KR20080063952A - System for anomaly detection of dns sever with real time in internet and method thereof - Google Patents

System for anomaly detection of dns sever with real time in internet and method thereof Download PDF

Info

Publication number
KR20080063952A
KR20080063952A KR1020070000590A KR20070000590A KR20080063952A KR 20080063952 A KR20080063952 A KR 20080063952A KR 1020070000590 A KR1020070000590 A KR 1020070000590A KR 20070000590 A KR20070000590 A KR 20070000590A KR 20080063952 A KR20080063952 A KR 20080063952A
Authority
KR
South Korea
Prior art keywords
dns
real
time
analyzer
server
Prior art date
Application number
KR1020070000590A
Other languages
Korean (ko)
Other versions
KR101336458B1 (en
Inventor
신효정
이영석
김지언
서영일
김동주
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020070000590A priority Critical patent/KR101336458B1/en
Publication of KR20080063952A publication Critical patent/KR20080063952A/en
Application granted granted Critical
Publication of KR101336458B1 publication Critical patent/KR101336458B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A system and a method for detecting anomaly of a DNS(Domain Name Service) server in real-time on the Internet are provided to block risk for the DNS server and offer a service stably by detecting the anomaly through real-time packet analysis in a DNS application. A plurality of DNS servers(100a,100b) convert a domain name into an IP(Internet Protocol) address. A plurality of switches(200a,200b) controls connection of a connection call received from each DNS server. A plurality of networks(400a,400b) are connected the Internet(100) and the switches, and enable computers included in each network to exchange/process information by using the DNS server of the corresponding network. A real-time DNS analyzer(500a,500b) outputs an analysis result by obtaining and analyzing the DNS packet transmitted or received from the DNS server, and transfers a normal operation notice and/or a detail performance value of each DNS server by transmitting a DNS query periodically to each DNS server. The real-time DNS analyzer informs the predetermined DNS server of an anomaly by generating a predetermined event when the anomaly occurs in the predetermined DNS.

Description

인터넷에서 DNS 서버의 실시간 이상 탐지 시스템 및 방법{System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof}System for Anomaly Detection of DNS Sever with Real Time in Internet and Method

도 1a 및 도 1b는 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템의 구성을 보인 도면.1A and 1B show the configuration of a system for performing real-time abnormal detection of a DNS server in the Internet according to the present invention.

도 2는 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 제어 흐름도.2 is a control flowchart for executing real-time abnormal detection of a DNS server in the Internet according to the present invention.

< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>

100a,100b : DNS 서버 200a,200b : 스위치100a, 100b: DNS server 200a, 200b: switch

500a,500b,500c : DNS 실시간 분석기 400a,400b : 네트워크 500a, 500b, 500c: DNS Real Time Analyzer 400a, 400b: Network

800 : 웹 서버 900 : 중앙서버800: Web Server 900: Central Server

100 : 인터넷100: Internet

본 발명은 인터넷에서 DNS 서버의 실시간 이상 탐지 기술에 관한 것으로서, 더욱 상세하게는 DNS 패킷에서 다양한 통계정보를 추출하고, 이를 분석하여 비정상행위(anomaly)를 탐지하여 인터넷 기반시설인 DNS서버에 대한 위협을 탐지하기에 적당한 인터넷에서 DNS 서버의 실시간 이상 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a real-time anomaly detection technology of a DNS server in the Internet, and more particularly, extracts various statistical information from DNS packets, analyzes it, detects anomaly, and threatens the DNS server as an internet infrastructure. The present invention relates to a real-time anomaly detection system and method of the DNS server in the Internet suitable for detecting the error.

DNS서버는 인터넷상에서 통신을 위해 일반적으로 이용하는 도메인명(예를 들면 www.kt.co.kr)을 실제 컴퓨터 통신에 사용되는 IP주소로 변환해 주는 서버이다. DNS서버는 인터넷의 가장 중요한 기반시설이며, 이 DNS 서버에 장애가 발생하면 곧바로 인터넷을 사용할 수 없게 된다. 1.25 인터넷대란과 '02년 최상위 루트 DNS서버에 대한 분산서비스거부 공격 등이 그 일예로 들 수 있다.A DNS server is a server that translates domain names (eg www.kt.co.kr) commonly used for communication on the Internet into IP addresses used for actual computer communication. The DNS server is the most important infrastructure of the Internet, and if this DNS server fails, the Internet is not available immediately. Examples include the 1.25 Internet turbulence and attacks against denial of service against top-level root DNS servers in '02.

따라서, 인터넷 기반시설인 DNS서버를 보호하기 위한 관심이 높아지고 있으며, 최근들어 더욱 지능화된 해킹기술은 주로 기업 네트워크에 대한 공격에서 DNS와 같은 인터넷 기반시설을 공격하는 양상으로 발전하고 있는 추세이어서 사회적 불안감과 심각성이 커지고 있는 상황이다. Therefore, there is a growing interest in protecting the DNS server, which is an Internet infrastructure, and recently, more sophisticated hacking techniques are developing from the attack on the corporate network to the attack of the Internet infrastructure such as DNS. The situation is increasing.

방화벽, IPS 등 다양한 기존의 네트워크 보안솔루션 들이 사용되고 있으나 인터넷 통신을 위해서는 DNS 서비스 포트를 항상 열어 놓을 수 밖에 없으므로 DNS서버는 정상 DNS 패킷을 가장한 다양한 위협들에 항상 노출되어 있다고 할 수 있겠다. Various existing network security solutions such as firewall and IPS are used, but the DNS service port must always be open for internet communication, so the DNS server is always exposed to various threats disguised as normal DNS packets.

본 발명은 상기한 사정을 감안하여 창출되어진 것으로서, 본 발명의 목적은 DNS 어플리케이션의 실시간 패킷 분석을 통해 비정상행위를 탐지함으로써, 인터넷 기반 시설인 DNS서버(서비스)에 대한 위협을 조기에 차단하고 안정적인 서비스를 제공할 수 있는 인터넷에서 DNS 서버의 실시간 이상 탐지 방법을 제공하기 위한 것이다.The present invention was created in view of the above circumstances, and an object of the present invention is to detect abnormal behavior through real-time packet analysis of a DNS application, thereby preventing threats to DNS servers (services), which are Internet infrastructures, to be stable and stable. It is to provide a real-time anomaly detection method of DNS server in the Internet which can provide service.

상기한 목적을 달성하기 위해, 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지 시스템은, 특정 도메인명을 실제 컴퓨터 통신에 사용되는 IP주소로 변환해 주는 복수개의 DNS서버와; 상기 각의 DNS서버에서 전송되는 접속호의 연결을 스위칭 제어하는 복수개의 스위치와; 인터넷과 상기 각각의 스위치와 연결되며, 해당 네트워크의 DNS서버를 이용하여 내부에 있는 컴퓨터 상호 간의 정보 교환과 정보 처리를 위한 복수개의 네트워크와; 특정 DNS 서버로 발신되거나 착신되는 패킷을 실시간으로 획득하여 획득한 패킷에서 DNS 패킷을 분석하여 출력하며, 특정 DNS 서버로 주기적으로 DNS 질의를 실행하여 개별 DNS 서버의 정상동작 여부 및/또는 상세 성능 값을 전달하는 실시간 DNS분석기로 구성되어, 상기 실시간 DNS분석기가 해당 DNS 서버에 이상 현상이 발생한 경우에는 소정 이벤트를 발생시켜 통보한다.In order to achieve the above object, a real-time abnormality detection system of the DNS server in the Internet according to the present invention, a plurality of DNS server for converting a specific domain name into an IP address used for actual computer communication; A plurality of switches for switching and controlling connection of access calls transmitted from the respective DNS servers; A plurality of networks connected to the Internet and the respective switches, for exchanging information and processing information between computers in the network using a DNS server of a corresponding network; Obtains packets sent or received to a specific DNS server in real time, analyzes and outputs DNS packets from the obtained packets, and executes DNS queries periodically to the specific DNS server to determine whether the individual DNS server is operating normally and / or detailed performance values. It is configured as a real-time DNS analyzer for delivering, when the real-time DNS analyzer is anomalous phenomenon occurs in the corresponding DNS server generates a notification and notify.

여기서, 상기 실시간 DNS분석기가 복수개 이상 구비되는 경우, 상기 복수개의 실시간 DNS분석기로부터 받은 정보를 이용하여 해당 DNS 서버를 진단하며, 해당 DNS 서버에 이상 현상이 발생한 경우에는 소정 이벤트를 발생시켜 통보하고, 자체 네트워크 인터페이스로 유입되는 설정된 시간 동안의 해당 DNS 서버로의 모든 트래픽을 분석하기 위한 중앙 서버가 더 구비되는 것이 바람직하다.Here, when a plurality of real-time DNS analyzer is provided, the corresponding DNS server is diagnosed using the information received from the plurality of real-time DNS analyzer, and if an abnormality occurs in the DNS server, a predetermined event is generated and notified. It is preferable to further include a central server for analyzing all traffic to the corresponding DNS server during the set time flowing into its own network interface.

상기한 목적을 달성하기 위해, 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지 방법은, 적어도 하나의 실시간 DNS분석기를 구비한 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템에서, 상기 실시간 DNS분석기에서, 미리 설정 된 적어도 하나 이상의 DNS 측정항목들에 대한 순위 경계치와 값변화 경계치를 각각 설정하는 단계와; 상기 실시간 DNS분석기에서, 상기 DNS 측정항목의 플래그(Flag)를 초기 기준값으로 설정하는 단계와; 상기 실시간 DNS분석기에서, 상기 DNS 측정항목의 현재값에 변화가 있는지를 판단하는 단계와; 상기 판단 결과, 상기 DNS 측정항목의 현재값에 변화가 있는 경우, 해당 DNS 측정항목의 플래그(Flag)를 이상 상태가 발생했음을 알리는 변경값으로 설정하는 단계와; 상기 실시간 DNS분석기에서, 해당 DNS 측정항목의 이상 상태를 각각 분석하는 단계로 이루어진다.In order to achieve the above object, the real-time abnormality detection method of the DNS server in the Internet according to the present invention, in the system for performing real-time abnormality detection of the DNS server having at least one real-time DNS analyzer, in the real-time DNS analyzer Setting a rank threshold and a value change threshold for each of at least one preset DNS metric; In the real-time DNS analyzer, setting a flag of the DNS metric as an initial reference value; Determining, by the real-time DNS analyzer, whether there is a change in the current value of the DNS metric; As a result of the determination, when there is a change in the current value of the DNS metric, setting a flag of the DNS metric as a change value indicating that an abnormal state has occurred; In the real-time DNS analyzer, the step of analyzing the abnormal state of the corresponding DNS metric.

이하, 첨부되어진 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1a 및 도 1b는 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템의 구성을 보인 도면으로서, 도 1a는 다수의 네트워크가 중앙 서버에 연결된 경우, 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템의 구성을 보인 도면이며, 도 1b는 하나의 DNS 서버팜 만을 대상으로 DNS 패킷을 수집하고 분석하는 경우, 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템의 구성을 보인 도면이다.1A and 1B are diagrams showing the configuration of a system for executing real-time abnormal detection of a DNS server in the Internet according to the present invention. FIG. 1A is a real-time abnormality of a DNS server in the Internet when a plurality of networks are connected to a central server. 1B shows the configuration of a system for executing real-time anomaly detection of a DNS server in the Internet when collecting and analyzing DNS packets for only one DNS server farm. Drawing.

도 1a 와 도 1b의 차잇점을 살펴보면, 도 1a에서는 중앙서버(700)가 복수개의 실시간 분석기(500a,500b)로부터 전송하는 모든 정보를 종합하여 진단을 수행하지만, 도 1b에서는 개별 실시간 분석기(500c)가 진단을 직접 수행한다.1A and 1B, the central server 700 synthesizes all information transmitted from the plurality of real time analyzers 500a and 500b in FIG. 1A, but the individual real time analyzer 500c in FIG. 1B. Perform the diagnosis directly.

도 1a를 참조하면, 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템은, 특정 도메인명을 실제 컴퓨터 통신에 사용되는 IP주소 로 변환해 주는 복수개의 DNS서버(100a,100b)와; 각각의 DNS서버(100a,100b)에서 전송되는 접속호의 연결을 스위칭 제어하는 복수개의 스위치(200a,200b)와; 각각의 스위치(200a,200b)와 연결되며, 해당 네트워크의 DNS서버를 이용하여 내부에 있는 컴퓨터 상호 간의 정보 교환과 정보 처리를 위한 복수개의 네트워크(400a,400b)와; 복수개의 네트워크(400a,400b)에 각각 연결된 인터넷(100)과; 특정 DNS 서버로 발신되거나 착신되는 패킷을 실시간으로 획득하여 획득한 패킷에서 DNS 패킷을 분석하여 출력하며, 특정 DNS 서버로 주기적으로 DNS 질의를 실행하여 개별 DNS 서버의 정상동작 여부 및/또는 상세 성능 값을 전달하는 복수개의 실시간 DNS분석기(500a,500b)와; 각각의 실시간 DNS분석기(500a,500b)로부터 받은 정보를 이용하여 해당 DNS 서버를 진단하며, 해당 DNS 서버에 이상 현상이 발생한 경우에는 소정 이벤트를 발생시켜 통보하고, 자체 네트워크 인터페이스로 유입되는 설정된 시간 동안의 해당 DNS 서버로의 모든 트래픽을 분석하기 위한 중앙 서버(700)와; 중앙 서버(700)에서 만들어진 정보를 운영자에게 미리 정의된 형식으로 리포팅하고, 운영자가 사용자 인터페이스를 제공하기 위한 웹 서버(800)로 구성된다.Referring to FIG. 1A, a system for performing real-time abnormal detection of a DNS server in the Internet according to the present invention includes a plurality of DNS servers 100a and 100b for converting a specific domain name into an IP address used for actual computer communication. Wow; A plurality of switches 200a and 200b for switching and controlling connection of connection calls transmitted from the respective DNS servers 100a and 100b; A plurality of networks 400a and 400b connected to the respective switches 200a and 200b for exchanging information and processing information between computers therein using a DNS server of a corresponding network; An internet 100 connected to a plurality of networks 400a and 400b, respectively; Obtains packets sent or received to a specific DNS server in real time, analyzes and outputs DNS packets from the obtained packets, and executes DNS queries periodically to the specific DNS server to determine whether the individual DNS server is operating normally and / or detailed performance values. And a plurality of real-time DNS analyzer (500a, 500b) for transmitting; Diagnose the corresponding DNS server by using the information received from each real-time DNS analyzer 500a, 500b. If an abnormality occurs in the corresponding DNS server, a predetermined event is generated and notified, and during the set time flowed into its own network interface. A central server 700 for analyzing all traffic to the corresponding DNS server of; The information generated by the central server 700 is reported to the operator in a predefined format, and the operator is configured as a web server 800 for providing a user interface.

도 1에 보인 각각의 네트워크(400a,400b)는 한 기관(ISP, 기업 등)의 네트워크 일 수도 있고, 서로 다른 기관의 네트워크여도 무방하다. Each network 400a and 400b shown in FIG. 1 may be a network of one organization (ISP, company, etc.) or may be a network of different organizations.

또한, 각각의 실시간 DNS분석기(500a,500b)는 특정 네트워크 이용자의 특정 DNS 서버에서 발신되거나 특정 DNS 서버로 도착하는 모든 패킷을 각각의 DNS 서버의 스위치 앞단(300a,300b)에서 탭핑이나 스위치 포트미러링 등의 방식을 통해 실시간으로 획득한다. 이때, 획득한 패킷은 DNS 패킷 만을 대상으로 헤더 정보와 Payload 정보를 포함한 심도있는 분석을 수행되도록 하며, 해당 분석정보는 정해진 형식으로 압축하여 인터넷의 설정된 경로(900a)를 통하여 중앙서버(700)에 전달된다. 또한, 실시간 DNS분석기(500a,500b)는 해당 DNS 서버로 주기적으로 DNS 질의를 실행(600a,600b)하여 해당 DNS 서버가 정상적으로 동작하는지의 여부와 상세 성능 값을 중앙서버(700)로 전달한다. In addition, each real-time DNS analyzer (500a, 500b) tapping or switch port mirroring at the front end of the switch (300a, 300b) of each DNS server for all packets originating from or arriving at a specific DNS server of a specific network user Acquisition in real time through such methods. At this time, the acquired packet is to perform in-depth analysis including header information and payload information only for the DNS packet, and the analysis information is compressed to a predetermined format to the central server 700 through the set path 900a of the Internet. Delivered. Also, the real-time DNS analyzer 500a and 500b periodically executes DNS queries 600a and 600b to the corresponding DNS server, and transmits whether the corresponding DNS server is normally operated and detailed performance values to the central server 700.

중앙서버(700)는 각각의 실시간 DNS 분석기(500a,500b)로부터 받은 정보를 데이터베이스(750)에 저장하고, 이들 정보를 통합하여 미리 설정된 기준 및 분석 방법에 따라 진단하고, 미리 설정된 형식으로 통계 데이터를 생성하고 그 결과를 데이터베이스(750)에 저장한다. The central server 700 stores the information received from each of the real-time DNS analyzer (500a, 500b) in the database 750, and integrates the information to diagnose in accordance with preset criteria and analysis methods, statistical data in a preset format And stores the result in the database 750.

이때, 만일 이상 현상(anomaly)이 발생하는 경우, 중앙서버(700)는 미리 설정된 방법으로 이벤트를 발생시켜 해당 DNS 서버(100a 또는100b)로 통보하고, 자동으로 이상 현상을 제어하기 위한 제어정보를 해당 실시간 DNS분석기(500a 또는 500b)로 전달하고(900a,900b), 더욱 상세한 분석을 위하여 원시패킷을 수집하여 데이터베이스(750)에 저장한다. 제어정보를 받은 해당 실시간 DNS분석기(500a,500b)는 자체 네트워크 인터페이스로 유입되는 정해진 시간 동안의 각각의 DNS 서버(100a 또는 100b)로 도착하거나 발신하는 모든 트래픽을 추후 상세 분석을 위해 디스크에 저장한다. At this time, if anomaly occurs, the central server 700 generates an event in a preset manner and notifies the corresponding DNS server 100a or 100b and automatically provides control information for controlling the anomaly. The real-time DNS analyzer (500a or 500b) is passed to (900a, 900b), and the raw packets are collected and stored in the database 750 for further analysis. The real-time DNS analyzer (500a, 500b) receiving the control information stores all the traffic arriving or outgoing to each DNS server (100a or 100b) for a predetermined time flowing into its own network interface on disk for further analysis. .

이때, 각각의 실시간 DNS분석기(500a,500b)는 패킷에 대한 심층분석기능을 수행하여 다음의 정해진 항목에 대한 카운터 및 해당 항목이 전체에서 차지하는 비율, Top-N 정보를 생성하면, 도 1a에서는 중앙서버(700)가 복수개의 실시간 분석 기(500a,500b)로부터 전송하는 모든 정보를 종합하여 진단을 수행하지만, 도 1b에서는 개별 실시간 분석기(500c)가 진단을 직접 수행한다.At this time, each of the real-time DNS analyzer (500a, 500b) performs the in-depth analysis of the packet to generate a counter for the next predetermined item, the ratio occupied by the corresponding item, Top-N information, in FIG. Although the server 700 synthesizes all information transmitted from the plurality of real-time analyzers 500a and 500b, the diagnosis is performed by the individual real-time analyzer 500c in FIG. 1B.

DNS 측정 항목DNS metrics

(1) Source IP 주소 순위 변화(1) Source IP address rank change

각각의 DNS 서버로 질의가 많은 상위 100개 사용자들의 source IP 주소를 기록하고, 1등부터 순위를 기록한다. 이 순위를 5분 단위로 기록하고, 각 Source IP별로 직전 측정값과의 순위 차이를 기록하고, 이 순위가 경계치 이상으로 증가하였는지 판단한다.Each DNS server records the source IP addresses of the top 100 users with high queries and ranks first. This rank is recorded every 5 minutes, and the rank difference with the previous measurement value is recorded for each Source IP, and it is determined whether the rank has increased beyond the threshold.

(2) 재질의(recursive query) 증가(2) increase of recursive queries

DNS 서버로 들어오는 질의는 사용자가 시작하는 질의이고, DNS 서버가 시작하는 DNS 질의를 재질의라고 정의한다. 재질의 수 비율이 증가 여부를 측정한다. 1분단위로 재질의 패킷 비율을 측정하고, 이 값을 1분 단위로 5분이상 계속 기록한다. 여기서, 재질의 패킷 비율은 재질의 패킷 수를 사용자 질의 패킷 수로 나눈값이다.Incoming queries to the DNS server are user-initiated queries, and the DNS query initiated by the DNS server is defined as material. Measure whether the number ratio of the material increases. Measure the packet rate of the material in 1 minute increments and continue to record this value for at least 5 minutes in 1 minute increments. Here, the packet ratio of the material is a value obtained by dividing the number of packets of the material by the number of user queries.

(3) 응답율 감소(3) decrease in response rate

응답율은 사용자로부터 들어온 패킷 수와 DNS 서버가 사용자에게 응답한 패킷수의 비율이다. 1분 단위로 응답율을 측정하고, 이값을 5분 이상 계속 기록한다.The response rate is the ratio of the number of packets from the user to the number of packets the DNS server responds to. Measure the response rate in 1 minute increments and continue to record this value for at least 5 minutes.

(4) 질의유형중 비정상 질의 증가(4) Increase in abnormal quality among query types

질의 유형을 A type과 MX type, 기타 유형으로 분류하여 비율을 1분 단위로 측정한다. A type 질의 비율, MX type의 비율, 기타 유형의 비율을 5분 이상 계속 기록한다. MX type의 증가 또는 기타 유형의 증가를 비정상 질의 증가로 판단한다.The query type is classified into A type, MX type, and other types to measure the ratio in 1 minute increments. Continue to record A type query rate, MX type rate, and other type rate for more than 5 minutes. An increase in MX type or an increase in other types is considered to be an increase in abnormal quality.

(5) 응답 유형중 비정상 응답 증가(5) Increase of abnormal response among response types

응답 유형을 NoError와 기타로 분류하여 전체 질의 대비 이들 유형의 비율을 1분 단위로 측정한다. 5분 이상 지속적으로 기록하여 NoError 비율의 감소 여부를 관찰한다. Classify the response types into NoError and others to measure the ratio of these types to the total query in minutes. Record continuously for at least 5 minutes to observe whether the NoError rate has decreased.

(6) ServFail 응답 증가(6) Increase ServFail Response

응답 유형중 전체 응답 패킷 수 대비 ServFail 응답의 비율을 1분 단위로 측정한다. 5분 이상 지속적으로 기록하여 ServFail 응답의 증가 여부를 관찰한다.The ratio of ServFail responses to total response packets among response types is measured in 1 minute increments. Continue to record more than 5 minutes to observe the increase in ServFail response.

(7) 보조(Secondary) DNS 서버로 들어오는 질의 증가(7) Increasing Query Incoming to Secondary DNS Server

보조 DNS 서버로 들어오는 질의의 증가 여부를 관찰한다. 기본 (또는 1차) DNS로 들어오는 패킷 수와 보조 DNS로 들어오는 패킷 수를 1분 단위로 기록하여 보조 DNS 서버로 들어오는 질의 비율이 증가하는지 관찰한다. 이 값도 5분이상 지속적으로 기록한다. Observe the increase in queries coming to the secondary DNS server. Record the number of packets coming into the primary (or primary) DNS and the packets coming into the secondary DNS in 1 minute increments to observe if the rate of incoming queries to the secondary DNS server increases. Record this value continuously for more than 5 minutes.

(8) 동일 내용에 대한 과도한 재질의 발생(8) occurrence of excessive material for the same content

5분간의 재질의 내용을 수집하여, 질의 내용별 질의 발생 회수를 카운트하여 통계를 낸다. 동일한 재질의가 전체 재질의의 5% 이상 발생한 경우를 과도한 재질의로 분류한다.Collect the contents of the material for 5 minutes, count the number of query occurrences for each query content and generate statistics. If more than 5% of the same material occurs in the same material is classified as excessive material.

도 2는 본 발명에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 제어 흐름도이다. 도 2를 참조하면, 해당 실시간 DNS분석기는 위에서 설명한 DNS 측정항목들에 대한 순위 경계치와 값변화 경계치를 각각 설정한다(S201).2 is a control flowchart for executing real-time abnormal detection of a DNS server in the Internet according to the present invention. Referring to FIG. 2, the corresponding real-time DNS analyzer sets the rank thresholds and the value change thresholds for the DNS metrics described above (S201).

이어, 해당 실시간 DNS분석기는 위에서 설명한 DNS 측정항목(Source IP 주소 이상, 재질의 이상, 응답율감소, 질의유형이상, DNS응답코드이상, ServFail 증가, 보조 DNS 질의증가, CPU 증가)의 플래그(Flag)를 0으로 설정한다(S202). Then, the real-time DNS analyzer analyzes the flag of DNS metrics (Source IP address error, material problem, response rate decrease, query type error, DNS response code error, ServFail increase, secondary DNS query increase, CPU increase) described above. Is set to 0 (S202).

이때, 측정값이 경계치 이상으로 증가 또는 감소가 발생한 경우에 해당 플래그는 1로 설정한다. 따라서, 이러한 플래그들이 모두 0이면 해당 DNS 서버에 이상이 없는 것으로 진단하고, 플래그들의 값이 1인 경우 아래와 같이 정밀 진단을 수행한다. 정밀 진단을 위해서는 다음 측정항목들을 추가로 측정해야 한다.At this time, when the measured value increases or decreases above the threshold, the corresponding flag is set to 1. Therefore, if all of these flags are 0, it is diagnosed that there is no abnormality in the corresponding DNS server. If the flags are 1, the detailed diagnosis is performed as follows. For precise diagnosis, the following metrics should be additionally measured.

이어, 해당 실시간 DNS분석기는 Source IP 주소 순위에 변화가 있는지를 검사하여, 순위 변화가 경계치 이상인 Source IP가 존재하는지를 판단한다(S203).Subsequently, the real-time DNS analyzer checks whether there is a change in the source IP address rank, and determines whether there is a source IP whose rank change is greater than or equal to the threshold (S203).

S203 판단결과, 순위 변화가 경계치 이상인 Source IP가 존재하는 경우, Source IP 주소 이상 플래그를 1로 설정하여, 문제 Source IP 주소에 대한 질의 내용 분석하고(S204), 다음 단계로 이동한다. 그러나, 순위 변화가 경계치 이상인 Source IP가 존재하지 않는 경우, 다음 단계로 바로 이동한다.As a result of the determination in S203, if there is a source IP whose rank change is greater than or equal to the threshold value, the flag of more than the source IP address is set to 1, the content of the query for the problem source IP address is analyzed (S204), and the process moves to the next step. However, if there is no Source IP whose rank change is greater than or equal to the threshold, the flow moves directly to the next step.

이어, 해당 실시간 DNS분석기는 재질의(recursive query)가 증가했는지를 검사하여, 증가 정도가 경계치 이상인지를 판단한다(S205).Next, the real-time DNS analyzer checks whether the recursive query has increased, and determines whether the increase is greater than or equal to the threshold (S205).

S205 판단결과, 증가 정도가 경계치 이상인 경우, 재질의 이상 플래그를 1로 설정하여, 재질의 질의 내용을 분석하고 질의 내용에 대한 TopN 순위 생성하고(S206), 다음 단계로 이동한다. 그러나, 증가 정도가 경계치 이하인 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S205, when the increase is greater than or equal to the threshold value, the abnormal flag of the material is set to 1 to analyze the query content of the material, generate a TopN rank for the query content (S206), and move to the next step. However, if the increase is less than or equal to the threshold, go directly to the next step.

이어, 해당 실시간 DNS분석기는 응답율이 감소했는지를 검사하여, 감소 정도 가 경계치 이상인지를 판단한다(S207).Subsequently, the real-time DNS analyzer checks whether the response rate decreases, and determines whether the reduction degree is greater than or equal to the threshold (S207).

S207 판단결과, 감소 정도가 경계치 이상인 경우에는 추가 분석은 실행하지 않지만 DNS 서버의 서비스 성능이 저하되었음을 나타내기 위하여 응답율 감소 플래그를 1로 설정하고(S208), 다음 단계로 이동한다. 그러나, 감소 정도가 경계치 이하인 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S207, if the reduction degree is more than the threshold, no further analysis is performed, but the response rate reduction flag is set to 1 to indicate that the service performance of the DNS server is degraded (S208), and the flow advances to the next step. However, if the reduction is less than or equal to the threshold, go directly to the next step.

이어, 해당 실시간 DNS분석기는 질의 유형을 검사하여, 비정상 질의가 경계치 이상으로 증가하였는지를 판단한다(S209). Then, the real-time DNS analyzer checks the query type to determine whether the abnormal query has increased beyond the threshold (S209).

S209의 판단결과, 비정상 질의가 경계치 이상으로 증가한 경우 질의 유형 이상 플래그를 1로 설정하여 비정상 질의별 질의 내용을 분석하고(S210), 다음단계로 이동한다. 그러나, 비정상 질의가 경계치 이상으로 증가하지 않은 경우에는 다음 단계로 바로 이동한다.As a result of the determination of S209, when the abnormal query increases more than the threshold value, the query type abnormal flag is set to 1 to analyze the contents of the query for each abnormal query (S210), and the process moves to the next step. However, if the abnormal query does not increase beyond the threshold, it moves directly to the next step.

이어, 해당 실시간 DNS분석기는 DNS 응답 코드를 검사하여, 비정상 응답이 경계치 이상으로 증가하였는지를 판단한다(S211).Subsequently, the real-time DNS analyzer examines the DNS response code to determine whether the abnormal response has increased beyond the threshold (S211).

S211의 판단결과, 비정상 응답이 경계치 이상으로 증가한 경우에는 DNS 응답 코드 이상 플래그를 1로 설정하여 비정상 응답에 대한 질의 내용 분석하고(S212), 다음 단계로 이동한다. 그러나, 비정상 응답이 경계치 이상으로 증가하지 않은 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S211, when the abnormal response increases above the threshold, the DNS response code abnormal flag is set to 1 to analyze the query contents for the abnormal response (S212), and the process moves to the next step. However, if the abnormal response does not increase beyond the threshold, go directly to the next step.

이어, 해당 실시간 DNS분석기는 ServFail 응답이 증가하는지를 검사하여, 증가치가 경계치 이상인지를 판단한다(S213).Subsequently, the real-time DNS analyzer checks whether the ServFail response is increased, and determines whether the increase is greater than or equal to the threshold (S213).

S213의 판단결과, 증가치가 경계치 이상인 경우에는 ServFail 증가 플래그를 1로 설정하여 ServFail 응답을 생성하는 질의의 내용을 분석하고(S214), 다음 단계로 이동한다. 이때, ServFail이 특정한 질의에 의해 발생하는지, 질의 내용과 상관없이 다양한 질의에서 ServFail 응답이 생기는지 분석한다. 그러나, 증가치가 경계치 이상이 아닌 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S213, when the increase value is greater than or equal to the threshold value, the ServFail increase flag is set to 1 to analyze the contents of the query that generates the ServFail response (S214), and the process moves to the next step. At this time, it is analyzed whether ServFail is generated by a specific query or ServFail response occurs in various queries regardless of the contents of the query. However, if the increase is not more than the threshold, the flow moves directly to the next step.

이때, ServFail을 생성하는 질의 내용이 특정하지 않은 경우에는 DNS 서버의 처리 능력에 문제가 있는 것으로 판단하며, 동일한 질의에서 ServFail이 생성된다면 DNS 서버의 설정에 문제가 있는 것으로 판단하여, 이를 운용자에게 알리는 것이 바람직하다.In this case, if the query content for generating the ServFail is not specified, it is determined that there is a problem in the processing capability of the DNS server.If the ServFail is generated in the same query, it is determined that there is a problem in the DNS server setting, and the operator is notified. It is preferable.

이어, 해당 실시간 DNS분석기는 보조(Secondary) DNS 서버로 들어오는 질의(Query)가 증가하는지를 검사하여, 증가치가 경계치 이상인지를 판단한다(S215).Subsequently, the real-time DNS analyzer checks whether an incoming query to the secondary DNS server increases, and determines whether the increase is greater than or equal to the threshold (S215).

S215의 판단결과, 증가치가 경계치 이상인 경우, 보조 DNS 증가 플래그를 1로 설정하여 보조 DNS로 들어오는 질의 내용을 분석하고(S216), 다음 단계로 이동한다. 그러나, 증가치가 경계치 이상이 아닌 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S215, when the increase value is greater than or equal to the threshold value, the secondary DNS increase flag is set to 1 to analyze the query content coming into the secondary DNS (S216), and the process moves to the next step. However, if the increase is not more than the threshold, the flow moves directly to the next step.

이어, 해당 실시간 DNS분석기는 동일한 내용에 대한 과도한 재질가 있는지를 판단한다(S217).Then, the real-time DNS analyzer determines whether there is excessive material for the same content (S217).

S217의 판단결과, 동일한 내용에 대한 과도한 재질가 있는 경우에는 과도 재질의 발생 플래그를 1로 설정하여 과도한 재질의의 원인을 분석하고(S218) 다음 단계로 이동한다. 그러나, 동일한 내용에 대한 과도한 재질가 없는 경우에는 다음 단계로 바로 이동한다.As a result of the determination in S217, if there is an excessive material for the same content, the occurrence flag of the excessive material is set to 1 to analyze the cause of the excessive material (S218) and move on to the next step. However, if there is no excessive material for the same content, go directly to the next step.

이어, 해당 실시간 DNS분석기는 DNS 측정항목의 플래그들이 모두 0인지를 판 단한다(S219).Subsequently, the real-time DNS analyzer determines whether all flags of DNS metrics are 0 (S219).

S219의 판단결과, DNS 측정항목의 플래그들이 모두 0인 경우에는 미리 설정된 측정을 다시 시작하고(S220), DNS 측정항목의 플래그들이 모두 0이 아닌 경우에는 미리 설정된 측정을 시작하고, 이에 따른 정밀 진단을 시작한다(S221).As a result of the determination in S219, if the flags of the DNS metric are all zero, the preset measurement is restarted (S220). If the flags of the DNS metric are not all zero, the preset measurement is started. Start (S221).

도 3에 도시된 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 제어 흐름도를 참조하면, S203 단계의 분석을 통하여 문제가 있는 Source IP를 확인할 수 있고, S205,S207,S209,S211,S213,S215,S217 단계들의 분석을 통하여 문제가 있는 질의 내용을 확인할 수 있다. Referring to the control flow diagram for executing the real-time abnormal detection of the DNS server in the Internet shown in Figure 3, through the analysis of step S203 can identify the source IP having a problem, S205, S207, S209, S211, S213, S215 The analysis of the steps S217 may identify the content of the question in question.

따라서, 해당 실시간 DNS분석기는 DNS 서버 운용자에게 위에서 설명한 분석내용을 알려주어 DNS 서버 운용의 문제를 근원적으로 해결하도록 할 수 있도록 문제가 되는 사용자 IP, 질의 내용을 찾아낼 수 있다. Therefore, the real-time DNS analyzer can find out the problem user IP, query content to inform the DNS server operator the analysis described above to solve the problem of the DNS server operation.

이상 설명한 바와 같이, 본 발명의 실시예에 따른 인터넷에서 DNS 서버의 실시간 이상 탐지 시스템 및 방법에 따르면, 인터넷 기반시설인 DNS서버에 대해 실제 서비스 성능에 대해 능동적으로 모니터링 할 수 있으며, 또한 모든 DNS 패킷을 DNS 서버의 성능을 저하시키지 않고 수집하여 심층 분석 및 진단을 통해 이상현상을 탐지하고, 이를 운용자에게 알려줌으로써 인터넷을 안정적인 운영하게 한다.As described above, according to the system and method for real-time anomaly detection of a DNS server in the Internet according to an embodiment of the present invention, it is possible to actively monitor the actual service performance of the DNS server which is the Internet infrastructure, and also all DNS packets. It collects without degrading the performance of DNS server, detects abnormality through in-depth analysis and diagnosis, and informs the operator to operate the Internet stably.

본 발명을 국내의 주요 ISP 및 주요 DNS 운용처(예를 들면 root/gTLD/ccTLD DNS 운영기관)에 적용할 경우, 간단히 국내 대부분의 DNS 흐름을 상세하게, 실시간으로 모니터링 할 수 있으며, 뿐만 아니라 DNS 프로토콜 상의 이상 현상을 용이하 게 탐지할 수 있다.When the present invention is applied to major ISPs and major DNS operations in Korea (for example, root / gTLD / ccTLD DNS operations), it is possible to simply and in detail monitor most of the DNS flows in Korea in real time, as well as DNS. Anomalies in the protocol can be easily detected.

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.On the other hand, the present invention is not limited to the above-described embodiment, but can be modified and modified within the scope not departing from the gist of the present invention, such modifications and changes should be regarded as belonging to the following claims. will be.

Claims (5)

특정 도메인명을 실제 컴퓨터 통신에 사용되는 IP주소로 변환해 주는 복수개의 DNS서버와; A plurality of DNS servers for converting a specific domain name into an IP address used for actual computer communication; 상기 각의 DNS서버에서 전송되는 접속호의 연결을 스위칭 제어하는 복수개의 스위치와;A plurality of switches for switching and controlling connection of access calls transmitted from the respective DNS servers; 인터넷과 상기 각각의 스위치와 연결되며, 해당 네트워크의 DNS서버를 이용하여 내부에 있는 컴퓨터 상호 간의 정보 교환과 정보 처리를 위한 복수개의 네트워크와;A plurality of networks connected to the Internet and the respective switches, for exchanging information and processing information between computers in the network using a DNS server of a corresponding network; 특정 DNS 서버로 발신되거나 착신되는 패킷을 실시간으로 획득하여 획득한 패킷에서 DNS 패킷을 분석하여 출력하며, 특정 DNS 서버로 주기적으로 DNS 질의를 실행하여 개별 DNS 서버의 정상동작 여부 및/또는 상세 성능 값을 전달하는 실시간 DNS분석기로 구성되어,Obtains packets sent or received to a specific DNS server in real time, analyzes and outputs DNS packets from the obtained packets, and executes DNS queries periodically to the specific DNS server to determine whether the individual DNS server is operating normally and / or detailed performance values. It consists of a real-time DNS analyzer that delivers 상기 실시간 DNS분석기가 해당 DNS 서버에 이상 현상이 발생한 경우에는 소정 이벤트를 발생시켜 통보하는 것을 특징으로 하는 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템.The real-time DNS analyzer system for executing real-time abnormal detection of the DNS server on the Internet, characterized in that by generating a predetermined event when an abnormality occurs in the DNS server. 제 1항에 있어서, 상기 실시간 DNS분석기가 복수개 이상 구비되는 경우, 상기 복수개의 실시간 DNS분석기로부터 받은 정보를 이용하여 해당 DNS 서버를 진단하며, 해당 DNS 서버에 이상 현상이 발생한 경우에는 소정 이벤트를 발생시켜 통보 하고, 자체 네트워크 인터페이스로 유입되는 설정된 시간 동안의 해당 DNS 서버로의 모든 트래픽을 분석하기 위한 중앙 서버가 더 구비되는 것을 특징으로 하는 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템.The method of claim 1, wherein when a plurality of real-time DNS analyzers are provided, the corresponding DNS server is diagnosed using information received from the plurality of real-time DNS analyzers, and when an abnormal phenomenon occurs in the corresponding DNS server, a predetermined event is generated. The system for executing real-time abnormal detection of the DNS server on the Internet, characterized in that it further comprises a central server for notifying and analyzing all traffic to the DNS server during the set time flowing into its own network interface. 제 1항에 있어서, 상기 각각의 실시간 DNS분석기는 Source IP 주소 순위 변화, 재질의(recursive query) 증가, 응답율 감소, 질의유형중 비정상 질의 증가, 응답 유형중 비정상 응답 증가, ServFail 응답 증가, 보조(Secondary) DNS 서버로 들어오는 질의 증가, 동일 내용에 대한 과도한 재질의 발생의 선택적인 조합으로 이루어지는 DNS 측정 항목을 분석하는 것을 특징으로 하는 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템.The method of claim 1, wherein each of the real-time DNS analyzer is a source IP address rank change, recursive query increase, response rate decrease, abnormal query increase in query type, abnormal response increase in response type, ServFail response increase, secondary (Secondary) A system for performing real-time anomaly detection of a DNS server on the Internet, characterized by analyzing DNS metrics consisting of a selective combination of increased queries coming into the DNS server and excessive material occurrences for the same content. 적어도 하나의 실시간 DNS분석기를 구비한 DNS 서버의 실시간 이상 탐지를 실행하기 위한 시스템에서, In a system for performing real-time anomaly detection of a DNS server with at least one real-time DNS analyzer, 상기 실시간 DNS분석기에서, 미리 설정된 적어도 하나 이상의 DNS 측정항목들에 대한 순위 경계치와 값변화 경계치를 각각 설정하는 단계와;Setting, by the real-time DNS analyzer, a rank threshold and a value change threshold for each of at least one preset DNS metric; 상기 실시간 DNS분석기에서, 상기 DNS 측정항목의 플래그(Flag)를 초기 기준값으로 설정하는 단계와; In the real-time DNS analyzer, setting a flag of the DNS metric as an initial reference value; 상기 실시간 DNS분석기에서, 상기 DNS 측정항목의 현재값에 변화가 있는지를 판단하는 단계와;Determining, by the real-time DNS analyzer, whether there is a change in the current value of the DNS metric; 상기 판단 결과, 상기 DNS 측정항목의 현재값에 변화가 있는 경우, 해당 DNS 측정항목의 플래그(Flag)를 이상 상태가 발생했음을 알리는 변경값으로 설정하는 단계와;As a result of the determination, when there is a change in the current value of the DNS metric, setting a flag of the DNS metric as a change value indicating that an abnormal state has occurred; 상기 실시간 DNS분석기에서, 해당 DNS 측정항목의 이상 상태를 각각 분석하는 단계로 이루어진 것을 특징으로 하는 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 방법.And analyzing, by the real-time DNS analyzer, an abnormal state of a corresponding DNS metric, respectively. 제 4항에 있어서, 상기 DNS 측정항목의 현재값에 변화가 있는지를 판단하는 단계는,5. The method of claim 4, wherein determining whether there is a change in the current value of the DNS metric, 상기 실시간 DNS분석기에서, Source IP 주소 순위에 변화가 있는지를 판단하는 제1 단계와;Determining, by the real-time DNS analyzer, whether there is a change in source IP address rank; 상기 실시간 DNS분석기에서, 재질의(recursive query)가 증가했는지를 판단하는 제2 단계와;Determining, by the real-time DNS analyzer, whether a recursive query has increased; 상기 실시간 DNS분석기에서, 비정상 질의가 경계치 이상으로 증가하였는지를 판단하는 제3 단계와;Determining, by the real-time DNS analyzer, whether an abnormal query has increased beyond a threshold; 상기 실시간 DNS분석기에서, 비정상 응답이 경계치 이상으로 증가하였는지를 판단하는 제4 단계와;Determining, by the real-time DNS analyzer, whether an abnormal response has increased beyond a threshold; 상기 실시간 DNS분석기에서, ServFail 응답이 증가하는지를 판단하는 제5 단계와;Determining, by the real-time DNS analyzer, whether a ServFail response is increased; 상기 실시간 DNS분석기에서, 보조(Secondary) DNS 서버로 들어오는 질의(Query)가 증가하는지를 판단하는 제6 단계와;A sixth step of determining, by the real-time DNS analyzer, whether an incoming query to a secondary DNS server increases; 상기 실시간 DNS분석기에서, 동일한 내용에 대한 과도한 재질가 있는지를 판단하는 제7 단계로 이루어진 단계 중에서 운영자의 제어에 따른 선택적인 조합을 실행하는 것을 특징으로 하는 인터넷에서 DNS 서버의 실시간 이상 탐지를 실행하기 위한 방법.In the real-time DNS analyzer, to perform the real-time abnormal detection of the DNS server on the Internet, characterized in that for performing the optional combination under the control of the operator from the step consisting of the seventh step of determining whether there is excessive material for the same content Way.
KR1020070000590A 2007-01-03 2007-01-03 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof KR101336458B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070000590A KR101336458B1 (en) 2007-01-03 2007-01-03 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070000590A KR101336458B1 (en) 2007-01-03 2007-01-03 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof

Publications (2)

Publication Number Publication Date
KR20080063952A true KR20080063952A (en) 2008-07-08
KR101336458B1 KR101336458B1 (en) 2013-12-04

Family

ID=39815431

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070000590A KR101336458B1 (en) 2007-01-03 2007-01-03 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof

Country Status (1)

Country Link
KR (1) KR101336458B1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010118255A2 (en) * 2009-04-08 2010-10-14 The University Of North Carolina At Chapel Hill Methods, systems, and computer program products for network server performance anomaly detection
KR101103744B1 (en) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 Denial-of-service attack detection method through bi-directional packet analysis
KR101223931B1 (en) * 2011-01-28 2013-02-05 주식회사 코닉글로리 Method for real-time detecting anomalies using dns packet
WO2017039591A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
WO2017039593A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
US10652255B2 (en) 2015-03-18 2020-05-12 Fortinet, Inc. Forensic analysis
US11032301B2 (en) 2017-05-31 2021-06-08 Fortinet, Inc. Forensic analysis
KR102479763B1 (en) * 2022-04-22 2022-12-21 (주) 코아맥스테크놀로지 Protection system for domain name server using virtual environment

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100523483B1 (en) * 2002-10-24 2005-10-24 한국전자통신연구원 The system and method of malicious traffic detection and response in network
KR100788130B1 (en) * 2004-09-17 2007-12-21 주식회사 케이티 Method and system for CPU utilization management in DNS server
KR100623554B1 (en) 2004-12-16 2006-10-16 한국정보보호진흥원 Intrusion Tolerant Technologies of DNS and DHCP Server for Survival of Internet Service

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010118255A2 (en) * 2009-04-08 2010-10-14 The University Of North Carolina At Chapel Hill Methods, systems, and computer program products for network server performance anomaly detection
WO2010118255A3 (en) * 2009-04-08 2011-01-13 The University Of North Carolina At Chapel Hill Methods, systems, and computer program products for network server performance anomaly detection
US8938532B2 (en) 2009-04-08 2015-01-20 The University Of North Carolina At Chapel Hill Methods, systems, and computer program products for network server performance anomaly detection
KR101103744B1 (en) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 Denial-of-service attack detection method through bi-directional packet analysis
KR101223931B1 (en) * 2011-01-28 2013-02-05 주식회사 코닉글로리 Method for real-time detecting anomalies using dns packet
US10652255B2 (en) 2015-03-18 2020-05-12 Fortinet, Inc. Forensic analysis
WO2017039591A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
WO2017039593A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value
US11032301B2 (en) 2017-05-31 2021-06-08 Fortinet, Inc. Forensic analysis
KR102479763B1 (en) * 2022-04-22 2022-12-21 (주) 코아맥스테크놀로지 Protection system for domain name server using virtual environment

Also Published As

Publication number Publication date
KR101336458B1 (en) 2013-12-04

Similar Documents

Publication Publication Date Title
KR101336458B1 (en) System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof
US11805143B2 (en) Method and system for confident anomaly detection in computer network traffic
KR100561628B1 (en) Method for detecting abnormal traffic in network level using statistical analysis
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
US7752307B2 (en) Technique of analyzing an information system state
Thottan et al. Adaptive thresholding for proactive network problem detection
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US7711751B2 (en) Real-time network performance monitoring system and related methods
US20060265272A1 (en) System and methods for re-evaluating historical service conditions after correcting or exempting causal events
CA2649047A1 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
KR20120087393A (en) Method for real-time detecting anomalies using dns packet
JP4324189B2 (en) Abnormal traffic detection method and apparatus and program thereof
Sperotto et al. Anomaly characterization in flow-based traffic time series
KR101469283B1 (en) The enterprise network analysis system and its method
AT&T
Vichaidis et al. Analyzing darknet TCP traffic stability at different timescales
CN111865667A (en) Network connectivity fault root cause positioning method and device
CA2572528A1 (en) Method and system for user network behavioural based anomaly detection
Song et al. Collaborative defense mechanism using statistical detection method against DDoS attacks
KR101351660B1 (en) Traffic perception apparatus and method using integral calculus
Song et al. Internet router outage measurement: An embedded approach
KR20090072436A (en) Internet traffic analysis processing system
Becker et al. Large scale outage visibility on the control plane
Son et al. Volume traffic anomaly detection using hierarchical clustering

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161104

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171106

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181031

Year of fee payment: 6