 포함할 수도 있다. 예를 들어, 공격자는 방화벽(130)의 차단 사이트 목록에 사이트 A를 포함시킬 수도 있다. 이 경우, 사용자의 접속 요청을 수신한 방화벽(130)은 접속 요청된 사이트 A에 대한 접속을 차단하고, 수신된 접속 요청을 기설정된 사이트(예를 들어, 사이트 B)로 리다이렉션 한다 (S120). 예를 들어, 방화벽(130)은 접속 요청 내의 목적지 IP 주소를 기설정된 다른 IP 주소로 재설정함으로써 접속 요청을 리다이렉션할 수도 있다. Firewall 130 may include a blacklist of sites (e.g., a black list). For example, an attacker may include site A in the blocking site list of firewall 130. In this case, the firewall 130 that has received the user's access request blocks the connection to the requested site A and redirects the received access request to a predetermined site (e.g., site B) (S120). For example, the firewall 130 may redirect the connection request by resetting the destination IP address in the connection request to another predetermined IP address.

리다이렉션된 접속 요청은 재설정된 IP 주소에 대응하는 제2 서버(125)에서 수신된다. 제2 서버(125)는 자신에 대한 접속 요청이 아닌 접속 요청을 수신한 경우, 접속 요청을 송신한 사용자 장치(110)로 에러 메시지를 송신할 수 있다. 제2 서버(125)는 접속 요청의 목적지 IP 주소를 판독하고, 잘못된 요청에 대한 에러 메시지를 사용자 장치(110)로 전송할 수도 있다. 수신된 접속 요청의 목적지 IP 주소가 자신이 아닌 다른 사이트에 대한 요청이기 때문이다. 예를 들어, 에러 메시지는 "404 NOT FOUND" 에러 메시지일 수도 있다. 한편, 제2 서버(125)와 관련하여 상술한 동작들은 고속 네트워크 보안 시스템(126)에 의하여 수행될 수도 있으며, 고속 네트워크 보안 시스템(126)은 제2 서버(125)의 일부일 수도 있다.The redirected connection request is received at the second server 125 corresponding to the re-established IP address. If the second server 125 receives a connection request, rather than a connection request for itself, the second server 125 may send an error message to the user device 110 that transmitted the connection request. The second server 125 may read the destination IP address of the connection request and send an error message to the user device 110 regarding the erroneous request. This is because the destination IP address of the received connection request is a request to a site other than itself. For example, the error message may be a "404 NOT FOUND" error message. The operations described above with respect to the second server 125 may be performed by the high speed network security system 126 and the high speed network security system 126 may be part of the second server 125. [

도 1a 및 1b의 포이즈닝 인터넷 공격의 경우, 이러한 공격이 반복되면 제2 서버(125)는 반복하여 에러 메시지를 전송하여야 하기 때문에, 반복된 에러 메시지 응답으로 인하여 제2 서버(125)는 과부하될 수도 있다. 특히, 포이즈닝 인터넷 공격에서 리다이렉션된 접속 요청은 목적지 IP 주소만이 변조된 정상적인 접속 요청 쿼리(query)이기 때문에, 고속 네트워크 보안 시스템(130)이 해당 접속 요청이 비정상적인 접속 요청인지를 판단하기가 어렵다. In the poisoning Internet attack of FIGS. 1A and 1B, since the second server 125 repeatedly transmits an error message if such an attack is repeated, the second server 125 is overloaded due to the repeated error message response It is possible. In particular, since the redirected access request from the poisoning Internet attack is a normal access request query modulated only by the destination IP address, it is difficult for the high-speed network security system 130 to determine whether the access request is an abnormal access request .

도 2a는 NX 도메인 공격의 개략도이다.2A is a schematic diagram of an NX domain attack.

도 2a에서 사용자 장치(210)는 하나 또는 복수의 사용자 장치 그룹일 수도 있다. 서버(220)는 사이트 A에 대한 서버이고, 고속 네트워크 보안 시스템(226)은 별개의 장치이거나 서버(220)의 일부일 수도 있다. 서버(220)와 관련하여 후술하는 동작들은 고속 네트워크 보안 시스템(226)에 의하여 수행될 수도 있다.In FIG. 2A, the user device 210 may be one or more user device groups. Server 220 is a server for site A and high-speed network security system 226 may be a separate device or part of server 220. [ Operations described below in connection with the server 220 may be performed by the high speed network security system 226.

도 2b는 NX 도메인 공격의 흐름도이다.2B is a flow chart of the NX domain attack.

사용자 장치(210)는 서브 도메인(sub domain)이 "abc"이고 사이트 A의 메인 도메인(main domain)으로 구성된 접속 요청을 서버(220)로 전송 (S210)한다. 예를 들어, 사이트 A의 메인 도메인은 "A.com"일 수도 있다. 이 경우, 사용자 장치(210)의 접속 요청은 "abc.A.com"으로의 접속 요청일 수도 있다. 이하의 실시예들에 있어서, 도메인 네임 A는 문자 A가 아닌 일련의 문자열을 의미할 수 있으며, 문자열은 숫자 및/또는 특수 기호를 포함할 수도 있다.The user device 210 transmits a connection request made in the main domain of the site A to the server 220 (S210) with the subdomain "abc". For example, the main domain of site A may be "A.com ". In this case, the connection request of the user device 210 may be a connection request to "abc.A.com ". In the following embodiments, the domain name A may mean a series of strings rather than a letter A, and the string may include numbers and / or special symbols.

서버(220)는 정상적인 DNS(Domain Name System) 요청(예를 들어, www.A.com)을 수신한 경우, 응답으로 IP 주소를 반환하도록 구성된다. 그러나, 도 2b와 같이 서브 도메인이 메인 도메인과 관련하여 지원되지 않는 경우에는, 서버(220)는 해당 DNS IP가 존재하지 않음을 나타내는 에러 코드를 반환한다. The server 220 is configured to return an IP address in response to a normal DNS (Domain Name System) request (e.g., www.A.com). However, if the subdomain is not supported with respect to the main domain as shown in FIG. 2B, the server 220 returns an error code indicating that the corresponding DNS IP does not exist.

도 2b에서, 서버(220)는 자신이 지원하지 않는 서브 도메인을 포함하는 요청에 대하여 에러 메시지를 전송(S220)한다. NX 도메인 공격은 지원되지 않는 서브 도메인을 포함하는 요청을 반복적으로 수행함으로써 서버(220)에 대한 과부하를 유발시키는 것을 목적으로 한다. 즉, 도 2b에 도시된 바와 같이, 지원되지 않는 서브 도메인을 포함하는 접속 요청이 반복적으로 서버(220)로 전송(S230, S250)될 수 있다. 또한, 서버(220)는 반복적으로 에러 메시지를 전송(S240, S260)한다.In FIG. 2B, the server 220 transmits an error message to the request including the sub-domain that it does not support (S220). The NX domain attack is intended to cause an overload on the server 220 by iteratively performing a request including unsupported subdomains. That is, as shown in FIG. 2B, connection requests including unsupported sub-domains may be repeatedly transmitted to the server 220 (S230, S250). In addition, the server 220 repeatedly transmits an error message (S240, S260).

NX 도메인 공격은 정상적인 서비스를 하는 도메인 목록의 서브 도메인을 이용하여 (DNS) 서버(220)를 공격한다. 고속 네트워크 보안 시스템(226)에 의한 DNS의 정상 도메인 여부를 파악하기 어렵기 때문에, 고속 네트워크 보안 시스템(226)은 이러한 공격을 차단하기 어렵다.The NX domain attack attacks (DNS) server 220 using a subdomain of a list of normal serving domains. It is difficult for the high-speed network security system 226 to block such an attack because it is difficult to determine whether the DNS is in the normal domain by the high-speed network security system 226. [

따라서, 도 1a 내지 2b와 관련하여 상술한 바와 같이, 다양한 유형의 네트워크 공격에 대하여 네트워크 보안 시스템에 의하여 사전적으로 접속 요청을 차단할 수 있는 방법이 요구된다.Thus, as described above in connection with FIGS. 1A-2B, a method is needed that is capable of blocking the connection request in advance for various types of network attacks by the network security system.

도 3은 일 실시예에 따른 고속 네트워크 보안 장치 엔진의 구성도이다.3 is a block diagram of a high-speed network security device engine according to an embodiment.

고속 네트워크 보안 장치(300)는 패킷 수집부(310), 프로토콜 분석부(320), HTTP (Hyper Text Transfer Protocol) 처리부(330), DNS (Domain Name System) 처리부 (340), 화이트 도메인 엔진 처리부(350), 및 도메인 QoS(Quality of Service) 엔진(360)을 포함할 수도 있다.The high speed network security device 300 includes a packet collecting unit 310, a protocol analyzing unit 320, a Hyper Text Transfer Protocol (HTTP) processing unit 330, a DNS (Domain Name System) processing unit 340, 350, and a domain Quality of Service (QoS) engine 360.

패킷 수집부(310)는 네트워크 인터페이스 카드(Network Interface Card, NIC)의 패킷을 판독할 수 있다. 해당 패킷은 사용자 장치로부터 수신된 요청 쿼리일 수도 있다. 프로토콜 분석부(320)는 수신된 패킷을 분석하고, 수신된 패킷을 HTTP 프로토콜 또는 DNS 프로토콜으로 분류할 수 있다. The packet collecting unit 310 can read a packet of a network interface card (NIC). The packet may be a request query received from the user device. The protocol analyzer 320 analyzes the received packet and classifies the received packet into an HTTP protocol or a DNS protocol.

HTTP 프로토콜의 패킷인 경우, HTTP 처리부(330)는 HTTP 프로토콜에 따라서 패킷을 처리하고 화이트 도메인 엔진 처리부(350)로 송신한다. DNS 프로토콜의 패킷인 경우, DNS 처리부(340)는 DNS 프로토콜에 따라서 패킷을 처리하고 화이트 도메인 엔진 처리부(350)로 송신한다. In the case of a packet of the HTTP protocol, the HTTP processing unit 330 processes the packet according to the HTTP protocol and transmits it to the white domain engine processing unit 350. In the case of a DNS protocol packet, the DNS processing unit 340 processes the packet according to the DNS protocol and transmits it to the white domain engine processing unit 350.

화이트 도메인 엔진 처리부(350)는 메인 도메인 테이블 및 서브 도메인 테이블을 포함할 수도 있다. 도 4는 일 실시예에 따른 메인 도메인 테이블(410) 및 서브 도메인 테이블(420)을 도시한다. 화이트 도메인은 고속 네트워크 보안 장치(도 3의 300)에 의하여 차단되지 않는 도메인으로서, 기설정된 기준 또는 관리자에 의하여 안정성이 보장되는 도메인의 목록일 수도 있다. 화이트 도메인 리스트는 차단 도메인 리스트(즉, 블랙 리스트)에 반대되는 개념을 의미할 수 있다. 메인 도메인 테이블(410)은 기설정된 조건 또는 관리자의 입력에 기초하여 설정된 안전한 도메인의 메인 도메인들을 포함할 수 있다. 또한, 각 메인 도메인과 연관된 서브 도메인들이 서브 도메인 테이블(420)에 저장될 수도 있다. 도 4의 예시에서, "mail1.A.com", "mail2.A.com", "map.A.com", 및 "www.A.com" 등이 메인 도메인 테이블(410) 및 서브 도메인 테이블(420)에 모두 매칭되는 도메인 주소이다. 도 4의 메인 도메인 테이블(410) 및 서브 도메인 테이블(420)은 화이트 도메인 테이블로서 지칭될 수도 있다.The white domain engine processing unit 350 may include a main domain table and a sub domain table. FIG. 4 illustrates a main domain table 410 and a subdomain table 420 according to an embodiment. The white domain may be a domain that is not blocked by the high-speed network security device (300 in FIG. 3), and may be a list of domains that are secured by predetermined criteria or an administrator. A white domain list may mean a concept opposite to a blocking domain list (i.e., blacklist). The main domain table 410 may include main domains of a secure domain set based on preset conditions or an administrator's input. In addition, the subdomains associated with each main domain may be stored in the subdomain table 420. 4, "mail1.A.com", "mail2.A.com", "map.A.com", and "www.A.com" are stored in the main domain table 410 and the subdomain table (420). ≪ / RTI > The main domain table 410 and the subdomain table 420 of FIG. 4 may be referred to as a white domain table.

다시 도 3을 참조하여, 예를 들어, HTTP(즉, 웹(WEB)) 프로토콜에 따른 패킷인 경우, 요청 쿼리는 GET 또는 POST 요청일 수도 있다. 또한, 이러한 웹 서비스 요청은 TCP (Transmission Control Protocol) 포트 번호 80, 8080, 또는 443을 갖는 서비스 포트로의 요청일 수도 있다. 이 경우, 패킷은 "Host" 문자열과 호스트 이름(host name)을 포함할 수 있다. 따라서, 화이트 도메인 엔진 처리부(350)는 해당 호스트 이름이 도 4와 관련하여 상술한 메인 도메인 테이블(도 4의 410)에 매칭되는지를 판단한다. 메인 도메인 테이블과 매칭된 경우, 화이트 도메인 엔진 처리부(350)는 호스트 이름과 도 4와 관련하여 상술한 서브 도메인 테이블(도 4의 420)에 매칭되는 지를 판단한다. 호스트 이름이 메인 도메인 테이블 및 서브 도메인 모두와 매칭되는 경우, 화이트 도메인 엔진 처리부(350)는 정상적인 화이트 도메인 요청으로 결정한다. 한편, 메인 도메인 테이블 또는 서브 도메인 테이블과 호스트 이름이 매칭되지 않는 경우, 화이트 도메인 엔진 처리부(350)는 해당 패킷을 드롭(drop)함으로써 서버의 과부하를 방지할 수 있다.Referring back to FIG. 3, for example, in the case of a packet according to the HTTP (i.e., WEB) protocol, the request query may be a GET or POST request. This Web service request may also be a request to a service port having a Transmission Control Protocol (TCP) port number 80, 8080, or 443. In this case, the packet may contain a "Host" string and a host name. Accordingly, the white domain engine processing unit 350 determines whether the host name matches the main domain table (410 in FIG. 4) described above with reference to FIG. When matching with the main domain table, the white domain engine processing unit 350 judges whether or not it matches the host name and the subdomain table (420 in FIG. 4) described above with reference to FIG. If the host name matches both the main domain table and the sub domain, the white domain engine processing unit 350 determines a normal white domain request. On the other hand, when the main domain table or the sub domain table and the host name do not match, the white domain engine processing unit 350 can prevent the server from being overloaded by dropping the corresponding packet.

예를 들어, 요청 쿼리는 DNS 프로토콜에 따른 패킷일 수도 있다. 이 경우, 요청 쿼리는 UDP(User Datagram Protocol) 포트 번호 53 또는 TCP 포트 번호 53를 갖는 DNS 서비스 포트로의 요청일 수도 있다. 화이트 도메인 엔진 처리부(350)는 해당 패킷에 대하여 메인 도메인 및 서브 도메인 테이블과의 매칭을 통하여 해당 도메인이 정상적인 화이트 DNS 도메인 요청인지를 판단할 수도 있다. 판단 및 처리 방법은 HTTP 프로토콜에 따른 패킷과 관련하여 상술한 바와 동일한바, 설명의 편의를 위하여 생략한다.For example, the request query may be a packet according to the DNS protocol. In this case, the request query may be a request to a DNS service port having a User Datagram Protocol (UDP) port number 53 or a TCP port number 53. The white domain engine processing unit 350 may determine whether the corresponding domain is a normal white DNS domain request by matching the packet with the main domain and the sub domain table. The determination and processing method is the same as described above with respect to the packet according to the HTTP protocol, and is omitted for convenience of explanation.

요청 쿼리(HTTP 또는 DNS)가 정상적인 화이트 도메인 (DNS) 요청으로서 판단된 경우, 동일한 요청은 제한될 수도 있다. 정상적인 화이트 도메인 요청이더라도, 중복하여 반복되는 경우, 이에 대한 응답으로 인하여 서버에 과부하가 유발될 수도 있다. 따라서, 도메인 QoS를 통하여 동일 접속 DoS 공격을 방어할 수 있다. 예를 들어, 도메인 QoS 엔진(360)은 정상적인 화이트 도메인 요청으로 결정된 요청과 동일한 요청을 제한하도록 구성될 수도 있다. 예를 들어, 동일한 요청이 기설정된 시간 내에 다시 수신되는 경우에는 해당 요청은 드롭(또는 폐기)될 수도 있다. 동일한 요청은 소스(source) 주소, 호스트 명칭 및/또는 목적 요청 등이 동일한 요청을 의미할 수 있다. 도메인 QoS 엔진(360)은 기설정된 조건에 기초하여 동일한 요청을 드롭(또는 폐기)할 수도 있다. 예를 들어, 도메인 QoS 엔진(360)은 기설정된 시간 내에 동일한 요청이 기설정된 횟수 이상 수신될 되면, 해당 패킷을 드롭할 수도 있다. 또한, 도메인 QoS 엔진(360)은 상술한 기설정된 조건이 만족되면 기설정된 시간 만큼 동일한 요청의 패킷들을 드롭시킬 수도 있다. 예를 들어, 도메인 QoS 엔진(360)에 동일한 요청의 패킷들을 드롭시키기 위한 타이머가 설정될 수도 있다.If the request query (HTTP or DNS) is determined as a normal white domain (DNS) request, the same request may be restricted. Even if a normal white domain request is repeated in a duplicate, a response to the request may cause an overload in the server. Therefore, it is possible to prevent the same access DoS attack through the domain QoS. For example, the domain QoS engine 360 may be configured to limit the same request as a request determined with a normal white domain request. For example, if the same request is received again within a predetermined time, the request may be dropped (or discarded). The same request may refer to the same request, such as a source address, a host name, and / or a destination request. The domain QoS engine 360 may drop (or discard) the same request based on a predetermined condition. For example, the domain QoS engine 360 may drop the packet if the same request is received more than a predetermined number of times in a predetermined time. In addition, the domain QoS engine 360 may drop packets of the same request by a predetermined time when the predetermined condition is satisfied. For example, a timer may be set to drop packets of the same request to the domain QoS engine 360.

상술한 고속 네트워크 보안 장치(300)는 독립적인 장치로서 구현되거나, 서버의 일부로서 구현될 수도 있다. 고속 네트워크 보안 장치(300)는 도 3에 도시된 구성 외에 다른 구성들을 더 포함할 수도 있다. 예를 들어, 고속 네트워크 보안 장치(300)는 프로세서를 더 포함할 수도 있다. 또한, 프로세서는 고속 네트워크 보안 장치(300)의 각 구성들을 제어하도록 구성될 수도 있다. 도 3의 고속 네트워크 방지 장치(300)의 각 구성들은 하나 또는 복수의 칩 상에 구현될 수도 있다. 도 3에 도시된 구성들은 고속 네트워크 장치(300)의 기능을 중심으로 논리적으로 구분되어 도시된 것으로서, 각 구성들은 물리적인 개별 구성일 수도 있으나 소프트웨어적으로 구현된 기능일 수도 있다.The high-speed network security device 300 described above may be implemented as an independent device or as a part of a server. The high-speed network security device 300 may further include other configurations besides the configuration shown in FIG. For example, high speed network security device 300 may further include a processor. In addition, the processor may be configured to control each of the high-speed network security device 300 configurations. 3 may be implemented on one or a plurality of chips. The configurations shown in FIG. 3 are logically divided centering on the functions of the high-speed network device 300, and each configuration may be a physical individual configuration, but may also be a software implemented function.

이하에서, 도 5 내지 도 8을 참조하여, 일 실시예에 따른 공격 방어 방법을 설명한다. 이하의 실시예는 상술한 고속 네트워크 보안 장치 및/또는 그 구성에 의하여 수행될 수 있다.Hereinafter, an attack defense method according to an embodiment will be described with reference to FIGS. 5 to 8. FIG. The following embodiments can be performed by the above-described high-speed network security device and / or its configuration.

도 5는 일 실시예에 따른 공격 방어 방법의 제1 흐름도이다.5 is a first flowchart of an attack defense method according to an embodiment.

패킷이 수신되면, 수신된 패킷을 판독(S510)한다. 패킷의 판독은 패킷 수집부에서 수행될 수도 있다. 패킷의 판독 후, 해당 패킷의 프로토콜을 분석(S520)하여 해당 패킷이 웹(즉, HTTP) 트래픽 (S530)인지, DNS 트랙픽(S540)인지 판단한다. 패킷의 프로토콜은 프로토콜 분석 엔진에 의하여 수행될 수 있다. 패킷이 웹 프로토콜이 아니고, DNS 프로토콜도 아닌 경우에는, 해당 패킷은 기타 다른 보안 엔진에 의하여 처리(S550)될 수도 있다.When the packet is received, the received packet is read (S510). The reading of the packet may be performed in the packet collecting unit. After reading the packet, the protocol of the packet is analyzed (S520), and it is determined whether the packet is web (i.e., HTTP) traffic (S530) or DNS traffic (S540). The protocol of the packet may be performed by a protocol analysis engine. If the packet is neither a Web protocol nor a DNS protocol, the packet may be processed by another security engine (S550).

도 6은 일 실시예에 따른 공격 방어 방법의 제2 흐름도이다.6 is a second flowchart of an attack defense method according to an embodiment.

도 5에서 해당 패킷이 웹 트래픽으로 판단된 경우 (도 5의 A), 고속 네트워크 보안 장치는 해당 패킷의 프로토콜 및 포트가 매핑되는지를 검사(S610)한다. 예를 들어, 해당 패킷은 TCP (Transmission Control Protocol) 포트 번호 80, 8080, 또는 443을 갖는 서비스 포트로의 요청일 수도 있다. 해당 패킷이 기설정된 프로토콜의 기설정된 포트 번호에 대응하는 경우에 고속 네트워크 보안 장치는 해당 패킷이 GET 또는 POST 요청인지를 판단(S620)한다. 해당 패킷이 GET 또는 포스트 요청인 경우, 고속 네트워크 보안 장치는 해당 패킷에 "Host" 문자열이 존재하는지를 검사(S640)한다. "Host" 문자열이 패킷 내에서 검출된 경우, 화이트 도메인 처리 엔진은 패킷 내의 호스트 이름이 (기설정된) 메인 도메인 테이블과 매칭되는지를 판단(S640)할 수 있다. 또한, 도메인 이름이 메인 도메인 테이블과 매칭되는 경우 (도메인 이름이 메인 도메인 테이블 내의 하나의 메인 도메인과 매칭되는 경우), 화이트 도메인 처리 엔진은 패킷 내의 호스트 이름이 (기설정된) 서브 도메인 테이블과 매칭되는지를 판단(S650)할 수 있다. 즉, 도메인 이름이 서브 도메인 테이블 내의 하나의 서브 도메인과 매칭되는지 판단될 수 있다. 해당 패킷의 호스트 이름이 메인 도메인 테이블 또는 서브 도메인 테이블과 매칭되지 않는 경우, 해당 패킷은 드롭(drop)된다 (S660). 또한, 이 경우, 해당 패킷은 폐기될 수도 있다.In FIG. 5, when the corresponding packet is determined to be web traffic (A in FIG. 5), the high speed network security device checks in step S610 whether the protocol and port of the corresponding packet are mapped. For example, the packet may be a request to a service port having a Transmission Control Protocol (TCP) port number 80, 8080, or 443. If the packet corresponds to a predetermined port number of the predetermined protocol, the high speed network security device determines whether the packet is a GET or POST request (S620). If the packet is a GET or post request, the high speed network security device checks whether the "Host" string exists in the packet (S640). If the "Host" string is detected in the packet, the white domain processing engine may determine (S640) if the host name in the packet matches the (pre-established) main domain table. Also, if the domain name matches the main domain table (if the domain name matches one of the main domains in the main domain table), the white domain processing engine determines whether the host name in the packet matches the (predefined) (S650). That is, it can be determined whether the domain name matches with one subdomain in the subdomain table. If the host name of the packet does not match the main domain table or the sub domain table, the corresponding packet is dropped (S660). Also, in this case, the packet may be discarded.

도 7은 일 실시예에 따른 공격 방어 방법의 제3 흐름도이다.7 is a third flowchart of an attack defense method according to an embodiment.

도 5에서 해당 패킷이 DNS 트래픽으로 판단된 경우 (도 5의 B), 고속 네트워크 보안 장치는 해당 패킷의 프로토콜 및 포트가 기설정된 프로토콜 및 포트와 매핑되는지를 검사(S710)한다. 예를 들어, 해당 패킷은 UDP(User Datagram Protocol) 포트 번호 53 또는 TCP 포트 번호 53에 매핑될 수도 있다. DNS 서비스 포트(예를 들어, UDP 53, TCP 53)와 패킷의 프로토콜 및 포트가 매핑된 경우, 화이트 도메인 처리 엔진은 패킷 내의 DNS 쿼리가 메인 도메인 테이블 및 서브 도메인 테이블과 매칭(S720, S730)되는지 판단한다. 즉, 도메인 이름이 메인 도메인 테이블 내의 하나의 메인 도메인 및 서브 도메인 테이블 내의 하나의 서브 도메인과 매칭되는지 판단될 수 있다. 해당 패킷의 DNS 쿼리가 메인 도메인 테이블 또는 서브 도메인 테이블과 매칭되지 않는 경우, 해당 패킷은 드롭(drop)된다 (S740). 또한, 이 경우, 해당 패킷은 폐기될 수도 있다.In FIG. 5, when the corresponding packet is judged as DNS traffic (B in FIG. 5), the high speed network security device checks in step S710 whether the protocol and port of the corresponding packet are mapped to the predetermined protocol and port. For example, the packet may be mapped to a UDP (User Datagram Protocol) port number 53 or a TCP port number 53. When the DNS service port (for example, UDP 53, TCP 53) and the packet's protocol and port are mapped, the white domain processing engine determines whether the DNS query in the packet matches the main domain table and the subdomain table (S720, S730) . That is, it can be determined whether the domain name matches one main domain in the main domain table and one subdomain in the subdomain table. If the DNS query of the packet does not match the main domain table or the sub-domain table, the corresponding packet is dropped (S740). Also, in this case, the packet may be discarded.

도 8은 일 실시예에 따른 공격 방어 방법의 제4 흐름도이다.8 is a fourth flowchart of an attack defense method according to an embodiment.

해당 패킷이 메인 도메인 테이블 및 서브 도메인 테이블과 매칭된 경우 (도 6 및 도 7의 C), 해당 패킷은 도메인 QoS 엔진으로 전달된다. 해당 패킷이 TCP 프로토콜의 패킷인 경우(S810), IP 및 도메인이 검사(S820)가 수행될 수 있다. 또한, 해당 패킷이 UDP 프로토콜의 패킷인 경우(S830), 도메인 검사(S840)가 수행될 수 있다. 상술한 바와 같이, 해당 패킷이 메인 도메인 테이블 및 서브 도메인 테이블과 매칭된 경우 해당 패킷은 화이트 도메인에 대한 요청으로 결정될 수 있다. 다만, 상술한 바와 같이, 동일 주소 반복 접속으로 인한 네트워크 과부화를 방지하기 위하여, 단계 S820 및 S840에서 해당 패킷이 드롭 또는 폐기될 수도 있다. 예를 들어, 동일한 요청이 기설정된 시간 내에 다시 수신되는 경우에는 해당 요청은 드롭(또는 폐기)될 수도 있다. 동일한 요청은 소스(source) 주소, 호스트 명칭 및/또는 목적 요청 등이 동일한 요청을 의미할 수 있다. 도메인 QoS 엔진은 기설정된 조건에 기초하여 동일한 요청을 드롭(또는 폐기)할 수도 있다.If the packet matches the main domain table and the subdomain table (FIGS. 6 and 7C), the packet is forwarded to the domain QoS engine. If the packet is a packet of the TCP protocol (S810), IP and domain inspection (S820) may be performed. If the packet is a UDP protocol packet (S830), a domain check (S840) may be performed. As described above, if the packet matches the main domain table and the sub domain table, the corresponding packet can be determined as a request for the white domain. However, as described above, the corresponding packet may be dropped or discarded in steps S820 and S840 in order to prevent network overload due to the same address repeated access. For example, if the same request is received again within a predetermined time, the request may be dropped (or discarded). The same request may refer to the same request, such as a source address, a host name, and / or a destination request. The domain QoS engine may drop (or discard) the same request based on predetermined conditions.

상술한 실시예들에 있어서, 몇몇 단계들은 생략 또는 하나의 단계로 축약될 수도 있다. 예를 들어, 본 발명은 패킷의 판독 단계와 판독된 패킷에 의하여 요청된 도메인을 기설정된 화이트 도메인 리스트(화이트 메인 도메인 리스트 및 화이트 서브 도메인 리스트)와 비교하는 단계로서 축약되어 표현될 수도 있다.In the embodiments described above, some steps may be omitted or reduced to one step. For example, the present invention may be represented in an abbreviated form as comparing the requested domain with the predetermined white domain list (white main domain list and white domain list) by reading the packet and the read packet.

상술한 실시예들에 의할 때, 목적지 IP 주소가 변경된 포이즈닝 인터넷 공격의 경우, 고속 네트워크 보안 시스템은 리다이렉션된 요청을 드롭시킬 수 있다. 고속 네트워크 보안 시스템의 화이트 도메인 리스트에 리다이렉션된 목적지 IP 주소가 매칭되지 않기 때문이다. 따라서, 불필요한 요청에 대한 응답(에러 메시지의 전송)으로 인한 서버 과부하가 방지될 수 있다.According to the embodiments described above, in case of a poisoning Internet attack in which the destination IP address is changed, the high speed network security system can drop the redirected request. This is because the redirected destination IP address does not match the white domain list of the high-speed network security system. Thus, a server overload due to a response to an unnecessary request (transmission of an error message) can be prevented.

상술한 실시예들에 의할 때, 존재하지 않는 서브 도메인을 갖는 NX 도메인 공격이 방지될 수 있다. 이 경우, 서브 도메인이 고속 네트워크 보안 시스템의 화이트 도메인 리스트에 매칭되지 않기 때문에, 고속 네트워크 보안 시스템은 해당 패킷을 드롭시킬 수도 있다. 따라서, 불필요한 요청에 대한 응답으로 인한 서버 과부하가 방지될 수 있다.According to the above-described embodiments, an NX domain attack with a non-existent subdomain can be prevented. In this case, the high-speed network security system may drop the packet because the sub-domain does not match the white domain list of the high-speed network security system. Thus, a server overload due to a response to an unnecessary request can be prevented.

상술한 실시예들에 의할 때, 동일 접속 요청에 의한 공격이 방지될 수 있다. 화이트 도메인 리스트에 존재하는 도메인에 대한 요청이라고 하더라도, 고속 네트워크 보안 시스템은 반복되는 동일 접속 요청에 대하여는 패킷을 드롭시킬 수도 있다. 따라서, 불필요한 요청에 대한 응답으로 인한 서버 과부하가 방지될 수 있다.According to the above-described embodiments, an attack by the same connection request can be prevented. Even if the request is for a domain in the white domain list, the high speed network security system may drop the packet for the same repeated access request. Thus, a server overload due to a response to an unnecessary request can be prevented.

도 1a 내지 8과 관련하여 상술한 고속 네트워크 보안 시스템은 하나의 독립적인 네트워크 보안 장치 또는 네트워크 보안 모듈로 구현될 수도 있다. 네트워크 보안 시스템은 서버의 일부로서 구현될 수도 있다. 도 1a 내지 도 8과 관련하여 상술한 서버는 수신측, 수신 디바이스, 복호화 디바이스 등으로 호칭될 수 있으며, 노드, eNodeB, 기지국, 워크 스테이션, 단말 등을 포함할 수 있다. 서버 및/또는 네트워크 보안 시스템은 데이터를 송수신하기 위한 네트워크 인터페이스(network interface)를 포함할 수 있다. 또한, 서버 및/또는 네트워크 보안 시스템은 네트워크 인터페이스 및 다른 서버의 구성들을 제어하기 위한 프로세서를 포함할 수 있다. 아울러, 서버는 메모리와 전력원과 같은 다른 구성들을 더 포함할 수도 있다. The high speed network security system described above with respect to Figures 1A-8 may be implemented as one independent network security device or network security module. The network security system may be implemented as part of a server. The server described above in connection with Figs. 1A to 8 may be referred to as a receiving side, a receiving device, a decoding device, and the like, and may include a node, an eNodeB, a base station, a workstation, The server and / or network security system may include a network interface for transmitting and receiving data. The server and / or network security system may also include a processor for controlling network interfaces and other server configurations. In addition, the server may further include other configurations such as memory and power sources.

서버 및/또는 네트워크 보안 시스템은 상술한 구성 외에도 다른 구성들을 더 포함할 수도 있다. 서버 또는 네트워크 보안 시스템(또는 장치)의 프로세서는 컨트롤러(controller), 마이크로 컨트롤러(micro controller), 마이크로 프로세서(micro processor), 마이크로 컴퓨터(micro computer) 등으로 호칭될 수 있다. 프로세서는 하드웨어(hardware) 또는 펌웨어(firmware), 소프트웨어, 또는 이들의 결합에 의하여 구현될 수도 있다. The server and / or network security system may further include other configurations in addition to those described above. A processor of a server or network security system (or device) may be referred to as a controller, a microcontroller, a microprocessor, a microcomputer, or the like. A processor may be implemented by hardware or firmware, software, or a combination thereof.

하드웨어를 이용하여 본 명세서의 실시예를 구현하는 경우에는, ASICs(application specific integrated circuits) 또는 DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays) 등이 프로세서에 구비될 수 있다.(DSP), digital signal processing devices (DSPDs), programmable logic devices (PLDs), field programmable gate arrays (FPGAs), and the like, when implementing the embodiments of the present invention using hardware. arrays) may be provided in the processor.

한편, 펌웨어나 소프트웨어를 이용하여 본 명세서의 실시예들을 구현하는 경우에는 본 명세서의 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등을 포함하도록 펌웨어나 소프트웨어가 구성될 수 있으며, 본 명세서의 실시예들을 수행할 수 있도록 구성된 펌웨어 또는 소프트웨어는 프로세서 내에 구비되거나 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상술한 실시예들에 있어서 특별히 언급이 없더라도, 상술한 실시예들의 데이터 처리 등의 일련의 동작들은 프로세서에 의하여 수행될 수 있다.On the other hand, when implementing embodiments of the present disclosure using firmware or software, firmware or software may be configured to include modules, procedures, or functions that perform the functions or acts herein, May be contained within the processor or may be stored in memory and driven by the processor. Although not particularly mentioned in the above embodiments, a series of operations such as data processing of the above-described embodiments can be performed by the processor.

이상에서 설명된 실시예들은 본 발명의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성하는 것도 가능하다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.The embodiments described above are those in which the elements and features of the present invention are combined in a predetermined form. Each component or feature shall be considered optional unless otherwise expressly stated. Each component or feature may be implemented in a form that is not combined with other components or features. It is also possible to construct embodiments of the present invention by combining some of the elements and / or features. The order of the operations described in the embodiments of the present invention may be changed. Some configurations or features of certain embodiments may be included in other embodiments, or may be replaced with corresponding configurations or features of other embodiments. It is clear that the claims that are not expressly cited in the claims may be combined to form an embodiment or be included in a new claim by an amendment after the application.

본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 통상의 기술자에게 자명하다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.It will be apparent to those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. Accordingly, the above description should not be construed in a limiting sense in all respects and should be considered illustrative. The scope of the present invention should be determined by rational interpretation of the appended claims, and all changes within the scope of equivalents of the present invention are included in the scope of the present invention.

Claims (14)

화이트 도메인(white domain)을 이용한 네트워크 방어 방법으로서,
사용자 장치로부터 수신된 패킷(packet)을 판독하는 단계;
상기 판독된 패킷에 포함된 제1 요청의 제1 도메인(domain)을 메인 도메인 테이블(main domain table)과 매칭하는 단계;
상기 제1 도메인의 메인 도메인이 상기 메인 도메인 테이블 내의 하나의 메인 도메인과 매칭되면, 상기 제1 도메인을 서브 도메인 테이블(sub domain table)과 매칭하는 단계;
상기 제1 도메인의 서브 도메인이 상기 서브 도메인 테이블의 하나의 서브 도메인과 매칭되면, 상기 제1 요청을 화이트 도메인 요청(white domain request)으로서 결정하는 단계; 및
상기 제1 도메인이 상기 메인 도메인 테이블 또는 상기 서브 도메인 테이블과 매칭되지 않으면, 상기 패킷을 드롭(drop)하는 단계를 포함하고,
상기 결정된 화이트 도메인 요청과 동일한 제2 요청이 상기 제1 요청이 수신된 시각으로부터 기설정된 시간 내에 수신되는 경우, 상기 제2 요청에 대한 패킷을 드롭(drop)하는 단계를 더 포함하는, 네트워크 방어 방법.A network defense method using a white domain,
Reading a packet received from the user equipment;
Matching a first domain of a first request included in the read packet with a main domain table;
Matching the first domain with a sub domain table if the main domain of the first domain matches one of the main domains in the main domain table;
Determining a first request as a white domain request if the sub domain of the first domain matches a sub domain of the sub domain table; And
And dropping the packet if the first domain does not match the main domain table or the subdomain table,
Further comprising dropping a packet for the second request if a second request identical to the determined white domain request is received within a predetermined time from the time the first request was received. . 제 1 항에 있어서,
상기 결정된 화이트 도메인 요청을 상기 제1 도메인에 대응하는 서버로 송신하는 단계를 더 포함하는, 네트워크 방어 방법.The method according to claim 1,
And sending the determined white domain request to a server corresponding to the first domain. 제 1 항에 있어서,
상기 제1 도메인을 메인 도메인 테이블과 매칭하는 단계는, 상기 제1 요청의 서비스 포트(service port)가 기설정된 프로토콜 및 포트에 매칭되는 경우에만 수행되는, 네트워크 방어 방법.The method according to claim 1,
Wherein matching the first domain with the main domain table is performed only when a service port of the first request matches a predetermined protocol and port. 제 3 항에 있어서,
상기 제1 요청이 웹(web) 요청인 경우, 상기 기설정된 프로토콜 및 포트는 TCP(Transfer Control Protocol) 포트 80, 8030 또는 433인, 네트워크 방어 방법.The method of claim 3,
Wherein the predetermined protocol and port are TCP (Transfer Control Protocol) port 80, 8030 or 433 when the first request is a web request. 제 3 항에 있어서,
상기 제1 요청이 DNS(Domain System Name) 요청인 경우, 상기 DNS 요청의 서비스 포트는 TCP 포트 53 또는 UDP(User Datagram Protocol) 포트 53인, 네트워크 방어 방법.The method of claim 3,
Wherein the service port of the DNS request is a TCP port 53 or a UDP (User Datagram Protocol) port 53 when the first request is a Domain System Name (DNS) request. 제 1 항에 있어서,
상기 제1 도메인을 메인 도메인 테이블과 매칭하는 단계는, 상기 제1 요청이 GET 또는 POST 요청인 경우에만 수행되는, 네트워크 방어 방법.The method according to claim 1,
Wherein matching the first domain with the main domain table is performed only if the first request is a GET or POST request. 제 1 항에 있어서,
상기 제1 도메인을 메인 도메인 테이블과 매칭하는 단계는, 상기 제1 요청이 "Host" 문자열을 포함하는 경우에만 수행되는, 네트워크 방어 방법.The method according to claim 1,
Wherein matching the first domain with the main domain table is performed only if the first request includes a string "Host ". 삭제delete 화이트 도메인(white domain)을 이용한 네트워크 방어를 위한 장치로서,
패킷을 판독하는 패킷 수집부;
상기 패킷에 포함된 제1 요청의 제1 도메인(domain)을 메인 도메인 테이블(main domain table) 및 서브 도메인 테이블과 매칭하는 화이트 도메인 엔진(white domain engine) 처리부; 및
상기 패킷 수집부 및 상기 화이트 도메인 엔진 처리부를 제어하는 프로세서를 포함하고,
상기 프로세서는,
상기 제1 도메인의 메인 도메인이 상기 메인 도메인 테이블의 하나의 메인 도메인과 매칭되고 상기 제1 도메인의 서브 도메인이 상기 서브 도메인 테이블의 하나의 서브 도메인과 매칭되는 경우, 상기 제1 요청을 화이트 도메인 요청(white domain request)으로서 결정하고,
상기 제1 도메인이 상기 메인 도메인 테이블 또는 상기 서브 도메인 테이블과 매칭되지 않으면, 상기 패킷을 드롭(drop)하도록 구성되며,
상기 결정된 화이트 도메인 요청과 동일한 제2 요청이 상기 제1 요청이 수신된 시각으로부터 기설정된 시간 내에 수신되는 경우, 상기 제2 요청에 대한 패킷을 드롭(drop)하는 도메인 QoS(Qualty of Service) 엔진을 더 포함하는, 네트워크 방어를 위한 장치.An apparatus for network defense using a white domain,
A packet collecting unit for reading a packet;
A white domain engine processing unit for matching a first domain of the first request included in the packet with a main domain table and a sub domain table; And
A processor for controlling the packet collection unit and the white domain engine processing unit,
The processor comprising:
If the main domain of the first domain matches one main domain of the main domain table and the sub domain of the first domain matches one sub domain of the sub domain table, as a white domain request,
And drop the packet if the first domain does not match the main domain table or the subdomain table,
A domain QoS (Quality of Service) engine that drops a packet for the second request if a second request identical to the determined white domain request is received within a predetermined time from the time the first request is received Further comprising: a device for network defense. 제 9 항에 있어서,
상기 프로세서는, 상기 화이트 도메인 엔진 처리부로 하여금, 상기 제1 요청의 서비스 포트(service port)가 기설정된 프로토콜 및 포트에 매칭되는 경우에만 상기 제1 도메인을 메인 도메인 테이블과 매칭하도록 더 구성된, 네트워크 방어를 위한 장치.10. The method of claim 9,
Wherein the processor is further configured to cause the white domain engine processing unit to match the first domain with the main domain table only if the service port of the first request matches a predetermined protocol and port, Lt; / RTI > 제 10 항에 있어서,
상기 판독된 패킷을 웹(web) 요청 또는 DNS(Domain Name System) 요청으로 분류하는 프로토콜 분석부를 더 포함하고,
상기 제1 요청이 웹(web) 요청인 경우, 상기 기설정된 프로토콜 및 포트는 TCP(Transfer Control Protocol) 포트 80, 8030 또는 433이고,
상기 제1 요청이 DNS 요청인 경우, 상기 DNS 요청의 서비스 포트는 TCP 포트 53 또는 UDP(User Datagram Protocol) 포트 53인, 네트워크 방어를 위한 장치.11. The method of claim 10,
Further comprising a protocol analyzing unit for classifying the read packet as a web request or a DNS (Domain Name System) request,
If the first request is a web request, the predetermined protocol and port are a Transfer Control Protocol (TCP) port 80, 8030 or 433,
Wherein the service port of the DNS request is a TCP port 53 or a User Datagram Protocol (UDP) port 53 if the first request is a DNS request. 제 11 항에 있어서,
상기 제1 요청이 웹 요청인 경우, 상기 제1 요청은 GET 또는 POST 요청인, 네트워크 방어를 위한 장치.12. The method of claim 11,
Wherein if the first request is a web request, the first request is a GET or POST request. 제 11 항에 있어서,
상기 제1 요청이 웹 요청인 경우, 상기 제1 요청은 "Host" 문자열을 포함하는, 네트워크 방어를 위한 장치.12. The method of claim 11,
Wherein if the first request is a web request, the first request includes a string "Host ". 삭제delete
KR1020150139787A 2015-10-05 2015-10-05 Method for defending network using white domain and apparatus therefor KR101713909B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150139787A KR101713909B1 (en) 2015-10-05 2015-10-05 Method for defending network using white domain and apparatus therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150139787A KR101713909B1 (en) 2015-10-05 2015-10-05 Method for defending network using white domain and apparatus therefor

Publications (1)

Publication Number Publication Date
KR101713909B1 true KR101713909B1 (en) 2017-03-09

Family

ID=58402357

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150139787A KR101713909B1 (en) 2015-10-05 2015-10-05 Method for defending network using white domain and apparatus therefor

Country Status (1)

Country Link
KR (1) KR101713909B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190041324A (en) * 2017-10-12 2019-04-22 주식회사 윈스 Apparatus and method for blocking ddos attack

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704000B1 (en) * 2006-04-18 2007-04-05 주식회사 소프트런 Phishing prevention method for analysis internet connection site and media that can record computer program sources for method thereof
KR101038673B1 (en) 2009-12-18 2011-06-03 주식회사 케이티 Method and apparatus for providing service for protecting from ddos in backbone
KR20120087393A (en) * 2011-01-28 2012-08-07 주식회사 정보보호기술 Method for real-time detecting anomalies using dns packet
KR20140116440A (en) * 2011-12-26 2014-10-02 후아웨이 테크놀러지 컴퍼니 리미티드 Method, device and system for monitoring internet access service quality of mobile terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704000B1 (en) * 2006-04-18 2007-04-05 주식회사 소프트런 Phishing prevention method for analysis internet connection site and media that can record computer program sources for method thereof
KR101038673B1 (en) 2009-12-18 2011-06-03 주식회사 케이티 Method and apparatus for providing service for protecting from ddos in backbone
KR20120087393A (en) * 2011-01-28 2012-08-07 주식회사 정보보호기술 Method for real-time detecting anomalies using dns packet
KR20140116440A (en) * 2011-12-26 2014-10-02 후아웨이 테크놀러지 컴퍼니 리미티드 Method, device and system for monitoring internet access service quality of mobile terminal

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190041324A (en) * 2017-10-12 2019-04-22 주식회사 윈스 Apparatus and method for blocking ddos attack
KR102027438B1 (en) * 2017-10-12 2019-10-02 주식회사 윈스 Apparatus and method for blocking ddos attack

Similar Documents

Publication Publication Date Title
US11489858B2 (en) Malware detection for proxy server networks
US11818167B2 (en) Authoritative domain name system (DNS) server responding to DNS requests with IP addresses selected from a larger pool of IP addresses
US11522827B2 (en) Detecting relayed communications
US20240031400A1 (en) Identifying Malware Devices with Domain Name System (DNS) Queries
US8261351B1 (en) DNS flood protection platform for a network
Herzberg et al. Fragmentation considered poisonous, or: One-domain-to-rule-them-all. org
US10547636B2 (en) Method and system for detecting and mitigating denial-of-service attacks
US11855958B2 (en) Selection of an egress IP address for egress traffic of a distributed cloud computing network
KR101713909B1 (en) Method for defending network using white domain and apparatus therefor
EP3065372B1 (en) Detection and mitigation of network component distress
Kostopoulos et al. A privacy-preserving schema for the detection and collaborative mitigation of DNS water torture attacks in cloud infrastructures
US20230362132A1 (en) Rule selection management based on currently available domain name system (dns) servers

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200302

Year of fee payment: 4