KR20210066432A - Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) - Google Patents

Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) Download PDF

Info

Publication number
KR20210066432A
KR20210066432A KR1020190155666A KR20190155666A KR20210066432A KR 20210066432 A KR20210066432 A KR 20210066432A KR 1020190155666 A KR1020190155666 A KR 1020190155666A KR 20190155666 A KR20190155666 A KR 20190155666A KR 20210066432 A KR20210066432 A KR 20210066432A
Authority
KR
South Korea
Prior art keywords
interest
ndn
flooding attack
router
malicious
Prior art date
Application number
KR1020190155666A
Other languages
Korean (ko)
Inventor
김호건
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190155666A priority Critical patent/KR20210066432A/en
Publication of KR20210066432A publication Critical patent/KR20210066432A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • H04L61/1552
    • H04L61/305
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering

Abstract

The present invention provides a method for detecting and defending against an interest flooding attack. According to the present invention, the method for detecting and defending against an interest flooding attack comprises the following steps of: setting a PIT table use threshold value for each input interface and checking whether the threshold value is exceeded; detecting whether an interest flooding attack is made from a prefix which is deleted by terminating an interest packet use period when the threshold value is exceeded; and deleting a packet having a malicious interest prefix from the PIT table.

Description

이름 데이터 네트워킹(NDN) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 {Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)}{Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)}

본 발명은 이름 데이터 네트워킹(Named Data Networking, 이하 NDN) 에서 인터레스트 플러딩 공격(Interest Flooding Attacks) 검출 방법 및 방어 방법에 관한 것이다. 보다 상세하게는, 본 발명은 NDN에서 인터레스트 플러딩 공격을 받는 NDN 라우터가 인터레스트 플러딩 공격을, 검출하고 방어하는 기술에 관한 것이다.The present invention relates to a method for detecting and defending an interest flooding attack in Named Data Networking (NDN). More particularly, the present invention relates to a technique for detecting and defending against an interest flooding attack by an NDN router receiving an interest flooding attack in the NDN.

NDN은 콘텐츠 중심 네트워킹(Content Centric Networking, 이하 CCN)과 동일한 개념으로 사용되고 있으며 정보 중심 네트워킹(Information Centric Networking, 이하 ICN) 에서 논의되는 미래 네트워크에 대한 구현 사례 중 하나이다.NDN is used in the same concept as Content Centric Networking (CCN) and is one of the implementation examples for future networks discussed in Information Centric Networking (ICN).

하지만, 미래 네트워크 기술인 NDN에서도 기존 IP 망과 유사하게 라우터와 서비스를 제공하는 애플리케이션 서버(producer)를 마비시키는 서비스 거부 (DoS: Denial of Service) 공격에 취약하다.However, NDN, a future network technology, is vulnerable to a Denial of Service (DoS) attack that paralyzes the router and application server that provides services similar to the existing IP network.

구체적으로, NDN은 콘텐츠의 이름(name)으로 콘텐츠를 요청하고, 콘텐츠를 생성하는 콘텐츠 제공자는 상기 요청 이름에 해당하는 콘텐츠를 전달하는 방식이다. 즉, 예를 들어, 콘텐츠를 요청하는 소비자(consumer)와 콘텐츠를 생성하는 콘텐츠 제공자(producer)로 구성되며, 소비자가 인터레스트 패킷(Interest packet)으로 콘텐츠를 요청하면, 대응으로 제공자(producer)는 데이터 패킷(data packet)을 생성하여 요청한 소비자에게 전달한다.Specifically, the NDN requests the content by the name of the content, and the content provider that creates the content delivers the content corresponding to the requested name. That is, for example, it consists of a consumer who requests content and a content producer who creates the content. When a consumer requests content with an interest packet, the producer responds to the request for content. It creates a data packet and delivers it to the requesting consumer.

보다 구체적으로, 예를 들어, 인터레스트(Interest)와 데이터(Data) 패킷을 전달하기 위한 NDN 라우터 동작은 다음과 같다. NDN 라우터는 수신된 인터레스트 패킷에 대해 콘텐츠 저장소(CS)에 동일한 이름의 데이터가 있는 지 비교한다. 만약 동일한 이름 데이터가 CS에 존재하면 해당 데이터 패킷을 수신된 인터레스트 패킷이 수신된 페이스(face)로 전달하게 된다. 반면, 만약 동일한 이름 데이터가 CS에 존재하지 않으면 기존에 전달된 이름이 있는 지를 확인하기 위하여 보류 인터레스트 테이블(PIT: Pending Interest Table, 이하 “PIT” 또는 “PIT 테이블”이라 한다) 에서 동일한 이름이 있는 지 비교한다. More specifically, for example, an operation of an NDN router for transferring interest and data packets is as follows. The NDN router compares the received interest packet to see if there is data with the same name in the content store (CS). If the same name data exists in the CS, the corresponding data packet is delivered to the face where the received interest packet was received. On the other hand, if the same name data does not exist in the CS, the same name is found in the Pending Interest Table (hereinafter referred to as “PIT” or “PIT table”) in order to check whether there is a previously transferred name. compare whether

여기서, 만약, PIT내에 대응하는 이름의 PIT 엔트리가 존재하면, 인터레스트 패킷의 입력 경로를 표시하는 페이스 번호를 해당 PIT 엔트리내에 추가한다. 반면, PIT내에 대응하는 이름의 PIT 엔트리가 존재하지 않으면, 어느 인터페이스로 전달할 지를 지시하는 포워딩 인터레스트 베이스(FIB: Forwarding Interest Base, 이하 “FIB” 또는 “FIB 테이블” 이라 한다)를 참조한다. 즉, 예를 들어, FIB내에 동일한 인터레스트 패킷 이름이 존재하면, 상기 FIB에서 지정된 출력 페이스로 인터레스트 패킷을 전달 하게 된다. 반면, FIB내에도 상기 동일한 인터레스트 패킷 이름이 존재하지 않으면, 해당 인터레스트 패킷은 삭제하게 된다.Here, if there is a PIT entry with a corresponding name in the PIT, a face number indicating the input path of the interest packet is added to the corresponding PIT entry. On the other hand, if a PIT entry with a corresponding name does not exist in the PIT, the forwarding interest base (FIB: Forwarding Interest Base, hereinafter referred to as “FIB” or “FIB table”) indicating which interface to transfer is referred to. That is, for example, if the same interest packet name exists in the FIB, the interest packet is delivered to the output face designated in the FIB. On the other hand, if the same interest packet name does not exist in the FIB, the corresponding interest packet is deleted.

따라서, 전술한 NDN 라우터에서 취약한 부분은, 수신된 인터레스트 패킷의 이름을 저장하는 PIT 테이블 용량이 물리적으로 한정 된다는 점이다. 따라서, PIT 테이블내에 데이터 패킷이 수신되지 않아 처리되지 못한 인터레스트 이름이 많이 남아 있게 되면 다른 인터레스트 패킷의 이름을 저장할 수 없는 상태가 되어 NDN 라우터는 더 이상 서비스를 수행하지 못하는 불능 상태가 된다.Therefore, the weak part of the aforementioned NDN router is that the capacity of the PIT table for storing the name of the received interest packet is physically limited. Therefore, if a lot of unprocessed interest names remain because no data packets are received in the PIT table, the names of other interest packets cannot be stored, and the NDN router becomes in a state of being unable to perform any more services.

이와 같은 취약점을 노리고, 악의적 네트워크 공격자는 다량의 인터레스트 패킷을 NDN 라우터에 전달하여, 상기 라우터의 PIT 테이블을 비정상적으로 점유함에 따라, 정상적인 인터레스트 패킷을 처리하지 못하는 상태로 공격하는 것이 가능하다. 또한, 악의적인 공격자는, 애플리케이션 서버가 인터레스트 패킷을 처리하는데 모든 리소스를 소모하여 정상적인 서비스를 수행할 수 없는 상태를 야기시킬 수도 있다. Aiming at such a vulnerability, a malicious network attacker delivers a large amount of interest packets to the NDN router and abnormally occupies the PIT table of the router, so it is possible to attack without being able to process normal interest packets. In addition, a malicious attacker may cause the application server to consume all resources to process the interest packet and cause a state in which normal service cannot be performed.

또한, 예를 들어, 종래 악의적인 공격자의 서비스 거부 (DoS: Denial of Service) 공격은 네트워크상의 정상 소비자의 단말에 몰래 봇(Bot)을 설치하여 원격으로 봇이 설치된 단말을 이용하여 전술한 바와 같은 악의적인 다량의 인터레스트 패킷을 NDN 라우터에 전달하는 방식으로 공격하는 것도 가능하다. In addition, for example, in a conventional denial of service (DoS) attack by a malicious attacker, a bot is installed in a terminal of a normal consumer on the network and the bot is remotely installed using the terminal as described above. It is also possible to attack by forwarding a large number of malicious interest packets to the NDN router.

이와 같이, 종래 NDN에서 공격자가 다량의 인터레스트를 요청하여 공격하는 서비스 거부 공격 방법을, 특히 “인터레스트 플러딩 공격(interest flooding attack)”이라고 한다. As described above, a denial of service attack method in which an attacker requests and attacks a large amount of interest in the conventional NDN is called, in particular, an “interest flooding attack”.

특히, NDN에서 상기 인터레스트 플러딩 공격은, NDN 라우터 또는 콘텐츠 제공자(producer)가 정상적인 서비스를 할 수 없는 불능 상태로 만들어 라우터를 통한 통신이 두절되거나 콘테츠 제공자의 서비스가 제대로 수행되지 않아 사회 경제적으로 많은 문제를 야기 시킬 수 있게 된다. In particular, the interest flooding attack in NDN causes the NDN router or content producer to be unable to provide normal service, so that communication through the router is interrupted or the service of the content provider is not performed properly, resulting in socio-economic problems. can cause a lot of problems.

또한, NDN에서는 인터레스트 패킷에 발신자 소스 정보가 포함되지 않는다. 따라서, 인터레스트 패킷을 어디서 요청 하였는지는, 소비자와 직접 연결되어 있는 에지 라우터의 입력 인터페이스 정보만 알 수 있게 된다. 결국, 인터레스트 패킷 생성자를 정확하게 판별할 수 없어 효율적인 대응이 더욱 어려운 점이 있다. Also, in NDN, source information is not included in an interest packet. Therefore, only the input interface information of the edge router directly connected to the consumer can be known as to where the interest packet was requested. As a result, since it is not possible to accurately determine the interest packet generator, it is more difficult to efficiently respond.

따라서, NDN 고유의 특성을 고려하여, NDN 라우터에서 전술한 인터레스트 플러딩 공격에 대한 검출 방안이 절실하다. 또한, NDN 라우터에서 상기 검출된 인터레스트 플러딩 공격에 대한 효율적인 방어 방법도 필요하다.Therefore, in consideration of the unique characteristics of NDNs, there is an urgent need for a detection method for the aforementioned interest flooding attack in the NDN router. In addition, there is also a need for an effective defense method against the detected interest flooding attack in the NDN router.

따라서 본 발명의 목적은, 전술한 종래 기술의 문제점을 해결하기 위해, 이름 데이터 네트워킹(NDN)에서 인터레스트 플러딩 공격을 검출하는 방법을 제공하는 데 있다.Accordingly, an object of the present invention is to provide a method for detecting an interest flooding attack in name data networking (NDN) in order to solve the problems of the prior art.

또한, 본 발명의 목적은, 전술한 종래 기술의 문제점을 해결하기 위해, 이름 데이터 네트워킹(NDN)에서 검출된 인터레스트 플러딩 공격을 방어하는 방법을 제공하는 데 있다.Another object of the present invention is to provide a method for preventing an interest flooding attack detected in name data networking (NDN) in order to solve the problems of the prior art.

또한, 본 발명의 목적은, 전술한 종래 기술의 문제점을 해결하기 위해, 이름 데이터 네트워킹(NDN)에서 인터레스트 플러딩 공격의 전파를 방지하기 위해 인접 라우터 간의 협력 방법을 제공하는 데 있다.Another object of the present invention is to provide a cooperative method between adjacent routers in order to prevent propagation of an interest flooding attack in name data networking (NDN) in order to solve the problems of the prior art.

또한, 본 발명의 목적은, 전술한 종래 기술의 문제점을 해결하기 위해, 컴퓨터에서 실행될 수 있는, 인터레스트 플러딩 공격을 검출하고 방어하는 프로그램 및 프로그램이 저장된 기록매체를 제공하는 데 있다.In addition, an object of the present invention is to provide a program that can be executed in a computer, and a program for detecting and defending an interest flooding attack, and a recording medium in which the program is stored in order to solve the problems of the prior art.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention may be understood by the following description, and will become more clearly understood by the examples of the present invention. Further, it will be readily apparent that the objects and advantages of the present invention can be realized by the means and combinations thereof indicated in the claims.

본 발명에 따른 인터레스트 플러딩 공격을, 검출 및 방어하는 방법은, 입력 인터페이스 별로 PIT 테이블 사용 임계치를 설정하고, 상기 임계치 초과 여부를 확인하는 단계, 상기 임계치 초과시, 인터레스트 패킷 사용 기간이 종료되어 삭제되는 접두사(prefix) 로부터 인터레스트 플러딩 공격 여부를 검출하는 단계, 및 상기 악의적 인터레스트 접두사를 가진 패킷을 PIT 테이블에서 삭제하는 단계를 포함한다. The method for detecting and defending an interest flooding attack according to the present invention comprises the steps of setting a PIT table usage threshold for each input interface and checking whether the threshold is exceeded, and when the threshold is exceeded, the interest packet usage period ends and is deleted detecting whether there is an interest flooding attack from a prefix that is used, and deleting a packet having the malicious interest prefix from a PIT table.

본 발명의 실시예에 따르면, NDN에서 효율적으로 인터레스트 플러딩 공격을 검출할 수 있게 된다. According to an embodiment of the present invention, it is possible to efficiently detect an interest flooding attack in an NDN.

또한, 본 발명의 실시예에 따르면, NDN에서 검출된 인터레스트 플러딩 공격을 효율적으로 방어할 수 있게 된다.In addition, according to an embodiment of the present invention, it is possible to effectively defend against an interest flooding attack detected in NDN.

또한, 본 발명의 실시예에 따르면, NDN에서 인접 라우터 간의 협력에 의해 인터레스트 플러딩 공격의 전파를 효율적으로 방지할 수 있게 된다. In addition, according to an embodiment of the present invention, it is possible to effectively prevent the propagation of an interest flooding attack by cooperation between neighboring routers in the NDN.

도 1은 본 발명에 따른, NDN 네트워크를 설명하기 위해 도시한 것이다.
도 2는 본 발명에 따른, NDN 라우터에서 인터레스트 플러딩 공격에 대응하는 전체 프로세스를 도시한 것이다.
도 3 내지 도 4는 본 발명에 따른, NDN 라우터에서 인터레스트 플러딩 공격을 검출하는 프로세스를 도시한 것이다.
도 5 내지 도 7은 본 발명에 따른, 인터레스트 플러딩 공격을 검출 프로세스를 설명하기 위해, 인터레스트 패킷 및 PIT 테이블을 예를 들어 도시한 것이다.
도 8은 본 발명에 따른, NDN 라우터에서 검출된 인터레스트 플러딩 공격을 방어하는 프로세스를 도시한 것이다.
도 9A 및 도 9B는 NDN 네트워크에서 인접 라우터 간의 협력을 통한 인터레스트 플러딩 공격의 전파 방지를 설명하기 위해 도시한 것이다.
도 10은 본 발명에 따른, 인접 NDN 라우터에서, 인터레스트 플러딩 공격을 방어하는 프로세스를 도시한 것이다.
도 11은 본 발명에 따른, NDN 라우터 구성을 예를 들어 도시한 것이다.1 is a diagram illustrating an NDN network according to the present invention.
2 is a diagram illustrating an overall process for responding to an interest flooding attack in an NDN router according to the present invention.
3 to 4 show a process for detecting an interest flooding attack in an NDN router according to the present invention.
5 to 7 show interest packets and PIT tables as examples to explain the process of detecting an interest flooding attack according to the present invention.
8 illustrates a process for defending an interest flooding attack detected in an NDN router according to the present invention.
9A and 9B are diagrams for explaining prevention of propagation of an interest flooding attack through cooperation between neighboring routers in an NDN network.
10 is a diagram illustrating a process for defending an interest flooding attack in a neighboring NDN router according to the present invention.
11 illustrates an example of an NDN router configuration according to the present invention.

이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in various different forms and is not limited to the embodiments described herein.

본 발명의 실시 예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 발명에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.In describing an embodiment of the present invention, if it is determined that a detailed description of a well-known configuration or function may obscure the gist of the present invention, a detailed description thereof will be omitted. And, in the drawings, parts not related to the description of the present invention are omitted, and similar reference numerals are attached to similar parts.

본 발명에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위함이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시 예도 본 발명의 범위에 포함된다. In the present invention, the components that are distinguished from each other are for clearly explaining their respective characteristics, and do not necessarily mean that the components are separated. That is, a plurality of components may be integrated to form one hardware or software unit, or one component may be distributed to form a plurality of hardware or software units. Accordingly, even if not specifically mentioned, such integrated or dispersed embodiments are also included in the scope of the present invention.

본 발명에 있어서, 다양한 실시예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들을 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시 예도 본 발명의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 발명의 범위에 포함된다. 이하, 첨부한 도면을 참조하여 본 발명의 실시 예들에 대해서 설명한다.In the present invention, components described in various embodiments do not necessarily mean essential components, and some may be optional components. Accordingly, an embodiment composed of a subset of components described in one embodiment is also included in the scope of the present invention. In addition, embodiments including other components in addition to the components described in various embodiments are also included in the scope of the present invention. Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명에 따른, NDN 네트워크를 설명하기 위해 도시한 것이다.1 is a diagram illustrating an NDN network according to the present invention.

NDN 네트워크는, 인터레스트 패킷을 생성하는 데이터 또는 콘텐츠 소비자(101, 102, 103, 104, 이하 '소비자' 라고 한다)와 상기 인터레스트 패킷에 대응하는 데이터 패킷을 생성하는 데이터 또는 콘텐츠 제공자(130, 이하 '제공자' 라고 한다)를 포함한다. 또한, NDN 네트워크는 상기 소비자와 제공자 간의 인터레스트 패킷 및/또는 데이터 패킷을 전달하는 적어도 하나 이상의 NDN 라우터들을 포함한다. 특히, 상기 NDN 라우터들 중, 상기 소비자와 인접한 라우터를 에지 라우터(Edge Router, 111, 112, 113, 114)라 한다. 반면, 에지 라우터로부터 인터레스트 패킷을 전달 받거나, 또는 에지 라우터로 데이터 패킷을 전달하는 제 1 코어 라우터(Core Router, 121, 122) 및 상기 제 1 코어 라우터(Core Router, 121, 122)와 패킷을 주고 받는 제2 코어 라우터(Core Router, 123)를 포함한다. The NDN network includes a data or content consumer (101, 102, 103, 104, hereinafter referred to as a 'consumer') that generates an interest packet and a data or content provider 130 that generates a data packet corresponding to the interest packet. hereinafter referred to as 'provider'). Further, the NDN network includes at least one or more NDN routers that forward interest packets and/or data packets between the consumer and the provider. In particular, among the NDN routers, a router adjacent to the consumer is referred to as an edge router 111 , 112 , 113 , 114 . On the other hand, the first core router (Core Router, 121, 122) and the first core router (Core Router, 121, 122) that receives the interest packet from the edge router or forwards the data packet to the edge router It includes a second core router (Core Router, 123) for sending and receiving.

이때, 상기 소비자들(101, 102, 103, 104) 중에는 NDN 네트워크를 공격하는 악의적 공격자(102)가 포함될 수 있다. 상기 악의적 공격자(102)는 선의의 소비자(101, 103, 104)로 가장하고, 상기 NDN 네트워크 특성을 이용하여 인터레스트 플러딩 공격을 시도할 수 있다. 이를 구체적으로 설명하면 다음과 같다. In this case, a malicious attacker 102 attacking the NDN network may be included among the consumers 101 , 102 , 103 , and 104 . The malicious attacker 102 may impersonate the well-intentioned consumers 101, 103, and 104 and attempt an interest flooding attack using the NDN network characteristics. This will be described in detail as follows.

즉, 상기 악의적 공격자에 의한 인터레스트 플러딩 공격은, 주로 에지 라우터의 한정된 용량의 PIT 테이블을 소진시켜 정상적인 인터레스트 패킷을 PIT 테이블에 추가하지 못하도록 하는 데 있다. That is, the interest flooding attack by the malicious attacker is mainly intended to prevent normal interest packets from being added to the PIT table by exhausting the PIT table of the limited capacity of the edge router.

예를 들어, 도 5 내지 도 7을 참조하여 설명한다. 도 5 내지 도 7은 본 발명에 따른, 인터레스트 패킷 및 PIT 테이블을 예를 들어 도시한 것이다. For example, it will be described with reference to FIGS. 5 to 7 . 5 to 7 illustrate an interest packet and a PIT table according to the present invention, for example.

관련하여, 도 5는 NDN 인터레스트 패킷에서의 패킷 이름 구성을 도시한 것이다. 즉, 일반적으로 NDN 패킷 이름 구성은 접두사(prefix)와 접미사(suffix)로 구성될 수 있다. 여기서, 접두사는 주로 인터레스트 패킷을 발송하는 소비자의 위치 및 데이터 이름을 표시하는 데 활용되고, 접미사는 상기 데이터를 분할한 세그먼트를 표시하는 데 활용될 수 있다. In relation to this, Fig. 5 shows the packet name structure in the NDN interest packet. That is, in general, the NDN packet name configuration may be composed of a prefix and a suffix. Here, the prefix is mainly used to indicate the location and data name of the consumer who sends the interest packet, and the suffix may be used to indicate the segment into which the data is divided.

상기와 같은 NDN 특성을 고려하여, 악의적 공격자(102)는, 라우터에서 인터레스트 패킷이 드롭(drop)되거나 또는 삭제(delete)되지 않기 위해서, 접두사는 정상적인 이름 접두사(valid name prefix)를 사용한다. 반면, 다량의 패킷을 생성하기 위해서 접미사는 비정상적으로 구성하게 된다. In consideration of the above NDN characteristics, the malicious attacker 102 uses a valid name prefix as the prefix in order to prevent the interest packet from being dropped or deleted from the router. On the other hand, in order to generate a large number of packets, the suffix is formed abnormally.

즉, 예를 들어, 인터레스트 플러딩 공격을 시도하는 악의적 공격자(102)는 이름 데이터 네트워크(NDN)을 감시하여 정상적인 이름 접두사를 수집한다. 정상적인 접두사 수집이 완료되면, 이후, 악의적 공격자는 비정상적인 접미사(Un-valid name suffix)를 추가하여, 정상적인 이름 접두사(Valid name prefix)와 비정상적인 이름 접미사(Un-valid name suffix)로 구성된 인터레스트 패킷을 생성하고 전파하게 된다. That is, for example, a malicious attacker 102 attempting an interest flooding attack collects normal name prefixes by monitoring the name data network (NDN). After the normal prefix collection is completed, a malicious attacker adds an abnormal suffix (Un-valid name suffix) to the interest packet consisting of a valid name prefix (Valid name prefix) and an abnormal name suffix (Un-valid name suffix) create and propagate.

관련하여, 인터레스트 플러딩 공격을 검출하는 프로세스는, 소비자와 직접 연결되어 있는 에지 라우터에서 1차적으로 수행하는 것이 보다 효율적이다. 전술한 바와 같이, NDN 패킷 전달 특성상 입력되는 인터레스트 패킷은 동일한 이름 접두사(prefix)에 대해서는 입력 인터페이스 번호를 순차 배열하는 방식으로 수집(aggregation)하여 PIT 테이블에 저장한다. 도 6 및 도 7은, PIT 동작에 따라 PIT 테이블에 저장된 결과를 예를 들어 도시한 것이다. In this regard, it is more efficient to perform the process of detecting an interest flooding attack primarily at the edge router directly connected to the consumer. As described above, due to the nature of NDN packet delivery, the inputted interest packets are aggregated in a manner of sequentially arranging input interface numbers with respect to the same name prefix and stored in the PIT table. 6 and 7 illustrate, for example, results stored in the PIT table according to the PIT operation.

따라서, 에지 라우터(111, 112, 113, 114)에서는 입력되는 인터레스트 패킷의 접두사별로 수량 파악이 가능하므로 인터레스트 플러딩 공격에 대해 좀 더 정확한 판단이 가능하다. 반면, 코어 라우터(121, 122, 123)는 상기 에지 라우터에서 수집(aggregation) 되는 접두사들이 관리되므로, 공격자에 의해 발생되는 악의적인 인터레스트 접두사를 정확하게 판별하기 어렵다. 따라서, 인터레스트 플러딩 공격은 에지 라우터에서 검출하고, 대응 방어 방안을 적용하는 것이 보다 효율적이다.Accordingly, the edge routers 111 , 112 , 113 , and 114 can determine the quantity for each prefix of an input interest packet, so that it is possible to more accurately determine an interest flooding attack. On the other hand, since the core routers 121, 122, and 123 manage the prefixes aggregated by the edge router, it is difficult to accurately determine the malicious interest prefix generated by the attacker. Therefore, it is more efficient to detect an interest flooding attack at the edge router and apply a countermeasure.

도 2는 본 발명에 따른, NDN 라우터에서 인터레스트 플러딩 공격에 대응하는 전체 프로세스를 도시한 것이다.2 is a diagram illustrating an overall process for responding to an interest flooding attack in an NDN router according to the present invention.

즉, 본 발명에 따른, 인터레스트 플러딩 공격에 대응하는 전체 프로세스는, 인터레스트 플러딩 공격을, 검출하는 프로세스(210), 방어하는 프로세서(220) 및 전달하는 프로세스(230)로 구성될 수 있다. 여기서, 상기 인터레스트 플러딩 공격을 검출하는 프로세스(210)는 인터레스트 패킷 및 PIT 테이블 특성을 이용하여 인터레스드 플러딩을 검출하는 과정을 포함한다. 또한, 상기 인터레스트 플러딩 공격을 방어하는 프로세스(220)는 악의적 인터레스트 패킷을 식별하고 드롭 또는 삭제함에 의해, PIT 테이블이 정상 운영되도록 하는 과정을 포함한다. 또한, 상기 인터레스트 플러딩 공격을 전달하는 프로세스(230)는, 인터레스트 플러딩 공격의 전파를 방지하기 위해, 악의적 인터레스트 리스트 (예를 들어, MIPL (Malicious Interest Prefix List) 테이블) 를 인접 NDN 라우터와 공유하는 과정을 포함한다. 이하 상기 각 프로세스(210, 220, 230)에 대해 구체적으로 설명한다.That is, the entire process corresponding to an interest flooding attack according to the present invention may be composed of a process 210 for detecting an interest flooding attack, a process for defending 220 , and a process 230 for delivering. Here, the process 210 for detecting the interest flooding attack includes the process of detecting the interest flooding by using an interest packet and a PIT table characteristic. In addition, the process 220 for preventing the interest flooding attack includes a process of allowing the PIT table to operate normally by identifying and dropping or deleting malicious interest packets. In addition, the process 230 for forwarding the interest flooding attack uses a malicious interest list (eg, a Malicious Interest Prefix List (MIPL) table) with an adjacent NDN router to prevent the propagation of the interest flooding attack. sharing process. Hereinafter, each of the processes 210 , 220 , and 230 will be described in detail.

도 3 내지 도 4는 본 발명에 따른, NDN 라우터에서 인터레스트 플러딩 공격을 검출하는 프로세스를 도시한 것이다. 우선, NDN 라우터는, PIT 테이블의 임계치 초과 여부를 확인한다(310). 여기서, PIT 테이블의 임계치는 다음과 같이 산출할 수 있다. 3 to 4 show a process for detecting an interest flooding attack in an NDN router according to the present invention. First, the NDN router checks whether the threshold of the PIT table is exceeded ( 310 ). Here, the threshold of the PIT table can be calculated as follows.

예를 들어, NDN 라우터에서 최대 처리할 수 있는 인터레스트 패킷은 다음과 같은 수식으로 판단할 수 있다. For example, the maximum number of interest packets that can be processed by the NDN router can be determined by the following equation.

Interest limit = Delay(s) * Bandwidth [Bytes/s] / Data packet size [Bytes]Interest limit = Delay(s) * Bandwidth [Bytes/s] / Data packet size [Bytes]

여기서, Delay는 인터레스트 패킷이 전달되어 데이터 패킷이 수신될 때까지의 시간을 의미하고, Bandwidth는 라우터의 출력 인터페이스 최대 대역폭을 의미하고, Data packet size는 데이터 패킷의 크기를 각각 의미한다. Here, Delay means a time from transmission of an interest packet to reception of a data packet, Bandwidth means the maximum bandwidth of an output interface of a router, and Data packet size means a size of a data packet, respectively.

예를 들어, 최대 1 Tera Bandwidth 이고 Delay가 100msec, Data packet size가 1500 Byte 인 경우에, 최대 인터레스트 패킷은 66,000,000개 처리가능한 것으로 계산될 수 있다. 따라서, 이론상 최대 PIT 테이블을 66,000,000개로 구성하는 것이 가능하다. 단, 일반적으로는 라우터의 포워딩 전략에 의해 PIT 테이블 개수는 이 보다 적게 구성할 수 있다.For example, when the maximum 1 Tera Bandwidth, Delay is 100 msec, and Data packet size is 1500 Byte, it can be calculated that the maximum number of interest packets can be processed as 66,000,000. Therefore, it is theoretically possible to configure the maximum number of PIT tables by 66,000,000. However, in general, the number of PIT tables can be smaller than this according to the forwarding strategy of the router.

따라서, 예를 들어, 1 Tera를 처리하는 라우터에서 입력 인터페이스가 100개로 구성된 경우, 각 입력 인터페이스당 6,600,000 개의 인터레스트 패킷이 처리될 수 있도록 PIT 테이블이 구성된다고 가정한다. 따라서, 이 보다 많은 수의 인터레스트 패킷이 입력되는 경우에는 라우터에서는 정상적인 라우팅이 불가능하게 된다. 이를 바탕으로 라우터에서는 입력 인터페이스 별로 최대 허용 가능한 인터레스트 수량을 산출할 수 있고, 이를 PIT 테이블 '임계치'로 관리하는 것이 가능하게 된다. 따라서, PIT 임계치는 네트워크 운영 방식에 따라, 시스템 설계자가 보다 자유롭게 설정하는 것이 가능하다. 즉, 엄격한 PIT 테이블 관리를 원하는 경우에는, 상기 임계치 값을 평균치보다 낮게 설정하는 것이 가능하다. 반면, 상대적으로 완화된 PIT 테이블 관리를 원하는 경우에는, 상기 임계치 값을 평균보다 높게 설정하는 것도 가능하다. 또한, 상기 임계치는 각 인터페이스별로 할당하는 것이 가능하다. Therefore, for example, if 100 input interfaces are configured in a router that processes 1 Tera, it is assumed that the PIT table is configured so that 6,600,000 interest packets can be processed for each input interface. Therefore, when a larger number of interest packets are input, normal routing becomes impossible in the router. Based on this, the router can calculate the maximum allowable amount of interest for each input interface, and it becomes possible to manage it as a PIT table 'threshold'. Accordingly, the PIT threshold can be set more freely by the system designer according to the network operation method. That is, if strict PIT table management is desired, it is possible to set the threshold value lower than the average value. On the other hand, if relatively relaxed PIT table management is desired, it is also possible to set the threshold value higher than the average. In addition, the threshold can be assigned to each interface.

다시 도 3을 참조하면, 상기 설정된 PIT 테이블 용량이 상기 임계치를 초과하거나 또는 임계치에 근접한 경우에, NDN 라우터는 우선 입력 인터페이스 레이트 리미팅(rate limiting)을 실행하고, PIT 테이블내 악의적 인터레스트 접두사를 조사하는 과정을 수행한다(320). 예를 들어, 상기 NDN 라우터는 각 입력 인터페이스 별로 PIT의 최대 허용 임계치를 넘어설 경우, 우선 인터레스트 플러딩 공격의 전조로 판단하고, 더 이상 PIT 테이블 용량이 오버되지 않도록 해당 입력 인터페이스에 대하여 레이트 리미팅(rate limiting)을 적용할 수 있다. 즉, 예를 들어, 수신되는 인터레스트 패킷의 일정 비율을 강제로 드롭 또는 삭제할 수 있다. 이는 상기 라우터가 최소한 블능 상태로 가지 않기 위한 조치일 수 있다. Referring back to FIG. 3 , when the set PIT table capacity exceeds or approaches the threshold, the NDN router first performs input interface rate limiting, and examines the malicious interest prefix in the PIT table. to perform a process ( 320 ). For example, if the NDN router exceeds the maximum allowable threshold of PIT for each input interface, it first determines that it is a harbinger of an interest flooding attack, and rate-limiting ( rate limiting) can be applied. That is, for example, a certain percentage of received interest packets may be forcibly dropped or deleted. This may be a measure for the router to at least not go into a disabled state.

다음, 상기 IT 테이블내 악의적 인터레스트 접두사를 조사한 후, 인터레스트 플러딩 공격 여부를 판단한다(330). 관련하여, 도 4는 상기 인터레스트 플러딩 공격 여부를 판단하는 상세 과정을 예를 들어 도시한 것이다. Next, after examining the malicious interest prefix in the IT table, it is determined whether there is an interest flooding attack ( 330 ). In relation to this, FIG. 4 shows, for example, a detailed process of determining whether the interest flooding attack is performed.

도 4를 참조하면, PIT내 접두사 중, 'interest life time'이 종료되어 삭제되는 접두사(prefix)를 수집(aggregation) 한다(331). 이 후, 수집된 접두사들 중에서 입력 인터페이스 포트 수가 많은 순으로 인터레스트 정렬한다(332). 단, 상기 정렬 단계(332)는 생략하는 것도 가능하다. 이 후, 정렬된 인터레스트 중 악의적 인터레스트를 판단한다(333). Referring to FIG. 4 , among the prefixes in the PIT, prefixes that are deleted when the 'interest life time' ends are aggregated ( 331 ). Thereafter, the interests are sorted in the order of the largest number of input interface ports among the collected prefixes (332). However, the alignment step 332 may be omitted. Thereafter, a malicious interest is determined among the aligned interests ( 333 ).

상기 PIT 테이블내 악의적 인터레스트 접두사를 조사하는 과정은 예를 들어, 인터레스트 패킷 내에 포함된 'interest life time' 필드를 이용할 수 있다. 즉, 'interest life time'이 종료되어 삭제되는 접두사는 정상적으로 데이터 패킷을 수신하지 못하고 패킷 내에 지정된 시간 동안 PIT 테이블을 점유하므로 이들 접두사를 악의적인 인터레스트 접두사로 판단할 수 있다. 구체적으로는, 이들 접두사 중에서도 동일 이름의 접두사로 입력 인터페이스 수가 많은 접두사를 악의적인 인터레스트 접두사로 판단할 수 있다. The process of examining the malicious interest prefix in the PIT table may use, for example, the 'interest life time' field included in the interest packet. That is, since prefixes that are deleted due to the end of 'interest life time' do not receive data packets normally and occupy the PIT table for a specified time in the packet, these prefixes can be determined as malicious interest prefixes. Specifically, among these prefixes, a prefix with a large number of input interfaces as a prefix with the same name may be determined as a malicious interest prefix.

예를 들어, 도 6 및 도 7 PIT 테이블에서, 다수의 입력 인터페이스(711)를 점유한 PIT 엔트리(710)를 악의적인 인터레스트 접두사로 판단할 수 있다. 단, 이는 하나의 예시에 불과하며, 도 6에 도시된 예가 일반적인 악의적 인터레스트 타입을 의미하는 것은 아니다. For example, in the PIT tables of FIGS. 6 and 7 , a PIT entry 710 occupying a plurality of input interfaces 711 may be determined as a malicious interest prefix. However, this is only an example, and the example shown in FIG. 6 does not mean a general malicious interest type.

특히, 악의적 인터레스트를 판단함에 있어서, 상기 삭제되는 접두사들 중에 입력 인터페이스 포트 번호가 많은 순으로 악의적인 인터레스트 접두사로 판단하는 것이 보다 바람직하다. 이 후, 전술한 레이트 리미팅을 해제하고, 악의적 인터레스트 접두사에 대해서 강제 드롭 또는 삭제하여 PIT 테이블의 임계치를 초과여부를 반복 감시 수행할 수 있다.In particular, in determining the malicious interest, it is more preferable to determine the malicious interest prefix in the order of the number of input interface port numbers among the deleted prefixes. Thereafter, the above-described rate limiting is released, and by forcibly dropping or deleting the malicious interest prefix, it is possible to repeatedly monitor whether the threshold value of the PIT table is exceeded.

도 8은 본 발명에 따른, NDN 라우터에서 검출된 인터레스트 플러딩 공격을 방어하는 프로세스를 도시한 것이다.8 illustrates a process for defending an interest flooding attack detected in an NDN router according to the present invention.

예를 들어, 인터레스트 플러딩 공격이 확인되면(800), NDN 라우터는 PIT내 악의적 인터레스트를 강제 삭제하고, 악의적 인터레스트 리스트를 작성한다(810). For example, when an interest flooding attack is confirmed (800), the NDN router forcibly deletes a malicious interest in the PIT and creates a malicious interest list (810).

또한, 악의적 인터레스트에 포함된 접두사 이름을 근거로 해당 소비자(102, 악의 공격자 또는 선의 소비자 모두 가능)에게 악의적인 인터레스트 플러딩 공격이 있었음을 경고할 수 있다 (820). 이때, 공격자(102)는 실제 악의적인 공격자가 아닌 선의 소비자일 수도 있다. 상기 경고는. 해당 입력 인터페이스 통해 혼잡(congestion) 발생을 알리는 NACK (Negative Acknowledgement)를 선의 소비자에게 전달하여 선의 소비자로 하여금 인터레스트 패킷 생성을 자제하도록 유도할 수 있다. 반면, 경고를 받은 악의 공격자는 상기 NACK를 무시하고, 인터레스트 플러딩 공격을 지속할 가능성이 크다.Also, based on the prefix name included in the malicious interest, it is possible to warn that a malicious interest flooding attack has occurred to the corresponding consumer 102 (either a malicious attacker or a good consumer) ( 820 ). In this case, the attacker 102 may be a good consumer rather than an actual malicious attacker. the above warning. By delivering NACK (Negative Acknowledgment) notifying the occurrence of congestion to the good consumer through the corresponding input interface, the good consumer can be induced to refrain from generating interest packets. On the other hand, there is a high possibility that the malicious attacker who receives the warning ignores the NACK and continues the interest flooding attack.

따라서, 악의적 공격자의 계속적인 인터레스트 플러딩 공격을 효율적으로 방어하기 위해서는, 인접 에지 라우터 간의 정보 공유가 필요하다. 즉, 상기 악의적인 인터레스트 리스트를 인접 라우터로 전파하는 과정을 수행할 수 있다 (830). Therefore, in order to effectively protect against continuous interest flooding attacks of malicious attackers, information sharing between adjacent edge routers is required. That is, the process of propagating the malicious interest list to the neighboring router may be performed ( 830 ).

예를 들어, 에지 라우터는 인접한 (예, 1 hop 거리) 에지 라우터들에게 주기적으로 악의적인 인터레스트 접두사 리스트 (MIPL : Malicious Interest Prefix List, 이하 'MIPL' 이라 한다)를 요청할 수 있다. 또한, 상기 수신한 MIPL 테이블로부터, 인접 라우터에서 인터레스트 플러딩 공격이 발생하였는지, 발새하였다면 어떤 인터레스트 접두사로 발생되었는 지를 알 수 있게 된다. 따라서, 상기 MIPL 테이블을 수신한, NDN 라우터는 자체 PIT 테이블을 조사하여 해당 접두사가 PIT내에 존재하면 선제적으로 강제 드롭 또는 삭제함에 의해 효율적으로 인터레스트 플러딩 공격을 방어할 수 있게 된다.For example, an edge router may periodically request a Malicious Interest Prefix List (MIPL) from adjacent (eg, 1 hop distance) edge routers. In addition, from the received MIPL table, it is possible to know whether an interest flooding attack has occurred in the neighboring router, and if so, with which interest prefix it was generated. Therefore, upon receiving the MIPL table, the NDN router examines its own PIT table and, if the corresponding prefix exists in the PIT, preemptively forcibly drops or deletes it, thereby effectively preventing an interest flooding attack.

관련하여, 도 9A 및 도 9B는 NDN 네트워크에서 인접 라우터 간의 협력을 통한 인터레스트 플러딩 공격 전파 방지를 설명하기 위해 도시한 것이다. 전술한 바와 같이, 예를 들어, 에지 라우터#2(920)에 접속한 악의적 공격자(921)에 의해, PIT 점유율이 비정상적으로 늘어난 경우, 에지 라우터#2(920)는 상기 MIPL 을 작성하고, 작성된 MIPL을 인접 에지 라우터#1 (910) 및 라우터#3(930)에 전파할 수 있다. 도 9B를 참고하면, 상기 MIPL 테이블을 상호 공유한 에지 라우터들 (910, 920, 930, 940)은 해당 리스트에 등록된 악의적 공격자들(예, 911, 921, 931)이 사용하는 인터레스트 리스트를 사전에 강제 드롭 하거나 삭제함에 의해 자체 라우터 PIT 테이블을 보호할 뿐만 아니라 전체 NDN 네트워크를 악의적 공격자로부터 방어할 수 있게 된다.In relation to this, FIGS. 9A and 9B are diagrams for explaining prevention of interest flooding attack propagation through cooperation between neighboring routers in an NDN network. As described above, for example, when the PIT share is abnormally increased by the malicious attacker 921 accessing the edge router #2 920, the edge router #2 920 writes the MIPL and writes the The MIPL may be propagated to the neighboring edge router #1 (910) and router #3 (930). Referring to FIG. 9B , the edge routers 910 , 920 , 930 , and 940 sharing the MIPL table use an interest list used by malicious attackers (eg, 911, 921, 931) registered in the corresponding list. By forcibly dropping or deleting in advance, it is possible not only to protect its own router PIT table, but also to defend the entire NDN network from malicious attackers.

도 10은 본 발명에 따른, 인접 NDN 라우터에서, 인터레스트 플러딩 공격을 방어하는 프로세스를 도시한 것이다. NDN 라우터는 인접 에지 라우터로부터 악의적 인터레스트 리스트(예, MIPL)를 수신한다(1010). 이후 상기 악의적 인터레스트 리스트를 활용하여, 악의적 인터레스트 패킷을 식별하여 자체 라우터 방어에 활용하게 된다(1020). 이때, 상기 입력되는 악의적 인터레스트 패킷을 무시하거나 삭제할 수 있다. 또한, 악의적 인터레스트 접두사를 활용하여 PIT 테이블에 존재하는 악의적 인터레스트 패킷을 강제 드롭하거나 또는 삭제할 수도 있다.10 is a diagram illustrating a process for defending an interest flooding attack in a neighboring NDN router according to the present invention. The NDN router receives a malicious interest list (eg, MIPL) from the neighboring edge router (1010). Thereafter, by using the malicious interest list, the malicious interest packet is identified and used for self-router defense (1020). In this case, the input malicious interest packet may be ignored or deleted. In addition, it is also possible to forcibly drop or delete malicious interest packets existing in the PIT table by using the malicious interest prefix.

도 11은 본 발명에 따른, NDN 라우터(1100)의 구성을 예를 들어 도시한 것이다. NDN 라우터는, 메모리(1110), 프로세서(1120), 송수신부(1130) 및 기타 주변장치(1140)를 포함할 수 있다. 또한, 일 예로, NDN 라우터(1100)는 다른 구성을 더 포함할 수 있으며, 상술한 실시예로 한정되지 않는다. 일 예로, NDN 라우터는 NDN 에지 라우터 또는 코어 라우터일 수 있다. 단, 전술한 바와 같이, 에지 라우터일 때, 인터레스트 플러딩 공격 검출 및 방어에 보다 효율적이다. 11 shows, for example, the configuration of the NDN router 1100 according to the present invention. The NDN router may include a memory 1110 , a processor 1120 , a transceiver 1130 , and other peripheral devices 1140 . In addition, as an example, the NDN router 1100 may further include other components, and is not limited to the above-described embodiment. As an example, the NDN router may be an NDN edge router or a core router. However, as described above, when it is an edge router, it is more effective in detecting and defending against an interest flooding attack.

보다 상세하게는, 상기 NDN 라우터(1100)는 NDN 네트워크 노드의 예시적인 하드웨어 또는 소프트웨어 아키텍처일 수 있다. 이때, 일 예로, 메모리(1110)는 비이동식 메모리 또는 이동식 메모리일 수 있다. 또한, 일 예로, 주변 장치(1240)는 디스플레이, GPS 또는 다른 주변기기들을 포함할 수 있으며, 상술한 실시예로 한정되지 않는다. 또한, 일 예로, 상술한 NDN 라우터 (1100)는 송수신부(1130)와 같이 유무선 통신 회로를 포함하거나, 통신 인터페이스를 포함할 수 있으며, 이에 기초하여 외부 디바이스와 통신을 수행할 수 있다. More specifically, the NDN router 1100 may be an exemplary hardware or software architecture of an NDN network node. In this case, as an example, the memory 1110 may be a non-removable memory or a removable memory. Also, as an example, the peripheral device 1240 may include a display, GPS, or other peripheral devices, and is not limited to the above-described embodiment. In addition, as an example, the above-described NDN router 1100 may include a wired/wireless communication circuit like the transceiver 1130 or may include a communication interface, and may communicate with an external device based on this.

상기 프로세서(1120)는 전술한 도 2에 의한 인터레스트 플러딩 공격을, 검출하는 프로세스(210), 방어하는 프로세스(220), 전달하는 프로세스(230)을 수행할 수 있다. 또한, 상기 프로세서(1120)는 전술한 도 3, 4, 8 및 도 10에 의한, 인터레스트 검출, 방어, 전달하는 상세 과정을 모두 수행하는 것이 가능하다. The processor 1120 may perform a process 210 for detecting, a process 220 for defending, and a process 230 for delivering the interest flooding attack illustrated in FIG. 2 described above. In addition, the processor 1120 is capable of performing all of the detailed processes of detecting, defending, and transferring interest according to FIGS. 3, 4, 8 and 10 described above.

본 개시의 다양한 실시 예는 모든 가능한 조합을 나열한 것이 아니고 본 개시의 대표적인 양상을 설명하기 위한 것이며, 다양한 실시 예에서 설명하는 사항들은 독립적으로 적용되거나 또는 둘 이상의 조합으로 적용될 수도 있다. Various embodiments of the present disclosure do not list all possible combinations but are intended to describe representative aspects of the present disclosure, and matters described in various embodiments may be applied independently or in combination of two or more.

또한, 본 개시의 다양한 실시 예는 하드웨어, 펌웨어(firmware), 소프트웨어, 또는 그들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 범용 프로세서(general processor), 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다. 예를 들어, 상기 프로세서는 컴퓨터로 판독 가능한 프로그래밍 언어로 작성된 소프트웨어로 구현될 수도 있으며, 상기 범용 프로세서를 포함한 다양한 형태를 띨 수도 있다.하나 혹은 그 이상의 결합으로 이루어진 하드웨어로 개시될 수도 있음은 자명하다.In addition, various embodiments of the present disclosure may be implemented by hardware, firmware, software, or a combination thereof. For implementation by hardware, one or more Application Specific Integrated Circuits (ASICs), Digital Signal Processors (DSPs), Digital Signal Processing Devices (DSPDs), Programmable Logic Devices (PLDs), Field Programmable Gate Arrays (FPGAs), general purpose It may be implemented by a processor (general processor), a controller, a microcontroller, a microprocessor, and the like. For example, the processor may be implemented as software written in a computer-readable programming language, and may take various forms including the general-purpose processor. It is apparent that the processor may be disclosed as hardware composed of one or more combinations. .

본 개시의 범위는 다양한 실시 예의 방법에 따른 동작이 장치 또는 컴퓨터 상에서 실행되도록 하는 소프트웨어 또는 머신-실행 가능한 명령들(예를 들어, 운영체제, 애플리케이션, 펌웨어(firmware), 프로그램 등), 및 이러한 소프트웨어 또는 명령 등이 저장되어 장치 또는 컴퓨터 상에서 실행 가능한 비-일시적 컴퓨터-판독가능 매체(non-transitory computer-readable medium)를 포함한다.The scope of the present disclosure includes software or machine-executable instructions (eg, operating system, application, firmware, program, etc.) that cause an operation according to the method of various embodiments to be executed on a device or computer, and such software or and non-transitory computer-readable media in which instructions and the like are stored and executed on a device or computer.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로, 본 발명의 범위는 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above can be various substitutions, modifications and changes within the scope without departing from the technical spirit of the present invention for those of ordinary skill in the art to which the present invention pertains, so the scope of the present invention is not limited to the above. It is not limited by one embodiment and the accompanying drawings.

에지 라우터 : 111, 112, 113, 114, 910, 920, 930, 940
코어 라우터 : 121, 122, 123
악의적 공격자 : 102, 911, 921, 931
프로세서: 1120 Edge routers: 111, 112, 113, 114, 910, 920, 930, 940
Core router: 121, 122, 123
Malicious attacker: 102, 911, 921, 931
Processor: 1120

Claims (1)

인터레스트 플러딩 공격을, 검출 및 방어하는 방법에 있어서,
입력 인터페이스 별로 PIT 테이블 사용 임계치를 설정하고, 상기 임계치 초과 여부를 확인하는 단계,
상기 임계치 초과시, 인터레스트 패킷 사용 기간이 종료되어 삭제되는 접두사(prefix) 로부터 인터레스트 플러딩 공격 여부를 검출하는 단계, 및
상기 악의적 인터레스트 접두사를 가진 패킷을 PIT 테이블에서 삭제하는 단계를 포함하는, 인터레스트 플러딩 공격을, 검출 및 방어하는 방법A method for detecting and preventing an interest flooding attack, the method comprising:
Setting a PIT table use threshold for each input interface, and checking whether the threshold is exceeded;
When the threshold is exceeded, detecting whether an interest flooding attack occurs from a prefix that is deleted due to the expiration of the interest packet usage period; and
A method for detecting and defending against an interest flooding attack, comprising the step of deleting a packet with the malicious interest prefix from a PIT table
KR1020190155666A 2019-11-28 2019-11-28 Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) KR20210066432A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190155666A KR20210066432A (en) 2019-11-28 2019-11-28 Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190155666A KR20210066432A (en) 2019-11-28 2019-11-28 Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)

Publications (1)

Publication Number Publication Date
KR20210066432A true KR20210066432A (en) 2021-06-07

Family

ID=76374351

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190155666A KR20210066432A (en) 2019-11-28 2019-11-28 Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)

Country Status (1)

Country Link
KR (1) KR20210066432A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230116642A1 (en) * 2021-10-08 2023-04-13 Electronics And Telecommunications Research Institute Method and apparatus for countering ddos attacks in ndn network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230116642A1 (en) * 2021-10-08 2023-04-13 Electronics And Telecommunications Research Institute Method and apparatus for countering ddos attacks in ndn network

Similar Documents

Publication Publication Date Title
US20240121265A1 (en) Authoritative Domain Name System (DNS) Server Responding to DNS Requests With IP Addresses Selected from a Larger Pool Of IP Addresses
US10187422B2 (en) Mitigation of computer network attacks
US9838421B2 (en) Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks
US9548961B2 (en) Detecting adverse network conditions for a third-party network site
US20060143709A1 (en) Network intrusion prevention
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
CN108737447B (en) User datagram protocol flow filtering method, device, server and storage medium
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
KR20110089179A (en) Network intrusion protection
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
US10693890B2 (en) Packet relay apparatus
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
CN105991617B (en) Computer-implemented system and method for selecting a secure path using network scoring
CN112583850B (en) Network attack protection method, device and system
Mohammadi et al. SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR20210066432A (en) Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)
KR20030009887A (en) A system and method for intercepting DoS attack
US10616094B2 (en) Redirecting flow control packets
KR20110080971A (en) Method and system for preventing denial of service attacks
KR102651987B1 (en) Method and Apparatus for countering DDoS attacks in NDN Network
US20230146644A1 (en) Security mode enhancement for Connectivity Fault Management (CFM)
CN114157441A (en) Request processing system, method, electronic device and storage medium
KR20140102399A (en) Method and apparatus for detecting abnormal session
CN116032582A (en) Network intrusion prevention method and system for port scanning