KR100733830B1 - DDoS Detection and Packet Filtering Scheme - Google Patents

DDoS Detection and Packet Filtering Scheme Download PDF

Info

Publication number
KR100733830B1
KR100733830B1 KR20050049207A KR20050049207A KR100733830B1 KR 100733830 B1 KR100733830 B1 KR 100733830B1 KR 20050049207 A KR20050049207 A KR 20050049207A KR 20050049207 A KR20050049207 A KR 20050049207A KR 100733830 B1 KR100733830 B1 KR 100733830B1
Authority
KR
South Korea
Prior art keywords
router
attack
step
output queue
packet
Prior art date
Application number
KR20050049207A
Other languages
Korean (ko)
Other versions
KR20060130892A (en
Inventor
김세헌
김현우
정석봉
Original Assignee
충남대학교산학협력단
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단, 한국과학기술원 filed Critical 충남대학교산학협력단
Priority to KR20050049207A priority Critical patent/KR100733830B1/en
Publication of KR20060130892A publication Critical patent/KR20060130892A/en
Application granted granted Critical
Publication of KR100733830B1 publication Critical patent/KR100733830B1/en

Links

Images

Abstract

본 발명은 광대역 네트워크에 있어서의 분산 서비스 거부(DDoS) 공격 탐지 및 대응 방법에 관한 것으로, 각 라우터에서 출력 큐의 패킷 손실 확률을 구하는 단계와, 출력 큐의 손실 확률이 소정의 임계치 이상이거나 또는 상기 출력 큐로 들어오는 패킷의 도착률과 출력 큐의 대역폭의 비가 1 이상인 경우, 상기 출력 큐의 라우터가 하류측 라우터들에게 혼잡 상황임을 알리는 경고 메시지를 보내는 단계와, 상기 경고 메시지를 공격 대상을 포함하고 있는 말단 라우터로 전송하는 단계와, 상기 말단 라우터가 상기 경고 메시지를 기초로 공격 경로를 재구성하는 단계 및 상기 말단 라우터가 상기 재구성된 공격 경로 중 상기 말단 라우터로부터 가장 멀리 떨어진 라우터들에게 패킷 여과를 요청하는 메시지를 보내는 단계를 포함한다. The present invention, or to, the loss probability of obtaining a packet loss probability of the output queues at each router, and an output queue on the distributed denial of service (DDoS) attack is detected and a corresponding method in a broadband network, over a predetermined threshold value or the output queue if more than a ratio of the bandwidth of the arrival rate to the output queue of the incoming packet, and a terminal that is a step to send a warning message indicating that the router in the output queue congestion state to the downstream router, the alert message including a target message to request a packet filter to the farthest router from sending to the router, and a step and the end router from which the terminal routers the reconstructed attack vector in which the end router reconfiguration attack vectors based on the warning message, including the sending.
DDoS 공격, 출력 큐, 패킷 손실 확률, 싱글 서버 큐잉 모델 DDoS attacks, output queues, packet loss probability, a single server queuing model

Description

광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및 대응 방법 {DDoS Detection and Packet Filtering Scheme} Distributed denial of service on a broadband network attack detection and response methods {DDoS Detection and Packet Filtering Scheme}

도1은 네트워크 상에서의 DDoS 공격의 유형을 설명하는 간략도. 1 is a brief description of the type of DDoS attacks on the network.

본 발명은 통신 네트워크의 분산 서비스 거부(DDoS) 공격 탐지 및 대응 방법에 관한 것이다. The present invention relates to a distributed denial of service in a communication network (DDoS) attack detection and response. 보다 구체적으로, 본 발명은 서비스거부 공격을 트래픽의 혼잡 현상으로 보고 이러한 비정상적 트래픽을 효율적으로 제어하는 DDoS 공격 탐지 및 대응 방법에 관한 것이다. More particularly, the invention relates to the DDoS attack is detected and a corresponding method for efficiently controlling the report this abnormal traffic denial of service attacks as congestion of traffic.

서비스 거부(Denial of Servicve; 이하 "DoS") 공격이란, 목적 망/서버에 유해 트래픽을 유입시켜 네트워크의 서비스 기능을 일시적으로 또는 완전히 정지시키는 공격 방식을 말한다. DoS (Denial of Servicve; hereinafter "DoS") attack is an object to introduce a hazardous traffic in a network / server refers to a temporary or attack method to completely stop the service capabilities of the network. DoS 공격의 한 형태인 DDoS(Distributed Denial of Service) 공격은, 분산 설치된 다수의 공격 프로그램이 서로 통합된 형태로 목적 망/서버에 트래픽을 집중시키는 공격으로서 일반적인 DoS 공격에 비해 탐지가 어려울 뿐만 아니라 훨씬 더 강력한 파괴력을 가지고 있다. One type of DDoS (Distributed Denial of Service) attacks, DoS attacks, as well as the detection difficult than a typical DoS attacks as attacks that the number of attacks installed programs distributed concentrating traffic on purpose networks / servers into an integrated form with each other a lot It has a more powerful destructive force. 이러한 DDoS 공격은 다량의 유해 트래픽으로 네트워크 전체의 자원을 고갈시키는 한편 네트워크에 심각한 부하를 주어 해당 네트워크를 마비시키기도 한다. These DDoS attacks they cause serious given the load on the network, while depleting the resources of the entire network in a large amount of malicious traffic paralyzed the network.

DDoS 공격을 탐지하고 예방하는 기존의 방법으로서, 패턴에 기반한 필터링(pattern-based filtering) 기술이나 큐 관리(queue management)와 같은 방법들이 있다. As conventional methods for detecting and preventing a DDoS attack, there are such methods as filtering based on the pattern (pattern-based filtering) technique or queue management (queue management). 이러한 기존의 방법들은 주로 네트워크 상의 트래픽을 관찰하고 트래픽의 손실량을 이용하여 DDoS 공격이 있는지를 탐지한다. These conventional methods are usually detect whether a DDoS attack by observing traffic on the network and use the loss of traffic. 그러나, 공격 프로그램들은 공격 트래픽의 양과 패킷 내의 필드 정보를 쉽게 바꿀 수 있기 때문에, 필터링의 측정치가 될 수 있는 DDoS 패킷의 공통 특징을 찾아내기 어려울 뿐만 아니라, 공격자에게서 온 트래픽의 패턴을 감지할 수 있다 하더라도 공격에 능동적으로 대응하기는 어렵다는 문제점이 있다. However, the attacking programs because they can easily replace field information in the amount of packets of attack traffic, as well as difficult to find the common characteristics of DDoS packets that can be a measure of filtering, can detect the pattern of all the traffic from the attacker even to actively respond to attacks are is difficult.

한편, DDoS 공격에 대한 기존의 대응 방법은 크게 푸시백(pushback) 기법과 공격 근원지 역추적(traceback) 기법으로 분류된다. On the other hand, the conventional countermeasure against the DDoS attacks are classified as pushback (pushback) technique and an attack source traceback (traceback) techniques.

먼저, 푸시백 기법은, 라우터(router)가 공격으로 의심되는 집합적인 트패릭을 봉쇄하는 작업을 허용하는 방식의 기법으로서, 주로 속도 제한(rate limiting) 기법을 사용한 라우터 사이의 협업 과정을 통해 공격을 예방한다. First, the push-back technique, a router (router) is a technique in a manner that allows the operation to seal off the aggregate bit paerik suspected attack, through collaboration processes between mainly the speed limit (rate limiting) router using techniques attack It prevents. 그러나, 이 기법은 DDoS 공격자들이 인터넷상에 잘 분포되어 있을 때는 효과적이지 않다는 사실이 이미 알려져 있다. However, this technique is already known fact not effective when the DDoS attackers are well distributed on the Internet.

근원지 역추적 기법은, 패킷(packet)의 근원지 정보에 의존하지 않고 별도의 역추적 매세지를 생성하여 공격 주소지를 역추적하는 기법이다. Source backtracking technique, a technique does not depend on the source of packet information (packet) to generate a separate traceback maeseji to traceback attack address. 예컨대, 한국특허 제456635호는, 공격이 있음을 알리는 경보가 있는 경우 역추적 센서를 생성하여 파송함으로써 공격 호스트를 역추적하고 이 공격 호스트의 트래픽을 차단하는 DDoS 공격 대응 시스템과 그 방법을 개시하고 있다. For example, Korea Patent No. 456 635 discloses, and by if that is potentially attack alarms sent by generating traceback sensor traced back to attack host discloses a DDoS attack response system and method to block traffic from the attack host have. 그러나, 이 기법은 네트워크의 부하를 증가시키고 DDoS 공격에 능동적으로 대응할 수 없다는 문제점이 알려져 있다. However, this technique can increase the load on the network and known issues that can actively respond to DDoS attacks. 또한, 상기 특허에는 DDoS 공격이 있음을 탐지하는 방법에 관하여서는 기재되어 있지 않다. Also, the patent does not describe documentation on how to detect that the DDoS attack.

이와 같이, DDoS 공격을 신속하게 탐지하고, 이를 차단하거나 공격의 근원지를 역추적하는 등 DDoS 공격에 대한 효과적인 대응 방안은 매우 부족한 현실이다. Thus, effective countermeasures against DDoS attacks such as rapidly detect DDoS attacks and block them or to trace back the origin of the attack is a very real shortage.

본 발명은 큐잉 모델을 이용함으로써 신속하게 DDoS 공격을 탐지해 내고 공격의 근원지를 정확하게 역추적하는 DDoS 공격 탐지 방법을 제공하는 것을 목적으로 한다. An object of the present invention is quickly out to detect a DDoS attack to provide a DDoS attack detection method for accurately tracking station a source of an attack by using the queuing model. 또한, 본 발명은 임계치를 조정하는 것만으로 근원지 추적의 정확도 및 필터링을 수행하는 라우터의 수 등을 조절할 수 있는 DDoS 공격 탐지 방법을 제공하는 것을 목적으로 한다. Further, the present invention is to provide a DDoS attack detection method that can adjust the number of such router to perform accurate tracking and filtering of the source simply by adjusting the threshold value for the purpose.

본 발명의 다른 목적은, 말단(edge) 라우터가 혼잡이 최초로 발생한 라우터로 하여금 패킷 여과를 수행하도록 하고, 공격이 완화된 경우에는 패킷 여과를 중단함으로써 라우터들의 부담을 줄이는 DDoS 공격 대응 방법을 제공하는 것이다. It is another object of the present invention, an end (edge) router and to perform an allow packet filtered by the router congestion is initially occurred, if an attack is relaxed is by stopping the packet filtering to provide a DDoS attack corresponding way to reduce the burden on the router will be.

본 발명에서는 네트워크의 병목현상 및 정상적인 서비스 제공 능력을 저하시키는 이러한 서비스 거부 공격을 트래픽 혼잡 현상으로 이해하고 이러한 비정상적 트래픽을 효율적으로 제어하기 위한 매커니즘을 제안한다. The present invention, the understanding of these denial of service attacks to lower the bottleneck and provide normal service capability of the network as a traffic congestion and proposes a mechanism to effectively control these abnormal traffic. 이러한 메커니즘은 대기행렬 모형에 기초하여 개발되었다. These mechanisms have been developed based on queuing model. 또한, 이러한 매커니즘을 이용하여 지역적으 로 관찰되는 DDoS 공격의 탐지 결과를 네트워크의 각 라우터들이 서로 교환하고, 이를 이용한 전역적인 탐지 및 방어를 수행하는 DDoS 탐지 및 패킷 필터링 방법을 제안한다. In addition, we propose a DDoS detection and packet filtering method for using such a mechanism, each router of the detection result of the DDoS attack networks exchange is observed coming from a regional, perform global detection and prevention using the same. 이하 본 발명의 바람직한 실시예에 관하여 상세히 설명한다. It will now be described with reference to the following preferred embodiment of the present invention.

도1은 네트워크 상에서의 DDoS 공격의 유형을 설명한다. Figure 1 illustrates the types of DDoS attacks on the network. 일반적으로 DDoS 공격은 깔대기 모양의 트래픽 흐름을 갖게 된다. DDoS attacks typically will have a flow of traffic funnel shape. 공격의 근원지들은 마치 깔대기의 입구와 같이 네트워크 상에 넓게 분포되어 있으며, 이러한 근원지들로부터 발생한 공격 패킷들은 네트워크 중간의 경유 라우터를 거치면서 공격 대상을 포함하고 있는 말단(edge) 라우터로 집중된다. The source of the attack, and if they are widely distributed in the network, such as the inlet of the funnel, the attack packets generated from these sources are focused on the end (edge) router that includes the target goes through the routers via the network medium.

이와 같은 공격 유형을 고려하여, 본 발명은 말단 라우터로 하여금 공격의 발생 여부 및 특성을 파악하도록 한다. In this connection, consider the same type of attack, the present invention is to determine the occurrence and nature of the attack allows the end router. 말단 라우터가 공격 패킷들을 모두 관찰할 수 있기 때문에, 말단 라우터로 하여금 공격의 발생 여부 및 특성을 파악하도록 하는 것이 가장 효과적이기 때문이다. It is because it is the most effective because end routers can observe all the attack packets, the router allows the terminal to determine the occurrence and characteristics of the attack. 한편, 본 발명은 공격의 대응 기법인 패킷 여과가 공격 근원지 네트워크에서 일어나도록 한다. On the other hand, the present invention is the corresponding packet filtering techniques of attack to take place in the attack source network. 이렇게 함으로써, 공격 패킷이 네트워크로 유입되는 것 자체를 차단하여 네트워크 자원이 낭비되는 것을 방지할 수 있다. By doing so, the attack packets will be blocked from entering the network itself can prevent the waste of network resources.

즉, 본 발명은 DDoS 공격의 특성을 이용하여 말단 라우터에서 공격을 탐지하고, 말단 라우터에서 가장 멀리 떨어진, 즉, 공격 근원지와 가장 가까운 라우터에서 패킷 여과를 수행할 수 있도록 한 것이다. That is, the present invention is one to detect attacks in the end a router using the characteristic of the DDoS attack, and performing packet filtering on the nearest router and farthest from, that is, the attack on the source terminal router.

광대역 네트워크에서 DDoS 공격을 탐지하기 위해서는 네트워크 상의 각 라우터가 트래픽을 관찰할 필요가 있다. In order to detect DDoS attacks in broadband networks, there is a need for each router on the network to monitor the traffic. 본 발명은 트래픽의 손실 정도를 파악하기 위 해 패킷(packet) 손실량이 아닌 패킷 손실 확률을 이용한다. The invention utilizes the packet loss probability to in order to determine the extent of the loss of traffic instead of the packet (packet) loss. 또한, 각 라우터에서의 출력 큐(queue)의 패킷 손실 확률을 측정하기 위해 본 발명에서는 출력 큐를 싱글 서버(single-server) 큐잉 모델인 M/M/1/K 큐잉 모델로 디자인한다. In addition, the present invention designs a print queue as a single server (single-server) queuing model M / M / 1 / K queuing model to measure the packet loss probability of the output queue (queue) at each router.

M/M/1/K 큐잉 모델에서, 출력 큐의 대역폭이 μ j 이고, 큐에 들어가는 패킷의 도착률이 λ j 이고, 큐의 용량이 K라고 할 때, j번째 출력큐의 패킷 손실 확률은 다음과 같이 정의된다. In the M / M / 1 / K queuing model, and the bandwidth of the output queue, μ j, and the arrival rate of packets into the queue λ j, when the said capacity of the queue is K, the packet loss probability of a j-th output queues, and then and it is defined as.

Figure 112005030462206-pat00001

여기서, here,

Figure 112005030462206-pat00002
이다. to be. j번째 큐는 j-th queue
Figure 112005030462206-pat00003
이거나 Or
Figure 112005030462206-pat00004
인 경우 혼잡한 상황으로 간주되고, 상기 큐에 직접 연결된 하류측 라우터로 경고 메시지를 전달한다. If the situation is considered to be congested, and transmits a warning message to the downstream routers connected directly to the queue. 상기 임계치 The threshold
Figure 112005030462206-pat00005
를 조정함으로써 공격 탐지 수준을 제어할 수 있고, 이에 따라 네트워크의 상황에 맞는 DDoS 공격 탐지가 가능하도록 하며 공격에 대한 대응 수준도 조절할 수 있다. A can be controlled by adjusting the level of detection of the attack, and thus may be adjusted, and also the corresponding level for the attack a DDoS attack detection for the state of the network is possible.

아래의 표1은 본 발명에서 사용하는 알고리즘에 사용하는 몇가지 시스템 변수를 설명한다. Table 1 below illustrates several system variables used in the algorithm used in the present invention.

표시법 Notation 설명 Explanation

Figure 112005030462206-pat00006
AM을보내고, 직접적으로 라우터의 입력 큐에 연결되어 있는 상위 라우터들의 집합. Sending the AM, a set of upper router that is directly connected to the input queue of the router.
Figure 112005030462206-pat00007
특정 경유 라우터의 출력 큐의 집합. A set of output queues via a specific router.
Figure 112005030462206-pat00008
특정 라우터의 혼잡한(congested) 출력 큐들의 집합. A congestion of a particular router (congested) a set of output queues.
Figure 112005030462206-pat00009
Figure 112005030462206-pat00010
특정 라우터의 정상적인 상태의 출력 큐의 집합. A set of the output queue of the normal state of a particular router.
Figure 112005030462206-pat00011
Figure 112005030462206-pat00012
j번째 출력 큐에 직접적으로 연결되어 있는 하류측 라우터. The downstream router that is directly connected to the j-th output queue.
Figure 112005030462206-pat00013
i번째 입력 큐에 직접적으로 연결되어 있는 상류측 라우터. i-th upstream router that is directly connected to the input queue.
Figure 112005030462206-pat00014
라우터가 혼잡을 확인하지 않는 시간 주기. Time period the router does not make the mess.
Figure 112005030462206-pat00015
RAP(Reconstructed Attack Paths), 즉, 공격 경로를 구성하는 라우터들의 집합. RAP (Reconstructed Attack Paths), ie, the set of routers that the paths of attack. 아래 첨자는 RAP의 인덱스. Subscript is the index of the RAP.
Figure 112005030462206-pat00016
P n 의 인덱스의 집합. A set of indices of P n.
Figure 112005030462206-pat00017
P n 을 구성하는 라우터 중 말단 라우터로부터 가장 멀리 떨어져 있는 라우터. P n router of the routers that are farthest away from the terminal to configure the router.
Figure 112005030462206-pat00018
j번째 출력 큐로 송신되는 패킷들의 여과율. j-th output queue filtration rate of the packets to be transmitted.
Figure 112005030462206-pat00019
j번째 출력 큐에 대해서 라우터가 패킷 여과를 할 때, j번째 출력 큐로 입력되는 패킷의 비율. When with respect to the j-th output queue router to the packet filtering, the j-th queue output rate of the packets to be input.

한편, 표2는 본 발명이 제안하는 알고리즘에 있어서 라우터들 사이에 교환되는 메세지들을 설명한다. On the other hand, Table 2 illustrates the messages exchanged between the routers in the algorithm proposed by the present invention. 표2의 메시지들은 ICMP(Internet Control Message Protocol) 패킷을 통해 구현 가능하다. Message of Table 2 can be implemented via ICMP (Internet Control Message Protocol) packets.

메시지 이름 Message Name 설명 Explanation AM (Alarm Message) (Alarm Message) AM 라우터가 혼잡을 감지했을 때 하류측 라우터들에게 보내는 경고(alarm) 메시지. Warning (alarm) messages that are sent to the downstream side of the router when the router detects congestion. 라우터가 AM을 하류측 라우터들로 전송할 때, 이 AM에는 AM을 보내는 라우터의 네트워크 주소가 붙는다. When the router is to send the AM to the downstream router, the AM has catches the network address of the router sending the AM. IM (Ignore Message) IM (Ignore Message) 주변 라우터들에게 혼잡을 무시해야 한다는 것을 알리는메시지. Message stating that you should ignore the rush to nearby routers. RPFM (Message for Requesting Packet Filtering) (Message for Requesting Packet Filtering) RPFM 말단 라우터가 경유 라우터에게 공격 패킷을 여과하도록 요청하는 메시지. Message to request the router to end the attack packet filtering via a router. 이 메시지는 말단 라우터에서 수행하는 전역적 탐지 결과인 공격 패킷의 특성을 포함한다. This message includes the attributes of the global detection result of the attack packets performed by the end router. APFM (Message for Accepting Packet Filtering) (Message for Accepting Packet Filtering) APFM RPFM을 받은 라우터가 RPFM을 보낸 말단 라우터에게 패킷 여과 요청을 수용함을 알리는 메시지이며, 이 메시지를 보낸 후 패킷 여과를 수행. A message indicating that the router received the RPFM accept a packet filtering router sends a request to the terminal RPFM, perform packet filtering after sending this message. SPFM (Message for Stopping Packet Filtering) (Message for Stopping Packet Filtering) SPFM 말단 라우터가 경유 라우터에게 패킷 여과를 중단하도록 요청하는 메시지. Message with a request to end the interruption packet filtering router via a router. IPFM (Message for Ignoring Packet Filtering) (Message for Ignoring Packet Filtering) IPFM 경유 라우터가 말단 라우터에게 패킷 여과가 필요없거나 패킷 여과가 중지되었음을 알리는 메시지. A message indicating that the router through the packet filtering or packet filtering is necessary to stop to end the router.

본 발명의 DDoS 탐지 및 대응 방법은, 네트워크의 라우터들이 출력 큐의 패킷 손실 확률을 통해 네트워크의 혼잡 상황을 감지하고, 이를 네트워크에 존재하는 다른 라우터들에게 알려서 최종적으로 말단(edge) 라우터가 DDoS 공격의 근원지에 가장 가까운 라우터에게 패킷 여과(filtering)를 지시하여 네트워크의 혼잡 상황을 피하는 과정을 포함한다. DDoS detection and response process of the invention, the network routers to detect the network congestion through packet loss probability of the output queue, and announcing to the other routers present them to the network, and finally the end (edge) router is DDoS attack instruct the router closest to the source packet filtering (filtering) to include a process to avoid congestion in the network.

이러한 과정을 각 상황별로 살펴보면 다음과 같다. Looking at this process for each situation as follows:

<경유 라우터에서 특정 출력 큐에서 혼잡이 발생했을 때의 처리 과정> <Processing done when a congestion occurs in a particular output queue router via>

단계1. Step 1. 만약 혼잡이 j * ∈J N 인 곳에서 감지되면 J C 를 J C ∪{j * }로 갱신한다. If congestion is detected on the j * ∈J N updates to the C J J C ∪ {j *}. 그렇지 않은 경우에는 갱신을 중단한다. Otherwise, abort the update.

단계2. Step 2. 만약 I A ≠φ이면, i∈I A 인 UR i 로부터의 모든 AM들을 DR j* 로 전송하고 단계4를 수행한다. If and when I A ≠ φ, transmitting all of the AM from the UR i∈I A i to j * and DR to step 4. 그렇지 않은 경우에는 단계3을 수행한다. Otherwise, perform step 3.

단계3. Step 3. 모든 AM들을 DR j* 로 보낸 후, 단계4를 수행한다. After all the AM to the DR j *, and performs the Step 4.

단계4. Step 4. T sleep 동안 j * 의 혼잡 검사를 중단한다. T sleep during the test to stop congestion of j *.

<경유 라우터가 UR i* 로부터의 AM을 받았을 때의 처리 과정> <Processing procedure when the router receives via the AM from the UR i *>

단계1. Step 1. 만약 라우터가 패킷 여과를 수행하고 있다면, j∈J C 인 것에 대해 AM을 DR j 로 전송한다. If the router is to perform the packet filtering, and sends the AM about the j∈J C to DR j. 만약, J C ≠φ이면, 여과된 패킷의 목적지인 말단 라우터로 AM을 전송하고 단계3을 수행한다. If, and when J ≠ φ C, the AM transmission to the destination terminal of the packet filtering router, and proceed to Step 3. 그렇지 않은 경우에는 단계2를 수행한다. Otherwise, it performs Step 2.

단계2. Step 2. J C =φ이면, UR i* 로 IM을 보내고 중단한다. If J = C φ, and stops to send the IM to UR i *.

단계3. Step 3. UR i* 로부터 j∈J C 인 모든 DR j 들에게 AM을 전송한다. From UR i * is transmitted to all the AM DR j is j∈J C.

단계4. Step 4. I A 를 I A ∪{UR i* }로 갱신한다. And updates the I A to I A ∪ {UR i *} .

<경유 라우터가 DR j* 로부터 IM을 받았을 때의 처리 과정> <Processing procedure when the router via the IM received from the DR j *>

단계1. Step 1. J C 를 J C -{j * }로 갱신한다. It is updated to {j *} - a J C J C.

단계2. Step 2. T sleep 동안 j * 의 혼잡 검사를 중단한다. T sleep during the test to stop congestion of j *.

<경유 라우터에서 j * ∈J C 인 곳의 혼잡이 사라졌을 때의 처리 과정> <Through the process of router when in j * ∈J C in a crowded area of the disappeared>

단계1. Step 1. J C 를 J C -{j * }로 갱신한다. It is updated to {j *} - a J C J C.

단계2. Step 2. DR j* 로 IM을 보낸다. Send the IM to the DR j *.

<경유 라우터가 UR i* 로부터 전송된 IM을 받았을 때의 처리 과정> <Processing procedure when the router receives via the IM received from UR i *>

단계1. Step 1. I A 를 I A -{UR i* }로 갱신한다. It is updated to {UR i *} - an I A I A.

<경유 라우터가 DR j* 로부터 전송된 RPFM을 받았을 때의 처리 과정> <Processing procedure when the router receives via the RPFM transmitted from the DR j *>

단계1. Step 1. 만약 j * 가 J c 에 속하지 않으면 IPFM을 말단 라우터로 보낸다. If the part of the j * J c sends to the terminal IPFM router. 그렇지 않은 경우에는 단계2를 수행한다. Otherwise, it performs Step 2.

단계2. Step 2. 만약 라우터가 RPFM의 목적지였다면 단계2-1을 수행하고, 그렇지 않은 경우에는 단계3을 수행한다. If the router is the destination of the RPFM yeotdamyeon performing step 2-1, and otherwise, it performs Step 3.

단계2-1. Step 2-1. APFM을 말단 라우터로 보낸다. Send a APFM to end the router.

단계2-2. Step 2-2.

Figure 112005030462206-pat00020
가 될 때까지, 공격 특성을 가지고 말단 라우터로 전송되는 패킷의 여과를 수행한다. Until, with the attack characteristics and performs packet filtering of the terminal is sent to the router.

단계2-3. Steps 2-3. IM을 DR j* 로 보내고, J C 를 J C -{j * }로 갱신한다. Send IM to the DR j *, a J J C C - it is updated to {j *}.

단계2-4. Step 2-4.

Figure 112005030462206-pat00021
가 된 후, IPFM을 말단 라우터에게 보낸다. After that, it sends a IPFM to end the router.

단계3. Step 3. RPFM을 목적지 라우터로 전송한다. RPFM sends to the destination router.

단계4. Step 4. J C 를 J C -{j * }로 갱신하고 T sleep 동안 j * 의 혼잡 검사를 중단한다. A J J C C - updated to {j *} and stops the busy check of the j * T during sleep.

<경유 라우터가 DR j* 로부터 전송된 SPFM을 받았을 때의 처리 과정> <Processing procedure when the router receives via the SPFM sent from the DR j *>

단계1. Step 1. 만약 라우터가 SPFM의 목적지이면 단계2를 수행하고, 그렇지 않은 경우에는 그 목적지로 전송한다. If the router, and if not performed when the destination of the SPFM step 2 and transmits it to its destination.

단계2. Step 2. 말단 라우터를 향하고 공격 성향이 있는 패킷에 대한 여과를 중단한다. Facing the end router stop filtering packets for that aggression.

단계3. Step 3. J C 를 J C -{j * }로 갱신한다. It is updated to {j *} - a J C J C.

단계4. Step 4. T sleep 동안 j * 의 혼잡 검사를 중단한다. T sleep during the test to stop congestion of j *.

<말단 라우터가 UR i* 로부터 전송된 AM을 받았을 때의 처리 과정> <Processing procedure when the terminal receives a Router AM transmitted from UR i *>

단계1. Step 1. 기존의 ACC(Aggregated-based Congestion Control) 방식을 사용하여 전역적 탐지를 수행하고, 만약 현재 공격이 진행 중라고 판단되면 단계2를 수행한다. Using existing ACC (Aggregated-based Congestion Control) method performs a global detection and, if performed Step 2 If the determination of the current attack is in progress. 그렇지 않은 경우에는 중단한다. Otherwise, it aborted.

단계2. Step 2. 전송된 AM을 기초로 P n 을 재구성한다. It reconstructs the P n on the basis of the transmitted AM.

단계3. Step 3. P n =P u 인 u∈U가 존재한다면, AM을 무시하고 중단한다. If you have a P n = P u u∈U exist, ignore the AM and stopped. 그렇지 않은 경우에는 단계4를 수행한다. Otherwise, it performs step 4.

단계4. Step 4. P n ⊇P u 인 u∈U가 존재한다면, P n 을 구성하는 라우터들을 통해 RPFM을 t n 으로, SPFM을 t u 로 보낸다. P n ⊇P if u is the u∈U present, the RPFM to t n via a router constituting the P n, and sends the SPFM as t u. 그렇지 않은 경우에는 단계5를 수행한다. Otherwise, perform step 5.

단계5. Step 5. P n 을 구성하는 라우터들을 통해서 RPFM을 t n 으로 보낸다. Through the routers constituting the P n spends RPFM to t n.

<말단 라우터가 t n 으로부터 전송된 APFM을 받았을 때의 처리 과정> <Processing procedure when the terminal receives a Router APFM transmitted from t n>

단계1. Step 1. U를 U∪{n}으로 갱신한다. It updates the U to U∪ {n}.

<말단 라우터가 t n 으로부터 전송된 IPFM을 받았을 때의 처리 과정> <Processing procedure when the terminal receives a Router IPFM transmitted from t n>

단계1. Step 1. U를 U-{n}으로 갱신한다. The U is updated to the U- {n}.

이상 살펴본 바와 같이, 본 발명은 DDoS 공격을 대량의 트래픽으로 인한 혼잡 상항으로 보아 출력 큐를 싱글 큐잉 모델로 디자인하고 출력 큐의 패킷 손실 확률을 이용하여 DDoS 공격을 탐지하기 때문에, 패킷 손실율을 이용하는 기존의 방법에 비해 빠른 공격 탐지가 가능하다. As seen from the foregoing, conventional invention using the packet loss rate due to detecting DDoS attacks to design the bore print queue congestion situation due to the DDoS attack by a large amount of traffic to a single queue model using the packet loss probability of the output queue, compared to how fast it is possible to detect attacks. 또한, 네트워크 상의 라우터들이 정보를 서로 공유하고 협업함으로써 공격 근원지를 보다 정확하게 찾을 수 있다. In addition, the router on the network can share information and collaborate pinpoint the source of an attack by more.

또한, 임계치인 In addition, the threshold of

Figure 112005030462206-pat00022
를 조정함으로써 공격 탐지의 정도 및 필터링을 수행하는 라우터의 숫자 등을 조절할 수 있다. It can be controlled by adjusting the number of routers that perform such a degree of attack detection and filtering.

본 발명은 DDoS 공격의 특성을 이용하여 말단 라우터에서 공격을 탐지하고, 말단 라우터에서 가장 멀리 떨어진, 즉, 공격 근원지와 가장 가까운 라우터에서 패킷 여과를 수행할 수 있도록 함으로써, DDoS 공격을 효과적이면서 정확히 탐지하고 네트워크의 자원 손실을 최소화하면서 DDoS 공격에 대응할 수 있다. The invention by enabling the detection of attacks at the end router using the characteristic of the DDoS attack, and performing packet filtering on the nearest router and farthest from, that is, the attack source at the end router, effective and accurate detection of DDoS attacks and it can cope with DDoS attacks while minimizing the loss of resources in the network.

또한, 본 발명에 의하면, 단일 서버 큐잉 모델을 이용함으로써, 기존의 패킷 손실율을 이용한 다른 기법들에 비해, 네트워크의 패킷 손실이 일어나거나 네트워크가 마비되기 전에 보다 빠른 공격 탐지가 가능하다. According to the present invention, by using a single-server queuing model, compared to other techniques using conventional packet loss, packet loss in the network is up, or it is possible to faster detect attacks before the network is paralyzed.

또한, 네트워크 상의 라우터들이 정보를 서로 공유하고 협업함으로써 실질적 인 공격 근원지를 보다 정확하게 추적하는 것이 가능하고, 간단한 파라미터를 조정하는 것만으로 공격 근원지 탐색 및 방어 수준을 조절하는 것이 가능하다. It is also possible that the router on the network to share information with each other and substantially of possible to more accurately track the attack source, and control the attack and defense levels source search by simply adjusting the parameters by simple collaboration.

Claims (5)

  1. 광대역 네트워크에 있어서의 분산 서비스 거부(DDoS) 공격 탐지 및 대응 방법에 있어서, In a distributed denial of service (DDoS) attack detection and response method in a broadband network,
    (1) 각 라우터에서 출력 큐의 패킷 손실 확률을 구하는 단계와, (1) calculating the packet loss probability of the output queues at each router and,
    (2) 출력 큐의 손실 확률이 소정의 임계치 이상이거나 또는 상기 출력 큐로 들어오는 패킷의 도착률과 출력 큐의 대역폭의 비가 1 이상인 경우, 상기 출력 큐의 라우터가 하류측 라우터들에게 혼잡 상황임을 알리는 경고 메시지를 보내는 단계; (2) a warning message loss probability of the output queue, indicating that more than a predetermined threshold value or or the output queue, the router is congested to the downstream router status of the print queue, if more than the bandwidth of the arrival rate to the output of the incoming packet queue ratio of 1 sending a;
    (3) 상기 경고 메시지를 공격 대상을 포함하고 있는 말단 라우터로 전송하는 단계; (3) transmitting to the terminal the router, which includes the attack to the alert message;
    (4) 상기 말단 라우터가 상기 경고 메시지를 기초로 공격 경로를 재구성하는 단계; (4) a step of the end router reconfiguration attack vectors based on the warning message; And
    (5) 상기 말단 라우터가 상기 재구성된 공격 경로 중 상기 말단 라우터로부터 가장 멀리 떨어진 라우터들에게 패킷 여과를 요청하는 메시지를 보내는 단계를 포함하는 방법. (5) process comprising the step of sending a message requesting a packet filtering router to the farthest from the terminal of the router is the router terminal the reconstructed attack vector.
  2. 제1항에 있어서, According to claim 1,
    상기 단계(1)의 상기 출력 큐의 패킷 손실 확률은, Packet loss probability of the output queue of the step (1),
    Figure 112006078234611-pat00023
    인 방법. Way.
    여기서, here,
    Figure 112006078234611-pat00024
    , K는 j번째 출력 큐의 용량, λ j 는 j번째 출력 큐에 들어가는 패킷의 도착률이고, μ j 는 j번째 출력 큐의 대역 폭. , K is the capacity of the j-th output queue, λ j is the arrival rate of the packets entering the j-th output queue, μ j is the band width of the j-th output queue.
  3. 제1항에 있어서, According to claim 1,
    상기 경고 메시지는 라우터의 네트워크의 주소를 포함하는 방법. Wherein the alert message includes the address of the router's network.
  4. 제1항에 있어서, According to claim 1,
    상기 단계 (4)에서 상기 출력 큐의 패킷 손실 확률이 상기 소정의 임계치보다 작아질 때 까지 패킷 여과를 수행하고, The packet loss probability of the output queue to perform the packet filtering until it becomes smaller than the predetermined threshold value in said step (4),
    (5) 상기 출력 큐의 패킷 손실 확률이 상기 소정의 임계치보다 작아지면 패킷 여과가 종료되었음을 알리는 메시지를 주변 라우터로 전송하는 단계를 더 포함 하는 방법. 5, the method further comprising: sending a message indicating that the packet loss probability is small when packet filtering is shut down than the predetermined threshold value of the output queue to the neighboring routers.
  5. 제4항에 있어서, (5-1) 상기 말단 라우터가 그로부터 가장 멀리 떨어진 라우터로부터 상기 패킷 여과가 종료되었음을 알리는 메시지를 수신하면, 공격 경로를 재구성하는 단계를 더 포함하는 방법. 5. The method of claim 4, 5-1, the method further comprising: upon receiving the message, the end router indicating that the packet is filtered from the end from which the remote router, the attack reconstruction path.
KR20050049207A 2005-06-09 2005-06-09 DDoS Detection and Packet Filtering Scheme KR100733830B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20050049207A KR100733830B1 (en) 2005-06-09 2005-06-09 DDoS Detection and Packet Filtering Scheme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20050049207A KR100733830B1 (en) 2005-06-09 2005-06-09 DDoS Detection and Packet Filtering Scheme

Publications (2)

Publication Number Publication Date
KR20060130892A KR20060130892A (en) 2006-12-20
KR100733830B1 true KR100733830B1 (en) 2007-07-02

Family

ID=37811032

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20050049207A KR100733830B1 (en) 2005-06-09 2005-06-09 DDoS Detection and Packet Filtering Scheme

Country Status (1)

Country Link
KR (1) KR100733830B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101081993B1 (en) * 2009-07-21 2011-11-09 (주) 세인트 시큐리티 Method and System for Protecting Internal Network by Using Traffic Control by Terminal, and Recording Medium for Recording Programs for Realizing the Same
KR101381606B1 (en) 2013-05-28 2014-04-14 아주대학교산학협력단 Content centric network node and method of detecting denial of service therein
KR101444899B1 (en) 2012-07-12 2014-09-26 건국대학교 산학협력단 Detection System and Method for DCH starvation DoS attack in 3G

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8402538B2 (en) 2008-12-03 2013-03-19 Electronics And Telecommunications Research Institute Method and system for detecting and responding to harmful traffic

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040039552A (en) * 2002-11-02 2004-05-12 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR20040039521A (en) * 2002-11-01 2004-05-12 한국전자통신연구원 Method of spoofing attack system detection through network packet monitoring
KR20050018950A (en) * 2002-07-29 2005-02-28 인터내셔널 비지네스 머신즈 코포레이션 Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
KR20050098603A (en) * 2004-04-08 2005-10-12 홍충선 Method for defending distributed denial of service using active router

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050018950A (en) * 2002-07-29 2005-02-28 인터내셔널 비지네스 머신즈 코포레이션 Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks
KR20040039521A (en) * 2002-11-01 2004-05-12 한국전자통신연구원 Method of spoofing attack system detection through network packet monitoring
KR20040039552A (en) * 2002-11-02 2004-05-12 한국전자통신연구원 Attacker traceback and isolation system and method in security network
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
KR20050098603A (en) * 2004-04-08 2005-10-12 홍충선 Method for defending distributed denial of service using active router

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
1020040039521
1020040039552
1020050018950
1020050066049
1020050098603

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101081993B1 (en) * 2009-07-21 2011-11-09 (주) 세인트 시큐리티 Method and System for Protecting Internal Network by Using Traffic Control by Terminal, and Recording Medium for Recording Programs for Realizing the Same
KR101444899B1 (en) 2012-07-12 2014-09-26 건국대학교 산학협력단 Detection System and Method for DCH starvation DoS attack in 3G
KR101381606B1 (en) 2013-05-28 2014-04-14 아주대학교산학협력단 Content centric network node and method of detecting denial of service therein

Also Published As

Publication number Publication date
KR20060130892A (en) 2006-12-20

Similar Documents

Publication Publication Date Title
CN101572701B (en) Security gateway system for resisting DDoS attack for DNS service
AU2004282937B2 (en) Policy-based network security management
US7478429B2 (en) Network overload detection and mitigation system and method
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
US7607170B2 (en) Stateful attack protection
KR20100118836A (en) System for avoiding distributed denial of service attack, load distributing system and cache server
US7444404B2 (en) Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
US20090182867A1 (en) Method and apparatus for identifying a packet
US9392002B2 (en) System and method of providing virus protection at a gateway
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
EP2343864A2 (en) High availability for network security devices
US7725939B2 (en) System and method for identifying an efficient communication path in a network
JP5411134B2 (en) Method and mechanism for port redirection in a network switch
JP4545647B2 (en) Attack detection / protection system
JP4557815B2 (en) Relay device and relay system
KR100456635B1 (en) Method and system for defensing distributed denial of service
KR20140037052A (en) Methods and systems for detecting and mitigating a high-rate distributed denial of service (ddos) attack
US7308715B2 (en) Protocol-parsing state machine and method of using same
US20040111531A1 (en) Method and system for reducing the rate of infection of a communications network by a software worm
CN1771709B (en) Network attack signature generation method and apparatus
US20040148520A1 (en) Mitigating denial of service attacks
KR101077135B1 (en) Apparatus for detecting and filtering application layer DDoS Attack of web service
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
US7797749B2 (en) Defending against worm or virus attacks on networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120524

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130626

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee