KR100608210B1 - 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터 - Google Patents

에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터 Download PDF

Info

Publication number
KR100608210B1
KR100608210B1 KR1020040012788A KR20040012788A KR100608210B1 KR 100608210 B1 KR100608210 B1 KR 100608210B1 KR 1020040012788 A KR1020040012788 A KR 1020040012788A KR 20040012788 A KR20040012788 A KR 20040012788A KR 100608210 B1 KR100608210 B1 KR 100608210B1
Authority
KR
South Korea
Prior art keywords
packet
router
marking
svm
packets
Prior art date
Application number
KR1020040012788A
Other languages
English (en)
Other versions
KR20040027705A (ko
Inventor
이형우
Original Assignee
이형우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이형우 filed Critical 이형우
Priority to KR1020040012788A priority Critical patent/KR100608210B1/ko
Publication of KR20040027705A publication Critical patent/KR20040027705A/ko
Application granted granted Critical
Publication of KR100608210B1 publication Critical patent/KR100608210B1/ko

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16LPIPES; JOINTS OR FITTINGS FOR PIPES; SUPPORTS FOR PIPES, CABLES OR PROTECTIVE TUBING; MEANS FOR THERMAL INSULATION IN GENERAL
    • F16L3/00Supports for pipes, cables or protective tubing, e.g. hangers, holders, clamps, cleats, clips, brackets
    • F16L3/08Supports for pipes, cables or protective tubing, e.g. hangers, holders, clamps, cleats, clips, brackets substantially surrounding the pipe, cable or protective tubing
    • F16L3/10Supports for pipes, cables or protective tubing, e.g. hangers, holders, clamps, cleats, clips, brackets substantially surrounding the pipe, cable or protective tubing divided, i.e. with two or more members engaging the pipe, cable or protective tubing
    • F16L3/1075Supports for pipes, cables or protective tubing, e.g. hangers, holders, clamps, cleats, clips, brackets substantially surrounding the pipe, cable or protective tubing divided, i.e. with two or more members engaging the pipe, cable or protective tubing with two members, the two members being joined with a hinge on one side and fastened together on the other side
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16BDEVICES FOR FASTENING OR SECURING CONSTRUCTIONAL ELEMENTS OR MACHINE PARTS TOGETHER, e.g. NAILS, BOLTS, CIRCLIPS, CLAMPS, CLIPS OR WEDGES; JOINTS OR JOINTING
    • F16B2/00Friction-grip releasable fastenings
    • F16B2/20Clips, i.e. with gripping action effected solely by the inherent resistance to deformation of the material of the fastening
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02GINSTALLATION OF ELECTRIC CABLES OR LINES, OR OF COMBINED OPTICAL AND ELECTRIC CABLES OR LINES
    • H02G3/00Installations of electric cables or lines or protective tubing therefor in or on buildings, equivalent structures or vehicles
    • H02G3/30Installations of cables or lines on walls, floors or ceilings

Abstract

본 발명은 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법 및 라우터에 관한 것으로, 해킹 공격자는 공격 근원지 IP 주소를 스푸핑하여 대량의 트래픽을 발생시켜 디도스(DDoS) 공격을 수행하게 되는데. 이에 대한 대응 기술로 제시된 IP 역추적 기술은 DDoS 공격의 근원지를 판별하고 공격 패킷이 네트워크상에서 전달된 경로를 재구성하는 방법이다. 기존의 역추적 기법에서는 별도의 역추적 메시지를 생성하여 역추적 과정을 수행하지만 네트워크 부하가 증가한다는 단점이 있고, DDoS 공격에 대한 판별 과정 없이 임의의 패킷에 대해 역추적 정보를 생성하기 때문에 결과적으로 DDoS 공격에 능동적으로 대응하지 못하고 있다. 이에 본 발명에서는 푸쉬백(pushback) 기능을 적용하여 라우터에서 DDoS 트래픽에 대한 판별 기능을 제공하고 DDoS 공격 패킷에 대해 개선된 마킹 기법을 제시하고, 실험 결과 네트워크 부하를 줄이면서도 역추적 성능을 향상시킬 수 있다.
에스브이엠, 푸쉬백, 서비스 거부 공격, TCP/IP, 마킹

Description

에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법 및 라우터{SVM Based Advanced Packet Marking Mechanism for Traceback AND Router}
도 1 은 종래 기술에 따른 라우터의 공격자 차단방법을 나타낸 네트워크 구성도이다.
도 2 는 종래 기술에 따른 지 라우터의 로그 정보를 이용한 공격자 역추적방법에 관한 구성도이다.
도 3 은 종래 PPM에서의 IP 헤더 형태를 나타낸 도면이다.
도 4 는 종래 PPM에서의 기법 구조를 나타낸 도면이다.
도 5 는 종래 노드 샘플링 기반 PPM 기법을 나타낸 도면이다.
도 6 은 종래 에지 샘플링 기반 PPM 기법을 나타낸 도면이다.
도 7 은 종래 알려진 에스브이엠(SVM)을 이용한 분류를 나타낸 도면이다.
도 8 은 본 발명에 따른 에스브이엠(SVM) 학습을 통한 탐지방안 1을 나타낸 도면이다.
도 9 는 본 발명에 따른 에스브이엠(SVM) 학습을 통한 탐지 방안 2를 나타낸 도면이다.
도 10 은 본 발명에 따른 라우터 기반 DDoS 근원지 역추적 흐름도를 나타낸 도면이다.
도 11 은 본 발명에 따른 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법에서의 패킷 마킹 필드를 나타낸 도면이다.
도 12 는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법에서의 패킷 마킹 구조를 나타낸 도면이다.
도 13 은 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법에서의 라우터 및 공격 경로를 나타낸 도면이다.
도 14 는 본 발명에 따른 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법의 ns-2 기반 실험환경 구축 네트워크를 나타낸 도면이다.
도 15 는 본 발명에 따른 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법에서의 ns-2 기반 DDoS 시뮬레이션을 나타낸 도면이다.
도 16 은 종래 PPM 방식에서의 트래픽을 나타낸 도면이다.
도 17 은 본 발명에 따른 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법에서의 트래픽을 나타낸 도면이다.
* 도면의 주요 부분에 대한 부호의 설명*
1001: 전처리 모듈 1002: SVM 모듈
1004: 마킹 모듈
본 발명은 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법 및 라우터에 관한 것으로, 에스브이엠(SVM)을 기반으로 하고 기존의 DDoS 공격에 대한 제어 기능을 제공하는 푸쉬백(pushback) 기법을 역추적 기능과 접목하여 스푸핑된 DDoS 패킷에 대한 IP 근원지를 역추적하는 에스브이엠(SVM) 기반 서비스 거부 공격 패킷 마킹 기법을 적용한 근원지 역추적 방법 및 라우터에 관한 것이다.
네트워크로 연결된 공격자와 피해자간에 전송되는 패킷을 추적하거나 차단하는 여러 가지 기술이 개시되고 있다.
현재 TCP SYN flooding[Computer Emergency Response Team, "TCP SYN flooding and IP Spoofing attackts," CERT Advisory CA-1996-21, Sept, 1996.] 공격과 같은 서비스 거부 공격(Dos: Denial of service)[L. Garber. "Denial-of-service attacks trip the Internet". Computer, pages 12, Apr. 2000.]을 통해 TCP/IP 체계의 취약점이 노출되어 있기 때문에 네트워크 및 인터넷에서의 해킹 공격에 대응할 수 있는 방안에 대해 연구가 진행되고 있다. 대응 기술로서 우선 방화벽(firewall) 시스템은 접근 제어 기술을 적용한 것으로 해킹 공격에 수동적인 특징을 보이고 있으며, 침입탐지 시스템(IDS:Intrusion Detection System)을 통한 대응 기술은 피해 시스템에 도착한 이상 트래픽에 대한 검출 및 차단 기능만을 제공하는 수동적 해킹 대응 기술이다.
따라서, 현재까지 제시된 기술은 DoS 해킹 공격 근원지에 대한 확인, 추적 등과 같이 능동적인 측면에서의 해킹 대응 기능을 제공하고 있지 못하고 있다. 그 이유는 대부분의 해킹 공격이 근원지 IP 주소를 스푸핑(IP Spoofing)하는 방식으로 수행되므로 이에 대한 능동적 대응 기술이 개발되어야 한다. Traceroute 기술을 이용하여 근원지 주소를 판별하는 과정을 적용한다 할지라도 분산 서비스 거부 공격(DDos: Distributed Denial of service) 패킷내에 포함되어 있는 주소가 스푸핑되어 있기 때문에 실제 주소에 대한 판별 및 추적 기능을 제공하지 못하고 있다.
DDoS 공격과 같은 해킹 공격에 대한 대응하는 방법은 크게 백신, 침입탐지 및 침입감내 기술 등과 같은 수동적인(passive) 대응 방법과 공격 근원지 역추적(Traceback) 기법과 같은 능동적인(active) 대응 방법으로 나눌 수 있다. 능동적인 대응 방법은 다시 해킹 공격 근원지를 검출하는 방법에 따라 전향적(proactive) 역추적 방식과 대응적(reactive) 역추적 기법으로 나눌 수 있다.
종래 라우터의 공격자 차단방법에 관한 기술을 도 1에 도시하였다(대한민국 특허공개번호 2003-42318호, 2003년 5월 28일 공개). 이에 도시한 바와 같이, 도 1을 참조하여 글로벌한 네트워크 환경에서 공격자가 피해자를 공격하는 흐름을 살펴보면, 공격자(10)가 불법적인 트래픽을 발생하여 자신의 도메인 보더 라우터(border router)(20)를 거쳐 ISP의 보더 라우터(30)을 통과하여 피해자가 속한 도메인의 보더 라우터(40)에서 마지막으로 피해자(50)에게 전달되게 된다. 즉, 상기 종래 기술은 ISP에서 거치는 첫 보더라우터인(30)에서 불법적인 트래픽을 감지하고 이를 차단하는 기술에 관한 것이다. 상기 라우터의 패킷 전송 구조에서, 패킷의 판별기능은 존재하지만 패킷에 대한 마킹 기법을 제공하지 않고 있다. 즉, 해킹 공격이 발생하였을 경우 이에 대한 대응 기술이 수동적으로 되는 문제점이 있었다.
DDoS 해킹 공격이 발생하였을 경우 우선 네트워크상에서 라우터 등에 의해서 악성 정보라고 판단되는 패킷을 제거(dropping malicious packets)하는 방식은 ingress filtering[P. Ferguson and D. Senie. "Network ingress Filtering: Defeating denial of service attacks which employ IP source address spoofing", May 2000. RFC 2827.] 기법 등과 같이 라우터에 의한 제거 및 필터링(filtering) 기법 등에 해당하며 DDoS 공격에 수동적인 특성을 보인다. 따라서 효율적인 해결 방법으로는 DDoS 공격이 발생하였을 경우 피해 시스템에서는 스푸핑된 DDoS 공격 근원지에 대한 실제 주소를 역추적하는 방법이다.
역추적 방식은 네트워크상에 패킷이 전송되는 과정에서 사전에 라우터는 역추적 경로 정보를 생성하여 패킷에 삽입하거나 패킷의 목적지 IP 주소로 전달하여 주기적으로 관리하는 방식이다. 만일 피해 시스템에서 해킹 공격이 발생하면 이미 생성, 수집된 역추적 경로 정보를 이용하여 스푸핑된 해킹 공격 근원지를 판별하는 기법이다. 패킷에 대한 확률적 마킹(PPM : probabilistic packet marking)[K. Park and H. Lee. On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack. In Proc. IEEE INFOCOM '01, pages 338 {347, 2001., D. X. Song, A. Perrig, "Advanced and Authenticated Marking Scheme for IP Traceback," Proc, Infocom, vol. 2, pp. 878-886, 2001.] 기법과 ICMP 메시지를 변형한 iTrace (ICMP traceback)[Steve Bellovin, Tom Taylor, "ICMP Traceback Messages", RFC 2026, Internet Engineering Task Force, February 2003.] 기법 등이 이에 해당한다.
또한, 최근 제시된 pushback[S. Floyd, S. Bellovin, J. Ioannidis, K. Kompella, R. Mahajan, V. Paxson, "Pushback Message for Controlling Aggregates in the Network," Internet Draft,2001] 기법은 DDoS 공격이 발생하였을 경우 패킷에 대한 판단 기능을 제공하며 패킷 전달 경로를 따라서 패킷에 대한 전송 제어 기능을 제공한다. 이 기법은 DDoS 공격 트래픽에 대한 제어 기능을 제공하지만 DDoS 해킹 공격 근원지를 역추적하는 기능은 제공하지 못하고 다만 패킷 전달 경로를 따라 패킷에 대한 전송 제어 기능을 제공하여 전체적인 네트워크 성능을 높여주고 있다.
한편, 도 2는 종래 에지 라우터의 로그 정보를 이용한 공격자 역추적방법에 관한 기술이다(대한민국 특허공개번호 2003-39732호 2003년 5월 22일 공개). 이에 도시한 바와 같이, 도 1의 네트워크 구성도에 따르면, 에지 라우터(102, 103)에 의해 공격자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되고 에지 라우터(105, 106)에 의해 침입자 로컬 인터넷과 인터넷 서비스 사업자 망이 연결되도록 구성된다. 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 공격자를 추적하기 위한 관리서버(109, 110, 111)가 각각 존재한다. 또한, 상기 침입자 로컬 인터넷, 인터넷 서비스 사업자 망 및 공격자 로컬 인터넷에는 각각 다 수의 호스트 및 특정 침입탐지 시스템(Intrusion Detection System : IDS)이 구성되어 있다. 동 도면에 있어서, 외부의 해커는 자신의 공격 호스트(101)에서 IP 주소를 속여 자신의 에지 라우터(102)와 ISP 도메인(Internet Service Provider domain)(인터넷 서비스 사업자 망)의 에지 라우터(103, 105)를 경유한 후, 침입 도메인(침입자 로컬 인터넷)의 에지 라우터(106)를 통해 침입 호스트(107)를 공격한다. 이 과정에서 각 도메인의 에지 라우터(103, 106)는 외부 도메인으로부터 접근하는 패킷에 대한 로그정보를 기록한다. 침입탐지 시스템(108)은 상기 공격자의 침입을 탐지할 경우 침입정보를 관리서버(109)에게 보고한다. 관리서버(109)는 침입탐지 시스템(108)으로부터 침입정보를 전달받아 에지 라우터(106)의 로그정보를 바탕으로 해커가 위치한 공격자 도메인의 공격 호스트(101)를 추적한다. 그러나 이러한 로그정보를 이용한 역추적 방법은 많은 침입탐지 시스템과 관리서버등이 필요하므로 시스템이 커지는 문제점이 있고, 로그정보에 의존하는 의존성이 커서 빠른 추적이 불가능하여 침입에 효과적으로 대응하지 못하는 문제점이 있었다. 즉 라우터에서 패킷 정보에 대한 로그 정보를 관리하는 기법은 라우터에 대해 많은 메모리를 필요로 하며 일부 역추적 기능을 제공하지만 전반적으로는 낮은 보안 구조와 DDoS 취약점을 보이는 문제점이 있었다.
기존의 DDoS 해킹 공격 대응 기술
스푸핑된 DDoS 패킷에 대한 역추적을 위해서는 TCP 계층을 중심으로한 서비스 중심의 역추적 방식 보다는 패킷 자체의 네트워크 전송 과정과 관련된 IP 계층 에서의 역추적 기능을 제공하기 위한 연구가 활발히 진행되고 있다. IP 계층을 중심으로 현재까지 제시된 역추적 기술을 분류하면 해킹 대응 방식에 따라 크게 전향적(proactive) 역추적 기술과 대응적(reactive) 역추적 기술로 나눌 수 있으며, 좀더 세부 기술로 나누어 본다면 라우터 중심의 역추적 기술, 패킷 정보에 대한 관리 시스템 구현 기술, 특수 네트워크 중심 기술 및 관리 기술 중심 역추적 방식으로 분류할 수 있다.
전향적 역추적 기술은 네트워크상에 패킷이 전송되는 과정에서 사전에 역추적 경로 정보를 생성하여 패킷에 삽입하거나 목적지로 전달하여 주기적으로 관리하면서 만일 해킹 공격이 발생하면 이미 생성, 수집된 정보를 이용하여 해킹 공격 근원지를 판별하는 기법이다. 패킷에 대한 확률적 마킹(PPM : probabilistic packet marking) 기법과 전통적인 ICMP 메시지를 변형하여 역추적 기능을 제공하는 iTrace (ICMP traceback) 기법으로 나눌 수 있다.
PPM 기법
스푸핑된 패킷에 대해 원래의 패킷 전송 경로를 파악하기 위해서는 IP 계층을 중심으로 네트워크 상에 전송되는 패킷에 대해 네트워크를 구성하는 주요 요소인 라우터에서 IP 패킷에 라우터 자신을 거쳐서 전달되었다는 정보를 삽입하는 방식이다. 즉, 인터넷을 통해 전달되는 패킷에 대해 라우터는 IP 계층을 중심으로 패킷 헤더 정보를 확인하여 라우팅하게 되는데 이때, IP 헤더에서 변형 가능한 필드에 대해서 라우터에 해당하는 주소 정보를 마킹하여 다음 라우터로 전달하는 기법 이다. 도 3에서와 같이 IP 헤더에서 16비트 ID 필드에 라우터 자신의 IP 정보를 삽입하게 된다.
도 3에서, 라우터에 입력되는 IP 데이터그램은, 소스 IP 주소(Source Ip address), 목적 IP 주소(Destination IP address), 프로토콜(protocol) 및 서비스 타입(service type)이 포함된다. 이 밖에 버전(version), 헤더 길이(header length), 총 길이(total length), 식별자(identification), 플랙(flag), 프래그먼테이션 오프셋(fragmentation offset), 타임투리브(time to live), 헤더 체크섬(header checksum) 및 옵션(option)등의 항목이 있다.
각 라우터에서 삽입된 정보는 다시 다음 라우터로 전달되고 최종적으로 목적지 피해 시스템에 전달된다. 도 4에서와 같이 각 라우터에서 마킹된 정보가 전달되면 추후에 해킹 공격이 발생하였을 경우 해킹 공격에 해당하는 패킷에 기록된 라우터 정보를 재구성(reconstruction)하여 실제적인 패킷의 전달 경로를 재구성하게 된다.
각 라우터에서 전달된 정보를 마킹하는 과정에서 모든 패킷에 마킹하게 되면 전체 네트워크에 대한 지연 현상이 발생하기 때문에 일반적으로 라우터에서는 확률 ρ 로 패킷을 샘플링하여 마킹하게 된다. 이때 라우터에서 마킹하는 정보의 구성에 따라 노드 샘플링(node sampling), 에지 샘플링(edge sampling) 및 개선된 패킷 마킹 기법 등이 제시되었다. 도 5와 같이 노드 샘플링 기법은 패킷이 전송된 경로 정보를 확률 ρ 로 샘플링하여 목적지에 전송하는 과정을 보인다.
도 6은 에지 샘플링 방법으로 라우터에서 자신의 IP 주소 정보만을 패킷 헤 더에 마킹하는 것이 아니라, 패킷이 전달된 앞단의 라우터 IP 주소까지도 같이 마킹하여 전달하는 방식이다. 이와 같은 에지 샘플링 기법은 해킹 공격 경로를 재구성하는 과정이 노드 샘플링 기법보다 뛰어나다. 변형된 PPM 기법으로는 라우터에서 마킹하는 패킷에 대한 인증 기능을 제공하여 마킹 과정에서 보안 기능을 제공하는 기법 등이 있다.
기존 PPM 기술의 문제점
PPM 기법인 경우 기존의 패킷 정보에 대해 확률 ρ 로 샘플링하여 메시지 헤더에 라우터 자신의 IP 주소 정보를 마킹하고 이를 패킷의 목적지로 전송하는 방식이다. 즉, 라우터에서는 확률 ρ 로 패킷을 선정하여 전송하는데 DDoS 공격에 대한 근원지 경로를 재구성하기 위해서는 상당히 많은 수의 마킹된 패킷이 필요하다. 만일 특정 라우터에서의 에지 정보 또는 노드 정보 등이 마킹되지 않고 전달된다면 나머지 마킹된 정보를 가지고는 완벽한 공격 경로를 재구성할 수 없다는 문제점도 발견할 수 있으며, 최소한 하나의 노드 또는 에지 정보를 마킹하는데 알고리즘에서는 최소한 8개의 패킷을 선정하여 마킹해야 하기 때문에 전체적인 효율 면에서도 비효율적이다.
또한 기존의 PPM 기법인 경우 패킷에 대해 일정 확률 ρ 를 만족할 경우 샘플링하여 전송하는 기법을 사용하는 과정에서 해킹 트래픽에 대해서 마킹하지 않고 보내는 경우도 발생한다. 이 경우 일반적인 패킷에 대해 역추적 경로 정보를 마킹하여 보내기 때문에 DDoS와 같은 해킹 공격이 발생하였을 경우 스푸핑된 공격 근원 지를 재구성할 수 없다는 단점이 있다. 따라서 라우터에서 PPM 방식을 수행하는 과정에서 고정적인 형태의 확률 ρ 에 의존하여 샘플링하지 않고 전체 네트워크의 트래픽 특성에 따라 능동적으로 확률 ρ 를 조정할 수 있다면 기존 기법에 비해 네트워크 부하, 메모리 및 역추적 기능 등에서 보다 향상된 기법을 제공할 수 있다.
기존의 해쉬 기반 역추적 기법인 경우 패킷에 대한 해쉬 값을 일정한 주기로 관리 전송하는 방식이지만 네트워크가 규모가 방대한 경우 전체 성능에 많은 문제점이 발생하게 된다. 또한 IDS 시스템 등을 통해 해킹 등이 발견된 경우 역추적 과정을 수행하는 방식이므로 우선 네트워크 자체에 대한 공격이 수행된다면 본 기법 역시 작동하지 않는다는 문제점이 발생한다. 결국 라우터를 통해 패킷에 해쉬 함수를 통한 무결성/인증 기능을 적용하고 트래픽의 특성에 따라 DDoS 트래픽에 대해서만 선정하여 역추적 정보를 마킹하는 새로운 방식이 제시되어야 한다.
다시말하면, 기존의 노드 및 에지 샘플링 등에 의한 패킷 마킹 기법과 iTrace 기법은 관리 시스템 및 네트워크 부하는 적은 반면 피해 시스템에서 역추적 경로 재구성시 많은 부하를 필요로 하며, DDoS 공격에는 취약한 특성을 보이며, 전체적으로 현재까지 제시된 IP 역추적 기법을 검토하였을 경우 대부분 기존 라우터에 대한 변형 및 추가적인 네트워크/시스템 부하가 발생하는 문제점이 있다.
이하에서는 에스브이엠(SVM) 모듈에 대한 이론으로 에스브이엠(SVM)에 대하여 설명하기로 한다.
에스브이엠(SVM) 연구
전통적인 기법들이 경험적인 위험을 최소화하는데 기초한 반면, 에스브이엠(SVM(Support Vector Machine))은 구조적인 위험을 최소화하는 것에 기초하고 있다. 여기서 경험적 위험의 최소화는 훈련 집단의 수행도를 최적화하려는 노력을 말하고, 구조적 위험의 최소화는 고정되어 있지만 알려지지 않은 확률분포를 갖는 데이터에 대해 잘못 분류하는 확률을 최소화하는 것을 말한다[A.C. Snoeren, C. Partridge, L.A. Sanchez, W.T. Strayer, C.E. Jones, F. Tchakountio, and S.T. Kent, "Hash-Based IP Traceback", BBN Technical Memorandum No. 1284, February 7, 2001.].
두 클래스에 속하는 학습 벡터의 집합을 선형적으로 분리 가능하도록 하는 문제를 생각해 보면, 가중치 벡터
Figure 112004007821792-pat00001
와 바이어스 b로 구성되는
Figure 112004007821792-pat00002
의 초월면(hyperplane)을 가지도록 훈련 데이터 셋(training data set)
Figure 112004007821792-pat00003
를 학습시키는 것을 나타내며, 여기서
Figure 112004007821792-pat00004
는 입력 패턴이고,
Figure 112004007821792-pat00005
는 목표값이 된다. 초월면
Figure 112004007821792-pat00006
는 식 (4)의 조건을 만족하게 된다.
Figure 112004007821792-pat00007
식 (4)에서 등호의 조건을 만족하는 입력패턴들 중에서 결정 표면(decision surface)에 가장 가까이 위치한 패턴들을 support vector라고 하며, 개념적으로 이 벡터들은 초월면에 가장 가까이 위치하여 분류하기가 어려운 벡터들이다. 따라서 분류를 위한 학습은 제약조건 식 (5)을 만족하는 최적의 초월면을 찾는 것이다. 이것은 제약조건을 가지는 최적화 문제로 훈련 데이터 셋
Figure 112004007821792-pat00008
이 주어질 때 최적의 초월면을 위한 최적의 파라미터
Figure 112004007821792-pat00009
와 b 를 찾는 Quadratic 문제이다.
Figure 112004007821792-pat00010
여기서 최적은 최대 마진(margin)을 가지는 것이며, 최대 마진 초월면은 최적으로 두 개의 클래스를 분리할 수 있는 초월면이다. 결국 최적의 선형 분리 경계면을
Figure 112004007821792-pat00011
로 놓으면, support vector와
Figure 112004007821792-pat00012
의 거리를
Figure 112004007821792-pat00013
로 나타낼 수 있으며, 입력패턴을 최적으로 분류하는 초월면은 식 (6)과 같이 비용함수
Figure 112004007821792-pat00014
를 최소화한다.
Figure 112004007821792-pat00015
식 (6)의 비용함수는
Figure 112004007821792-pat00016
의 블록함수이며, 제약조건 식 (5)는
Figure 112004007821792-pat00017
에 선형임을 확인할 수 있다. 지금까지 서술된 분류를 위한 SVM을 정리하면, 학습 패턴이 주어질 때 제약조건 식 (5)를 만족하는 가중치 벡터
Figure 112004007821792-pat00018
와 바이어스 b 를 찾는 최적화 문제로 생각할 수 있으며, 이때
Figure 112004007821792-pat00019
을 최소화하여 분리 간격을 최대화하도록 하여 최적 분리면을 찾아낸다. 이 최적화 문제를 해결하기 위하여 라그랑제(Lagrange) 계수법을 이용하면 식 (7)과 같은 라그랑제 함수
Figure 112004007821792-pat00020
을 얻을 수 있다.
Figure 112004007821792-pat00021
식에서
Figure 112004007821792-pat00022
는 라그랑제 계수들이며, 최적화 문제에 대한 해는
Figure 112004007821792-pat00023
와 b 에 대해서는 최소화되며,
Figure 112004007821792-pat00024
에 대해서는 최대화되어야 한다. 따라서
Figure 112004007821792-pat00025
와 b 에 대한
Figure 112004007821792-pat00026
의 최소는 그 각각에 대한 미분으로 얻어질 수 있다.
Figure 112004007821792-pat00027
식 (8)에서
Figure 112004007821792-pat00028
를 구하기 위해 기본 문제에 대한 라그랑제 함수
Figure 112004007821792-pat00029
를 이원문제(Dual problem)의 목적함수 Q(
Figure 112004007821792-pat00030
)로 표현하면 식 (9)와 같이 나타낸다.
Figure 112004007821792-pat00031
식 (9)의 목적함수는 일반적으로 Quadratic Programming 문제의 형태로 학습패턴의 항으로만 구성되며, 이때
Figure 112004007821792-pat00032
로 표현된다. 그러므로, 분류문제를 식 (9)의 이원문제로 생각하면. 이는 학습패턴
Figure 112004007821792-pat00033
이 주어질 때, 제약조건
Figure 112004007821792-pat00034
Figure 112004007821792-pat00035
을 만족하는 목적함수 식 (9)를 최대화하는 라그랑제 계수
Figure 112004007821792-pat00036
를 찾는 것이다. 그러므로, Quadratic Programming 알고리즘에 따라 제약조건 식 (5)에서 목적함수 식 (9)를 최대로 하는 최적의 라그랑제 계수
Figure 112004007821792-pat00037
를 찾으면 최적의 가중치 벡터
Figure 112004007821792-pat00038
는 식 (8)에 의하여 계산될 수 있고, 최적의 바이어스 b 는 support vector로부터 계산될 수 있다. 가중치 벡터와 바이어스에 대한 계산식은 식 (10)과 같이 나타낸다.
Figure 112004007821792-pat00039
여기서
Figure 112004007821792-pat00040
Figure 112004007821792-pat00041
는 식 (11)의 조건을 만족하는 support vector들이다.
Figure 112004007821792-pat00042
이때, SVM에 의한 분류식을 정리하면 식 (12)가 선형의 결정면을 가짐을 알 수 있다.
Figure 112004007821792-pat00043
여기서
Figure 112004007821792-pat00044
Figure 112004007821792-pat00045
이 양수이면 +1이고, 그렇지 않으면 -1을 갖는 함수이다. 하지만 선형으로 분류 가능하지 않는 문제에 대해서도 분류 가능하게 하는 일반화된 초월면을 구성하기 위해서 음수가 아닌 스칼라 변수
Figure 112004007821792-pat00046
을 갖게 되는데,
Figure 112004007821792-pat00047
는 잘못된 분류와 관계된 오차의 척도로 슬랙변수(slack variables)이다. 따라서 분류 불가능한 경우를 위한 슬랙변수
Figure 112004007821792-pat00048
를 포함하는 제약조건은 식 (5)를 식 (13)과 같이 변경함으로서 구할 수 있다[Tatsuya Baba, Shigeyuki Matsuda, "Tracing Network Attacks to Their Sources," IEEE Internet Computing, pp. 20-26, March, 2002.]
Figure 112004007821792-pat00049
제약조건을 만족하는 가중치 벡터
Figure 112004007821792-pat00050
와 슬랙변수
Figure 112004007821792-pat00051
를 포함하는 비용함수
Figure 112004007821792-pat00052
는 식 (14)와 같이 나타낼 수 있다.
Figure 112004007821792-pat00053
이때 C는 학습 오차와 일반화 사이에 상관관계를 제어하는 양의 값을 갖는 파라미터이다. 본 논문에서 제안된 방법을 테스트하기 위하여 사용한 파라미터 C값으로 다양한 변수를 테스트함으로서 최적의 학습오차를 갖는 값을 설정하였으며, SVM의 커널 함수로는 dot와 polynomial 그리고 RBF 커널 함수를 사용하였다.
Support Vector Machine 개요
패턴 인식을 위한 기존의 전통적인 기법들은 경험적인 위험을 최소화하는데 기초한 반면, 에스브이엠(SVM)은 구조적인 위험을 최소화하는 것에 기초하고 있다. 여기서 경험적 위험의 최소화는 훈련 집단의 수행도를 최적화하려는 노력을 말하고, 구조적 위험의 최소화는 고정되어 있지만 알려지지 않은 확률분포를 갖는 데이터에 대해 잘못 분류하는 확률을 최소화하는 것을 말한다.
에스브이엠(SVM)의 장점은 우선 훈련 집단에 포함된 정보를 수집하는 능력이 있으며, 상대적으로 낮은 공간의 결정 평면 집단을 사용한다는 것이다. 패턴 집단이 선형이고 분리 가능한 경우에 있어 에스브이엠(SVM)은 입력패턴들을 교사학습방법을 통하여, +1과 -1의 두 클래스로 패턴을 분류한다. 훈련 집단 S는 두 클래스로 분류되면, 각 클래스에 포함된 훈련 패턴들을 분리하는 초월면(Hyperplane)이 결정된다. 여기서 초월면이란 각 집단을 분리하는 절단 평면을 일컫는다. 이때, 초월면을 결정하는 입력 패턴들을 Support Vector라 한다.
패턴 집단이 분리 가능한 경우에 초월면으로부터 Support Vector까지의 거리(마진)를 최대화하며, 모든 Support Vector는 초월면으로부터 같은 최소 거리에 위치해 있다. 그러나 실제로 패턴집단이 선형으로 분리되는 경우는 거의 드물고, 따라서 두 클래스는 선형적으로 분리가 불가능한 경우가 많을 것이다. 이 때의 초월면과 Support Vector는 제약식을 갖는 최적 문제의 해로부터 얻어진다.
최적해는 마진(각 클래스의 Support Vector사이의 거리)을 가장 크게 하는 것과 에러의 수를 최소화는 것 사이의 trade-off를 가지고 있으며, 이는 정규화 된 파라미터에 의해 조정된다.
분류를 위한 Support Vector Machine
에스브이엠(SVM)을 통한 분류를 위한 기본 개념을 알아본다. 만약 훈련 데이터
Figure 112006026359443-pat00054
가 주어졌을 때,
Figure 112006026359443-pat00055
는 두 클래스 중 하나에 속하며,
Figure 112006026359443-pat00056
는 해당 클래스를 표시하는 라벨의 역할을 한다. SVM은 각 클래스를 구분하는 최적의 분리 경계면을 구하기 위해 분리 경계면과 가장 분리 경계면에 인접한 점과의 거리를 최대화한다. 최적의 선형 분리 경계면을
Figure 112006026359443-pat00057
로 놓으면, Support Vector와
Figure 112006026359443-pat00058
의 거리를
Figure 112006026359443-pat00059
로 나타낼 수 있다. SVM은
Figure 112006026359443-pat00060
를 최소화하여 분리 간격을 최대화하도록 하여 최적 분리면을 찾아낸다. 이 문제는 다음과 같은 블록 최적화 문제가 된다.
Figure 112004007821792-pat00061
이 문제를 라그랑제(Legendra) 배수로써 쌍대화(Dual Problem) 시키면 아래의 Quadratic 문제가 된다.
Figure 112004007821792-pat00062
선형 분리경계면으로 완전히 구분할 수 없는 서로 겹쳐져 있는 패턴의 경우에는 slack variable(
Figure 112004007821792-pat00063
)을 사용한다. 식 (15)로부터 아래의 모델과 같이 표현된다.
Figure 112004007821792-pat00064
위 식 (17)의
Figure 112004007821792-pat00065
에서
Figure 112004007821792-pat00066
이면 모든 패턴을 완전하게 분리할 수 있다는 것을 의미한다. 그러나 대부분의 패턴은 선형적으로 분리가 가능하지 않다. 따라서 비선형 패턴을 분리하기 위하여 비선형 패턴의 입력 공간을 선형 패턴의 특징 공간으로 전환한다.
Figure 112006026359443-pat00183
즉,
Figure 112006026359443-pat00068
에서 커널 함수
Figure 112006026359443-pat00069
를 정의하면 비선형 패턴을 분리하기 위한 모델은 식(15), (16), (17)으로부터 아래와 같이 표현된다.
여기서 C는 식 (17)에서의 Penalty parameter이다. 위의 모델에서 라그랑제 배수 i를 구하면 특징 공간에서 가장 평평한 함수인 아래의 (19)를 구할 수 있다.
Figure 112004007821792-pat00070
Support Vector Machine(SVM) 은 1995년 Vapnik에 의하여 개발되고 제안된 학습 알고리즘이다. 이것은 원래 이진분류(binary classification) 를 위하여 개발되었으며 현재에는 생물정보학 (bioinformatics), 문자인식, 필기인식, 얼굴 및 물체인식 등 다양한 분야에서 성공적으로 적용되고 있다.
이진분류 문제는 수집된 training data를 이용해서 두 클래스를 분류하는 target function을 추정해 내는 과정이라고 볼 수 있다. 그렇게 추정된 분류기는 훈련과정에서 이용되지 않은 새로운 data sample에 대해서도 올바른 결과값을 낼 수 있는 일반화 성능 (generalization performance) 이 뛰어나야 한다.
에스브이엠(SVM)은 도 7에서 보는 것과 같이 특징 공간(feature space)에서 데이터를 나눌 수 있는 초평면 (possible hyper plane) 중에서 특정한 초평면(optimal hyperplane) 을 선택함으로써 과적합 문제(overfitting)를 방지한다. SVM은 초평면으로부터 가장 가까운 훈련 포인트까지의 최소거리를 최대화시키는 초평면 (hyperplane), 즉, maximum margin hyperplane을 찾게 된다. Support vector라고 불리는 두 class들 사이의 결정경계(decision boundary)에 가까이 놓여있는 훈련 예(sample) 만이 non-zero weight를 갖게 된다. Support vector를 포함하는 초평면 사이의 거리인 margin값이 클수록 분류성능은 좋아진다. 이렇게 찾아낸 초평면을 기준으로 테스트를 시행하여 분류 결과를 얻게 된다. 즉 그림과 같이 이진분류의 경우 에스브이엠(SVM)은 다음과 같은 방정식으로 설명이 되어진다.
Figure 112004007821792-pat00071
도 7의 예는 선형으로 분리 가능한 (linearly separable) 데이터 집합의 경우로 아주 쉽게 분류를 할 수 있지만 대부분의 분류 문제의 경우 non-linear한 분포를 취하고 있으므로 일반화(generalization)에 심각한 문제를 겪게 된다. 이 문제의 해결을 위하여 slack variable 과 penalty function의 개념을 도입한 soft margin classifier를 통해서 어느 정도 non-linearly separable classification 문제를 해결할 수 있다. C는 non-separable data에 대한 페널티로 작용하는 변수로서 모델 복잡성과 trade off 관계에 있다. 즉, C가 커지면 학습된 machine은 optimal hyperplane을 구성하는 solution을 제공하는 경향이 있으며, C가 0으로 수렴하는 값일 경우 margin maximization term을 optimize하려는 효과를 제공하게 되며, 그 결과 misclassification error를 minimize하는 term에는 그다지 큰 중점을 두지 않음으로 인해 margin width가 아주 큰 에스브이엠(SVM) 분류기를 생성해 내게 된다.
일반적으로는 앞에서 이용한 linear boundary가 입력 벡터를 분류하기에 부적합한 경우가 대부분이다. 이 같은 경우 에스브이엠(SVM)은 입력 벡터 x를 보다 high dimensional feature space내의 벡터로 변형한 후 linear boundary를 찾는 문제로 변형하여 에스브이엠(SVM)을 구성하게 된다. 입력 공간에서 특징 공간으로의 변환은 일반적으로 non-linear mapping 을 이용하게 되며 이 같은 경우 Cover's Theorem에 의해서 몇 가지 조건이 만족할 때 입력 공간에서 non-linearly separable problem이 특징 공간에서는 linear problem으로 변환될 확률이 높음이 알려져 있다. 이러한 high dimensional feature space로의 변환에 이용되는 non-linear mapping function은 Mercer's theorem을 만족하는 함수들의 경우는 일반적으로 가능하다고 알려져 있으며, 그러한 함수들로는 degree q인 Polynomials, Radial Basis Functions, Two-layer perceptron 등이 있다. 에스브이엠(SVM)에서는 이러한 것을 지원하기 위하여 linear function, polynomial function, radial based function의 커널이 지원된다. 이러한 커널 중 데이터에 가장 적절한 kernel과 그에 따른 parameter의 선택은 에스브이엠(SVM)의 이용한 분류의 성능에 아주 중요한 영향을 미치게 된다.
DDoS 공격탐지를 위한 에스브이엠(SVM) 적용시 장단점
기존의 기법에서는 주어진 훈련 데이터에 의하여 학습을 하고 학습에 이용되지 않은 새로운 데이터가 입력으로 들어올 때 올바른 답을 도출해내는 것이 기계학습(learning machine) 방식이다. 실험적 데이터 집합(empirical data set)에 기반한 기계학습은 유한한 데이터의 한계로 인하여 추정하고자 하는 목표함수(objective function)의 분포를 효과적으로 반영하지 못할 수 있다는 문제점이 있다.
따라서, 기계학습 중에서 대표적인 신경망(neural network) 기법은 일반화 과정에서 많은 문제점을 드러내고 있으며, 시스템의 성능에 중대한 영향을 끼치는 여러 매개변수를 설정하는 과정이 분석적인 과정을 거치지 않고 사용자의 휴리스틱(heuristic)에 의존하는 방법을 이용하고 있으며, 경우에 따라서는 문제 환경에 따라 다른 해결책을 제시하기 때문에 문제점이 발생한다.
본 발명의 목적은 상술한 바와 같은 종래 기술에서의 문제점을 개선하기 위해 제안된 것으로서, TCP/IP 헤더 필드에 존재하는 은닉채널을 에스브이엠(SVM)을 통해 탐지하고 패킷에 마킹하는 방법을 제공하기 위한 것이다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 실시예에 따르면,다수의 상대 네트워크와 다수의 라우터로 선택적으로 각각 연결되는 통신시스템에 있어서, 라우터에 들어온 패킷에 대해 트래픽의 대역폭을 검사하는 제 1 단계; 일정 이상으로 도착하게 되면 공격 형태에 해당하는 혼잡 시그너쳐인지, 즉 단시간에 많은 양의 패킷이 발생되었는지를 판단하는 제 2 단계; 단시간에 많은 양의 패킷이 발생된 것으로 판단되는 경우, 에스브이엠(SVM) 모듈을 통해 에스브이엠(SVM) 기반 트래픽 패턴을 분석하는 제 3 단계; 에스브이엠(SVM) 모듈에 의해 공격 패킷인가를 판단하여, 공격 패킷인 경우에는 해당 패킷에 대한 퓌쉬백(pushback) 필드를 마킹하는 제 4 단계; 패킷에 마킹하는 제 5 단계; 마킹된 패킷을 라우터의 출력 큐로 하여금 앞단위 라우터에게 전송하는 제 6 단계;로 이루어지고, 상기 제 2 단계에서 만일 대역폭 조건을 만족하지 않을 경우에는 즉 많은 양의 패킷이 발생되지 않은 경우 ㅍ푸쉬백(hback) 필드가 마킹되었는지 판단하는 제 7 단계; 상기 제 7 단계에서 푸시백 필드가 마킹된 경우에는 상기 제 5 단계의 패킷 마킹단계를 수행하고, 푸쉬백 필드가 마킹되지 않은 경우에는 제 6 단계를 수행하되, 상기 마킹 단계는 라우터에 입력된 패킷의 IP 데이터 그램은 패킷 TOS 필드 중에서 현재 사용하고 있지 않은 2비트에 대해서 PF(pushback flag)와 CF(congestion flag)를 정의하여 마킹하고, 특히 CF인 경우 RFC2474에서도 네트워크상에서 혼잡 현상이 발생하였을 경우 1로 설정하여 마킹하는 것을 특징으로 하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법이 제공된다.
삭제
본 발명의 다른 측면에 따르면, 다수의 상대 네트워크와 다수의 라우터로 선택적으로 각각 연결되는 통신시스템에 있어서, 입력포트를 통해 입력되는 개별 TCP/IP 패킷을 전처리 하는 전처리 모듈; 전처리 된 데이터에 대한 에스브이엠(SVM) 학습을 수행함과 아울러 입력되는 패킷에 대해 트래픽의 대역폭을 검사하고, 일정 이상으로 도착하게 되면 공격 형태에 해당하는 혼잡 시그너쳐인지, 즉 단시간에 많은 양의 패킷이 발생되었는지를 판단하여, 단시간에 많은 양의 패킷이 발생된 것으로 판단되는 경우 에스브이엠(SVM) 기반 트래픽 패턴을 분석하고, 공격 패킷인가를 판단하는 에스브이엠(SVM) 모듈; 및 상기 에스브이엠(SVM) 모듈에 의해 공격 패킷으로 판단된 경우에는 해당 패킷에 대한 푸쉬백(pushback) 필드를 마킹하고 마킹된 패킷을 라우터의 출력 큐로 하여금 앞단위 라우터에게 전송하는 마킹 모듈로 구성되고, 상기 마킹 모듈은 많은 양의 패킷이 발생되지 않은 경우 ㅍ푸푸쉬백(pushback) 필드가 마킹되었는지 판단하여 푸시백 필드가 마킹된 경우에는 패킷을 마킹하고, 푸쉬백 필드가 마킹되지 않은 경우에는 해당 패킷을 일반 패킷으로 간주하여 전송하고, 상기 마킹은 라우터에 입력된 패킷의 IP 데이터 그램은 패킷 TOS 필드 중에서 현재 사용하고 있지 않은 2비트에 대해서 PF(pushback flag)와 CF(congestion flag)를 정의하여 마킹하고, 특히 CF인 경우 RFC2474에서도 네트워크상에서 혼잡 현상이 발생하였을 경우 1로 설정하여 마킹하는 것을 특징으로하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 라우터가 제공된다.
바람직하게는, 상기 전처리 모듈은 하나의 패킷만을 사용하는 것을 특징으로 한다.
삭제
또한 바람직하게는, 상기 전처리 모듈은 패킷과의 연관 관계를 고려한 탐지 방안으로 여러 개의 TCP/IP 패킷을 연속하여 하나씩 슬라이딩하여 패킷간 타임 딜레이를 전처리 하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.
본 발명에서는 TCP/IP 헤더 필드에 존재하는 은닉채널, 혹은 공격 패킷을 탐지하기 위해서 에스브이엠(SVM)을 학습시키는 두 가지 방안을 제안한다. 먼저 일반적인 학습 방안으로 임의의 라우터(R)에서 입력포트를 통해 입력되는 개별 TCP/IP 패킷을 전처리 모듈(1001)을 통해 전처리하고 그렇게 전처리 된 데이터에 대한 에스브이엠(SVM) 학습을 수행함과 아울러 처리하는 에스브이엠(SVM) 모듈(1002)이 도 8과 같이 도시되었다(SVM 학습을 통한 은닉 채널 혹은 공격 패킷 탐지방안 1). 이 방법은 단일 패킷을 에스브이엠(SVM)의 입력 데이터로서 간주하는 것이다.
미설명 부호 1004는 본 발명에서의 하나의 특징인 마킹 모듈을 나타낸 것이다. 마킹 모듈(1004)의 기능을 이후 설명한다.
하지만, 이러한 방법은 패킷간의 관련성을 고려하지 않고 단일 패킷만의 특성을 사용하여 학습되므로 탐지의 결과가 전처리과정에서 사용하는 feature에만 밀접한 영향을 받을 것으로 예상된다. 따라서 이렇게 하나의 패킷만을 사용하는 것이 아닌, 패킷사이의 연관 관계를 고려한 탐지 방안으로 여러 개의 TCP/IP 패킷을 연속하여 하나씩 슬라이딩하여 패킷간 타임 딜레이를 전처리 모듈(1001)에서 전처리 한 후 에스브이엠(SVM) 학습을 수행함과 아울러 처리하는 에스브이엠(SVM) 모듈(1002)이 도 9에 도시된다.
이러한 패킷 슬라이딩 기법은 은닉채널에 숨겨진 데이터들과 이러한 데이터를 전달하는 패킷의 고유 특성이 일반 패킷과는 다르다는 것에 기인한다. 즉, 은닉채널 속에 은닉되어 전달되는 데이터들은 데이터 상호간의 연관성을 가지고 있다고 가정할 수 있으며 따라서 연속한 몇 개의 패킷들을 하나의 학습 입력 단위로 고려한다면 은닉채널 탐지에 보다 높은 성능을 가지리라 예상된다.
이러한 패킷간 시간 연관성을 고려한 에스브이엠(SVM) 학습 방안이 도 9와 같이 제안(SVM 학습을 통한 탐지방안 2)될 수 있다.
미설명 부호 1004는 본 발명에서의 하나의 특징인 마킹 모듈을 나타낸 것이다. 마킹 모듈(1004)의 기능을 이후 설명한다.
DDoS 공격에 대한 패킷 마킹 기반 역추적
푸쉬백(Puchback)을 적용한 역추적 구조
네트워크는 노드 집합 V 와 에지 집합 E 로 구성된 그래프 G=(V,E) 로 정의할 수 있다. 다시 네트워크 노드 집합 V 는 종단 시스템과 내부 노드에 해당하는 라우터로 나눌 수 있다. 에지는 V 집합 내에 있는 노드들에 대한 물리적인 연결에 해당한다. S SUBSET V 를 공격자라고 정의하고 t IN V/S 를 피해 시스템이 라고 정의한다.
만일
Figure 112004007821792-pat00072
일 경우 단일 공격자에 의한 해킹 공격을 의미하고 공격 경로 정보
Figure 112004007821792-pat00073
인 경우 공격 시스템 s 에서 피해 시스템 t 로 d 개의 라우터를 통해 전달된 공격 경로를 의미한다. 이때 전달된 패킷의 수를 N 이라고 하자. 만일 패킷내에 라우터에 대한 링크 정보
Figure 112004007821792-pat00074
를 마킹할 수 있는 필드가 있다면 이를 확률 ρ 샘플링하여 전달하게 된다. 패킷에 대해서 라우터에서는 일정한 확률로 패킷을 선택하여 에지에 대한 정보와 라우터에 대한 거리 정보를 패킷내에 포함시켜 전달할 수 있다.
기존의 기법에서는 임의의 확률 ρ로 패킷을 선택하여 여기에 라우터에 대한 링크 정보를 마킹하여 전달하게 된다. 만일 네트워크 상에서 노드
Figure 112004007821792-pat00075
에서 마킹하였을 경우 다른 라우터에 의해서는 재마킹되지 않고 전달될 확률
Figure 112004007821792-pat00076
을 계산하면 다음과 같다.
Figure 112004007821792-pat00077
따라서 확률
Figure 112004007821792-pat00078
는 공격자에 해당하는 패킷 정보가 다른 라우터에 의해서는 재마킹되지 않고 피해 시스템에 전달될 확률을 의미한다. 결국 피해 시스템에서
Figure 112004007821792-pat00079
값을 높이기 위해서는 ρ값을 크게 해야 하는데, 이는 라우터에서 빈번하게 마킹 과정을 수행해야 한다는 것을 의미하므로 기존의 기법에서는 결과적으로 네트워크 성능을 저하시키게 된다.
본 발명에서 제시하는 기법은 라우터(R)에서 임의의 확률 ρ로 패킷을 샘플링하여 마킹하지 않고 에스브이엠(SVM) 모듈(1002)에 의해서 이상 트래픽이 발견되었을 경우 패킷에 대한 마킹 과정을 수행하게 된다. 물론 기존의 ACC 기법에서 사용하는 방법과는 달리 이상 트래픽이 발견되었을 경우 단순히 푸쉬백(pushback) 메시지를 상위 라우터에 재귀적으로 전달하는 것이 아니라, 상위 라우터에 푸쉬백(pushback) 메시지를 전달하면서 해당 패킷에 마킹 과정을 수행한다. 푸쉬백(pushback) 메시지를 받은 상위 라우터에서는 메시지 내에 포함된 해킹 트래픽 특성을 인식한 후에 마찬가지로 자신의 라우터에서 2개의 라우터 주소값으로 마킹 과정을 수행하여 이를 목적지에 전달하게 된다. 본 발명의 라우터 구조에 따른 패킷 판단 및 마킹 처리 방법은 도 10과 같다.
도 10에 따르면, 라우터(R)에 들어온 패킷에 대해 트래픽의 대역폭을 검사하고(S2) 일정 이상으로 도착하게 되면 공격 형태에 해당하는 혼잡 시그너쳐인지를 판단하게 된다(S4). 즉, 단계 S2에서 단시간에 많은 양의 패킷에 발생된 것으로 판단되는 경우, 에스브이엠(SVM) 모듈(1002)을 통해 에스브이엠(SVM) 기반 트래픽 패턴을 분석한다(S6). 이후 에스브이엠(SVM) 모듈에 의해 공격 패킷인가를 판단하여(S8), 이후, 해당 패킷에 대한 푸쉬백(pushback) 메시지를 생성한다(S10). 이 과정은 푸쉬백 필드 마킹과정(도 11참조)이라고 할 수 있다. 이 단계에서 생성된 해당 패킷에 대한 푸쉬백 메시지가 에스브이엠(SVM) 모듈(1002)내에 파라미터로 갱신되거나 추가된다. 상기 단계 S10이후에, 패킷에 마킹하는 과정을 수행한다(S12). 이후, 이를 라우터의 출력 큐로 하여금 앞단위 라우터에게 전송토록 한다(S14).
상기 단계 S4에서 만일 대역폭 조건을 만족하지 않을 경우에는 이전에 푸ㅅ쉬백(pushback) 메시지를 통해 주변 라우터로부터 전달된 정보가 있는지를 확인하는 즉 이 과정은 푸쉬백 필드가 마킹되었는지를 판단하는 과정이다(S20). 만일 푸쉬백 필드가 마킹되었다면, 상기 단계 S12에서 처럼 패킷에 대한 마킹 과정을 수행한다. 상기 단계 S20에서의 푸시백 필드가 마킹 되지 않은 경우 일반적인 트래픽으로 간주하여 다음 라우터로 전달되는 S14과정이 수행된다. 상기 단계 S20은 단계 S8에서 에스브이엠(SVM) 모듈에 의해 공격 패킷이 아닌 경우로 판단된 경우에도 다시 수행된다.
이하, 푸쉬백(Pushback)을 적용한 역추적 마킹 기법을 좀 더 자세히 설명한다.
푸쉬백(Pushback)을 적용한 역추적 마킹 기법
(1) 패킷 헤더 마킹 필드
Figure 112004007821792-pat00080
라우터
Figure 112004007821792-pat00081
의 IP 주소를
Figure 112004007821792-pat00082
라고 하자. 그리고
Figure 112004007821792-pat00083
에 도착한 IP 패킷을
Figure 112004007821792-pat00084
라고 할 때,
Figure 112004007821792-pat00085
에서의 해더에서 마킹 정보를 저장할 수 있는 24 비트를
Figure 112004007821792-pat00086
라고 하자.
- 라우터 :
Figure 112004007821792-pat00087
- 라우터의 IP 주소 :
Figure 112004007821792-pat00088
- 라우터
Figure 112004007821792-pat00089
에 도착한 패킷 :
Figure 112004007821792-pat00090
패킷에서의 변형 가능한 헤더 24 비트 :
Figure 112004007821792-pat00091
패킷
Figure 112004007821792-pat00092
에서
Figure 112004007821792-pat00093
는 도 11과 같이 TOS(type of service) 필드 8비트와 ID 필드 16비트로 구성된다. TOS 필드인 경우 현재 필드에 대한 정의만 되어 있을 뿐 실제적으로 사용하고 있지 않다. 따라서 TOS 필드 값을 사용한다고 하더라도 전체 네트워크에 영향을 미치지 않는다.
현재의 TOS 필드는 상위 3비트가 우선순위 비트로 설정되어 있고, 다음 3비 트는 최소지연, 최대 성능 및 신뢰성 필드로 정의되어 있으나 현재는 사용하고 있지 않다. 다만 최근에 RFC2474에 의하면 Differenciated Service 필드(DS field)로 재정의하였으며 TOS 8비트 중에서 상위 6비트만을 사용하고 하위 2 비트는 사용하지 않고 있다. 따라서 본 발명에서는 TOS 필드 중에서 현재 사용하고 있지 않은 2비트에 대해서 PF(pushback flag)와 CF(congestion flag)로 정의한다. 특히 CF인 경우 RFC2474에서도 네트워크상에서 혼잡 현상이 발생하였을 경우 1로 설정하도록 정의되어 있다.
(2) TTL 정보를 이용한 마킹 구조
24비트
Figure 112004007821792-pat00094
정보에 대해서 라우터
Figure 112004007821792-pat00095
에 대한 IP 주소
Figure 112004007821792-pat00096
값을 패킷 헤더에 마킹하는 과정은 다음과 같다.
패킷에서 마킹이 가능한 24비트 정보에 대해서 pushback 과정을 통해 이상 트래픽이 발생하였을 경우 이에 대한 마킹을 위해 라우터
Figure 112004007821792-pat00097
자신의 IP 주소
Figure 112004007821792-pat00098
와 pushback에 의한 전단계 라우터
Figure 112004007821792-pat00099
의 IP 주소
Figure 112004007821792-pat00100
를 패킷에 마킹한다. 24비트 내에 두개의 라우터 주소값을 마킹해야 하기 위해서 라우터에 대한 해쉬 값을 적용하여 인증 기능도 제공하는 주소값을 마킹하게 된다.
모든 패킷의 TTL(time to live) 필드는 8비트 정보로 구성되며 패킷 전송시 일반적으로 255로 설정되어 전송된다. 라우터에 의해 전송되는 과정에서 TTL 값은 1씩 감소되어 최종적으로 목적지에 전달된다.
현재 TTL 값은 네트워크 상에 패킷 전송시 대역폭을 확보하고 목적지에 도착 하지 않는 패킷을 제어하기 위한 목적으로 사용된다. 기존의 연구에서는 TTL 값을 사용하지 않고 다만 별도의 hop 카운터 필드를 두어 패킷이 전달된 거리 정보를 계산하도록 하고 있다. 그러나, 본 발명에서는 라우터
Figure 112004007821792-pat00101
에 도착한 패킷의 TTL 값에서 일부 정보를 사용하여 패킷 마킹 과정에 사용한다.
구체적으로 TTL 필드 8비트에서 일반적으로 네트워크 홉 거리는 최대 32 정도로 되어 있기 때문에 라우터
Figure 112006026359443-pat00102
에 도착한 패킷
Figure 112006026359443-pat00103
의 TTL 필드 하위 6 비트 정보만으로도 패킷이 전달된 거리 정보를 계산할 수 있다. 즉, 패킷
Figure 112006026359443-pat00104
에서 TTL 필드에서 하위 6비트 정보를 추출하여 이를
Figure 112006026359443-pat00105
라고 하고 패킷의 TOS 6비트 필드
Figure 112006026359443-pat00106
에 저장한다.
Figure 112004007821792-pat00107
Figure 112004007821792-pat00108
값은 현재 패킷이 공격지 시스템으로부터 전달된 거리 정보를 나타내며, 만일 이를 패킷에 포함시킨다면 목적지 시스템 V 에 패킷이 도달하였을 경우 V 에서 마찬가지로 계산된
Figure 112004007821792-pat00109
값을 비교하여 패킷이 라우터
Figure 112004007821792-pat00110
로부터 전달된 거리 정보도 계산할 수 있다.
(3) 라우터에서의 역추적 경로 마킹
앞에서 제시한 SVM 모듈(1002)을 통해 이상 트래픽이 발생하였다는 것을 통보받게 되면 이제 라우터
Figure 112006026359443-pat00111
에서는 푸쉬백(pushback) 메시지 내에 포함된 혼잡 시그너쳐에 해당하는 패킷
Figure 112006026359443-pat00112
에 대해서 마킹 과정을 수행한다.
우선 푸쉬백(pushback) 메시지를 받았기 때문에 TOS 필드에서의 PF 필드를 1로 설정한다. 그리고 현재 패킷
Figure 112006026359443-pat00113
에서의 TTL 필드 8 비트에 대해
Figure 112006026359443-pat00114
값을 계산하고 이를 TOS 필드 6비트에 저장한다. 그리고 라우터
Figure 112006026359443-pat00115
의 주소
Figure 112006026359443-pat00116
와 앞에서 계산된
Figure 112006026359443-pat00117
값에 대해 해쉬 함수
Figure 112006026359443-pat00118
를 사용하여 8비트 해쉬 값을 계산하고 이를 ID 필드 처음 8비트인
Figure 112006026359443-pat00119
에 마킹한다. 마킹된 패킷은 패킷의 목적지 주소에 해당하는 라우팅 경로의 다음 라우터
Figure 112006026359443-pat00120
에게 전달된다.
이제 라우터
Figure 112004007821792-pat00121
는 패킷의 PF 필드값
Figure 112004007821792-pat00122
을 보고 1로 설정되어 있는 경우 패킷에서의 TOS 필드 6비트에 해당하는
Figure 112004007821792-pat00123
에서 1을 뺀 값과 라우터 IP 주소
Figure 112004007821792-pat00124
에 대해 마찬가지로 해쉬 함수를 적용하여
Figure 112004007821792-pat00125
에 마킹한다.
Figure 112004007821792-pat00126
마킹과정을 수행한 후에는 CF 필드 값을 1로 설정하여 다음 라우터로 전송하게 되며 다음 라우터는 PF 필드 값과 CF 필드 값이 1로 설정되어 있는 경우에는 이전 라우터에 의해 마킹된 패킷이므로 더 이상 마킹 과정을 수행하지 않는다.
역추적 경로 재구성
(1) DDoS 공격 패킷 역추적
네트워크를 통해 전달된 패킷에 대해 피해시스템 V 에서는 DDoS 공격 경로를 재구성하게 된다. 도 13과 같이 DDoS 공격을 S1,S2,S3 에서 수행하였다고 가정하자. 공격 패킷에 대해 라우터
Figure 112006026359443-pat00127
,
Figure 112006026359443-pat00128
Figure 112006026359443-pat00129
는 패킷 헤더 24비트 정보내에 라우터 자신의 IP 정보와 패킷에서의 TTL 필드 6비트 정보를 마킹하였다. 피해시스템에서는 DDoS 공격이 발생하였을 경우 도착한 패킷에 대해 아래와 같이 경로 역추적 과정을 수행한다.
우선 피해시스템 V 에 도착한 패킷을
Figure 112004007821792-pat00130
집합이라고 정의하자.
Figure 112004007821792-pat00131
값은 DDoS 공격에 해당하는 패킷들로 구성된 집합이고, 집합내에서 라우터에 의해 마킹되어 전달된 패킷의 집합을
Figure 112004007821792-pat00132
라고 하자.
피해시스템에 도착한 패킷 집합
Figure 112004007821792-pat00133
에서
Figure 112004007821792-pat00134
값을 구별하는 방식은 아래와 같이 패킷에서의 TOS 필드 값중에서 임의의 패킷
Figure 112004007821792-pat00135
에서의 패킷 PF 필드에 해당하는
Figure 112004007821792-pat00136
와 CF 필드
Figure 112004007821792-pat00137
부분이 설정되어 있는 패킷을 선택하는 과정을 수행하게 된다.
Figure 112004007821792-pat00138
즉, 피해시스템에서 마킹되어 있는 패킷
Figure 112004007821792-pat00139
의 원소에 해당하는 임의의 패킷
Figure 112004007821792-pat00140
에 대해서 8비트 TTL 값을
Figure 112004007821792-pat00141
라고 정의할 수 있고, TOS 필드에 패킷된 정보
Figure 112004007821792-pat00142
값과 비교하여 패킷
Figure 112004007821792-pat00143
가 라우터로 부터 마킹된 후에 전송된 네트워크 홉 거리
Figure 112004007821792-pat00144
를 다음과 같이 계산 할 수 있다.
Figure 112004007821792-pat00145
만일
Figure 112006026359443-pat00146
이라면 피해시스템 바로 앞에 있는 라우터에 의해서 마킹되었다는 것을 알 수 있다. 그러나, 본 발명에서 제시하는 기법은 푸쉬백(pushback) 기법과 연계하였기 때문에,
Figure 112006026359443-pat00147
인 패킷을 대상으로 바로 역추적 경로 재구성 과정을 수행할 수 있다.
(2) DDoS 공격 경로 재구성
Figure 112004007821792-pat00148
을 만족하는 패킷
Figure 112004007821792-pat00149
는 피해시스템 바로 앞단에 연결되어 있는 두 홉 거리 내에 있는 라우터
Figure 112004007821792-pat00150
Figure 112004007821792-pat00151
에 의해서 마킹된 패킷이라는 것을 의미한다. 즉, 패킷
Figure 112004007821792-pat00152
는 피해시스템과 바로 연결되어 있는 라우터
Figure 112004007821792-pat00153
와 2 홉 거리에 있는 임의의 라우터
Figure 112004007821792-pat00154
에 의해 마킹되었기 때문에
Figure 112004007821792-pat00155
값은 2가 된다. 따라서 패킷
Figure 112004007821792-pat00156
에서 우선 2 홉 거리를 갖는 라우터
Figure 112004007821792-pat00157
를 다음과 같이 판별할 수 있다.
Figure 112004007821792-pat00158
물론 패킷
Figure 112004007821792-pat00159
는 피해시스템과 홉 거리 1에 해당하는 라우터
Figure 112004007821792-pat00160
에 의해 마킹되었다는 것 역시 아래과 같은 방식으로 검증이 가능하다.
Figure 112004007821792-pat00161
이제는
Figure 112004007821792-pat00162
를 만족하는
Figure 112004007821792-pat00163
에 대해서 위와 같은 과정을 반복하게 되면 DDoS 공격 패킷 집합
Figure 112004007821792-pat00164
에서 패킷이 전달된 실제 공격 경로를 재구성할 수 있다.
도 13과 같은 네트워크 구조에 대해 본 발명에서 제시한 기법을 적용하게 되 면 피해시스템에 대한 DDoS 공격 경로 AP 를 다음과 같이 구할 수 있다.
Figure 112004007821792-pat00165
이와 같은 과정을 통해 라우터에서는 ACC 모듈을 통해 네트워크상에 트래픽에 대한 감시 및 판단 기능을 수행하면서도 변형된 푸쉬백(pushback) 기술을 적용하여 네트워크 제어 기능을 수행할 수 있고, DDoS 해킹 경로를 역추적하기 위해서 개선된 패킷 마킹 기술을 적용하여 스푸핑된 패킷에 대한 역추적 기능도 제공하여 공격자에 대한 근원지를 재구성할 수 있다. 또한 해쉬 방식을 적용하여 공격자에 의한 마킹 정보 검증 구조도 제공하였다.
제시한 기법의 성능 분석
1. 실험결과
본 발명에서 제시한 기법에 대한 성능을 평가하기 위해서 Linux 환경에서 ns-2 시뮬레이터를 이용하여 성능을 분석하였다. 도 14와 같은 네트워크를 구성하고 도 15와 같이 0 노드, 1번 및 2번 노드에서 DDoS 공격을 수행하도록 시뮬레이션 하였다.
실험 결과 기존의 패킷 마킹 기법은 도 16과 같이 DDoS 공격에 대해 각 라우터에서 확률 ρ 로 샘플링하여 마킹하는 방식이므로 전체 마킹된 패킷(파란선:v1.tr)의 수가 DDoS 트래픽(붉은선:r0.tr)에 비례하여 생성되는 것을 볼 수 있다. 본 발명에서 제시하는 기법인 경우 도 17에서와 같이 푸쉬백(pushback) 기법을 적용하여 DDoS 트래픽에 대한 마킹 과정을 수행하기 때문에 마킹된 패킷의 수가 25% 정도 감소하는 것을 확인할 수 있었다.
본 발명에서 제시한 기법은 기존의 PPM 기법과 유사한 방식으로 작동하기 때문에 관리 부하가 적으며, 라우터에서 패킷에 대한 판별 및 제어 기능을 적용하였기 때문에 DDoS와 같은 해킹 공격이 발생하였을 경우 전체 네트워크의 부하를 줄일 수 있다는 장점을 제공한다. 또한 기존의 PPM 기법에서는 임의의 확률 p 로 패킷을 선정하여 마킹 과정을 수행하였으나 본 발명에서 제시한 기법은 TTL 필드 값을 이용하여 경로 정보를 마킹하기 때문에 피해 시스템에 도달하는 역추적 경로 재구성에 필요한 패킷의 수를 줄일 수 있는 효과가 있다.
따라서 전체 네트워크 상의 대역폭을 향상시킬 수 있고, 적은 개수의 마킹 패킷만을 가지고도 DDoS 공격 근원지에 대한 경로를 재구성할 수 있는 효과가 있다. 경로 재구성을 위해서는 네트워크에서 n 개의 라우터를 거치는 경우 단지 n 개의 역추적 메시지만으로 근원지 경로를 재구성할 수 있다는 효과가 있다.

Claims (9)

  1. 삭제
  2. 다수의 상대 네트워크와 다수의 라우터로 선택적으로 각각 연결되는 통신시스템에 있어서,
    라우터에 들어온 패킷에 대해 트래픽의 대역폭을 검사하는 제 1 단계;
    일정 이상으로 도착하게 되면 공격 형태에 해당하는 혼잡 시그너쳐인지, 즉 단시간에 많은 양의 패킷이 발생되었는지를 판단하는 제 2 단계;
    단시간에 많은 양의 패킷이 발생된 것으로 판단되는 경우, 에스브이엠(SVM) 모듈을 통해 에스브이엠(SVM) 기반 트래픽 패턴을 분석하는 제 3 단계;
    에스브이엠(SVM) 모듈에 의해 공격 패킷인가를 판단하여, 공격 패킷인 경우에는 해당 패킷에 대한 푸쉬백(pushback) 필드를 마킹하는 제 4 단계;
    패킷에 마킹하는 제 5 단계;
    마킹된 패킷을 라우터의 출력 큐로 하여금 앞단위 라우터에게 전송하는 제 6 단계;로 이루어지고,
    상기 제 2 단계에서 만일 대역폭 조건을 만족하지 않을 경우에는 즉 많은 양의 패킷이 발생되지 않은 경우 푸쉬백(pushback) 필드가 마킹되었는지 판단하는 제 7 단계;
    상기 제 7 단계에서 푸시백 필드가 마킹된 경우에는 상기 제 5 단계의 패킷 마킹단계를 수행하고, 푸쉬백 필드가 마킹되지 않은 경우에는 제 6 단계를 수행하되,
    상기 마킹은 라우터에 입력된 패킷의 IP 데이터 그램은 패킷 TOS 필드 중에서 현재 사용하고 있지 않은 2비트에 대해서 PF(pushback flag)와 CF(congestion flag)를 정의하여 마킹하고, 특히 CF인 경우 RFC2474에서도 네트워크상에서 혼잡 현상이 발생하였을 경우 1로 설정하여 마킹하는 것을 특징으로 하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 근원지 역추적 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 다수의 상대 네트워크와 다수의 라우터로 선택적으로 각각 연결되는 통신시스템에 있어서,
    입력포트를 통해 입력되는 개별 TCP/IP 패킷을 전처리 하는 전처리 모듈;
    전처리 된 데이터에 대한 에스브이엠(SVM) 학습을 수행함과 아울러 입력되는 패킷에 대해 트래픽의 대역폭을 검사하고, 일정 이상으로 도착하게 되면 공격 형태에 해당하는 혼잡 시그너쳐인지, 즉 단시간에 많은 양의 패킷이 발생되었는지를 판단하여, 단시간에 많은 양의 패킷이 발생된 것으로 판단되는 경우 에스브이엠(SVM) 기반 트래픽 패턴을 분석하고, 공격 패킷인가를 판단하는 에스브이엠(SVM) 모듈;
    상기 에스브이엠(SVM) 모듈에 의해 공격 패킷으로 판단된 경우에는 해당 패킷에 대한 푸쉬백(pushback) 필드를 마킹하고 마킹된 패킷을 라우터의 출력 큐로 하여금 앞단위 라우터에게 전송하는 마킹 모듈로 구성되고,
    상기 마킹 모듈은 많은 양의 패킷이 발생되지 않은 경우 푸쉬백(pushback) 필드가 마킹되었는지 판단하여 푸시백 필드가 마킹된 경우에는 패킷을 마킹하고, 푸쉬백 필드가 마킹되지 않은 경우에는 해당 패킷을 일반 패킷으로 간주하여 전송하며,
    상기 마킹은 라우터에 입력된 패킷의 IP 데이터 그램은 패킷 TOS 필드 중에서 현재 사용하고 있지 않은 2비트에 대해서 PF(pushback flag)와 CF(congestion flag)를 정의하여 마킹하고, 특히 CF인 경우 RFC2474에서도 네트워크상에서 혼잡 현상이 발생하였을 경우 1로 설정하여 마킹하는 것을 특징으로 하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 라우터.
  8. 제 7 항에 있어서, 상기 전처리 모듈은 하나의 패킷만을 사용하는 것을 특징으로 하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 라우터.
  9. 제 7 항에 있어서, 상기 전처리 모듈은 패킷과의 연관 관계를 고려한 탐지 방안으로 여러 개의 TCP/IP 패킷을 연속하여 하나씩 슬라이딩하여 패킷간 타임 딜레이를 전처리 하는 것을 특징으로 하는 에스브이엠(SVM) 기반 패킷 마킹 기법을 적용한 라우터.
KR1020040012788A 2004-02-25 2004-02-25 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터 KR100608210B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040012788A KR100608210B1 (ko) 2004-02-25 2004-02-25 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040012788A KR100608210B1 (ko) 2004-02-25 2004-02-25 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터

Publications (2)

Publication Number Publication Date
KR20040027705A KR20040027705A (ko) 2004-04-01
KR100608210B1 true KR100608210B1 (ko) 2006-08-08

Family

ID=37330074

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040012788A KR100608210B1 (ko) 2004-02-25 2004-02-25 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터

Country Status (1)

Country Link
KR (1) KR100608210B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706757B1 (ko) * 2005-04-04 2007-04-13 이임영 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법
KR100951770B1 (ko) * 2005-12-30 2010-04-08 경희대학교 산학협력단 IPv6 네트워크에서 IP를 역추적하는 방법
KR100967843B1 (ko) * 2007-12-31 2010-07-05 전북대학교산학협력단 공평성 보장을 위한 동적 확률 패킷 마킹 방법
CN101510873B (zh) * 2009-03-20 2011-09-21 扬州永信计算机有限公司 基于支持向量机的混合式点对点流量检测方法
KR101144368B1 (ko) * 2010-05-07 2012-05-10 한양대학교 산학협력단 라우터 시스템에서 공격자 단말기 역추적 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20010078887A (ko) * 2001-05-09 2001-08-22 정지후 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문 *

Also Published As

Publication number Publication date
KR20040027705A (ko) 2004-04-01

Similar Documents

Publication Publication Date Title
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
US9800608B2 (en) Processing data flows with a data flow processor
US7979368B2 (en) Systems and methods for processing data flows
US8135657B2 (en) Systems and methods for processing data flows
US9525696B2 (en) Systems and methods for processing data flows
US8402540B2 (en) Systems and methods for processing data flows
EP2432188B1 (en) Systems and methods for processing data flows
US20110238855A1 (en) Processing data flows with a data flow processor
US20110231564A1 (en) Processing data flows with a data flow processor
US20110213869A1 (en) Processing data flows with a data flow processor
US20110214157A1 (en) Securing a network with data flow processing
US20110219035A1 (en) Database security via data flow processing
US20080229415A1 (en) Systems and methods for processing data flows
Guerber et al. Machine Learning and Software Defined Network to secure communications in a swarm of drones
Thomas Improving intrusion detection for imbalanced network traffic
Akbar et al. Intrusion detection system methodologies based on data analysis
Ahmed et al. Intrusion Detection System in Software-Defined Networks Using Machine Learning and Deep Learning Techniques--A Comprehensive Survey
Le et al. Unsupervised monitoring of network and service behaviour using self organizing maps
BACHAR et al. Towards a behavioral network intrusion detection system based on the SVM model
KR100608210B1 (ko) 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
Keshri et al. DoS attacks prevention using IDS and data mining
Patil et al. Network intrusion detection and prevention techniques for DoS attacks
Saied Distributed denial of service (ddos) attack detection and mitigation
POPOỌLA An Overview of the Evolutionary and Revolutionary Trends of Computer Network Intrusion and Detection
Chaudhari et al. A Systematic Review of DoS Attack Prevention Techniques on Delay Tolerant Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130626

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140701

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160627

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 12