KR100777751B1 - 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램 - Google Patents

서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램 Download PDF

Info

Publication number
KR100777751B1
KR100777751B1 KR20067008944A KR20067008944A KR100777751B1 KR 100777751 B1 KR100777751 B1 KR 100777751B1 KR 20067008944 A KR20067008944 A KR 20067008944A KR 20067008944 A KR20067008944 A KR 20067008944A KR 100777751 B1 KR100777751 B1 KR 100777751B1
Authority
KR
South Korea
Prior art keywords
signature
packet
defense
request information
communication device
Prior art date
Application number
KR20067008944A
Other languages
English (en)
Other versions
KR20060076325A (ko
Inventor
마사키 하마다
Original Assignee
니폰덴신뎅와 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 니폰덴신뎅와 가부시키가이샤 filed Critical 니폰덴신뎅와 가부시키가이샤
Publication of KR20060076325A publication Critical patent/KR20060076325A/ko
Application granted granted Critical
Publication of KR100777751B1 publication Critical patent/KR100777751B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

LAN(2)에 설치되고, LAN(2)에 접속된 적어도 1개의 통신기기(3)에 ISP 망(4)을 거쳐서 송신된 패킷을 감시하는 감시장치(5)와, ISP 망(4)안에 설치되고, LAN(2)을 향하는 패킷을 제한하는 제한 장치(6)를 구비하고, 감시장치(5)는, 통신기기(3)에 대한 패킷에 의한 공격을 검지하고, 검지된 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치(6)에 송신하고, 제한 장치(6)는, 방어 요구 정보에 기초하여 ISP 망(4)을 거쳐서 통신기기(3)에 송신되는 패킷을 제한한다.
서비스 불능 공격, 패킷 제한, 공격 검지, 방어 요구, 통신 비밀

Description

서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램{SERVICE DISABLING ATTACK PROTECTING SYSTEM, SERVICE DISABLING ATTACK PROTECTING METHOD, AND SERVICE DISABLING ATTACK PROTECTING PROGRAM}
본 발명은, 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP(Internet Service Provider) 망을 거쳐서 통신기기에 송신된 패킷을 감시하는 감시장치 및 ISP 망에 설치되어 이러한 LAN(Local Area Network)을 향하는 패킷을 제한하는 제한 장치에서 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램에 관한 것으로서, 특히, 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있는 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램에 관한 것이다.
종래, 네트워크를 통한 공격으로서 서비스 불능 공격(분산형 서비스 불능 공격을 포함한다)이 알려져 있다. 이러한 서비스 불능 공격으로부터 통신기기를 방어하는 서비스 불능 공격 방어 시스템에서는, 공격 대상이 되는 서버 머신(이하 「통신기기」라고 한다)을, ISP 망에 설치된 에지 라우터가 방어하게 된다. 구체적으로는, 서비스 불능 공격의 1가지인 SYN Flood 공격으로 보호하기 위해서, 공격 대상이 되는 통신기기를 포함하는 LAN과 접속되어 있는 ISP 망의 에지 라우터는, LAN의 출구 회선에서, 이러한 통신기기를 송신처로 하는 SYN 패킷의 트래픽량에 대하여 임계값을 설정하고, 이 임계값을 초과한 부분의 SYN 패킷을 폐기하고 있었다(예를 들면, 특허문헌1 참조).
특허문헌 1: 일본국 특개 2004-166029호 공보
(발명의 개시)
(발명이 이루고자 하는 기술적 과제)
그렇지만, 종래의 서비스 불능 공격 방어 시스템에 있어서는, ISP측에서 통신기기에 송신되는 패킷의 내용을 감시·판단하여 제어할 필요가 있지만, 공격인가 아닌가는 정보의 해석이 필요해서 수취인이 아니면 판단할 수 없을 경우가 많기 때문에, 통신의 비밀준수나 원래 업무의 범위를 일탈하지 않도록 할 필요성에서, 공격이 미리 자명한 일부의 케이스를 제외하고 ISP측에서 실시하는데에는 한계가 있다고 하는 과제가 있었다.
본 발명은, 전술한 종래기술에 의한 문제점을 해소하기 위해 이루어진 것으로, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있는 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램을 제공하 는 것을 목적으로 한다.
(발명의 구성)
전술한 과제를 해결하고, 목적을 달성하기 위하여, 본 발명은, 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP 망을 거쳐서 상기 통신기기에 송신된 패킷을 감시하는 감시장치 및 상기 ISP 망에 설치되어 상기 LAN을 향하는 패킷을 제한하는 제한 장치로 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 시스템으로서, 상기 감시장치는, 상기 통신기기에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 수단과, 상기 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 상기 제한 장치에 송신하는 방어 요구 정보 송신 수단을 구비하고, 상기 제한 장치는, 상기 방어 요구 정보에 기초하여 상기 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 패킷 제한 수단을 구비한 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 패킷에 의한 공격을 검지하고 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 감시장치로부터 받은 방어 요구 정보에 기초하여 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 것으로 했으므로, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 감시장치는, 상기 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하는 시그니쳐 생성 수단을 더 구비하고, 상기 방어 요구 정보 송신 수단은, 상기 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 제한 장치의 상기 패킷 제한 수단은, 상기 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하고, 생성된 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 수신한 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 공격을 행하는 패킷의 특징을 나타내는 시그니쳐에 기초하여 제한 장치에서 통신기기에 송신되는 패킷을 제한할 수 있어, 이에 따라 ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 제한 장치는, 상기 시그니쳐를 포함하는 상기 방어 요구 정보가 적정한 것인가 아닌가를 판단하는 시그니쳐 판단 수단을 더 구비하고, 상기 패킷 제한 수단은, 상기 시그니쳐 판단 수단에 의해 적정하다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하지 않는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하여, 적정하다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하지 않는 것으로 했으므로, 시그니쳐가 적정한 것이 아니었을 경우에는, 패킷의 제한이 행해지지 않기 때문에, 다른 LAN에 송신되는 패킷 등과 같은 감시장치측에서 제한을 요구해서는 안되는 패킷이 제한 장치에 의해 제한되는 것을 방지할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 제한 장치는, 상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하는 리포트 생성 수단과, 상기 리포트를 상기 감시장치에 송신하는 리포트 송신 수단을 더 구비하고, 상기 시그니쳐 생성 수단은, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 수단은, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 수단은, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하여, 생성된 리포트를 감시장치에 송신하고, 감시장치는, 받은 리포트에 기초하여 새로운 시그니쳐를 생성해서 새로운 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 새로운 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 통신기기에 대한 공격이 있었을 경우에 공격의 의심이 있는 패킷을 제한하고, 그후에 리포트에 기초하여 공격하는 패킷을 특정해서 통신기기에 대한 공격을 행하지 않는 패킷의 제한을 해제할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 제한 장치는, 상기 방어 요구 정보를 상기 ISP 망에 설치된 다른 상기 제한 장치에 전송하는 전송 수단을 더 구비하고, 상기 전송 수단은, 상기 리포트 생성수단에 의해 생성된 리포트에 기초하여 전송의 가부를 판단하여, 전송이 필요하다고 판단하면 상기 방어 요구 정보를 다른 상기 제한 장치에 전송하는 것을 특징으로 한다.
본 발명에 따르면, 제한장치가 리포트 생성수단에 의해 생성된 리포트에 기초하여 전송의 가부를 판단하고, 전송이 필요하다고 판단하면 방어 요구 정보를 다른 제한 장치에 전송하는 것으로 했으므로, 감시장치가 이러한 리포트에 기초하여 원래 제한해야 하지 않는 패킷의 통과 제한 해제를 제한 장치에 의뢰함으로써, 제한 장치가 행하는 통과 제한을 더욱 적정화할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 제한 장치는, 상기 시그니쳐 판단 수단의 판단 결과를 상기 감시장치에 송신하는 판단 결과 송신 수단을 더 구비하고, 상기 감시장치의 상기 시그니쳐 생성 수단은, 상기 판단 결과가 상기 시그니쳐는 적정하지 않은 것을 나타내는 경우에, 상기 판단 결과에 기초하여 상기 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 새로운 시그니쳐를 생성하는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐 판단의 판단 결과를 감시장치에 송신하고, 감시장치는, 받은 판단 결과가 시그니쳐는 적정하지 않은 것을 나타내는 경우에, 이 판단 결과에 기초하여 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 새로운 시그니쳐를 생성하는 것으로 했으므로, 제한 장치가 부적정한 통과 제한을 실행하는 것을 방지할 수 있다.
또한, 본 발명은, 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP 망을 거쳐서 상기 통신기기에 송신된 패킷을 감시하는 감시장치 및 상기 ISP 망에 설치되어 상기 LAN을 향하는 패킷을 제한하는 제한 장치로 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 방법으로서, 상기 감시장치가 상기 통신기기에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 공정과, 상기 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 상기 제한 장치에 송신하는 방어 요구 정보 송신 공정과, 상기 방어 요구 정보에 기초하여 상기 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 패킷 제한 공정을 포함하는 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 패킷에 의한 공격을 검지하여 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 감시장치로부터 받은 방어 요구 정보에 기초하여 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 것으로 했으므로, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 상기 감시장치가 생성하는 시그니쳐 생성 공정을 더 포함하고, 상기 방어 요구 정보 송신 공정은, 상기 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 공정은, 상기 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하여, 생성된 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 받은 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 공격을 행하는 패킷의 특징을 나타내는 시그니쳐에 기초하여 제한 장치에서 통신기기에 송신되는 패킷을 제한할 수 있어, 이에 따라 ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 시그니쳐를 포함하는 상기 방어 요구 정보가 적정한가 아닌가를 상기 제한 장치가 판단하는 시그니쳐 판단 공정을 더 포함하고, 상기 패킷 제한 공정은, 상기 시그니쳐 판단 공정에 의해 적정하다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하지 않는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하여, 적정하다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하지 않는 것으로 했으므로, 시그니쳐가 적정한 것이 아니었을 경우에는, 패킷의 제한이 행해지지 않기 때문에, 다른 LAN에 송신되는 패킷 등과 같이 감시장치측에서 제한을 요구해서는 안되는 패킷이 제한 장치에 의해 제한되는 것을 방지할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 상기 제한 장치가 생성하는 리포트 생성 공정과, 상기 리포트를 상기 감시장치에 송신하는 리포트 송신 공정을 더 포함하고, 상기 시그니쳐 생성 공정은, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 공정은, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 공정은, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하여, 생성된 리포트를 감시장치에 송신하고, 감시장치는, 받은 리포트에 기초하여 새로운 시그니쳐를 생성해서 새로운 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 새로운 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 통신기기에 대한 공격이 있었을 경우에 공격의 의심이 있는 패킷을 제한하고, 그후에 리포트에 기초하여 공격하는 패킷을 특정해서 통신기기에 대한 공격을 행하지 않는 패킷의 제한을 해제할 수 있다.
또한, 본 발명은, 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP 망을 거쳐서 상기 통신기기에 송신된 패킷을 감시하는 감시장치 및 상기 ISP 망에 설치되어 상기 LAN을 향하는 패킷을 제한하는 제한 장치로 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 프로그램으로서, 상기 감시장치가 상기 통신기기에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 절차와, 상기 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 상기 제한 장치에 송신하는 방어 요구 정보 송신 절차와, 상기 방어 요구 정보에 기초하여 상기 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 패킷 제한 절차를 컴퓨터에서 실행시키는 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 패킷에 의한 공격을 검지해서 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 감시장치로부터 받은 방어 요구 정보에 기초하여 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 것으로 했으므로, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 상기 감시장치가 생성하는 시그니쳐 생성 절차를 더 포함하고, 상기 방어 요구 정보 송신 절차는, 상기 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 절차는, 상기 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 감시장치가 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하여, 생성된 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 받은 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 공격을 행하는 패킷의 특징을 나타내는 시그니쳐에 기초하여 제한 장치에서 통신기기에 송신되는 패킷을 제한할 수 있어, 이에 따라 ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 시그니쳐를 포함하는 상기 방어 요구 정보가 적정한가 아닌가를 상기 제한 장치가 판단하는 시그니쳐 판단 절차를 더 포함하고, 상기 패킷 제한 절차는, 상기 시그니쳐 판단 절차에 의해 적정하다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하지 않는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하여, 적정하다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하지 않는 것으로 했으므로, 시그니쳐가 적정한 것이 아니었을 경우에는, 패킷의 제한이 행해지지 않기 때문에, 다른 LAN에 송신되는 패킷 등과 같이 감시장치측에서 제한을 요구해서는 안되는 패킷이 제한 장치에 의해 제한되는 것을 방지할 수 있다.
또한, 본 발명은, 상기 발명에 있어서, 상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 상기 제한 장치가 생성하는 리포트 생성 절차와, 상기 리포트를 상기 감시장치에 송신하는 리포트 송신 절차를 더 포함하고, 상기 시그니쳐 생성 절차는, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 절차는, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상 기 제한 장치에 송신하고, 상기 패킷 제한 절차는, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 한다.
본 발명에 의하면, 제한 장치가 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하여, 생성된 리포트를 감시장치에 송신하고, 감시장치는, 받은 리포트에 기초하여 새로운 시그니쳐를 생성해서 새로운 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 새로운 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 통신기기에 대한 공격이 있었을 경우에 공격의 의심이 있는 패킷을 제한하고, 그후에 리포트에 기초하여 공격하는 패킷을 특정해서 통신기기에 대한 공격을 행하지 않는 패킷의 제한을 해제할 수 있다.
(발명의 효과)
본 발명에 의하면, 감시장치가 통신기기에 대한 패킷에 의한 공격을 검지해서 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 감시장치로부터 받은 방어 요구 정보에 기초하여 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 것으로 했으므로, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명에 의하면, 감시장치가 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하여, 생성된 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 받은 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 공격을 행하는 패킷의 특징을 나타내는 시그니쳐에 기초하여 제한 장치에서 통신기기에 송신되는 패킷을 제한할 수 있어, 이에 따라 ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기를 방어할 수 있다.
또한, 본 발명에 의하면, 제한 장치가 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하여, 적정하다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하지 않는 것으로 했으므로, 시그니쳐가 적정한 것이 아니었을 경우에는, 패킷의 제한이 행해지지 않기 때문에, 다른 LAN에 송신되는 패킷 등과 같이 감시장치측에서 제한을 요구해서는 안되는 패킷이 제한 장치에 의해 제한되는 것을 방지할 수 있다.
또한, 본 발명에 의하면, 제한 장치가 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하여, 생성된 리포트를 감시장치에 송신하고, 감시장치는, 받은 리포트에 기초하여 새로운 시그니쳐를 생성해서 새로운 시그니쳐를 포함하는 방어 요구 정보를 제한 장치에 송신하고, 제한 장치는, 새로운 시그니쳐에 해당하는 통신기기를 향한 패킷을 제한하는 것으로 했으므로, 통신기기에 대한 공격이 있었을 경우에 공격의 의심이 있는 패킷을 제한하고, 그후에 리포트에 기초하여 공격하는 패킷을 특정해서 통신기기에 대한 공격을 행하지 않는 패킷의 제한을 해제할 수 있다.
또한, 본 발명에 의하면, 제한 장치가 리포트 생성수단에 의해 생성된 리포트에 기초하여 전송의 가부를 판단하여, 전송이 필요하다고 판단하면 방어 요구 정보를 다른 제한 장치에 전송하는 것으로 했으므로, 감시장치가 이러한 리포트에 기초하여 원래 제한하지 않아야 하는 패킷의 통과 제한 해제를 제한 장치에 의뢰함으로써, 제한 장치가 행하는 통과 제한을 더욱 적정화할 수 있다.
또한, 본 발명에 의하면, 제한 장치가 시그니쳐 판단의 판단 결과를 감시장치에 송신하고, 감시장치는, 받은 판단 결과가 시그니쳐는 적정하지 않은 것을 나타내는 경우에, 이 판단 결과에 기초하여 통신기기에 대한 공격을 행하는 패킷의 특징을 나타내는 새로운 시그니쳐를 생성하는 것으로 했으므로, 제한 장치가 부적정한 통과 제한을 실행하는 것을 방지할 수 있다.
도1은 본 실시예에 따른 서비스 불능 공격 방어 시스템의 구성을 나타내는 블록도이다.
도2는, 도1에 나타낸 감시장치의 구성을 나타내는 블록도이다.
도3은, 본 실시예에 따른 공격 검지 조건의 일례를 도시한 도면이다.
도4는, 도1에 나타낸 제한 장치의 구성을 나타내는 블록도이다.
도5는, 도2에 나타낸 감시장치의 공격 검지 동작을 나타내는 흐름도이다.
도6은, 도4에 나타낸 제한 장치의 방어 요구 정보 수신 동작을 나타내는 흐름도이다.
도7은, 도4에 나타낸 제한 장치의 리포트 송신 동작을 나타내는 흐름도이다.
(부호의 설명)
1: 서비스 불능 공격 방어 시스템
2: LAN
3: 통신기기
4: ISP 망
5: 패킷 감시장치
6, 8, 9: 패킷 제한 장치
7: 전송로
10: 공격 검지부
11: 방어 요구 정보 송신부
12: 시그니쳐 생성부
13, 14, 26, 27: 통신 인터페이스
15, 28: 스위치
20: 패킷 제한부
21: 방어 요구 정보 전송부
22: 시그니쳐 판단부
23: 판단 결과 송신부
24: 리포트 생성부
25: 리포트 송신부
이하에 첨부된 도면을 참조하여, 이 발명에 따른 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램의 적합한 실시예를 상세하게 설명한다.
실시예
도1은, 본 실시예에 따른 서비스 불능 공격 방어 시스템(1)의 구성을 나타낸 블록도이다. 동 도면에 나타낸 서비스 불능방어 시스템(1)은, 통신기기(3)에의 서비스 불능 공격을 감시장치(5) 및 제한 장치(6)로 방어하는 시스템이다. 구체적으로는, LAN(2) 상의 감시장치(5)가 통신기기(3)에의 서비스 불능 공격을 검지하면(도1의 스텝 1), 공격의 특징을 나타내는 시그니쳐를 생성해서 이러한 시그니쳐를 포함하는 방어 요구 정보를 ISP 망(4) 상의 제한 장치(6)에 송신한다(도1의 스텝 2). 그리고, 방어 요구 정보를 수신한 제어장치(6)는, 방어 요구 정보에 포함되는 시그니쳐에 기초하여 서비스 불능 공격을 행하는 패킷의 통과를 제한함으로써 방어를 실행하는(도1의 스텝3) 것으로 하고 있다.
종래, ISP 망(4) 상의 제한 장치(6)에서는, 공격으로 생각되는 패킷이 통과한 경우라도, 공격인가 아닌가는 패킷에 포함되는 정보의 해석이 필요해서 수신자가 아니면 판단할 수 없는 경우가 많기 때문에, ISP 망(4)을 운영하는 ISP는, 통신의 비밀준수나 원래 업무의 범위를 일탈하지 않도록 할 필요성에서, 공격이 미리 자명한 일부의 케이스를 제외하고, 이러한 패킷의 제한을 행할 수 없다고 하는 문 제가 있었다. 본 실시예에서는, 패킷에 포함되는 정보의 해석을 LAN(2) 상의 감시장치(5)가 행하여, 감시장치(5)가 검출한 공격 패킷의 통과 제한을 ISP 망(4) 상의 제한 장치(6)가 행하는 것으로 하고 있다. 이 때문에, 본 실시예에 의하면, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위 내에서 통신장치(3)를 공격하는 패킷을 효과적으로 제한할 수 있다.
또한, 이러한 제한 장치(6)는, 감시장치(5)가 검출한 공격 패킷의 통과 제한을 행했을 경우에, 이 통과 제한의 내용을 나타내는 리포트를 감시장치(5)에 송신하는 것으로 하고 있다. 이 때문에, 감시장치(5)가 이러한 리포트에 기초하여 원래 제한하지 않아야 할 패킷의 통과 제한 해제를 제한 장치(6)에 의뢰함으로써, 제한 장치(6)가 행하는 통과 제한을 보다 적정화할 수 있다.
더구나, 이러한 제한 장치(6)는, 감시장치(5)로부터 패킷의 통과 제한을 의뢰받은 경우에, 의뢰 내용이 적정한 것에 대해서만 통과 제한을 실행하는 것으로 하고 있다. 이 때문에, 제한 장치(6)가 부적정한 통과 제한을 실행하는 것을 방지할 수 있다.
다음에, 이 서비스 불능 공격 방어 시스템(1)의 시스템 구성에 관하여 설명한다. 도1에 나타낸 것과 같이, 이 서비스 불능 공격 방어 시스템(1)은, 중소기업 내에 설치된 LAN(2)에 설치되어, LAN(2)에 접속된 적어도 1개의 통신기기(3)에 기간회선망 등의 ISP 망(4)을 거쳐서 송신된 패킷을 감시하는 감시장치(5)와, LAN(2)을 ISP 망(4)에 접속하는 제한 장치(6)를 구비하고 있다. 또한, 도1에 나타낸 서비스 불능 공격 방어 시스템(1)의 구성은 일례를 나타낸 것으로, 본 발명의 서비스 불능 공격 방어 시스템은, 복수의 제한 장치(6)를 구비해도 되고, 각 제한 장치(6)에 대하여 복수의 감시장치(5)를 각각 구비해도 된다.
감시장치(5)는, LAN(2)을 구성하는 라우터에 의해 구성되어 있다. 또한, 감시장치(5)는, LAN(2)에 설치된 파이어월 등으로 구성해도 된다.
도2는, 도1에 나타낸 감시장치(5)의 구성을 나타내는 블록도이다. 감시장치(5)는, 통신기기(3)에 송신되는 패킷에 의한 공격을 검지하는 공격 검지부(10)와, 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치(6)에 송신하는 방어 요구 정보 송신부(11)와, 통신기기(3)에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐를 생성하는 시그니쳐 생성부(12)와 제한 장치(6) 및 LAN(2)에 설치된 각 장치와 각각 통신을 행하기 위한 통신 인터페이스(13, 14)와, 패킷을 라우팅하기 위한 스위치(15)를 구비하고 있다.
공격 검지부(10)는, 미리 설정된 공격 검지 조건에 기초하여 공격을 검지하는 처리부이다. 도3은, 공격 검지 조건의 일례를 나타낸 도면이다. 도3에 있어서, 공격 검지 조건은, 검지 속성, 검지 임계값 및 검지 시간의 세트로 이루어진 3세트의 레코드로 구성된다. 검지 속성은, 검지 대상으로 하는 패킷의 속성을 나타내고, 검지 임계값은, 검지 대상이 되는 패킷의 전송 레이트의 임계값을 나타내며, 검지 시간은, 검지 대상이 되는 패킷의 전송 레이트가 검지 임계값을 초과하는 시간의 임계값을 나타내고 있다.
예를 들면, 1번째의 검지 조건은, 수신처의 어드레스 정보가 192.168.1.1이고(Dst=192.168.1.1/32), 트랜스포트층의 프로토콜이 TCP(Transmission Control Protocol)이며(Protocol=TCP), TCP 포트 번호가 80인(Port=80) 패킷이 검지 대상이 되고, 이 검지 대상의 패킷의 전송 레이트가 500kbps를 초과한 상태가 10초 이상 계속되었을 경우에는, 검지 대상의 패킷에 의한 공격으로서 검지된다.
마찬가지로, 2번째의 검지 조건은, 수신처의 어드레스 정보가 192.168.1.2이고(Dst=192.168.1.2/32), 트랜스포트층의 프로토콜이 UDP(User datagram protocol)인(Protocol=UDP) 패킷이 검지 대상이 되며, 이 검지 대상의 패킷의 전송 레이트가 300kbps를 초과한 상태가 10초 이상 계속되었을 경우에는, 검지 대상의 패킷에 의한 공격으로서 검지된다.
또한, 3번째의 검지 조건은, 수신처의 어드레스 정보가 192.168.1.0∼192.168.1.255의 범위 내인(Dst=192.168.1.0/24) 패킷이 검지 대상이 되고, 이 검지 대상의 패킷의 전송 레이트가 1Mbps를 초과한 상태가 20초 이상 계속되었을 경우에는, 검지 대상의 패킷에 의한 공격으로서 검지된다.
이와 같이, 검지 대상의 패킷에 의한 공격이 공격 검지부(10)에 의해 검지되면, 시그니쳐 생성부(12)는, 검지 대상의 패킷의 특징을 나타내는 시그니쳐를 생성하도록 되어 있다. 예를 들면, 도3에 있어서의 공격 검지 조건의 1번째의 검지 조건에 맞는 공격이 검지되었을 경우에는, 시그니쳐 생성부(12)는, 수신처의 어드레스 정보가 192.168.1.1이고, 트랜스포트층의 프로토콜이 TCP이며, TCP 포트 번호가 80인 패킷을 나타내는 시그니쳐를 생성한다. 이때, 시그니쳐는, 대상이 되는 패킷 에 대한 제어 방법으로서 셰이핑이나 필터링 등의 처리의 지정이나, 이 처리에 관한 파라미터 등을 포함하도록 하여도 된다.
방어 요구 정보 송신부(11)는, 시그니쳐 생성부(12)에 의해 생성된 시그니쳐를 포함하며, 공격에 대한 방어의 요구를 나타내는 방어 요구 정보를 제한 장치(6)에 송신하는 처리부이다. 또한, 이 방어 요구 정보 송신부(11)는, 자장치가 정규의 감시장치(5)인 것을 나타내는 증명서를 상기한 방어 요구 정보에 포함시켜서 송신한다. 이렇게, 방어 요구 정보에 증명서를 포함시킴으로써, 비정규의 장치에 의한 위장하기(spoofing)를 방지할 수 있다. 또한, 방어 요구 정보 송신부(11)는, 패킷이 송수신되는 전송로(7)와는 다른 통신 경로로 방어 요구 정보를 송신하도록 하여도 된다.
도1에 나타낸 제한 장치(6)는, LAN(2)을 ISP 망(4)에 접속하는 에지 라우터에 의해 구성되어 있다. 또한, 여기에서는 설명의 편의상 제한 장치(6)의 구성을 설명하지만, 다른 제한 장치 8∼9에 관해서도 제한 장치 6과 마찬가지로 구성되어 있다.
도4는, 도1에 나타낸 제한 장치(6)의 구성을 나타내는 블록도이다. 이 제한 장치(6)는, 방어 요구 정보에 기초하여 ISP 망(4)을 거쳐서 통신기기(3)에 송신되는 패킷을 제한하는 패킷 제한부(20)와, 방어 요구 정보를 다른 패킷 제한 장치에 전송하는 방어 요구 정보 전송부(21)와, 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하는 시그니쳐 판단부(22)와, 시그니쳐 판단부(22)에 의한 판단 결과를 감시장치(5)에 송신하는 판단 결과 송신부(23)와, 시그니쳐에 적합한 패킷의 특징과 양에 관한 리포트를 생성하는 리포트 생성부(24)와, 리포트를 감시장치(5)에 송신하는 리포트 송신부(25)와, 감시장치(5) 및 ISP 망(4)에 설치된 각 장치와 각각 통신을 행하기 위한 통신 인터페이스(26, 27)와, 패킷을 라우팅하기 위한 스위치(28)를 구비하고 있다.
시그니쳐 판단부(22)는, 감시장치(5)에서 송신된 방어 요구 정보에 포함되는 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가를 판단하는 처리부이다. 여기에서, 시그니쳐 판단부(22)는, 다른 LAN에 송신되는 패킷 등과 같은 감시장치(5)측에서 제한을 요구해서는 안되는 패킷이 제한 장치(6)에 의해 제한되는 것을 방지한다.
또한, 이 시그니쳐 판단부(22)는, 상기한 방어 요구 정보에 포함되는 증명서에 근거하여, 이 방어 요구 정보가 적정한가 아닌가를 판단하는 처리부이기도 하다. 예를 들면, 방어 요구 정보에 증명서가 포함되어 있지 않을 경우에는, 송신원의 감시장치(5)가 비정규의 것일 가능성이 있으므로, 이 방어 요구 정보를 부적정한 것으로 판단한다. 또한, 방어 요구 정보에 증명서가 포함되어 있을 경우라도, 이 증명서가 정당한 인증국의 인증을 받지 않고 있으면, 마찬가지로 방어 요구 정보를 부적정한 것이라고 판단한다.
패킷 제한부(20)는, 시그니쳐 판단부(22)에 의해 시그니쳐를 포함하는 방어 요구 정보가 적정한 것이라고 판단되었을 경우에는, 감시장치(5)로부터 송신된 방어 요구 정보에 포함되는 시그니쳐에 해당하는 패킷을 제한하는 처리부이다.
시그니쳐 판단부(22)에 의한 판단 결과는, 판단 결과 송신부(23)에 의해 감시장치(5)에 송신된다. 또한, 판단 결과 송신부(23)는, 패킷이 송수신되는 전송로(7)와는 다른 통신 경로로 판단 결과를 송신하도록 하여도 된다.
여기에서, 감시장치(5)의 시그니쳐 생성부(12)는, 송신된 판단 결과에 따라 시그니쳐를 재생성하도록 하여도 된다. 예를 들면, 방어 요구 정보 송신부(11)에 의해 송신된 방어 요구 정보가, 어떤 네트워크 어드레스에서 송신된 패킷의 제한을 요구하고, 이 요구가 적정한 것이 아니라고 시그니쳐 판단부(22)에 의해 판단된 판단 결과가 판단 결과 송신부(23)에 의해 송신되었을 경우에는, 시그니쳐 생성부(12)는, 공격 검지부(10)를 거쳐서 각 트래픽량을 측정하고, 전술한 네트워크 어드레스가 나타내는 네트워크 내에서 트래픽이 높은 호스트로부터 송신된 패킷을 제한하도록 시그니쳐를 재생성한다.
이때, 시그니쳐 생성부(12)에 의한 시그니쳐의 재생성은, 판단 결과 송신부(23)에 의해 송신된 판단 결과를 관찰한 LAN(2)의 관리자에 의한 오퍼레이션에 의해 행해지도록 하여도 된다.
리포트 생성부(24)는, 감시장치(5)로부터 송신된 방어 요구 정보에 포함되는 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하는 처리부이다. 예를 들면, 리포트 생성부(24)는, 시그니쳐에 해당하는 패킷의 헤더부에 포함되는 송신원의 어드레스 정보와, 해당 패킷의 전송량을 대응시키는 테이블을 포함하는 리포트를 생성한다.
리포트 생성부(24)에 의해 생성된 리포트는, 리포트 송신부(25)에 의해 감시장치(5)에 송신된다. 또한, 리포트 송신부(25)는, 패킷이 송수신되는 전송로(7)와는 다른 통신 경로로 리포트를 송신하도록 하여도 된다.
여기에서, 감시장치(5)의 시그니쳐 생성부(12)는, 송신된 리포트에 따라 시 그니쳐를 재생성한다. 또한, 이 시그니쳐 생성부(12)에 의한 시그니쳐의 재생성은, 리포트 송신부(25)에 의해 송신된 리포트를 관찰한 LAN(2)의 관리자에 의한 오퍼레이션에 의해 행해지도록 하여도 된다.
감시장치(5)의 방어 요구 정보 송신부(11)는, 시그니쳐 생성부(12)에 의해 재생성된 시그니쳐를 포함하는 방어 요구 정보를 제한 장치(6)에 재송신하고, 제한 장치(6)의 패킷 제한부(20)는, 시그니쳐 판단부(22)에 의해 시그니쳐를 포함하는 방어 요구 정보가 적정한 것이라고 판단되었을 경우에는, 감시장치(5)로부터 재송신된 방어 요구 정보에 포함되는 시그니쳐에 해당하는 패킷을 제한한다.
이와 같이, 이러한 리포트에 기초하여 시그니쳐를 재생성함으로써, 통신기기(3)에 대한 공격을 행하지 않고 있는 패킷이나, 통신기기(3)에 대한 공격을 실제로 행하고 있는 패킷 등을 특정하여, 제한 대상이 되는 패킷을 좁힌 제한을 부과해 갈 수 있다. 따라서, 통신기기(3)에 대한 공격을 행하고 있지 않아 원래 제한하지 않아야 할 패킷의 제한을 해제 할 수 있다.
방어 요구 정보 전송부(21)는, 감시장치(5)로부터 송신된 방어 요구 정보를 제한 장치(6)와 동일하게 구성된 다른 패킷 제한 장치(예를 들면, 도1에 나타낸 제한 장치(8, 9))에 전송할 것인가 아닌가를 리포트 생성부(24)에 의해 생성된 리포트에 기초하여 판단하여, 방어 요구 정보를 다른 패킷 제한 장치에 전송한다고 판단한 경우에는, 방어 요구 정보를 다른 패킷 제한 장치에 전송한다.
이상과 같이 구성된 서비스 불능 공격 방어 시스템(1)에 대해서, 도5∼도7을 사용해서 그것의 동작을 설명한다. 도5는, 도2에 나타낸 감시장치(5)의 공격 검지 동작을 나타내는 흐름도이다.
우선, 통신기기(3)에 송신되는 패킷에 의한 공격이 공격 검지부(10)에 의해 공격 검지 조건에 기초하여 검지되면(스텝 S1), 공격이 검지된 패킷의 특징을 나타내는 시그니쳐가 시그니쳐 생성부(12)에 의해 생성되어(스텝 S2), 생성된 시그니쳐를 포함하는 방어 요구 정보가 방어 요구 정보 송신부(11)에 의해 제한 장치(6)에 송신된다(스텝 S3).
여기에서, 방어 요구 정보의 송신에 따라 제한 장치(6)로부터 송신된 시그니쳐를 포함하는 방어 요구 정보가 적정한가 아닌가의 판단 결과가 통신 인터페이스(13)에 수신되고(스텝 S4), 이 판단 결과에 시그니쳐가 적정한 것이 아니라는 것이 표시되어 있을 경우(스텝 S5)에는, 이 판단 결과에 기초하여 시그니쳐 생성부(12)에 의해 시그니쳐가 재생성되어(스텝 S2), 재생성된 시그니쳐를 포함하는 방어 요구 정보가 방어 요구 정보 송신부(11)에 의해 제한 장치(6)에 재송신된다(스텝 S3).
또한, 제한 장치(6)에 의해 송신된 리포트가 통신 인터페이스(13)에 수신되었을 경우(스텝 S6)에는, 수신된 리포트에 기초하여 시그니쳐를 재생성할 것인가 아닌가가 시그니쳐 생성부(12)에 의해 판단되어(스텝 S7), 시그니쳐를 재생성한다고 판단되었을 경우에는, 리포트에 기초하여 시그니쳐 생성부(12)에 의해 시그니쳐가 재생성되어(스텝 S2), 재생성된 시그니쳐를 포함하는 방어 요구 정보가 방어 요구 정보 송신부(11)에 의해 제한 장치(6)에 재송신된다(스텝 S3).
도6은, 도4에 나타낸 제한 장치(6)의 방어 요구 정보 수신 동작을 나타내는 흐름도이다. 감시장치(5)로부터 송신된 방어 요구 정보가 통신 인터페이스(26)에 수신되면(스텝 S10), 수신된 방어 요구 정보에 포함되는 시그니쳐 및 기타 정보가 적정한가 아닌가가 시그니쳐 판단부(22)에 의해 판단된다(스텝 S11).
방어 요구 정보에 포함되는 시그니쳐 및 그 밖의 정보가 적정한 것이라고 시그니쳐 판단부(22)에 의해 판단되었을 경우에는, 시그니쳐가 패킷 제한부(20)에 설정된다(스텝 S12). 또한, 방어 요구 정보에 포함되는 시그니쳐 및 그 밖의 정보가 적정한가 아닌가의 시그니쳐 판단부(22)에 의한 판단의 결과는, 판단 결과 송신부(23)에 의해 감시장치(5)에 송신된다(스텝 S13).
도7은, 도4에 나타낸 제한 장치(6)의 리포트 송신 동작을 나타내는 흐름도이다. 패킷 제한부(20)에 시그니쳐가 설정되어 있을 경우(스텝 S20)에는, 감시장치(5)로부터 송신된 방어 요구 정보에 포함되는 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트가 리포트 생성부(24)에 의해 생성되어(스텝 S21), 생성된 리포트가 리포트 송신부(25)에 의해 감시장치(5)에 송신된다(스텝 S22).
또한, 리포트 생성부(24)에 의해 생성된 리포트에 기초하여, 통신 인터페이스(26)에 수신된 방어 요구 정보를 제한 장치(8, 9) 등의 다른 패킷 제한 장치에 전송할 것인가 아닌가가 방어 요구 정보 전송부(21)에 의해 판단되어(스텝 S23), 방어 요구 정보를 다른 패킷 제한 장치에 전송한다고 판단되었을 경우에는, 방어 요구 정보가 방어 요구 정보 전송부(21)에 의해 다른 패킷 제한 장치에 전송된다(스텝 S24).
이와 같이, 리포트 송신부(25)에 의해 송신된 리포트에 기초하여 공격의 종 료가 감시장치(5)에서 검지되고, 방어 요구 정보 송신부(11)에 의해 소정의 방어 요구 정보가 제한 장치(6)에 송신됨으로써 패킷 제한부(20)에 의한 패킷의 제한이 해제된다.
상기한 것과 같이, 서비스 불능 공격 방어 시스템(1)에 따르면, LAN(2)측에서 통신기기(3)에 대한 공격이 검지되어, 검지된 공격의 방어 요구에 기초하여 ISP 망(4)측의 제한 장치(6)로 통신기기(3)에 송신되는 패킷이 제한되기 때문에, ISP가 통신의 비밀을 준수하는 동시에 본래 업무의 범위를 일탈하지 않는 형태로, 서비스 불능 공격으로부터 통신기기(3)를 방어할 수 있다.
이때, 상기 실시예에 나타낸 감시장치 및 제한 장치는, 컴퓨터에 프로그램을 로드해서 실행함으로써 기능 발휘한다. 구체적으로는, 감시장치의 컴퓨터의 ROM(Read Only Memory) 등에 통신기기를 공격하는 패킷을 검지하는 루틴, 제한 장치에 대하여 방어 요구 정보를 송신하는 루틴을 포함하는 프로그램을 기억하고, 또한, 제한 장치의 컴퓨터의 ROM 등에 통신기기에 공격을 행하는 패킷의 통과를 방어 요구 정보에 기초하여 제한하는 루틴을 포함하는 프로그램을 기억해 두고, 각 장치가 이들 프로그램을 CPU에 로드해서 실행함으로써, 본 발명에 따른 감시장치 및 제한 장치를 형성할 수 있다.
이상과 같이, 본 발명에 관한 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어 방법 및 서비스 불능 공격 방어 프로그램은, 서비스 불능 공격으로부터 통신기기를 방어하는 경우에 적합하다.

Claims (14)

  1. 서비스 불능 공격의 공격 대상이 되는 통신기기(3)가 접속된 LAN(2)에 설치되어 ISP 망(4)을 거쳐서 상기 통신기기(3)에 송신된 패킷을 감시하는 감시장치(5) 및 상기 ISP 망(4)에 설치되어 상기 LAN(2)을 향하는 패킷을 제한하는 제한 장치(6)로 상기 통신기기(3)에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 시스템으로서,
    상기 감시장치(5)는,
    상기 통신기기(3)에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 수단(10)과,
    상기 공격에 대한 방어의 요구를 나타내고, 상기 통신기기(3)에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐와 자장치가 감시장치인 것을 나타내는 증명서를 포함하는 방어 요구 정보를 상기 제한 장치(6)에 송신하는 방어 요구 정보 송신 수단(11)을 구비하고,
    상기 제한 장치(6)는,
    상기 방어 요구 정보에 기초하여 상기 ISP 망(4)을 거쳐서 상기 통신기기(3)에 송신되는 패킷을 제한하는 패킷 제한 수단(20)과,
    상기 증명서에 기초하여 상기 방어 요구 정보가 적정한가 아닌가를 판단하는 시그니쳐 판단 수단(22)을 구비하고,
    상기 패킷 제한 수단(20)은, 적정하다고 판단된 시그니쳐에 해당하는 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 패킷을 제한하지 않는 것을 특징으로 하는 서비스 불능 공격 방어 시스템(1).
  2. 제 1항에 있어서,
    상기 감시장치(5)는, 시그니쳐를 생성하는 시그니쳐 생성 수단(12)을 더 구비하는 것을 특징으로 하는 서비스 불능 공격 방어 시스템(1).
  3. 삭제
  4. 제 1항 또는 제 2항에 있어서,
    상기 제한 장치(6)는, 상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 생성하는 리포트 생성 수단(24)과, 상기 리포트를 상기 감시장치(5)에 송신하는 리포트 송신 수단(25)을 더 구비하고, 상기 시그니쳐 생성 수단(12)은, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 수단(11)은, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치(6)에 송신하고, 상기 패킷 제한 수단(20)은, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 하는 서비스 불능 공격 방어 시스템(1).
  5. 제 4항에 있어서,
    상기 제한 장치(6)는, 상기 방어 요구 정보를 상기 ISP 망(4)에 설치된 다른 상기 제한 장치(8, 9)에 전송하는 전송 수단(21)을 더 구비하고, 상기 전송 수단(21)은, 상기 리포트 생성수단(24)에 의해 생성된 리포트에 기초하여 전송의 가부를 판단하고, 전송이 필요하다고 판단하면 상기 방어 요구 정보를 다른 상기 제한 장치(8, 9)에 전송하는 것을 특징으로 하는 서비스 불능 공격 방어 시스템(1).
  6. 제 1항에 있어서,
    상기 제한 장치(6)는, 상기 시그니쳐 판단 수단(22)의 판단 결과를 상기 감시장치(5)에 송신하는 판단 결과 송신 수단(23)을 더 구비하고, 상기 감시장치의 상기 시그니쳐 생성 수단(12)은, 상기 판단 결과가 상기 시그니쳐는 적정하지 않은 것을 나타내는 경우에, 상기 판단 결과에 기초하여 상기 통신기기(3)에 대한 공격을 행하는 패킷의 특징을 나타내는 새로운 시그니쳐를 생성하는 것을 특징으로 하는 서비스 불능 공격 방어 시스템(1).
  7. 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP 망을 거쳐서 상기 통신기기에 송신된 패킷을 감시하는 감시장치 및 상기 ISP 망에 설치되어 상기 LAN을 향하는 패킷을 제한하는 제한 장치로 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 방법으로서,
    상기 감시장치가 상기 통신기기에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 공정과,
    상기 감시장치가, 상기 공격에 대한 방어의 요구를 나타내고, 상기 통신기기(3)에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐와 자장치가 감시장치인 것을 나타내는 증명서를 포함하는 방어 요구 정보를 상기 제한 장치(6)에 송신하는 방어 요구 정보 송신 공정과,
    제한 장치가, 상기 방어 요구 정보에 기초하여 상기 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 패킷 제한 공정과,
    제한 장치가, 상기 증명서에 기초하여 상기 방어 요구 정보가 적정한가 아닌가를 판단하는 시그니쳐 판단 공정을 구비하고,
    상기 패킷 제한 공정은, 적정하다고 판단된 시그니쳐에 해당하는 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 패킷을 제한하지 않는 것을 특징으로 하는 서비스 불능 공격 방어 방법.
  8. 제 7항에 있어서,
    시그니쳐를 상기 감시장치가 생성하는 시그니쳐 생성 공정을 더 포함하는 것을 특징으로 하는 서비스 불능 공격 방어 방법.
  9. 삭제
  10. 제 7항 또는 제 8항에 있어서,
    상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 상기 제한 장치가 생성하는 리포트 생성 공정과, 상기 리포트를 상기 감시장치에 송신하는 리포트 송신 공정을 더 포함하고, 상기 시그니쳐 생성 공정은, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 공정은, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 공정은, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 하는 서비스 불능 공격 방어 방법.
  11. 서비스 불능 공격의 공격 대상이 되는 통신기기가 접속된 LAN에 설치되어 ISP 망을 거쳐서 상기 통신기기에 송신된 패킷을 감시하는 감시장치 및 상기 ISP 망에 설치되어 상기 LAN을 향하는 패킷을 제한하는 제한 장치로 상기 통신기기에 대한 서비스 불능 공격을 방어하는 서비스 불능 공격 방어 프로그램을 기록한 컴퓨터로 판독가능한 기록매체로서,
    상기 감시장치가 상기 통신기기에 대한 상기 패킷에 의한 공격을 검지하는 공격 검지 절차와,
    상기 감시장치가, 상기 공격에 대한 방어의 요구를 나타내고, 상기 통신기기(3)에 대한 공격을 행하는 패킷의 특징을 나타내는 시그니쳐와 자장치가 감시장치인 것을 나타내는 증명서를 포함하는 방어 요구 정보를 상기 제한 장치(6)에 송신하는 방어 요구 정보 송신 절차와,
    제한 장치가, 상기 방어 요구 정보에 기초하여 상기 ISP 망을 거쳐서 상기 통신기기에 송신되는 패킷을 제한하는 패킷 제한 절차와,
    제한 장치가, 상기 증명서에 기초하여 상기 방어 요구 정보가 적정한가 아닌가를 판단하는 시그니쳐 판단 절차를 구비하고,
    상기 패킷 제한 절차는, 적정하다고 판단된 시그니쳐에 해당하는 패킷을 제한하고, 적정하지 않다고 판단된 시그니쳐에 해당하는 패킷을 제한하지 않는 것을 특징으로 하는 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 판독가능한 기록매체.
  12. 제 11항에 있어서,
    시그니쳐를 상기 감시장치가 생성하는 시그니쳐 생성 절차를 더 포함하는 것을 특징으로 하는 기록매체.
  13. 삭제
  14. 제 11항 또는 제 12항에 있어서,
    상기 시그니쳐에 해당하는 패킷의 특징과 양에 관한 리포트를 상기 제한 장치가 생성하는 리포트 생성 절차와, 상기 리포트를 상기 감시장치에 송신하는 리포트 송신 절차를 더 포함하고, 상기 시그니쳐 생성 절차는, 상기 리포트에 기초하여 새로운 시그니쳐를 생성하고, 상기 방어 요구 정보 송신 절차는, 상기 새로운 시그니쳐를 포함하는 상기 방어 요구 정보를 상기 제한 장치에 송신하고, 상기 패킷 제한 절차는, 상기 새로운 시그니쳐에 해당하는 상기 통신기기를 향한 패킷을 제한하는 것을 특징으로 하는 기록매체.
KR20067008944A 2004-10-12 2005-08-19 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램 KR100777751B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2004-00298244 2004-10-12
JP2004298244 2004-10-12

Publications (2)

Publication Number Publication Date
KR20060076325A KR20060076325A (ko) 2006-07-04
KR100777751B1 true KR100777751B1 (ko) 2007-11-19

Family

ID=36148182

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20067008944A KR100777751B1 (ko) 2004-10-12 2005-08-19 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램

Country Status (6)

Country Link
US (1) US8479282B2 (ko)
EP (1) EP1804446B1 (ko)
JP (1) JP4292213B2 (ko)
KR (1) KR100777751B1 (ko)
CN (1) CN1906905B (ko)
WO (1) WO2006040880A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
US8914885B2 (en) * 2006-11-03 2014-12-16 Alcatel Lucent Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks
WO2009041686A1 (ja) * 2007-09-28 2009-04-02 Nippon Telegraph And Telephone Corporation ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN101834847A (zh) * 2010-03-31 2010-09-15 上海电机学院 基于多移动代理和数据挖掘技术的网络入侵防御系统
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US9344440B2 (en) * 2013-06-20 2016-05-17 Arbor Networks, Inc. Forced alert thresholds for profiled detection
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
US10757121B2 (en) * 2016-03-25 2020-08-25 Cisco Technology, Inc. Distributed anomaly detection management

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283555A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
US7076650B1 (en) * 1999-12-24 2006-07-11 Mcafee, Inc. System and method for selective communication scanning at a firewall and a network node
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
AU2002211242A1 (en) 2000-09-20 2002-04-02 Bbnt Solutions Llc Systems and methods that protect networks and devices against denial of service attacks
US7627897B2 (en) * 2001-01-03 2009-12-01 Portauthority Technologies Inc. Method and apparatus for a reactive defense against illegal distribution of multimedia content in file sharing networks
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
CA2414789A1 (en) * 2002-01-09 2003-07-09 Peel Wireless Inc. Wireless networks security system
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
JP3652661B2 (ja) 2002-03-20 2005-05-25 日本電信電話株式会社 サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
JP3609382B2 (ja) 2002-03-22 2005-01-12 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP2004054488A (ja) 2002-07-18 2004-02-19 Yokogawa Electric Corp ファイアウォール装置
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
JP2004166029A (ja) 2002-11-14 2004-06-10 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム
US6980090B2 (en) * 2002-12-10 2005-12-27 Current Technologies, Llc Device and method for coupling with electrical distribution network infrastructure to provide communications
US7269850B2 (en) * 2002-12-31 2007-09-11 Intel Corporation Systems and methods for detecting and tracing denial of service attacks
US20040148520A1 (en) * 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
EP1806888B1 (en) 2004-10-28 2012-04-25 Nippon Telegraph And Telephone Corporation Denial-of-service attack detecting system, and denial-of-service attack detecting method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283555A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム

Also Published As

Publication number Publication date
JP4292213B2 (ja) 2009-07-08
CN1906905A (zh) 2007-01-31
US8479282B2 (en) 2013-07-02
US20070101428A1 (en) 2007-05-03
CN1906905B (zh) 2012-08-22
WO2006040880A1 (ja) 2006-04-20
KR20060076325A (ko) 2006-07-04
JPWO2006040880A1 (ja) 2008-05-15
EP1804446A4 (en) 2007-11-28
EP1804446B1 (en) 2014-10-22
EP1804446A1 (en) 2007-07-04

Similar Documents

Publication Publication Date Title
KR100777751B1 (ko) 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램
Mahajan et al. Controlling high bandwidth aggregates in the network
Mirkovic et al. D-WARD: a source-end defense against flooding denial-of-service attacks
Mirkovic et al. Attacking DDoS at the source
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
Handley et al. Internet denial-of-service considerations
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
Sterne et al. Autonomic response to distributed denial of service attacks
US20080270601A1 (en) System method and apparatus for service attack detection on a network
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
JP2009529254A (ja) 分散サービス妨害(DDoS)攻撃防御のための、挙動ベースのトラフィック識別(BTD)
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US20050180421A1 (en) Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program
US20110179479A1 (en) System and method for guarding against dispersed blocking attacks
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
Zaroo A survey of DDoS attacks and some DDoS defense mechanisms
WO2019096104A1 (zh) 攻击防范
KR100818302B1 (ko) 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치
Mahajan et al. Controlling high-bandwidth aggregates in the network (extended version)
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
JPWO2004051946A1 (ja) 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20120910

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130912

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140829

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161104

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20171103

Year of fee payment: 11