JP5250594B2 - ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 - Google Patents
ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 Download PDFInfo
- Publication number
- JP5250594B2 JP5250594B2 JP2010198017A JP2010198017A JP5250594B2 JP 5250594 B2 JP5250594 B2 JP 5250594B2 JP 2010198017 A JP2010198017 A JP 2010198017A JP 2010198017 A JP2010198017 A JP 2010198017A JP 5250594 B2 JP5250594 B2 JP 5250594B2
- Authority
- JP
- Japan
- Prior art keywords
- zombie
- host
- cookie
- server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、悪性ボット(bot)によって感染されて悪性行為を行うゾンビ(zombie)ホストを識別及び遮断するための方法及びこれを行う仮想サーバー、並びにこのような仮想サーバーに基盤して獲得されたゾンビ情報を分析することによって、ゾンビの規模及び分布を把握するための方法及びこれを行うシンクホールサーバーに関する。
最近、インターネットサービスが多様化されるにつれて、インターネット使用率が増加しており、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、悪性コードであるボットに感染された多数のコンピュータ(これをボットネットという)が特定のウェブサーバーへのトラフィックを急増させて、ウェブサーバーが正常機能を行うことができないように妨害するDDoS(Distributed Denial of Service:分散サービス拒否)攻撃は、深刻な問題となっている。
ボットに感染されたコンピュータは、コンピュータユーザの意志に関係なく、ハッカーによって操縦されて悪性行為を行うので、ゾンビホストと呼ばれる。このようなボットの感染を防止し悪性行為を遮断するために、シンクホールサーバーを用いてボットによる悪性行為を遮断する方法が活用されている。
既存のシンクホールサーバーを利用した悪性行為遮断方式は、ゾンビホストがボットネット制御サーバーのドメインに対するIPを得るために、DNS(Domain Name Service)サーバーに問い合わせするとき、シンクホールサーバーのIPを応答するようにして、以後ゾンビホストのトラフィックがシンクホールサーバーに向かうようにすることによって、悪性行為を遮断する方式である。しかし、このような方式は、知られたボットネット制御サーバーのドメインを問い合わせするゾンビホストにのみ限って対応することができるという問題がある。
本発明は、前述のような問題点を解決するためになされたもので、DDoS攻撃の主な対象となるウェブサーバーの前段にゾンビ識別のための仮想サーバーを提供することによって、認証を受けていないホストをゾンビとして識別し、ウェブサーバー接続を源泉遮断することを目的とする。
また、本発明は、仮想サーバーによって識別されたゾンビホスト情報を分析し、ゾンビの規模及び分布を把握することによって、以後の2次攻撃に備えるようにすることを目的とする。
上記目的を達成するために、本発明の一実施例によるゾンビ識別仮想サーバーは、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含む。
本発明の他の実施例によるシンクホールサーバーは、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含む。
本発明のさらに他の実施例によるゾンビ識別方法は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含む。
本発明のさらに他の実施例によるゾンビ情報統合管理方法は、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含む。
本発明による仮想サーバーを活用してウェブサーバーに非正常的に接続するゾンビホストを識別し、DDoS攻撃を誘発するボットネットの規模をリアルタイムに分析することができる。各仮想サーバーでゾンビとして識別されたトラフィックは、DDoSシンクホールサーバーに流入され、総合的な管理が可能である。また、DDoSゾンビとして識別されたホストIPは、再度ウェブサーバーの防火壁設定に登録され、攻撃を迅速に遮断することができる。結果的に、統合的なゾンビ規模算定と分布把握を通じてボットネットの規模と分布に対する情報を習得することができ、以後当該ボットネットのトラフィック流れをモニタリングすることができる官制技術側面でのネットワーク情報を提供する。
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態で変形することができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現することができる。
図1は、本発明の一実施例による仮想サーバー、ウェブサーバー及びシンクホールサーバー間のトラフィック流れを概念的に示す。図示のように、仮想サーバー130は、ウェブサーバー140の前段に配置され、ウェブサーバー140に接続を要請するホストの認証を行い、認証を受けていないホストをゾンビとして識別し、ウェブサーバー140への接続を源泉的に遮断させる機能を果たす。
正常ユーザホスト110は、仮想サーバー130の認証をパスした場合、ウェブサーバー140を接続することができる。仮想サーバー130の認証は、自動接続防止(CAPTCHA:Completely Automated Public Turing test to tell Computers and Human Apart)ページに基づく問い合せを利用して行われ、認証にパスしたユーザホストは、仮想サーバー130から提供されるクッキーを利用してウェブサーバーに接続することができる。仮想サーバー130の認証過程は、残りの図面を参照して詳しく後述する。ユーザホストは、汎用PC、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型のコンピュータのうち1つを使用することができるが、これらに限定されるものではない。
一方、DDoS攻撃を行うゾンビホスト120は、仮想サーバー130の認証過程をパスすることができない。その後、ゾンビホスト120から発生するトラフィックは、仮想サーバー130によってシンクホールサーバー150に再伝達される。図面には、DDoS攻撃を行うゾンビの識別を例示しつつ説明しているが、本発明がDDoS攻撃を行うゾンビの識別にのみ限定されるものではなく、任意の悪性行為を行う悪性ボットに感染されたすべてのゾンビに適用されるということは、当該技術分野の当業者であれば充分に理解することができる。
一方、図面には、正常ユーザ110及びゾンビ120のクッキー検証と自動接続防止のためのページを利用した認証手続がすべて仮想サーバー130で行われるものと図示されているが、認証手続機能は、別途の認証サーバーで行われるように具現することができる。この場合、仮想サーバー130で受信された接続要請メッセージ内にクッキーが存在するか否かを確認する。クッキーが存在しない場合は、前記接続要請メッセージが認証サーバーに再伝達され、認証サーバーによる認証過程が行われる。認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導し、仮想サーバー130でクッキー値の検証が成功すれば、ウェブサーバー140への接続が可能である。
図2は、本発明の一実施例によってゾンビ識別を行う仮想サーバー200の構成を示すブロック図である。図示のように、仮想サーバー200は、クッキー確認モジュール210、認証処理モジュール220、クッキーDB230、クッキー値検証モジュール240、ウェブページ接続誘導モジュール250及びゾンビ識別モジュール260を含む。
クッキー確認モジュール210は、ホストから受信されたウェブサーバー接続要請メッセージにクッキーが存在するか否かを確認する。ウェブサーバー接続要請メッセージ内にクッキーが存在しない場合は、ホストがウェブサーバー接続要請を最初に試みた場合なので、仮想サーバーからまだクッキーを提供されていない場合であるか、それとも、ホストがゾンビである場合に該当する。
認証処理モジュール220は、クッキーを含まないウェブサーバー接続要請メッセージを伝送したホストに自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを伝送する。このような認証過程は、ネットワーク階層L3で行われる。
自動接続防止(CAPTCHA)テストは、ユーザが実際人間なのかコンピュータプログラムなのかを区別するために使用される方式であって、人間は、区別することができるが、コンピュータは、区別しにくく意図的に拗れたコードまたは絵を見せてからその内容を尋ねる方式である。ウェブサイトにDDoSトラフィックを発生させるゾンビは、ユーザの介入なしに自動化されたプログラムによって作動するので、このような自動接続防止(CAPTCHA)テストをパスすることができない。
一実施例において、認証処理モジュール220は、臨界回数分だけ自動接続防止(CAPTCHA)テストページを再伝送することによって、ホストに正解を提出することができる機会を提供し、ホストが臨界回数分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別する。認証処理モジュール220は、ゾンビとして識別されたホストの接続を強制終了させ、前記ホストから受信された接続要請メッセージまたは前記ホストのIPアドレスをシンクホールサーバーに伝達する。
一方、認証処理モジュール220は、自動接続防止(CAPTCHA)テストをパスしたホストに対しては、正常ユーザとして識別し、以後ウェブサーバー接続時に認証キーとして利用されるクッキーをホストに提供する。この際、ホストのIPアドレスにマッチングされるクッキーが提供される。クッキーDB230は、各IPアドレス別にあらかじめ計算されたクッキーリストを格納している。一例として、クッキー値は、前記ホストのIPアドレスのハッシュ値に対応して生成される。
クッキー値検証モジュール240は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記認証処理モジュール220によって前記ホストに正当に提供されたクッキー値であるか否かを検証する。クッキー値の抽出は、HTTPヘッダー開始点の探索過程を経て抽出される。クッキー値検証モジュール240は、抽出されたクッキー値とクッキーDB230に格納されたIP別にクッキー値とを比較することによって、クッキー値が正しい値であるか否かを検証する。
ウェブページ接続誘導モジュール250は、クッキー値の検証に成功する場合、ホストが要請したウェブサーバー140のウェブページを提供することによって、前記ホストが前記ウェブサーバーに接続することができるように誘導し、ウェブサーバーと連結を中継する。
ゾンビ識別モジュール260は、クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断された回数が臨界値を超過する場合、前記ホストをゾンビとして識別する。また、前記ゾンビとして識別されたホストから受信されたメッセージをシンクホールサーバー150に再伝達するか、または前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバー150に伝達する。一実施例において、ネットワーク負荷を減少させるために、一定の期間の間にゾンビとして識別されたホストのIPアドレスを取り合わせた後、取り合わされた情報をシンクホールサーバー150に伝達することができる。
一方、前述の実施例では、認証処理モジュール220が仮想サーバー200内に含まれるものと説明されているが、他の実施例では、認証処理モジュール220によって行われる認証機能が仮想サーバー200とは別途の認証サーバーで行われてもよい。この場合、仮想サーバー200のクッキー確認モジュール210がホストからの接続要請メッセージ内にクッキーが存在するか否かを確認し、クッキーが存在しない場合は、前記接続要請メッセージを認証サーバーに再伝達し、認証サーバーによって認証処理が行われるようにする。認証サーバーは、認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導する。
図3は、本発明の一実施例によるシンクホールサーバーの構成を示すブロック図である。図示のように、シンクホールサーバー300は、重複IP除去モジュール310、ゾンビ規模算定モジュール320、ゾンビ分布把握モジュール330及びゾンビ情報DB340を含む。
前述した図2は、説明の便宜上、1つの仮想サーバーと1つのウェブサーバーを例としてあげて説明したが、本発明による仮想サーバーは、DDoS攻撃の主な対象になる多数のウェブサーバーの前段に設置され、認証に失敗するホストをゾンビとして識別し、ゾンビから流入されたトラフィックまたはゾンビのIPアドレスをシンクホールサーバー300に伝達する。シンクホールサーバー300は、多数の仮想サーバー200に流入されるゾンビに対する情報を統合管理し、ゾンビの全体的な規模及び地理的分布を把握することによって、官制技術側面で以後当該ボットネットのトラフィック流れをモニタリングし、以後の2次攻撃に備えることができるようにする。
具体的に、重複IP除去モジュール310は、多数の仮想サーバーから伝達されるゾンビのIPアドレスを収集し、収集されたIPアドレスのうち重複されるIPアドレスを除去する。代案的に、仮想サーバーからゾンビのIPアドレスでないゾンビから発生したトラフィックがそのまま再伝達される場合は、トラフィックからIPアドレスを抽出するIPアドレス抽出モジュール(図示せず)が追加的に必要とされうる。
ゾンビ規模算定モジュール320は、重複IP除去モジュール310により重複されたIPアドレスが除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する。
ゾンビ分布把握モジュール330は、IPアドレスに内在する地理的情報(例えば、国家、都市及び地域情報)を利用してゾンビの世界的な地理分布を把握する。
ゾンビ情報DB340は、ゾンビ規模算定モジュール320によって算定されたゾンビの総個数及びゾンビ分布把握モジュール330によって把握された地理的分布情報が格納される場所である。ゾンビ情報DB340は、ゾンビ規模算定モジュール320及びゾンビ分布把握モジュール330の実行結果によって周期的に更新される。
図4は、本発明の一実施例によって仮想サーバーで行われるDDoSゾンビ識別過程を示す流れ図である。
まず、ユーザ(ホスト)から最初にウェブページ接続要請メッセージが受信されれば(段階410)、前記接続要請メッセージ内にクッキーの存在有無を確認する(段階420)。
段階420で、クッキーが存在しないものと確認されれば、ユーザに自動接続防止(CAPTCHA)ページを伝送し、問題に対する正解を提出することによって、ユーザ認証を行い(430)、認証されたユーザにクッキーを伝送する(段階440)。
当該クッキー値は、IP別にクッキー値が格納されたクッキーDBから持って来る。ユーザは、以後にウェブサーバーに接続するとき、前記クッキーを接続要請メッセージに含ませることによって、認証キーとして利用する。
一方、正解を提出せず、認証に失敗したユーザには、CAPTCHAページを再伝送することによって、臨界値分だけの正解提出機会を提供し、失敗回数が臨界値を超過したものと判断された場合(段階470)、DDoSゾンビとして識別し、当該ゾンビから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
段階420で、ウェブクッキーが存在するものと確認された場合、クッキー値を抽出し、当該ウェブクッキーの正当性可否をクッキーDBと比較して検証する(段階450)。
段階450で、ウェブクッキーの検証が成功すれば、正常ユーザとして識別し、ウェブサーバーに連結を誘導し、ユーザとウェブサーバーとの通信を中継する(段階460)。
一方、段階450で、ウェブクッキーの検証に失敗した場合、当該ユーザに対するクッキー検証失敗回数が臨界値を超過するか否かを判断し(段階470)、臨界値を超過した場合、当該ユーザホストをDDoSゾンビとして識別し、ウェブサーバーへの接続を遮断し、ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
図5は、本発明の一実施例によって正常ユーザの接続トラフィック制御流れ図を示す。図示のように、ウェブサーバーに接続を最初に試みる正常ユーザホストからクッキーを伴わない接続要請メッセージが受信される(500)。
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ホストに自動接続防止(CAPTCHA)ページを伝送する(501)。この際、ユーザの接続は終了する(502)。
ホストから自動接続防止ページに対する正解が提出されれば(510)、前記ホストのIPに対応するクッキーを生成してホストに伝送すると同時に、ウェブサーバーの当該ウェブページ切換を誘導する(511)。
その後、ユーザは、ウェブサーバー接続のためにクッキーを伴った接続要請メッセージを伝送し(520)、クッキーを伴った接続要請を受信した仮想サーバーは、クッキー値を検証し、クッキー値が正当なものと検証された場合、ウェブサーバーと連結を中継する(521)。仮想サーバーは、ウェブサーバーの応答を受信し(522)、ユーザに伝達する(523)。
代案的に、クッキーを伴った接続要請メッセージがウェブサーバーによって直接受信されることができ、この場合、ウェブサーバーでクッキー値を検証し、直接ホストに応答することができる。
図6は、本発明の一実施例によってゾンビとして識別されるホストの接続トラフィック制御流れ図を示す。ホストからクッキーを伴わない接続要請を受信する(600)。
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ユーザに自動接続防止(CAPTCHA)ページを伝送する(601)。この際、ユーザの接続は終了する(602)。
ホストからCAPTCHA誤答が受信されれば(610)、接続を強制終了する(611)。ホストからアブノーマルクッキーを伴った接続要請が受信されれば(620)、クッキー検証を行い、クッキーが非正常であることを確認し、接続を強制終了する(621)。
各接続が強制終了する場合が臨界値を超過すれば、当該ホストをDDoSゾンビとして識別し、前記ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(630)。
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求の範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
110 正常ユーザホスト
120 ゾンビホスト
130 仮想サーバー
140 ウェブサーバー
150 シンクホールサーバー
210 クッキー確認モジュール
220 認証処理モジュール
230 クッキーDB
240 クッキー値検証モジュール
250 ウェブページ接続誘導モジュール
260 ゾンビ識別モジュール
120 ゾンビホスト
130 仮想サーバー
140 ウェブサーバー
150 シンクホールサーバー
210 クッキー確認モジュール
220 認証処理モジュール
230 クッキーDB
240 クッキー値検証モジュール
250 ウェブページ接続誘導モジュール
260 ゾンビ識別モジュール
Claims (13)
- ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、
前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、
前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、
前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含むことを特徴とするゾンビ識別仮想サーバー。 - 前記ホストのIPアドレスに対応するクッキー値を格納するクッキー値DBをさらに含むことを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
- 前記認証処理モジュールは、前記ホストが前記自動接続防止テストに対する正解を提出しない場合、臨界値分だけ正解提出機会を提供することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
- 前記認証処理モジュールは、前記ホストが前記臨界値分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別し、前記ホストの接続を遮断し、前記ホストの接続要請メッセージまたはIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項3に記載のゾンビ識別仮想サーバー。
- 前記クッキー値検証モジュールは、前記抽出されたクッキー値と前記クッキーDBに格納された前記ホストのIPアドレスに対応するクッキー値とを比較することによって、前記クッキー値を検証することを特徴とする請求項2に記載のゾンビ識別仮想サーバー。
- 前記ゾンビ識別モジュールは、前記ゾンビとして識別されたホストから受信されたメッセージまたは前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
- ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する請求項1乃至6の何れか一項に記載のゾンビ識別仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、
前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含むことを特徴とするシンクホールサーバー。 - 前記仮想サーバーからゾンビトラフィックが再伝達された場合、前記ゾンビトラフィックから前記ゾンビのIPアドレスを抽出するIPアドレス抽出モジュールをさらに含むことを特徴とする請求項7に記載のシンクホールサーバー。
- ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、
前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、
前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、
前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、
前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含むことを特徴とするゾンビ識別方法。 - 前記ホストから前記自動接続防止ページに対する正解が受信されない場合、前記ホストに前記自動接続防止ページを再伝送することによって、臨界値分だけ正解提出機会を提供し、前記ホストの正解失敗回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
- 前記ゾンビとして識別されたホストから受信された接続要請メッセージ、または前記ホストのIPアドレスをシンクホールサーバーに再伝達する段階をさらに含むことを特徴とする請求項9または10に記載のゾンビ識別方法。
- 前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように前記ウェブサーバーのウェブページを提供する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
- ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する請求項1乃至6の何れか一項に記載のゾンビ識別仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、
前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含むことを特徴とするゾンビ情報統合管理方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2010-0039332 | 2010-04-28 | ||
| KR1020100039332A KR101109669B1 (ko) | 2010-04-28 | 2010-04-28 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011233128A JP2011233128A (ja) | 2011-11-17 |
| JP5250594B2 true JP5250594B2 (ja) | 2013-07-31 |
Family
ID=44359430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010198017A Active JP5250594B2 (ja) | 2010-04-28 | 2010-09-03 | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8706866B2 (ja) |
| EP (1) | EP2383954A3 (ja) |
| JP (1) | JP5250594B2 (ja) |
| KR (1) | KR101109669B1 (ja) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
| IL210169A0 (en) | 2010-12-22 | 2011-03-31 | Yehuda Binder | System and method for routing-based internet security |
| US20120180115A1 (en) * | 2011-01-07 | 2012-07-12 | John Maitland | Method and system for verifying a user for an online service |
| WO2012107879A2 (en) * | 2011-02-10 | 2012-08-16 | Site Black Box Ltd. | DISTINGUISH VALID USERS FROM BOTS, OCRs AND THIRD PARTY SOLVERS WHEN PRESENTING CAPTCHA |
| CN103546330A (zh) * | 2012-07-11 | 2014-01-29 | 阿里巴巴集团控股有限公司 | 一种浏览器兼容性检测方法、装置及系统 |
| KR101369727B1 (ko) * | 2012-07-11 | 2014-03-06 | 한국전자통신연구원 | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 |
| US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| CN103001942B (zh) * | 2012-09-14 | 2016-03-30 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
| DE102012108866A1 (de) | 2012-09-20 | 2014-03-20 | Endress + Hauser Flowtec Ag | Verfahren zum sicheren Bedienen eines Feldgerätes |
| KR101963174B1 (ko) * | 2012-10-08 | 2019-03-28 | 에스케이플래닛 주식회사 | 보안기능을 갖는 오류 관리 시스템 및 그 제어방법 |
| US10348760B2 (en) | 2012-10-22 | 2019-07-09 | Verisign, Inc. | Integrated user challenge presentation for DDoS mitigation service |
| US9100432B2 (en) * | 2012-12-21 | 2015-08-04 | Verizon Patent And Licensing Inc. | Cloud-based distributed denial of service mitigation |
| US9197711B1 (en) * | 2013-02-22 | 2015-11-24 | Symantec Corporation | Systems and methods for detecting the presence of web tracking |
| US9497213B2 (en) * | 2013-03-15 | 2016-11-15 | Fireeye, Inc. | System and method to manage sinkholes |
| KR101468114B1 (ko) * | 2013-04-25 | 2014-12-05 | 한국인터넷진흥원 | 싱크홀 서버에 기반한 악용 경유지 추적 시스템 및 방법 |
| EP2854411A1 (en) | 2013-09-25 | 2015-04-01 | Samsung Electronics Co., Ltd | Display apparatus and control method thereof |
| US10692102B2 (en) | 2013-12-31 | 2020-06-23 | Viesoft, Inc. | Price mining and product re-pricing data processing systems and methods |
| US9552487B2 (en) * | 2015-01-14 | 2017-01-24 | Viesoft, Inc. | Price mining prevention systems and related methods |
| US10389752B2 (en) | 2015-01-14 | 2019-08-20 | Viesoft, Inc. | Price mining prevention systems and related methods |
| EP2916512B1 (en) * | 2014-03-07 | 2016-08-24 | Mitsubishi Electric R&D Centre Europe B.V. | Method for classifying a TCP connection carrying HTTP traffic as a trusted or an untrusted TCP connection |
| US10097583B1 (en) | 2014-03-28 | 2018-10-09 | Amazon Technologies, Inc. | Non-blocking automated agent detection |
| US9424414B1 (en) | 2014-03-28 | 2016-08-23 | Amazon Technologies, Inc. | Inactive non-blocking automated agent detection |
| US9361446B1 (en) * | 2014-03-28 | 2016-06-07 | Amazon Technologies, Inc. | Token based automated agent detection |
| WO2015174968A1 (en) * | 2014-05-13 | 2015-11-19 | Hewlett-Packard Development Company, L.P. | Network access control at controller |
| US10748175B2 (en) | 2015-01-14 | 2020-08-18 | Viesoft, Inc. | Price mining prevention and dynamic online marketing campaign adjustment data processing systems and methods |
| CN105306436B (zh) * | 2015-09-16 | 2016-08-24 | 广东睿江云计算股份有限公司 | 一种异常流量检测方法 |
| US10673719B2 (en) | 2016-02-25 | 2020-06-02 | Imperva, Inc. | Techniques for botnet detection and member identification |
| US10536480B2 (en) * | 2017-05-02 | 2020-01-14 | Shenzhen University | Method and device for simulating and detecting DDoS attacks in software defined networking |
| CN108810872A (zh) | 2017-05-03 | 2018-11-13 | 阿里巴巴集团控股有限公司 | 控制数据传输的方法、装置和系统 |
| CN109246160B (zh) * | 2017-06-15 | 2022-01-21 | 阿里巴巴集团控股有限公司 | 访问互联网应用的方法、装置、系统及设备 |
| CN109977221B (zh) * | 2018-09-04 | 2023-09-19 | 中国平安人寿保险股份有限公司 | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
| KR102351122B1 (ko) | 2020-04-27 | 2022-01-13 | 주식회사 웰컨 | 매크로 이상 접속 탐지 장치 및 방법 |
| US20220239673A1 (en) * | 2021-01-27 | 2022-07-28 | Zscaler, Inc. | System and method for differentiating between human and non-human access to computing resources |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120853A1 (en) * | 2001-02-27 | 2002-08-29 | Networks Associates Technology, Inc. | Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests |
| US7339908B2 (en) * | 2001-07-31 | 2008-03-04 | Arraycomm, Llc. | System and related methods to facilitate delivery of enhanced data services in a mobile wireless communications environment |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| WO2005045632A2 (en) * | 2003-10-31 | 2005-05-19 | Dipsie, Inc. | Utilizing cookies by a search engine robot for document retrieval |
| JP2005149239A (ja) * | 2003-11-17 | 2005-06-09 | Nec Corp | ユーザ認証システム |
| JP4371905B2 (ja) | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
| KR100663546B1 (ko) * | 2005-07-08 | 2007-01-02 | 주식회사 케이티 | 악성 봇 대응 방법 및 그 시스템 |
| JP2006107524A (ja) * | 2005-11-11 | 2006-04-20 | Yafoo Japan Corp | Wwwサーバー、及び、該wwwサーバーと通信回線を介して接続された利用者端末、を有するシステム |
| KR100602920B1 (ko) * | 2005-12-15 | 2006-07-24 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
| US20070156592A1 (en) * | 2005-12-22 | 2007-07-05 | Reality Enhancement Pty Ltd | Secure authentication method and system |
| JP4664257B2 (ja) * | 2006-09-06 | 2011-04-06 | 富士通株式会社 | 攻撃検出システム及び攻撃検出方法 |
| US8849921B2 (en) | 2007-06-28 | 2014-09-30 | Symantec Corporation | Method and apparatus for creating predictive filters for messages |
| US8132255B2 (en) | 2008-06-16 | 2012-03-06 | Intel Corporation | Generating a challenge response image including a recognizable image |
| US8914510B2 (en) * | 2008-11-17 | 2014-12-16 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for enhancing internet security for network subscribers |
| KR100900491B1 (ko) | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
| KR101045330B1 (ko) * | 2008-12-24 | 2011-06-30 | 한국인터넷진흥원 | 네트워크 기반의 http 봇넷 탐지 방법 |
| KR101010302B1 (ko) | 2008-12-24 | 2011-01-25 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
| US20100192201A1 (en) * | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
| KR101048991B1 (ko) * | 2009-02-27 | 2011-07-12 | (주)다우기술 | 봇넷 행동 패턴 분석 시스템 및 방법 |
| DE112010002445T9 (de) * | 2009-06-10 | 2013-02-07 | Site Black Box Ltd. | Identifizierung von Bots |
| US9225531B2 (en) * | 2009-06-18 | 2015-12-29 | Visa International Service Association | Automated test to tell computers and humans apart |
| US9215212B2 (en) * | 2009-06-22 | 2015-12-15 | Citrix Systems, Inc. | Systems and methods for providing a visualizer for rules of an application firewall |
| US8312073B2 (en) * | 2009-08-04 | 2012-11-13 | Palo Alto Research Center Incorporated | CAPTCHA-free throttling |
| US20110208714A1 (en) * | 2010-02-19 | 2011-08-25 | c/o Microsoft Corporation | Large scale search bot detection |
| US8370940B2 (en) * | 2010-04-01 | 2013-02-05 | Cloudflare, Inc. | Methods and apparatuses for providing internet-based proxy services |
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
-
2010
- 2010-04-28 KR KR1020100039332A patent/KR101109669B1/ko active IP Right Grant
- 2010-09-03 JP JP2010198017A patent/JP5250594B2/ja active Active
-
2011
- 2011-01-06 US US12/985,728 patent/US8706866B2/en not_active Expired - Fee Related
- 2011-01-21 EP EP11151747.0A patent/EP2383954A3/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US8706866B2 (en) | 2014-04-22 |
| US20110270969A1 (en) | 2011-11-03 |
| KR20110119915A (ko) | 2011-11-03 |
| JP2011233128A (ja) | 2011-11-17 |
| EP2383954A2 (en) | 2011-11-02 |
| KR101109669B1 (ko) | 2012-02-08 |
| EP2383954A3 (en) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5250594B2 (ja) | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| Baitha et al. | Session hijacking and prevention technique | |
| EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
| EP2078260B1 (en) | Detecting stolen authentication cookie attacks | |
| US8752208B2 (en) | Detecting web browser based attacks using browser digest compute tests launched from a remote source | |
| JP5534373B2 (ja) | 評判システムにおける調整されただまし行為を防ぐためのセキュリティトークン内のメタデータの使用 | |
| US20050166049A1 (en) | Upper-level protocol authentication | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| KR101576632B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| US9680950B1 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| Al‐Hammouri et al. | ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload | |
| Sahri et al. | Protecting DNS services from IP spoofing: SDN collaborative authentication approach | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| Narula et al. | Novel Defending and Prevention Technique for Man‐in‐the‐Middle Attacks in Cyber‐Physical Networks | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| US20240291857A1 (en) | Discriminating Defense Against DDoS Attacks | |
| KR20150143394A (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| US20110314527A1 (en) | Internet protocol-based filtering device and method, and legitimate user identifying device and method | |
| CN118432903A (zh) | 一种基于双向源地址验证的近源DDoS防御方法 | |
| Topu et al. | Detecting man in the middle attack implementing timebased verification method | |
| CN117061140A (zh) | 一种渗透防御方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121003 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130227 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130319 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130415 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5250594 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160419 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |