KR100787703B1 - 라우터/스위치 시스템에서 해킹 방지 방법 - Google Patents

라우터/스위치 시스템에서 해킹 방지 방법 Download PDF

Info

Publication number
KR100787703B1
KR100787703B1 KR1020020070091A KR20020070091A KR100787703B1 KR 100787703 B1 KR100787703 B1 KR 100787703B1 KR 1020020070091 A KR1020020070091 A KR 1020020070091A KR 20020070091 A KR20020070091 A KR 20020070091A KR 100787703 B1 KR100787703 B1 KR 100787703B1
Authority
KR
South Korea
Prior art keywords
packet
hacking
packet analysis
module
frequency
Prior art date
Application number
KR1020020070091A
Other languages
English (en)
Other versions
KR20040041978A (ko
Inventor
구준모
Original Assignee
엘지노텔 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지노텔 주식회사 filed Critical 엘지노텔 주식회사
Priority to KR1020020070091A priority Critical patent/KR100787703B1/ko
Publication of KR20040041978A publication Critical patent/KR20040041978A/ko
Application granted granted Critical
Publication of KR100787703B1 publication Critical patent/KR100787703B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 라우터/스위치 시스템에서 다이내믹 패킷 필터링을 사용하여 선별적으로 패킷 필터링을 수행하도록 한 라우터/스위치 시스템에서 해킹 방지 방법에 관한 것으로, 패킷 분석 모듈에 의해 수신 패킷들 중에서 해킹용 패킷을 판별하여 제거하도록 하는 라우터/스위치 시스템에 있어서, 해당 수신 패킷들을 해당 패킷 분석 모듈을 통과시켜 스위칭 모듈로 전송할 것인지, 아니면 바로 스위칭 모듈로 전송할 것인지를 결정하는 패킷 분석 결정 과정을 포함하여 이루어진 것을 특징으로 함으로써, DoS 패킷을 판별하는 패킷 분석 모듈에서 소모되는 성능을 최소화시켜 라우터/스위치 시스템의 부하를 감소시킬 수 있다.

Description

라우터/스위치 시스템에서 해킹 방지 방법 {Method of Protecting Hacking in the Router/Switch System}
도 1은 종래의 라우터(Router)/스위치(Switch) 시스템에서 패킷 플러딩(Packet Flooding) 방지를 위한 구성을 간략하게 나타낸 블록도.
도 2는 본 발명의 실시 예에 따른 라우터/스위치 시스템에서 해킹 방지를 위한 구성을 간략하게 나타낸 블록도.
도 3은 본 발명의 실시 예에 따른 라우터/스위치 시스템에서 해킹 방지 방법을 나타낸 순서도.
* 도면의 주요 부분에 대한 부호의 설명 *
21 : 패킷 수신 모듈 22 : 패킷 분석 결정 모듈
23 : 패킷 분석 모듈 24 : 스위칭 모듈
25 : 패킷 송신 모듈
본 발명은 라우터/스위치 시스템에서 해킹 방지 방법에 관한 것으로, 특히 라우터/스위치 시스템에서 다이내믹 패킷 필터링을 사용하여 선별적으로 패킷 필터링을 수행하도록 한 라우터/스위치 시스템에서 해킹 방지 방법에 관한 것이다.
일반적으로, 해커(Hacker)들이 가장 많이 사용하고 있는 방법 중의 하나가 DoS(Denial of Service) 공격(Attack) 방법이 있는데, 해당 DoS 공격 방법은 네트워크(Network)에 과도한 트래픽(Traffic)을 발생시킴으로써 서버(Server)나 웹사이트(Web Site) 등의 중요한 자원들을 점유하게 되며, 해당 DoS 공격을 받게 되면 시스템이 정지하거나 시스템이 네트워크로 트래픽을 발생시키므로 네트워크가 과부하에 걸려 정지되기도 한다.
해당 DoS 공격 방법으로는 상당히 많은데, 그 중에서도 많은 양의 패킷을 계속적으로 보내어 패킷들을 네트워크가 수용하지 못할 정도로 넘치게 하는 패킷 플러딩 방법을 많이 사용하고 있다.
이러한 패킷 플러딩을 방지하기 위해서, 종래의 라우터/스위치 시스템에서는 시스템으로 수신되는 패킷들 각각에 대하여 파싱(Parsing) 동작을 수행하여 각 패킷을 필터링(Filtering)해 준다.
그러면, 종래의 라우터/스위치 시스템에서 패킷 플러딩 방지를 위한 구성은 도 1에 도시된 바와 같이, 패킷 수신 모듈(11)과, 패킷 분석 모듈(12)과, 스위칭 모듈(13)과, 패킷 송신 모듈(14)로 이루어져 있다. 여기서, 해당 스위칭 모듈(13)은 하드웨어일 수도 있고 소프트웨어일 수도 있다.
해당 패킷 수신 모듈(11)은 시스템으로 들어오는 패킷들을 수신하며, 해당 패킷 분석 모듈(12)은 해당 패킷 수신 모듈(11)에서 수신한 패킷들을 분석하여 여러 가지 부가 기능을 구현하는 역할을 수행하며, 해당 스위칭 모듈(13)은 해당 패킷 분석 모듈(12)에서 분석한 후의 패킷을 라우팅 테이블(Routing Table) 또는 스위칭 테이블(Switching Table)에 따라 스위칭하며, 해당 패킷 송신 모듈(14)은 해당 스위칭 모듈(13)에 의해 스위칭된 패킷을 송신시켜 준다.
그리고, 상기 패킷 필터링은 상기 패킷 분석 모듈(12)에서 수행하는데, 상기 패킷 수신 모듈(11)에서 수신한 패킷을 필터링해야 되는지를 분석하여 해당 패킷을 버릴 것인지를 결정한다. 즉, 상기 패킷 분석 모듈(12)은 상기 패킷 수신 모듈(11)을 통해 수신되는 모든 패킷에 대한 패턴을 검사해서 패턴이 일치하는 경우에 패킷을 버리는 단순한 알고리즘을 구비하고 있다.
그런데, 상기 패킷 분석 모듈(12)에서 수신 패킷에 대한 패턴을 일일이 검사한 후에 상기 스위칭 모듈(13)에서 해당 수신 패킷을 스위칭함에 있어서, 소프트웨어적인 방법으로 스위칭하는 경우에는 별 문제가 없지만, 네트워크가 고속화되면서 하드웨어 스위칭을 수행하게 됨으로써, 이런 경우에 있어서 수신 패킷에 대한 패턴을 일일이 검사하는 작업은 많은 성능 저하를 가져 올 수 있다. 즉, 해킹을 방지하기 위해서는 어쩔 수 없는 라우터/스위치의 성능 저하를 피할 수 없게 된다.
또한, 최근의 하드웨어 중에는 상기 패킷 분석 모듈(12)이 하드웨어로 이루 어져 있는 경우도 있으나, 이런 경우에도 단순한 주소 매칭 방법 정도만을 제공함으로써, 여러 가지 해킹 시도에 대한 즉각적인 대응이 쉽지 않으며, 이에 대응하기 위해서는 모든 패킷을 CPU로 전송하여야 하므로(즉, 소프트웨어적으로 처리해야 하므로) 스위칭의 성능 저하를 가져오는 것은 마찬가지이다.
전술한 바와 같은 문제점을 해결하기 위한 것으로, 본 발명은 라우터/스위치 시스템에서 다이내믹 패킷 필터링을 사용하여 DoS 공격을 방지하도록 한 라우터/스위치 시스템에서 해킹 방지 방법을 제공하는데, 그 목적이 있다.
또한, 본 발명은 라우터/스위치 시스템에서 다이내믹 패킷 필터링을 사용하여 선별적으로 패킷 필터링을 수행하도록 함으로써, 종래의 모든 패킷에 대해 필터링을 수행하여 발생되는 성능 문제를 개선할 수 있도록 하는데, 그 목적이 있다.
또한, 본 발명은 라우터/스위치 시스템에서 패킷 분석 결정 모듈을 추가하여 선별적으로 패킷 분석 모듈에서 DoS 패킷을 판별하도록 함으로써, DoS 패킷을 판별하는 패킷 분석 모듈에서 소모되는 성능을 최소화시켜 라우터/스위치 시스템의 부하를 감소시킬 수 있도록 하는데, 그 목적이 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 라우터/스위치 시스템에서 해킹 방지 방법은 패킷 분석 모듈에 의해 수신 패킷들 중에서 해킹용 패킷을 판별하여 제거하도록 하는 라우터/스위치 시스템에 있어서, 해당 수신 패킷들을 해당 패킷 분석 모듈을 통과시켜 스위칭 모듈로 전송할 것인지, 아니면 바로 스위칭 모듈로 전송할 것인지를 결정하는 패킷 분석 결정 과정을 포함하여 이루어진 것을 특징으로 한다.
바람직하게는, 상기 패킷 분석 결정 과정은 시스템으로 패킷을 수신하는 경우에 패킷 수신 회수를 누적함과 동시에, 현재의 패킷 처리 용량이 시스템 기준 처리 용량을 초과했는지를 확인하여 패킷 분석 시점인지를 판단하는 단계와; 상기 수신 패킷이 해킹용 패킷인지를 확인하여 해킹용 패킷 발생 회수를 누적시키고 해당 해킹용 패킷을 제거하는 단계와; 해킹 비율 재계산 시점인지를 판단하여 상기 해킹용 패킷 발생 회수를 상기 패킷 수신 회수에 나누어 해킹 비율을 계산하는 단계와; 상기 해킹 비율을 빈도 증가 기준 값과 빈도 감소 기준 값에 비교하여 패킷 분석 빈도를 변경시켜 주는 단계를 포함하여 이루어진 것을 특징으로 한다.
또한 바람직하게는, 상기 패킷 수신 회수는 상기 해킹 비율을 계산한 후부터 다음 해킹 비율을 계산하는 시점까지의 해킹 비율 재계산 기간 동안에 패킷을 수신한 회수를 누적하여 계산하는 것을 특징으로 한다.
더욱이 바람직하게는, 상기 패킷 분석 빈도 변경 단계는 상기 해킹 비율이 상기 빈도 증가 기준 값보다 큰지를 확인하여 현재 상태를 증가시켜 상기 패킷 분석 빈도를 증가시켜 주는 단계와; 상기 해킹 비율이 상기 빈도 감소 기준 값보다 작은지를 확인하여 현재 상태를 감소시켜 상기 패킷 분석 빈도를 감소시켜 주는 단계를 포함하여 이루어진 것을 특징으로 한다.
다르게는, 상기 패킷 분석 결정 과정은 현재의 패킷 처리 용량이 시스템 기준 처리 용량을 초과하지 않는 경우에 무조건 상기 수신 패킷을 상기 패킷 분석 모듈을 통과시켜 스위칭 모듈로 전송하는 단계를 더 포함하여 이루어진 것을 특징으로 한다.
또한 바람직하게는, 상기 패킷 분석 시점 판단 단계는 주기적으로 상기 패킷 분석 모듈로 입력될 수신 패킷들을 결정하기 위해서 사용되는 패스 주파수 변수를 미리 설정하며, 그런 후에 이전의 패킷 분석 시점에서 현재까지 경과된 시간이 해당 패스 주파수 변수보다 큰 경우를 확인하여 상기 패킷 분석 시점으로 판단하는 것을 특징으로 한다.
더욱이 바람직하게는, 상기 패스 주파수 변수는 시간 값들을 가지며, 상기 패킷 분석 시점을 판단하기 위해서 경우에 따라서 선형적, 지수적 또는 로그 급수적으로 증가하는 것을 특징으로 한다. 이하, 본 발명의 실시 예를 첨부한 도면을 참조하여 상세하게 설명하면 다음과 같다.
본 발명의 실시 예에 따른 라우터/스위치 시스템에서 해킹 방지를 위한 구성은 도 2에 도시된 바와 같이, 패킷 수신 모듈(21)과, 패킷 분석 결정 모듈(22)과, 패킷 분석 모듈(23)과, 스위칭 모듈(24)과, 패킷 송신 모듈(25)을 포함하여 이루어진다.
해당 패킷 수신 모듈(21)은 시스템으로 들어오는 패킷들을 수신하며, 해당 패킷 분석 결정 모듈(22)은 해당 패킷 수신 모듈(21)에서 수신한 패킷을 해당 패킷 분석 모듈(23)을 통해 통과시킬 것인지를 결정하여 해당 패킷 분석 모듈(12)에서 소모되는 시간을 최소화하며, 해당 패킷 분석 모듈(23)은 해당 패킷 분석 결정 모듈(22)에서 결정된 패킷만을 분석하여 여러 가지 부가 기능을 구현하는 역할을 수행하며, 해당 스위칭 모듈(24)은 해당 패킷 분석 결정 모듈(22)을 통해 인가되는 패킷이나 해당 패킷 분석 모듈(23)에서 분석한 후의 패킷을 라우팅 테이블 또는 스위칭 테이블에 따라 스위칭하며, 해당 패킷 송신 모듈(25)은 해당 스위칭 모듈(24)에 의해 스위칭된 패킷을 송신시켜 준다.
그리고, 상기 패킷 수신 모듈(21)에서 수신한 패킷들은 상기 패킷 분석 결정 모듈(22)의 결정에 따라, 상기 패킷 분석 모듈(23)을 통과하여 상기 스위칭 모듈(24)로 인가될 수도 있으며, 또한 통과하지 않고 바로 상기 스위칭 모듈(24)로 인가될 수도 있다. 즉, 상기 패킷 분석 결정 모듈(22)은 상기 패킷 수신 모듈(21)에서 수신한 패킷을 상기 패킷 분석 모듈(23)을 통과하지 않고 바로 상기 스위칭 모듈(24)로 인가할 수도 있으므로, 스위치/라우터 시스템의 부하를 감소시킬 수 있다.
본 발명의 실시 예에 따른 라우터/스위치 시스템에서 해킹 방지 방법을 도 3의 순서도를 참고하여 설명하면 다음과 같다.
먼저, 패킷 수신 모듈(21)에서는 라우터/스위치 시스템으로 들어오는 패킷들을 수신하는데, 이때 해당 패킷을 수신한 회수를 누적해 준다(단계 S1). 여기서, 기본적인 패킷 수신 회수를 누적하는 프로세스는 해당 패킷 수신 모듈(21) 내에 구 비되도록 한다.
그리고, 상기 패킷 수신 누적 회수는 해킹 비율 재계산 기간(예로, DoS 비율 재계산 기간) 동안에 패킷을 수신한 회수를 누적하여 계산하도록 하는데, 해당 DoS 비율은 라우터/스위치 시스템으로 수신된 패킷들 중에서 DoS 패킷의 비율을 말하고 주기적으로 계산되어지고 계산될 때마다 초기화되며, 해당 DoS 비율 재계산 기간은 해당 DoS 비율을 계산한 후부터 다음 DoS 비율을 계산하는 시점까지의 시간을 말한다.
이에, 패킷 분석 결정 모듈(22)은 상기 패킷 수신 모듈(21)에서 수신한 패킷을 패킷 분석 모듈(23)을 통해 통과시킬 것인지를 결정하는데, 우선 현재의 패킷 처리 용량이 전체 라우터/스위치 시스템이 실제로 처리할 수 있는 용량(즉, 시스템 기준 처리 용량)을 초과하였는지를 판단하게 된다(단계 S2).
이것은 라우터/스위치 시스템에 수신되는 패킷이 상기 시스템 기준 처리 용량에 못 미쳐서, 해당 수신 패킷이 패킷 분석 모듈(23)에 입력되더라도 라우터/스위치 시스템이 충분히 처리할 수 있는 상황일 경우에는 무조건 해당 패킷 분석 모듈(23)에 입력되도록 하기 위한 것이다.
만약, 상기 제2단계(S2)에서 현재의 패킷 처리 용량이 상기 시스템 기준 처리 용량)을 초과한 경우, 상기 패킷 분석 결정 모듈(22)은 상기 패킷 수신 모듈(21)에서 수신한 패킷을 분석할 시점(즉, 패킷 분석 시점)인지를 판단하는데(단계 S3), 해당 제3단계(S3)는 해당 수신 패킷을 실제로 상기 패킷 분석 모듈(23)을 통과하도록 할 것인지 아니면 통과시키지 않을 것인지를 결정하는 단계이다.
즉, 상기 패킷 분석 결정 모듈(22)은 상기 패킷 수신 모듈(21)에서 수신한 패킷을 상기 패킷 분석 모듈(23)로 입력시킬 것인지를 결정하는데, 이때 상기 패킷 분석 결정 모듈(22)이 해당 수신 패킷을 상기 패킷 분석 모듈(23)로 입력되어야 한다고 결정한 시점을 상기 패킷 분석 시점이라고 한다.
그리고, 상기 제3단계(S3)에서 패킷 분석 시점이 아닌 경우에는 해당 동작 수행을 종료하도록 한다.
상기 제3단계(S3)인 패킷 분석 시점 판단 단계를 보다 상세히 살펴보면 다음과 같다.
우선, 상기 패킷 분석 결정 모듈(22)이 주기적으로 상기 패킷 분석 모듈(23)로 입력될 수신 패킷들을 결정하기 위해서 사용되는 변수인 패스 주파수 변수(pass_freq[current_state])를 미리 설정해 둔다.
그런 후에, 이전의 패킷 분석 시점에서 현재까지 경과된 시간이 상기 설정된 패스 주파수 변수보다 큰 경우를 확인하는데, 이런 경우에 패킷 분석 시점으로 판단하도록 한다.
여기서, 상기 패스 주파수 변수(pass_freq[current_state])는 시간 값들을 가지고 있으며, 아래의 수학식 1과 같이 나타낼 수 있다.
Figure 112002037305318-pat00001
해당 'total' 값은 전체 상태 개수이며, 해당 전체 상태 개수의 값이 클수록 조금 더 세밀한 DoS 패킷 필터링 회수의 조정이 가능하다. 또한, 저빈도와 다빈도 사이의 값들을 사용할 수도 있으며, 패킷 분석 시점을 판단하기 위해서 경우에 따라서 선형적(Linear), 지수적(Exponential), 로그 급수적(Logarithmic) 등으로 증가할 수도 있다. 이때, 해당 지수적인 증가는 스위치/라우터 시스템의 성능을 중요시한 것이고 해당 로그 급수적인 증가는 DoS 공격의 방지에 조금 더 중점을 둔 것이라 할 수 있다.
예를 들어, 전체 상태 개수가 10 개이고 단위가 초(Second)라고 하면 아래의 수학식 2와 같이 나타낼 수 있는데, 초기의 현재 상태(current_state)가 '0'이면 60초에 한 번씩 상기 패킷 분석 모듈(23)을 통과하게 되며, DoS 비율이 높아져 현재 상태(current_state)가 '6'으로 변경되었다면 1초에 한 번씩 상기 패킷 분석 모듈(23)을 통과하게 된다.
Figure 112002037305318-pat00002
반면에, 상기 제2단계(S2)에서 현재의 패킷 처리 용량이 상기 시스템 기준 처리 용량)을 초과하지 않은 경우, 또는 상기 제3단계(S3)에서 패킷 분석 시점인 경우, 상기 패킷 분석 결정 모듈(22)은 상기 패킷 수신 모듈(21)에서 수신한 패킷이 해킹용 패킷(예로, DoS 패킷)인지를 확인한다(단계 S4).
이에, 상기 제4단계(S4)에서 DoS 패킷인 경우에는 DoS 패킷 발생 회수를 누적시켜 준 후에 해당 DoS 패킷을 버린다(단계 S5).
그리고, 상기 제4단계(S4)에서 DoS 패킷이 아닌 경우나, 상기 제5단계(S5)의 동작을 수행한 후에, DoS 비율 재계산 시점인지를 판단하는데(단계 S6), 상기 DoS 비율은 주기적으로 계산되어지며, 해당 DoS 비율을 재계산하는 시점을 해당 DoS 비율 재계산 시점이라고 한다. 이때, 해당 DoS 비율 재계산 시점의 간격이 작으면 조금 더 바른 DoS 패킷에 대한 반응을 수행할 수 있는 반면에 스위치/라우터 시스템의 성능에는 불리하다.
이에 따라, 상기 제6단계(S6)에서 DoS 비율 재계산 시점이 아닌 경우에는 해당 동작 수행을 종료하도록 하며, 상기 제6단계(S6)에서 DoS 비율 재계산 시점인 경우에는 DoS 비율을 계산해 준다(단계 S7). 해당 DoS 비율은 상기 DoS 패킷 발생 회수에 상기 패킷 수신 누적 회수를 나눈 값이다.
그런 후, 상기 계산된 DoS 비율을 미리 설정된 빈도 증가 기준 값(threshold1)과 빈도 감소 기준 값(threshold2)에 비교하게 되는데, 해당 빈도 증가 기준 값(threshold1)은 패킷 분석 빈도를 증가시킬 수 있는 DoS 비율의 값을 말하며, 해당 빈도 감소 기준 값(threshold2)은 패킷 분석 빈도를 증가시킬 수 있는 DoS 비율의 값을 말한다.
다시 말해서, 상기 계산된 DoS 비율을 상기 빈도 증가 기준 값(threshold1)과 비교하여 상기 계산된 DoS 비율이 상기 빈도 증가 기준 값(threshold1)보다 큰지를 확인하는데(단계 S8), 해당 제8단계(S8)에서 상기 계산된 DoS 비율이 상기 빈도 증가 기준 값(threshold1)보다 크면 현재 상태(current_state)를 증가시켜 패킷 분석 빈도를 증가시켜 준다(단계 S9).
반면에, 상기 제8단계(S8)에서 상기 계산된 DoS 비율이 상기 빈도 증가 기준 값(threshold1)보다 작으면, 상기 계산된 DoS 비율을 상기 빈도 감소 기준 값(threshold2)과 비교하여 상기 계산된 DoS 비율이 상기 빈도 감소 기준 값(threshold2)보다 작은지를 확인하는데(단계 S10), 해당 제10단계(S10)에서 상기 계산된 DoS 비율이 상기 빈도 감소 기준 값(threshold2)보다 작으면 현재 상태(current_state)를 감소시켜 패킷 분석 빈도를 감소시켜 준다(단계 S11).
이와 같이, 상기 빈도 증가 기준 값(threshold1)과 빈도 감소 기준 값(threshold2) 두 가지를 사용하는 이유는 DoS 비율이 기준 값 근처에 있을 경우에 애매한 동작, 즉 패킷 분석 빈도를 너무 자주 변경시켜 주는 동작을 방지하기 위한 것이다.
상술한 바와 같은 동작을 수행한 후, 상기 패킷 수신 모듈(21)에서 수신한 패킷들은 상기 패킷 분석 결정 모듈(22)의 결정에 따라, 상기 패킷 분석 모듈(23)을 통과하여 스위칭 모듈(24)로 인가될 수도 있으며, 또한 통과하지 않고 바로 해당 스위칭 모듈(24)로 인가될 수도 있다.
이에, 상기 패킷 분석 모듈(23)은 상기 패킷 분석 결정 모듈(22)에서 결정된 패킷만을 분석하여 여러 가지 부가 기능을 구현하는 역할을 수행하며, 상기 스위칭 모듈(24)은 상기 패킷 분석 결정 모듈(22)을 통해 인가되는 패킷이나 상기 패킷 분석 모듈(23)에서 분석한 후의 패킷을 라우팅 테이블 또는 스위칭 테이블에 따라 스위칭하며, 패킷 송신 모듈(25)은 상기 스위칭 모듈(24)에 의해 스위칭된 패킷을 송신시켜 준다.
이상과 같이, 본 발명에 의해 라우터/스위치 시스템에서 패킷 분석 결정 모듈을 추가하여 선별적으로 패킷 분석 모듈에서 DoS 패킷을 판별하도록 함으로써, DoS 패킷을 판별하는 패킷 분석 모듈에서 소모되는 성능을 최소화시켜 라우터/스위치 시스템의 부하를 감소시킬 수 있다.

Claims (7)

  1. 패킷 분석 모듈에 의해 수신 패킷들 중에서 해킹용 패킷을 판별하여 제거하도록 하는 라우터/스위치 시스템에 있어서, 해당 수신 패킷들을 해당 패킷 분석 모듈을 통과시켜 스위칭 모듈로 전송할 것인지, 아니면 바로 스위칭 모듈로 전송할 것인지를 결정하는 패킷 분석 결정 과정을 포함하여 이루어진 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
  2. 제1항에 있어서,
    상기 패킷 분석 결정 과정은 시스템으로 패킷을 수신하는 경우에 패킷 수신 회수를 누적함과 동시에, 현재의 패킷 처리 용량이 시스템 기준 처리 용량을 초과했는지를 확인하여 패킷 분석 시점인지를 판단하는 단계와;
    상기 수신 패킷이 해킹용 패킷인지를 확인하여 해킹용 패킷 발생 회수를 누적시키고 해당 해킹용 패킷을 제거하는 단계와;
    해킹 비율 재계산 시점인지를 판단하여 상기 해킹용 패킷 발생 회수를 상기 패킷 수신 회수에 나누어 해킹 비율을 계산하는 단계와;
    상기 해킹 비율을 빈도 증가 기준 값과 빈도 감소 기준 값에 비교하여 패킷 분석 빈도를 변경시켜 주는 단계를 포함하여 이루어진 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
  3. 제2항에 있어서,
    상기 패킷 수신 회수는 상기 해킹 비율을 계산한 후부터 다음 해킹 비율을 계산하는 시점까지의 해킹 비율 재계산 기간 동안에 패킷을 수신한 회수를 누적하여 계산하는 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
  4. 제2항에 있어서,
    상기 패킷 분석 결정 과정은 현재의 패킷 처리 용량이 시스템 기준 처리 용량을 초과하지 않는 경우에 무조건 상기 수신 패킷을 상기 패킷 분석 모듈을 통과시켜 스위칭 모듈로 전송하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
  5. 제2항에 있어서,
    상기 패킷 분석 시점 판단 단계는 주기적으로 상기 패킷 분석 모듈로 입력될 수신 패킷들을 결정하기 위해서 사용되는 패스 주파수 변수를 미리 설정하며, 그런 후에 이전의 패킷 분석 시점에서 현재까지 경과된 시간이 해당 패스 주파수 변수보다 큰 경우를 확인하여 상기 패킷 분석 시점으로 판단하는 것을 특징으로 하는 라 우터/스위치 시스템에서 해킹 방지 방법.
  6. 제5항에 있어서,
    상기 패스 주파수 변수는 시간 값들을 가지며, 상기 패킷 분석 시점을 판단하기 위해서 경우에 따라서 선형적, 지수적 또는 로그 급수적으로 증가하는 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
  7. 제2항에 있어서,
    상기 패킷 분석 빈도 변경 단계는 상기 해킹 비율이 상기 빈도 증가 기준 값보다 큰지를 확인하여 현재 상태를 증가시켜 상기 패킷 분석 빈도를 증가시켜 주는 단계와;
    상기 해킹 비율이 상기 빈도 감소 기준 값보다 작은지를 확인하여 현재 상태를 감소시켜 상기 패킷 분석 빈도를 감소시켜 주는 단계를 포함하여 이루어진 것을 특징으로 하는 라우터/스위치 시스템에서 해킹 방지 방법.
KR1020020070091A 2002-11-12 2002-11-12 라우터/스위치 시스템에서 해킹 방지 방법 KR100787703B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020070091A KR100787703B1 (ko) 2002-11-12 2002-11-12 라우터/스위치 시스템에서 해킹 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020070091A KR100787703B1 (ko) 2002-11-12 2002-11-12 라우터/스위치 시스템에서 해킹 방지 방법

Publications (2)

Publication Number Publication Date
KR20040041978A KR20040041978A (ko) 2004-05-20
KR100787703B1 true KR100787703B1 (ko) 2007-12-21

Family

ID=37338820

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020070091A KR100787703B1 (ko) 2002-11-12 2002-11-12 라우터/스위치 시스템에서 해킹 방지 방법

Country Status (1)

Country Link
KR (1) KR100787703B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617321B1 (ko) * 2004-12-14 2006-08-30 한국전자통신연구원 링크 암호화 공격을 차단하는 장치 및 그 방법
US20170171085A1 (en) * 2015-12-15 2017-06-15 Huawei Technologies Co., Ltd. Traffic Engineering System and Method for a Communications Network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20020086434A (ko) * 2002-10-24 2002-11-18 (주)센타비전 침입통제시스템
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR100427179B1 (ko) * 2001-11-22 2004-04-14 한국전자통신연구원 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR100427179B1 (ko) * 2001-11-22 2004-04-14 한국전자통신연구원 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
KR20020086434A (ko) * 2002-10-24 2002-11-18 (주)센타비전 침입통제시스템

Also Published As

Publication number Publication date
KR20040041978A (ko) 2004-05-20

Similar Documents

Publication Publication Date Title
EP1560398B1 (en) Metering packet flows for limiting effects of denial of service attacks
JP3568850B2 (ja) データパケットフィルタの動作方法
EP2241072B1 (en) Method of detecting anomalies in a communication system using numerical packet features
KR100481614B1 (ko) 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US8443444B2 (en) Mitigating low-rate denial-of-service attacks in packet-switched networks
US7743415B2 (en) Denial of service attacks characterization
US7069588B2 (en) System and method for protecting computer device against overload via network attack
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
CN109768955B (zh) 基于软件定义网络防御分布式拒绝服务攻击的系统及方法
US8910267B2 (en) Method for managing connections in firewalls
CN111314179B (zh) 网络质量检测方法、装置、设备和存储介质
US8565246B2 (en) Packet relay apparatus
Dang-Van et al. A multi-criteria based software defined networking system Architecture for DDoS-attack mitigation
KR100731230B1 (ko) 라우터의 폭주 방지 장치 및 방법
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
KR100787703B1 (ko) 라우터/스위치 시스템에서 해킹 방지 방법
Noh et al. Protection against flow table overflow attack in software defined networks
US8203941B2 (en) Virus/worm throttle threshold settings
CN107547561B (zh) 一种进行ddos攻击防护处理的方法及装置
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법
CN107888610B (zh) 一种攻击防御的方法、网络设备及计算机存储介质
CN116015889A (zh) 数据流转发方法、装置、网络设备及存储介质
KR20070079785A (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
CN111698178B (zh) 一种流量分析方法及装置

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121115

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131115

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141119

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee