KR20180125293A - Network security apparatus and method for detecting attack thereof - Google Patents

Network security apparatus and method for detecting attack thereof Download PDF

Info

Publication number
KR20180125293A
KR20180125293A KR1020170060011A KR20170060011A KR20180125293A KR 20180125293 A KR20180125293 A KR 20180125293A KR 1020170060011 A KR1020170060011 A KR 1020170060011A KR 20170060011 A KR20170060011 A KR 20170060011A KR 20180125293 A KR20180125293 A KR 20180125293A
Authority
KR
South Korea
Prior art keywords
packets
tcp segments
tcp
attack
network
Prior art date
Application number
KR1020170060011A
Other languages
Korean (ko)
Other versions
KR101997211B1 (en
Inventor
이기홍
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170060011A priority Critical patent/KR101997211B1/en
Publication of KR20180125293A publication Critical patent/KR20180125293A/en
Application granted granted Critical
Publication of KR101997211B1 publication Critical patent/KR101997211B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a network security apparatus and a method for detecting an attack thereof. The method includes a step of extracting a plurality of TCP segments for each of a plurality of packets when the plurality of packets are received, a step of performing reassembling the plurality of TCP segments; and a step of determining whether the plurality of packets are attack packets based on the number of the reassembled TCP segments. The network security apparatus includes a communication part and a control part.

Description

네트워크 보안 장치 및 그의 공격 탐지 방법{Network security apparatus and method for detecting attack thereof}A network security apparatus and method thereof,

본 발명은 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것으로, 보다 구체적으로 본 발명은 TCP 세그먼트(segment) 조합 단계에서 DDoS공격을 탐지하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. The present invention relates to a network security apparatus and an attack detection method thereof. More particularly, the present invention relates to a network security apparatus for detecting a DDoS attack in a TCP segment combination step and an attack detection method thereof.

RUDY(R-U-Dead-Yet), Slowread 등의 DDoS 공격은 네트워크 단말(서버, 사용자 장치 등)의 세션을 고갈시켜 네트워크 단말이 정상적으로 서비스를 제공하거나 서비스를 이용할 수 없게 한다. DDoS attacks such as RUDY (R-U-Dead-Yet) and Slowread exhaust a session of a network terminal (server, user device, etc.) so that a network terminal can not normally provide service or use a service.

이러한 공격을 방어하기 위하여 HTTP 헤더의 Content-length 또는 TCP 헤더의 window size를 분석하여 공격을 탐지하는 방법들이 사용되고 있다.In order to defend against such an attack, methods of detecting an attack by analyzing the content size of the HTTP header or the window size of the TCP header are used.

그러나 상술한 종래의 방법들은 응용 계층에서의 패킷 처리까지 수행된 이후에, 처리 결과에 따라 공격 탐지 방식을 결정하므로, 공격 탐지의 효율이 떨어지는 문제가 있다. However, since the above-described conventional methods determine the attack detection method according to the processing result after the packet processing in the application layer is performed, there is a problem that the efficiency of the attack detection is low.

본 발명은 상기한 문제점을 해결하기 위한 것으로, TCP 세그먼트를 분석하여 비정상적인 행위를 검출하고, 세션 대역폭 DDoS 공격을 탐지할 수 있도록 하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. The present invention relates to a network security apparatus and an attack detection method for analyzing a TCP segment to detect an abnormal behavior and to detect a session bandwidth DDoS attack.

또한, 본 발명은 TCP 세그먼트 분석을 통해 판단된 정상 패킷에 대하여는 서비스 제공 응답을 전송하고, 비정상 패킷에 대하여는 차단 등 보안 처리를 수행함으로써, DDoS 공격을 방어하고 서비스가 지속적으로 제공될 수 있도록 하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. In addition, the present invention provides a network that can prevent a DDoS attack and continuously provide a service by transmitting a service provision response to a normal packet determined through TCP segment analysis and performing security processing such as blocking of an abnormal packet, Security device and an attack detection method thereof.

상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 네트워크로부터 복수 개의 패킷들을 수신하는 통신부 및 상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하고, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하고, 상기 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 제어부를 포함할 수 있다. According to an aspect of the present invention, there is provided a network security apparatus including a communication unit for receiving a plurality of packets from a network, a plurality of TCP segments for each of the plurality of packets, And a controller for determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled.

또한, 상기 제어부는, 상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단할 수 있다.In addition, the controller may determine the plurality of packets as the attack packet if the number of TCP segments to be reassembled exceeds a predetermined threshold number.

또한, 상기 제어부는, 기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단할 수 있다. Also, the controller may determine the plurality of packets as the attack packet if the number of the plurality of TCP segments extracted during a predetermined threshold period exceeds a preset threshold number.

또한, 상기 제어부는, 상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하고, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하고, 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출할 수 있다. The control unit separates a network header by performing a network layer process on each of the plurality of packets, separates the IP header by performing an Internet layer process on each of the separated plurality of packets, , And extract a plurality of packets from which the IP header is separated as the plurality of TCP segments.

또한, 상기 제어부는, 상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립할 수 있다. The control unit may reassemble the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.

또한, 상기 제어부는, 상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행할 수 있다. In addition, the controller may perform at least one of blocking or discarding the plurality of packets if it is determined that the plurality of packets are the attack packet.

또한, 상기 제어부는, 상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달할 수 있다.In addition, the controller may transmit the plurality of packets to the corresponding receiving-side network terminal when it is determined that the plurality of packets are not the attack packet.

또한, 상기한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치의 공격 탐지 방법은, 복수 개의 패킷들이 수신되면, 상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하는 단계, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계 및 상기 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 단계를 포함할 수 있다. According to another aspect of the present invention, there is provided an attack detection method for a network security apparatus, the method comprising: extracting a plurality of TCP segments for each of a plurality of packets when a plurality of packets are received; Performing reassembly on the segment, and determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled.

또한, 상기 공격 패킷 여부를 판단하는 단계는, 상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함할 수 있다. The step of determining whether or not the attack packet includes the step of determining the plurality of packets as the attack packet when the number of TCP segments to be reassembled exceeds a predetermined threshold number.

또한, 상기 공격 패킷 여부를 판단하는 단계는, 기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함할 수 있다. The step of determining whether or not the attack packet includes the step of determining the plurality of packets as the attack packet when the number of the plurality of TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number .

또한, 상기 복수 개의 TCP 세그먼트를 추출하는 단계는, 상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하는 단계, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하는 단계 및 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 단계를 포함할 수 있다. The extracting of the plurality of TCP segments may include separating a network header by performing a network layer process on each of the plurality of packets, And separating the IP header and extracting a plurality of separated packets as the plurality of TCP segments.

또한, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계는, 상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 단계를 포함할 수 있다. The step of reassembling the plurality of TCP segments may include reassembling the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.

또한, 상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 단계를 더 포함할 수 있다. The method may further include performing at least one of blocking or discarding the plurality of packets if the plurality of packets are determined to be the attack packet.

또한, 상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 단계를 더 포함할 수 있다.The method may further include, when it is determined that the plurality of packets are not the attack packet, transmitting the plurality of packets to the corresponding receiving-side network terminal.

본 발명에 따른 네트워크 보안 장치 및 그의 공격 탐지 방법은, 응용 계층에서의 데이터 확인 절차 없이, 패킷의 방향성과 무관하게 TCP 세그먼트를 기초로 공격을 탐지할 수 있도록 한다. The network security device and the attack detection method according to the present invention can detect an attack based on a TCP segment regardless of a direction of a packet without a data checking procedure at an application layer.

또한, 본 발명에 따른 네트워크 보안 장치 및 그의 공격 탐지 방법은, HTTP 뿐만 아니라 TCP를 이용하는 다양한 응용 서비스를 이용하는 공격을 폭넓게 탐지할 수 있도록 한다. In addition, the network security device and the attack detection method according to the present invention can widely detect an attack using various application services using TCP as well as HTTP.

도 1은 계층별 TCP/IP 패킷 구조를 간략히 나타낸 도면이다.
도 2는 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 3은 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 블록도이다.
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다. 1 is a diagram schematically illustrating a TCP / IP packet structure according to a layer.
2 is a diagram illustrating a network system in which the network security apparatus according to the present invention operates.
3 is a block diagram illustrating a configuration of a network security apparatus according to the present invention.
4 is a flowchart illustrating an attack detection method according to the present invention.

본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.

본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.

본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.

도 1은 TCP/IP 패킷 구조를 간략히 나타낸 도면이다. 1 is a diagram schematically showing a TCP / IP packet structure.

TCP/IP 패킷은 TCP/IP 4계층 구조에 따라 데이터(110), TCP 헤더(120), IP 헤더(130), 네트워크 헤더(140)를 포함하여 구성될 수 있다. The TCP / IP packet may include data 110, a TCP header 120, an IP header 130, and a network header 140 according to a TCP / IP four-layer structure.

데이터(110)는 응용 계층(Application layer)(101)에서 TCP/IP를 이용하는 응용 서비스에 의해 생성되는 원본 데이터이다. 응용 서비스는, 예를 들어, FTP, HTTP, telnet, SMTP, NFS, TFTP 등일 수 있다. The data 110 is original data generated by an application service using the TCP / IP in an application layer 101. The application service may be, for example, FTP, HTTP, telnet, SMTP, NFS, TFTP, and the like.

응용 서비스가 HTTP인 경우, 데이터(110)는 HTTP 헤더 및 바디를 포함할 수 있다. HTTP 헤더에는 바디의 길이를 정의하는 Content-length 값이 포함될 수 있다. 해당 패킷을 수신하는 수신측 네트워크 단말은 HTTP 헤더에 Content-length가 정의된 경우, 해당 길이만큼의 바디를 수신한 후에 송신측 네트워크 단말과의 세션을 종료할 수 있다. If the application service is HTTP, the data 110 may include an HTTP header and a body. The HTTP header may include a Content-length value that defines the length of the body. When the content-length is defined in the HTTP header, the receiving-side network terminal receiving the packet can terminate the session with the transmitting-side network terminal after receiving the body of the corresponding length.

바디에는, 예를 들어, 웹 페이지에 데이터를 전송하고자 하는 경우, HTTP POST request가, 웹 페이지로 데이터를 요청하고자 하는 경우, HTTP GET request가 포함될 수 있다. In the body, for example, when an HTTP POST request is desired to transmit data to a web page, or when an HTTP request is requested to a web page, an HTTP GET request may be included.

TCP 헤더(120)는 전송 계층(Transport layer)(102)에 의하여 추가되는 것으로, 해당 패킷의 TCP 처리를 위해 필요한 정보를 포함할 수 있다. 일 예로, TCP 헤더(120)는 송신측 네트워크 단말의 포트 번호, 수신측 네트워크 단말에서 해당 패킷을 처리해야 할 포트 번호 등을 포함할 수 있다. The TCP header 120 is added by a transport layer 102 and may include information necessary for TCP processing of the packet. For example, the TCP header 120 may include a port number of a transmitting-side network terminal, a port number of a receiving-side network terminal to process the packet, and the like.

또한, TCP 헤더(120)에는 패킷 흐름 제어를 위한 window size를 포함할 수 있다. window size는 수신측 네트워크 단말로부터 ACK가 수신되지 않더라도 송신측 네트워크 단말이 연속하여 송신할 수 있는 패킷의 수를 정의하는 것으로, 수신측 네트워크 단말의 데이터 처리 능력 및 네트워크 사정에 따라 수신측 네트워크 단말이 결정하여 송신측 네트워크 단말로 전송할 수 있다. In addition, the TCP header 120 may include a window size for packet flow control. The window size defines the number of packets that can be continuously transmitted by the transmitting-side network terminal even if no ACK is received from the receiving-side network terminal. In this case, depending on the data processing capability of the receiving- And transmit it to the transmitting-side network terminal.

TCP 헤더(120)와 데이터(110)는 TCP 세그먼트(121)를 구성할 수 있다. TCP 세그먼트(121)의 최대 크기는 MSS(Maximum Segment Size)로 정의될 수 있다. MSS는 TCP/IP 네트워크에서 한 번에 전송될 수 있는 패킷의 크기를 설정하는 MTU(Maximum Transmission Unit)에 의해 결정될 수 있다. The TCP header 120 and the data 110 may constitute the TCP segment 121. The maximum size of the TCP segment 121 may be defined as an MSS (Maximum Segment Size). The MSS can be determined by an MTU (Maximum Transmission Unit) that sets the size of a packet that can be transmitted at one time in a TCP / IP network.

MTU 및 MSS의 제한에 의해, 응용 서비스에서 생성한 데이터(110)가 한 번의 패킷 전송에 의해 모두 전송될 수 없는 경우에는, 도 1에 도시된 바와 같이, 하나의 데이터(110)로부터 복수 개의 TCP 세그먼트들이 생성될 수 있다. 이 경우, 각각의 TCP 헤더(120)에는 대응되는 TCP 세그먼트(121)가 복수 개의 TCP 세그먼트들 중 몇 번째 TCP 세그먼트인지를 나타내는 Segment Number가 포함될 수 있다. When the data 110 generated by the application service can not be all transmitted by one packet transmission due to the limitation of the MTU and the MSS, a plurality of TCPs Segments can be created. In this case, each TCP header 120 may include a segment number indicating a TCP segment of the plurality of TCP segments corresponding to the TCP segment 121.

수신측 네트워크 단말은 TCP 헤더(120)에 정의된 Segment Number를 기초로 복수 개의 TCP 세그먼트들을 재조립하여, 원래의 데이터(110)를 복구할 수 있다. The receiving network terminal can recover the original data 110 by reassembling the plurality of TCP segments based on the segment number defined in the TCP header 120. [

송신측 네트워크 단말과 수신측 네트워크 단말은 패킷 전송을 위한 세션을 수립한 이후에, 3-way Handshake 과정을 수행하여, 자신의 MSS 및 window size를 상대방과 공유할 수 있다. After establishing a session for packet transmission, the transmitting-side network terminal and the receiving-side network terminal can perform a 3-way handshake process and share their MSS and window size with each other.

IP 헤더(130)는 인터넷 계층(Internet layer)(103) 에 의하여 추가되는 것으로, 해당 패킷의 IP 처리를 위해 필요한 정보를 포함할 수 있다. 일 예로, IP 헤더(130)는 송신측 네트워크 단말 및 수신측 네트워크 단말의 IP 주소 등을 포함할 수 있다. The IP header 130 is added by the Internet layer 103 and may include information necessary for IP processing of the packet. For example, the IP header 130 may include an IP address of a transmitting network terminal and a receiving network terminal.

네트워크 헤더(140)는 네트워크 액세스 계층(Network access layer)(104)에 의하여 추가되는 것으로, 해당 패킷의 물리적인 전달을 위하여 필요한 정보를 포함할 수 있다. 일 실시 예에서, TCP/IP 네트워크가 이더넷(Ethernet) 환경인 경우, 네트워크 헤더(140)에는 이더넷 헤더로써 MAC Address, CRC(Cyclical Redundancy Check) 등이 포함될 수 있다. The network header 140 is added by a network access layer 104 and may include information necessary for physical transmission of the packet. In one embodiment, when the TCP / IP network is an Ethernet environment, the network header 140 may include a MAC address, a cyclical redundancy check (CRC), or the like as an Ethernet header.

RUDY(R-U-Dead-Yet), Slowread 등의 DDoS 공격은 HTTP 응용 서비스를 이용한 공격으로, HTTP POST request와 HTTP GET request를 이용하여 공격 대상과 정상적인 세션을 수립한 후, 세션을 장시간 유지시킴으로써 세션 자원이 고갈되도록 한다. DDoS attacks such as RUDY (RU-Dead-Yet) and Slowread are attacks using HTTP application service. After establishing a normal session with attack target using HTTP POST request and HTTP GET request, session is maintained for a long time .

구체적으로, RUDY 공격은 공격 대상으로 HTTP POST request를 전송하면서, HTTP 헤더의 content-length를 실제 HTTP 바디 크기와 달리 매우 큰 값으로 설정함으로써, 수신측 네트워크 단말인 공격 대상이 content-length에 대응하는 크기의 HTTP 바디를 수신할 때까지 세션을 유지하고, 세션 자원을 소모하도록 한다. Specifically, a RUDY attack transmits an HTTP POST request to an attack target, and sets the content-length of the HTTP header to a very large value, unlike the actual HTTP body size, so that an attack target, which is a receiving network terminal, Size HTTP body, and consume session resources.

한편, Slowread 공격은 공격 대상으로 HTTP GET request를 전송하면서, TCP 헤더(120)의 window size를 매우 작은 값으로 설정하여, 공격 대상으로부터 데이터를 매우 느리게 수신하여 세션 장시간 유지에 따라 세션 자원이 소모되도록 한다. Meanwhile, the slow-slow attack transmits an HTTP GET request to the attack target, sets the window size of the TCP header 120 to a very small value, and receives data from the attacked object very slowly, so that session resources are consumed do.

이러한 공격을 탐지하기 위하여, 송신측 네트워크 단말과 수신측 네트워크 단말 간을 연결하는 네트워크 보안 장치는 송신측 네트워크 단말과 수신측 네트워크 단말 간에 송수신되는 패킷을 획득한다. 네트워크 보안 장치는 획득된 패킷을 TCP/IP 계층에 따라 분석하고, 응용 계층에서 데이터가 HTTP 요청을 포함하고 있는지, 포함하고 있다면 HTTP POST request인지 HTTP GET request인지에 따라 서로 다른 공격 탐지 동작(content-length를 분석하는 동작 또는 window size를 분석하는 동작)을 수행한다. In order to detect such an attack, a network security apparatus connecting a transmitting side network terminal and a receiving side network terminal acquires a packet transmitted and received between a transmitting side network terminal and a receiving side network terminal. The network security device analyzes the acquired packets according to the TCP / IP layer, and if the data includes HTTP requests at the application layer, or if the HTTP request or the HTTP GET request is included in the application layer, length analyzing operation or window size analyzing operation).

그러나 수신된 패킷의 처리는 네트워크 액세스 계층(104), 인터넷 계층(103), 전송 계층(102) 및 응용 계층(101)의 순서대로 수행되므로, 응용 계층(101)에서의 데이터 분석을 통해 공격 판단 방식을 결정하면, 공격 탐지 속도가 느리고 공격 탐지를 위한 자원이 더 많이 소모된다는 점에서 비효율적인 문제가 있다. However, since the processing of the received packet is performed in this order of the network access layer 104, the Internet layer 103, the transport layer 102, and the application layer 101, There is an inefficiency in determining the scheme, in that the attack detection rate is slow and the resources for attack detection are consumed more.

이하에서는, 이러한 문제를 해결하기 위하여 TCP 세그먼트를 기초로 공격을 탐지하는 네트워크 보안 장치의 공격 탐지 방법에 대하여 설명한다. Hereinafter, an attack detection method of a network security apparatus that detects an attack based on a TCP segment will be described in order to solve such a problem.

도 2는 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.2 is a diagram illustrating a network system in which the network security apparatus according to the present invention operates.

도 2를 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는 TCP/IP 네트워크에서 동작할 수 있다. Referring to FIG. 2, the network security device 300 according to the present invention can operate in a TCP / IP network.

네트워크 보안 장치(300)는 네트워크 단말들(201, 202) 간에 송수신되는 TCP/IP 패킷을 수신하여 공격 탐지를 수행할 수 있다. 네트워크 보안 장치(300)는 공격 패킷으로 판단된 패킷을 차단하는 등의 네트워크 보안 동작을 수행할 수 있다. 다양한 실시 예에서, 네트워크 보안 장치(300)는 IPS, IDS, 방화벽, UTM 등일 수 있다. The network security device 300 can perform attack detection by receiving TCP / IP packets transmitted and received between the network terminals 201 and 202. The network security device 300 may perform a network security operation such as blocking a packet determined to be an attack packet. In various embodiments, the network security appliance 300 may be an IPS, an IDS, a firewall, a UTM, and the like.

네트워크 단말들(201, 202)은 송신측 또는 수신측 네트워크 단말로 동작할 수 있다. 본 발명의 다양한 실시 예에서, 네트워크 단말들(201, 202) 중 적어도 일부는 HTTP와 같이 TCP 기반의 응용 서비스를 이용하는 단말일 수 있다. 또는, 네트워크 단말들(201, 202) 중 적어도 일부는 다른 네트워크 단말에게 응용 서비스를 제공하는 서버 등일 수 있다. The network terminals 201 and 202 may operate as a transmitting or receiving network terminal. In various embodiments of the present invention, at least some of the network terminals 201, 202 may be terminals using TCP-based application services such as HTTP. Alternatively, at least some of the network terminals 201 and 202 may be servers that provide application services to other network terminals.

본 발명의 다양한 실시 예에서, 네트워크 단말들(201, 202) 중 일부는 다른 네트워크 단말을 공격하는 공격자 단말이고, 일부는 공격자 단말의 타겟이 되는 공격 대상 단말일 수 있다. In various embodiments of the present invention, some of the network terminals 201 and 202 may be attacker terminals that attack other network terminals, and some may be attack target terminals that are targets of attacker terminals.

도 3은 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 블록도이다.3 is a block diagram illustrating a configuration of a network security apparatus according to the present invention.

도 3을 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는 통신부(310) 및 제어부(320)를 포함하여 구성될 수 있다. Referring to FIG. 3, the network security device 300 according to the present invention may include a communication unit 310 and a control unit 320.

통신부(310)는 외부와 데이터 통신을 수행할 수 있다. 이를 위하여 통신부(310)는 송신되는 신호의 주파수를 상승 변환 및 증폭하는 송신기와 수신되는 신호를 저잡음 증폭하고 주파수를 하강 변환하는 수신기 등을 포함할 수 있다. The communication unit 310 can perform data communication with the outside. For this, the communication unit 310 may include a transmitter for up-converting and amplifying the frequency of the transmitted signal, a receiver for low-noise amplifying the received signal, and down-converting the frequency.

본 발명의 다양한 실시 예에서, 통신부(310)는 네트워크 보안 장치(300)에 연결된 복수 개의 네트워크 단말들 사이에서 전송되는 패킷을 수신할 수 있다. 통신부(310)는 수신된 패킷을 제어부(320)로 전달할 수 있다. In various embodiments of the present invention, the communication unit 310 may receive packets transmitted between a plurality of network terminals connected to the network security apparatus 300. The communication unit 310 can forward the received packet to the control unit 320. [

다양한 실시 예에서, 연속되는 복수 개의 패킷들이 수신되는 경우, 통신부(310)는 수신되는 복수 개의 패킷들을 순차적으로 제어부(320)에 전달할 수 있다. In various embodiments, when a plurality of consecutive packets are received, the communication unit 310 may sequentially transmit a plurality of received packets to the control unit 320. [

제어부(320)는 본 발명에 따른 공격 탐지 방법을 수행하기 위하여, 네트워크 보안 장치(300)의 각 구성 요소들을 제어할 수 있다. The control unit 320 may control each component of the network security device 300 to perform the attack detection method according to the present invention.

제어부(320)는 통신부(310)를 통하여 수신된 패킷을 TCP/IP 계층에 따라 처리하여, 수신된 패킷으로부터 TCP 세그먼트(121)를 추출할 수 있다. 구체적으로, 제어부(320)는 수신된 패킷에 대하여 네트워크 액세스 계층(104)에서의 처리 및 인터넷 계층(103)에서의 처리를 통해, 패킷으로부터 네트워크 헤더(140) 및 IP 헤더(130)를 분리하고 TCP 세그먼트(121)를 추출할 수 있다. The control unit 320 can process the packet received through the communication unit 310 according to the TCP / IP layer and extract the TCP segment 121 from the received packet. Specifically, the control unit 320 separates the network header 140 and the IP header 130 from the packet through the processing at the network access layer 104 and the processing at the Internet layer 103 with respect to the received packet The TCP segment 121 can be extracted.

통신부(310)를 통하여 복수 개의 패킷들이 연속적으로 수신되는 경우, 제어부(320)는 복수 개의 패킷들로부터 순차적으로 TCP 세그먼트들을 추출할 수 있다.When a plurality of packets are successively received through the communication unit 310, the control unit 320 may sequentially extract TCP segments from a plurality of packets.

일 실시 예에서, 임의의 패킷으로부터 추출된 TCP 세그먼트(121)의 TCP 헤더(120)에 Segment Number가 정의된 경우, 제어부(320)는 해당 패킷에 연속하여 수신되는 복수 개의 패킷들로부터 각각의 TCP 세그먼트들을 순차적으로 추출하고, 추출된 복수 개의 TCP 세그먼트들을 Segment Number에 따라 재조립할 수 있다. In one embodiment, when a segment number is defined in the TCP header 120 of the TCP segment 121 extracted from an arbitrary packet, the control unit 320 extracts, from a plurality of packets successively received in the packet, Segments can be sequentially extracted, and the extracted plurality of TCP segments can be reassembled according to the segment number.

본 발명의 다양한 실시 예에서, 제어부(320)는 TCP 세그먼트(121)의 재조립 과정에서, 해당 패킷에 대한 공격 탐지 여부를 판단할 수 있다. In various embodiments of the present invention, the control unit 320 may determine whether or not an attack is detected for the packet in the process of reassembling the TCP segment 121. [

일 예로, 제어부(320)는 재조립해야 할 TCP 세그먼트들이 기설정된 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷으로 판단할 수 있다. 또는, 일 예로, 제어부(320)는 기설정된 주기 동안 추출된 TCP 세그먼트로써, 재조립해야 할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷으로 판단할 수 있다. For example, when the TCP segments to be reassembled exceed a predetermined threshold number, the control unit 320 may determine the plurality of packets as attack packets. For example, if the TCP segments to be reassembled exceed the threshold number, the control unit 320 may determine the plurality of packets as attack packets.

상술한 본 발명의 실시 예에 따르면, 제어부(320)는 수신된 복수 개의 연속되는 패킷들에 대한 응용 계층(101)에서의 처리까지 수행되기 이전에 복수 개의 연속되는 패킷들에 대한 공격 패킷 여부의 판단을 수행한다. 즉, 제어부(320)는 응용 계층(101)에서의 처리 이후에 데이터(110) 분석을 통하여 확인할 수 있는 정보(예를 들어, HTTP POST request, HTTP GET request)와 관계없이 재조립되어야 하는 TCP 세그먼트들(121)의 개수를 기초로 공격 패킷 여부를 판단하기 때문에, 보다 신속하고 효율적으로 공격을 탐지할 수 있다. According to the embodiment of the present invention, the control unit 320 determines whether or not an attack packet for a plurality of consecutive packets is received before a process in the application layer 101 is performed for a plurality of received consecutive packets. And performs judgment. That is, the control unit 320 determines whether the TCP segment to be reassembled, regardless of the information (e.g., HTTP POST request, HTTP GET request) that can be confirmed through the analysis of the data 110 after the processing in the application layer 101 It is possible to more quickly and efficiently detect the attack.

제어부(320)는 공격 패킷으로 판단된 복수 개의 패킷들에 대하여 네트워크 보안 동작을 수행할 수 있다. 일 예로, 제어부(320)는 공격 패킷으로 판단된 복수 개의 패킷들을 차단 및/또는 폐기하거나, 해당 복수 개의 패킷들과 관련된 정보를 블랙 리스트로 저장할 수 있다.The control unit 320 may perform a network security operation on a plurality of packets determined to be attack packets. For example, the control unit 320 may block and / or discard a plurality of packets determined as attack packets, or may store information related to the plurality of packets as a black list.

또한, 제어부(320)는 해당 복수 개의 패킷들에 대한 수신측 네트워크 단말로, 공격 탐지 결과를 알리거나, 수신측 네트워크 단말로부터 해당 복수 개의 패킷들에 대한 처리 여부의 명령을 수신할 수 있다. In addition, the control unit 320 may notify the receiving network terminal of the plurality of packets of the attack detection result, or may receive a command to process the plurality of packets from the receiving network terminal.

제어부(320)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들을 해당 복수 개의 패킷들의 수신측 네트워크 단말로 전달할 수 있다.The control unit 320 may transmit a plurality of packets determined not to be attack packets to the receiving network terminal of the plurality of packets.

필요한 경우 제어부(320)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들에 대하여 다음 패킷 처리를 수행할 수 있다. 구체적으로, 제어부(203)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들 각각으로부터 이미 추출된 복수 개의 TCP 세그먼트들을 Segment Number에 따라 재조립한다. If necessary, the control unit 320 may perform a next packet process on a plurality of packets determined to be not attack packets. Specifically, the control unit 203 reassembles the plurality of TCP segments already extracted from each of the plurality of packets determined as not the attack packet, according to the segment number.

이후에, 제어부(320)는 재조립된 TCP 세그먼트에 대한 최종 전송 계층(102) 처리 및 응용 계층(101) 처리를 수행하여 데이터(110)에 대응하는 제어 동작을 수행할 수 있다. Thereafter, the control unit 320 may perform a control operation corresponding to the data 110 by performing the final transmission layer 102 process and the application layer 101 process on the reassembled TCP segment.

도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다. 4 is a flowchart illustrating an attack detection method according to the present invention.

도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는, 먼저 복수 개의 패킷들을 순차적으로 수신할 수 있다(410). Referring to FIG. 4, the network security apparatus 300 according to the present invention can sequentially receive a plurality of packets sequentially (410).

다음으로, 네트워크 보안 장치(300)는 복수 개의 패킷들 각각에 대하여 순차적으로 복수 개의 TCP 세그먼트들을 추출할 수 있다(420).Next, the network security device 300 can sequentially extract a plurality of TCP segments for each of the plurality of packets (420).

네트워크 보안 장치(300)는 수신된 복수 개의 패킷들에 대하여 순차적으로 네트워크 액세스 계층(104) 처리 및 인터넷 계층(103) 처리를 수행할 수 있다. 구체적으로, 네트워크 보안 장치(300)는 수신된 복수 개의 패킷들에 대하여 순차적으로 네트워크 헤더(140) 분리 및 분석과 IP 헤더(130) 분리 및 분석을 수행할 수 있다.The network security apparatus 300 can sequentially perform the network access layer 104 processing and the internet layer 103 processing on the plurality of received packets. In detail, the network security apparatus 300 can sequentially perform separation and analysis of the network header 140 and separation and analysis of the IP header 130 for a plurality of received packets.

다음으로, 네트워크 보안 장치(300)는 추출된 복수 개의 TCP 세그먼트들에 대하여, TCP 세그먼트 재조립을 수행한다(430).Next, the network security device 300 performs TCP segment reassembly for the extracted plurality of TCP segments (430).

네트워크 보안 장치(300)는 추출된 복수 개의 TCP 세그먼트들에 포함된 TCP 헤더(120)를 기초로, 복수 개의 TCP 세그먼트들을 재조립할 수 있다. The network security device 300 can reassemble a plurality of TCP segments based on the TCP header 120 included in the extracted plurality of TCP segments.

네트워크 보안 장치(300)는 TCP 세그먼트 재조립을 수행하는 동안 공격 탐지를 수행할 수 있다(431). The network security appliance 300 may perform attack detection during the TCP segment reassembly (431).

구체적으로, 네트워크 보안 장치(300)는 재조립할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 TCP 세그먼트들에 대응하는 패킷들을 공격 패킷으로 판단할 수 있다. 또는, 네트워크 보안 장치(300)는 기설정된 주기 동안 추출된 TCP 세그먼트로써, 재조립해야 할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷을 판단할 수 있다. Specifically, when the TCP segments to be reassembled exceed the threshold number, the network security device 300 may determine packets corresponding to the TCP segments as attack packets. Alternatively, the network security device 300 can determine attack packets of a plurality of packets when TCP segments to be reassembled exceed the threshold number, as TCP segments extracted for a predetermined period.

수신된 복수 개의 패킷들이 공격 패킷인 것으로 판단되면(432), 네트워크 보안 장치(300)는 해당 복수 개의 패킷들에 대한 네트워크 보안 동작을 수행할 수 있다(440).If it is determined in operation 432 that the plurality of received packets are attack packets, the network security apparatus 300 may perform a network security operation on the plurality of packets in operation 440.

일 예로, 네트워크 보안 장치(300)는 공격 패킷으로 판단된 복수 개의 패킷들을 차단 및/또는 폐기하거나, 해당 복수 개의 패킷들과 관련된 정보를 정보를 블랙 리스트로 저장할 수 있다. 또는, 네트워크 보안 장치(300)는 해당 복수 개의 패킷들에 대한 수신측 네트워크 단말로, 공격 탐지 결과를 알리거나, 수신측 네트워크 단말로부터 해당 복수 개의 패킷들에 대한 처리 여부의 명령을 수신할 수 있다. For example, the network security apparatus 300 may block and / or discard a plurality of packets determined to be attack packets, or may store information related to the plurality of packets as a black list. Alternatively, the network security apparatus 300 can notify the receiving network terminal of the plurality of packets of the attack detection result or the command of whether to process the plurality of packets from the receiving network terminal .

한편, 수신된 복수 개의 패킷들이 공격 패킷이 아닌 것으로 판단되면, 네트워크 보안 장치(300)는 해당 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달할 수 있다(450).Meanwhile, if it is determined that the plurality of received packets are not attack packets, the network security device 300 may forward the plurality of packets to the corresponding receiving-side network terminal (450).

본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.

201, 202: 네트워크 단말
300: 네트워크 보안 장치
310: 통신부
320: 제어부201, 202: network terminal
300: Network security device
310:
320:

Claims (14)

네트워크로부터 복수 개의 패킷들을 수신하는 통신부; 및
상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하고, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하고, 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 제어부를 포함하는 것을 특징으로 하는 네트워크 보안 장치. A communication unit for receiving a plurality of packets from a network; And
Extracting a plurality of TCP segments for each of the plurality of packets, performing reassembly for the plurality of TCP segments, and determining whether the plurality of packets are attack packets based on the number of reassembled TCP segments And a control unit. 제1항에 있어서, 상기 제어부는,
상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 것을 특징으로 하는 네트워크 보안 장치.The apparatus of claim 1,
And determines the plurality of packets as the attack packet if the number of reassembled TCP segments exceeds a predetermined threshold number. 제1항에 있어서, 상기 제어부는,
기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And determines the plurality of packets as the attack packet if the number of the TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number. 제1항에 있어서, 상기 제어부는,
상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하고, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하고, 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
Separating a network header by performing a network layer process for each of the plurality of packets, separating an IP header by performing an Internet layer process on each of a plurality of separated packets of the network header, And extracts a plurality of packets as the plurality of TCP segments. 제1항에 있어서, 상기 제어부는,
상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And reassembles the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments. 제1항에 있어서, 상기 제어부는,
상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And blocking or discarding the plurality of packets if it is determined that the plurality of packets are the attack packet. 제1항에 있어서, 상기 제어부는,
상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 것을 특징으로 하는 네트워크 보안 장치.The apparatus of claim 1,
And transmits the plurality of packets to a corresponding receiving-side network terminal if it is determined that the plurality of packets are not the attack packet. 복수 개의 패킷들이 수신되면, 상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하는 단계;
상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계; 및
재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. Receiving a plurality of packets, extracting a plurality of TCP segments for each of the plurality of packets;
Performing reassembly for the plurality of TCP segments; And
And determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled. 제8항에 있어서, 상기 공격 패킷 여부를 판단하는 단계는,
상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
And determining the plurality of packets as the attack packet if the number of TCP segments to be reassembled exceeds a predetermined threshold number. 제8항에 있어서, 상기 공격 패킷 여부를 판단하는 단계는,
기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법.9. The method of claim 8,
And determining the plurality of packets as the attack packet if the number of TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number. 제8항에 있어서, 상기 복수 개의 TCP 세그먼트를 추출하는 단계는,
상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하는 단계;
상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하는 단계; 및
상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8, wherein extracting the plurality of TCP segments comprises:
Performing network layer processing on each of the plurality of packets to separate a network header;
Performing Internet layer processing for each of a plurality of packets separated by the network header to separate an IP header; And
And extracting a plurality of packets in which the IP header is separated as the plurality of TCP segments. 제8항에 있어서, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계는,
상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8, wherein performing the reassembly for the plurality of TCP segments comprises:
And reassembling the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments. 제8항에 있어서,
상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
Further comprising performing at least one of blocking or discarding the plurality of packets if the plurality of packets are determined to be the attack packet. 제8항에 있어서,
상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
And forwarding the plurality of packets to a corresponding receiving-side network terminal when it is determined that the plurality of packets are not the attack packet.
KR1020170060011A 2017-05-15 2017-05-15 Network security apparatus and method for detecting attack thereof KR101997211B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170060011A KR101997211B1 (en) 2017-05-15 2017-05-15 Network security apparatus and method for detecting attack thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170060011A KR101997211B1 (en) 2017-05-15 2017-05-15 Network security apparatus and method for detecting attack thereof

Publications (2)

Publication Number Publication Date
KR20180125293A true KR20180125293A (en) 2018-11-23
KR101997211B1 KR101997211B1 (en) 2019-07-08

Family

ID=64565574

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170060011A KR101997211B1 (en) 2017-05-15 2017-05-15 Network security apparatus and method for detecting attack thereof

Country Status (1)

Country Link
KR (1) KR101997211B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050204170A1 (en) * 2004-03-12 2005-09-15 Andrey Belenky Accomodating fragmentation with deterministic packet marking
KR20110036912A (en) * 2008-06-23 2011-04-12 알카텔-루센트 유에스에이 인코포레이티드 Processing of packet fragments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050204170A1 (en) * 2004-03-12 2005-09-15 Andrey Belenky Accomodating fragmentation with deterministic packet marking
KR20110036912A (en) * 2008-06-23 2011-04-12 알카텔-루센트 유에스에이 인코포레이티드 Processing of packet fragments

Also Published As

Publication number Publication date
KR101997211B1 (en) 2019-07-08

Similar Documents

Publication Publication Date Title
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
CN110198293B (en) Attack protection method and device for server, storage medium and electronic device
KR101424490B1 (en) Reverse access detecting system and method based on latency
US10693908B2 (en) Apparatus and method for detecting distributed reflection denial of service attack
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
US20220263823A1 (en) Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium
CN107645409B (en) Method and device for determining transmission fault reason of data
EP3432533B1 (en) Method and system for processing forged tcp data packet
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
US20130263268A1 (en) Method for blocking a denial-of-service attack
US9641485B1 (en) System and method for out-of-band network firewall
RU2635220C2 (en) Two-way communication system in real time, using http protocol
US9917925B2 (en) Method for determining maximum segment size
Salunkhe et al. Analysis and review of TCP SYN flood attack on network with its detection and performance metrics
KR101211147B1 (en) System for network inspection and providing method thereof
KR101997211B1 (en) Network security apparatus and method for detecting attack thereof
CN113411350B (en) Network system for defending DDOS attack
Wendzel et al. Preventing protocol switching covert channels
KR101269552B1 (en) Method and apparatus for denial of service detection against incomplete get request of http
JP5009200B2 (en) Network attack detection device and defense device
KR101449627B1 (en) Method and apparatus for detecting abnormal session
CA3159619C (en) Packet processing method and apparatus, device, and computer-readable storage medium
CN114726797B (en) Acceleration transmission method, device, equipment, system and storage medium
KR20180102884A (en) Firewall and processing method for packet thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant