KR100803029B1 - 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법 - Google Patents

협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법 Download PDF

Info

Publication number
KR100803029B1
KR100803029B1 KR1020060120844A KR20060120844A KR100803029B1 KR 100803029 B1 KR100803029 B1 KR 100803029B1 KR 1020060120844 A KR1020060120844 A KR 1020060120844A KR 20060120844 A KR20060120844 A KR 20060120844A KR 100803029 B1 KR100803029 B1 KR 100803029B1
Authority
KR
South Korea
Prior art keywords
attack
detection
ddos
message
detection unit
Prior art date
Application number
KR1020060120844A
Other languages
English (en)
Inventor
홍충선
송병학
Original Assignee
경희대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경희대학교 산학협력단 filed Critical 경희대학교 산학협력단
Priority to KR1020060120844A priority Critical patent/KR100803029B1/ko
Application granted granted Critical
Publication of KR100803029B1 publication Critical patent/KR100803029B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 분산서비스거부(Distributed Denial Of Service, DDos) 공격의 방어 방법에 관한 것으로, 보다 구체적으로 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부 양단에서 제공된 통계기반 공격 탐지 메시지에 기초하여 분산서비스거부 공격을 탐지 및 방어하는 방법에 관한 것이다.
본 발명에 따른 분산서비스거부 공격의 방어 방법은 공격 소스 네트워크의 탐지부 및 공격 목적지 네트워크의 탐지부와 서로 협력하여 DDoS 공격을 탐지함으로써, 보다 정확하게 DDoS 공격을 탐지할 수 있다. 또한 본 발명에 따른 분산서비스거부 공격의 방어 방법은 제1 간격동안 계산된 DDoS 공격의 판단 인자값의 임계값에 대한 평균값과 분산값을 이용하여 제2 간격마다 새로운 임계값을 계산하여 DDoS 공격을 탐지함으로써, 천천히 공격 패킷이 증가하는 패턴의 DDoS 공격을 효과적으로 탐지할 수 있다.
DDoS, 분산서비스거부 공격, 해킹, 방화벽, 침입탐지대응시스템, IDRS

Description

협력적인 통계기반 탐지기법을 이용한 분산서비스거부 공격의 방어 방법{Method for cooperatively defending of DDoS attack using statistical detection}
도 1은 분산서비스거부(Distributed Denial Of Service, DDos) 공격을 설명하기 위한 네트워크를 도시하고 있다.
도 2는 DDoS 공격을 탐지하기 위한 탐지부를 구비하는 네트워크를 도시하고 있다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 방어 시스템을 설명하고 있다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 방어 시스템에서 송수신되는 메시지를 도시하고 있다.
도 5는 본 발명의 일 실시예에 따른 공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 공격 목적지 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 흐름도이다.
도 7은 통상적인 DDoS 공격 패턴과 천천히 증가하는 DDoS 공격 패턴의 패킷 양을 도시하고 있다.
도 8은 본 발명의 다른 실시예에 따른 공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 도면이다.
도 9는 본 발명의 다른 실시예에 따른 공격 목적지 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 도면이다.
도 10은 패킷 속성값에 대한 임계값을 계산하기 위한 윈도우를 도시하고 있다.
도 11은 본 발명의 일 실시예에 따라 통합 서버에서 DDoS 공격을 방어하는 방법을 설명하는 흐름도이다.
<도면의 주요 부분에 대한 설명>
1: 공격 마스터 6: 피해자 호스트
2-1, 2-2, 3-1, 3-2, 4-1, 4-2, 5-1, 5-2: 공격 에이전트
11, 12, 13, 14: 공격 소스 네트워크의 탐지부
15: 공격 목적지 네트워크의 탐지부 17: 통합 서버
본 발명은 분산서비스거부(Distributed Denial Of Service, DDos) 공격의 방어 방법에 관한 것으로, 보다 구체적으로 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부 양단에서 제공된 공격 탐지 메시지에 기초하여 분산서비스거부(DDoS) 공격을 탐지 및 방어하는 방법에 관한 것이다.
분산 시스템들의 증가와 인터넷의 확산으로 인하여 네트워크를 통한 공격의 가능성은 점점 늘어나고 있다. 잠재적인 공격의 위협으로부터 시스템을 보호하기 위해서 방화벽(Firewall)과 침입탐지시스템(IDS : Intrusion Detection System)같은 보안 시스템들을 설치하고 있다. 그러나 기존의 보안 장치들은 지역 네트워크 경계를 넘어선 탐지가 불가능하고, 네트워크 차원의 효율적이고 적극적인 대응이 불가능하다.
인터넷에서 발생하는 많은 종류의 공격을 방어하기 위하여 방화벽과 침입탐지시스템 같은 보안기술들이 점차 발전하고 있지만 이러한 기술들의 발전에도 불구하고 DoS/DDoS 공격의 위협은 크게 증가하고 있다. 가장 큰 이유는 자동 공격 툴의 사용으로 간단한 조작만으로도 넓게 분산되어 DDoS 공격이 가능하기 때문이다. DDoS 공격은 공격자가 하위에 수많은 공격 에이전트(zombie)를 만들어 특정한 호스트를 상대로 동시에 많은 패킷을 전송하여 서비스 불능상태로 만든다.
DDoS 공격으로 인해 2000년 2월에 야후, 아마존과 같은 인터넷 포털 사이트가 심각한 피해를 입었으며, 전세계 인터넷 트래픽을 관장하는 미국 내 13개의 루트 서버가 DDoS 공격을 받아 그 중 9대가 일시적으로 정상 작동이 불가능해지는 사례가 있었다. 또한, 우리나라에서는 2003년 1월 25일에 SQL 슬래머웜의 발생 및 전파로 인한 트래픽 폭증으로 인터넷이 마비되는 일이 발생하기도 했다.
도 1은 분산서비스거부(DDos) 공격을 설명하기 위한 네트워크를 도시하고 있다.
도 1을 참고로, 공격 마스터(1)는 다수의 공격 에이전트(2-1, 2-2, 3-1, 3- 2, 4-1, 4-2, 5-1, 5-2)를 이용하여 IP 스푸핑(spoofing)된 다량의 패킷을 피해자 호스트(6)로 전송한다. 실제 DDoS 공격은 훨씬 많은 수의 공격 에이전트들에 의해 행해질 수 있으며 그에 따라 피해자 호스트(6) 측에서 받는 트래픽의 양은 엄청날 것이다. 공격에 대한 대처가 빠르게 이행되지 않는다면 피해자 호스트(6)는 곧 서비스 불능상태가 될 것이다.
도 2는 분산서비스거부공격을 탐지하기 위한 탐지부를 구비하는 네트워크를 도시하고 있다.
도 2를 참고로, 탐지 위치에 따라서 공격 소스 네트워크의 탐지부(11, 12, 13, 14)와 공격 목적지 네트워크의 탐지부(15)로 구분된다.
공격 목적지 네트워크의 탐지부(15)는 피해자 호스트(6)가 속한 네트워크에 가장 가까운 에지(edge) 라우터에 위치한다. 분산된 네트워크에서 들어오는 공격 트래픽을 통합적으로 분석해서 공격의 징후를 탐지하기 가장 좋은 위치에 탐지부(15)가 위치하고 있다. 그러나 공격 목적지 네트워크의 탐지부(15)는 공격에 대응하기 전에 네트워크의 리소스(resource)를 고갈시키는 매우 높은 트래픽 양의 DDoS 공격 형태에 대해서 대응 시간이 오래 걸리고 대응 방법의 계산 복잡도가 높다는 단점이 있다. 공격 목적지 네트워크의 탐지부(15)에서 공격 근원지를 정확하게 찾기 위한 노력으로 IP 역추적 기술이 연구되었지만 패킷에 마킹하는 오버헤드가 존재할 뿐만 아니라 대부분의 공격이 근원지 IP 주소를 스푸핑(IP Spoofing)하기 때문에 이러한 IP 역추적은 한계에 이를 수밖에 없었다.
한편, 공격 소스 네트워크의 탐지부(11, 12, 13, 14)는 패킷 필터링과 같이 공격에 대응하기에 가장 효율적인 공격 에이전트들이 속한 네트워크에 접속되어 위치하지만 전체 DDoS 공격 트래픽의 일부만을 근거로 공격 여부를 판단하기 때문에 공격 목적지 네트워크의 탐지부(15)보다 상대적으로 FPR(False Positive Ratio)와 FNR(False Negative Ratio)가 높다는 단점이 있다. 여기서 FPR은 전체 일반패킷에 대한 공격 패킷으로 잘못 분류되는 패킷의 비율이고 FNR은 그 반대의 경우이다.
위에서 살펴본 것과 같이 DDoS 공격은 일반적인 패킷으로 공격이 이루어지므로 합법적인 패킷과 구분하기 어려우며 탐지를 위해서는 탐지의 정확성과 복잡도가 동시에 고려되어야 한다. 따라서, 이를 탐지하기 위해서는 통계적인 방법을 사용하여야 하며 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부의 상호 협력을 통해 분산된 공격 형태를 가지는 DDoS 공격을 효과적으로 방어할 필요가 있다.
본 발명이 이루고자 하는 목적은 공격 소스 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값 및 공격 목적지 네트워크의 탐지부를 통해 수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 통계적인 방법으로 계산하여 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크 탐지부 측에서 각각 DDoS 공격을 탐지하는 한편 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부에서 탐지된 DDoS 공격을 통합하여 DDoS 공격을 방어하는 방법을 제공하는 것이다.
본 발명의 목적을 달성하기 위한 DDoS 공격의 방어 방법은 공격 소스 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값에 기초하여 분산서비스거부공격을 탐지하고 제1 공격 탐지 메시지를 발생하는 단계(a 단계), 공격 목적지 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값에 기초하여 분산서비스거부공격을 탐지하고 제2 공격 탐지 메시지를 발생하는 단계(b 단계) 및 제1 공격 탐지 메시지와 제2 공격 탐지 메시지를 이용하여 분산서비스거부공격을 탐지하고 공격 소스 네트워크의 탐지부로 공격 방어 메시지를 송신하는 단계(c 단계)를 포함한다.
바람직하게, (a) 단계는 공격 소스 네트워크의 탐지부로부터 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값들을 계산하는 단계, 공격 소스 네트워크의 탐지부로부터 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값들을 각각 제1 내지 제4 임계값과 비교하는 단계 및 비교 결과에 기초하여 분산서비스거부공격을 탐지하고 제1 공격 탐지 메시지를 발생하는 단계를 포함한다.
바람직하게, (b) 단계는 공격 목적지 네트워크의 탐지부로 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값들을 계산하는 단계, 공격 목적지 네트워크의 탐지부로 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값들을 각각 제5 내지 제8 임계값과 비교하는 단계 및 비교 결과에 기초하여 분산서비스거부공격을 탐지하고 제2 공격 탐지 메시지를 발생하는 단계를 포함한다.
바람직하게, (c) 단계는 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부로부터 제1 공격 탐지 메시지와 제2 공격 탐지 메시지를 수신하는 단 계, 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 또는 탐지 시간이 일치하는 제1 공격 탐지 메시지를 검색하는 단계, 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 및 탐지 시간이 일치하는 제1 공격 탐지 메시지가 검색되는 경우 분산서비스거부 공격의 탐지를 확정하는 단계 및 검색된 제1 공격 탐지 메시지를 발생하는 공격 소스 네트워크의 탐지부로 공격 방어 메시지를 송신하는 단계를 포함한다.
이하 첨부된 도면을 참고로 본 발명의 일 실시예에 따른 DDoS 공격 방어 방법을 보다 구체적으로 설명한다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 방어 시스템을 설명하고 있다.
도 3을 참고로, 공격자 마스터(1)는 공격 에이전트(2-1, 2-2, 3-1, 3-2, 4-1, 4-2, 5-1, 5-2)들을 이용하여 공격 패킷을 피해자 호스트(6)로 송신하도록 제어하며 공격 에이전트(2-1, 2-2, 3-1, 3-2, 4-1, 4-2, 5-1, 5-2)는 자신이 속한 네트워크를 통해 공격 패킷을 피해자 호스트(6)로 송신한다. 공격 에이전트(2-1, 2-2, 3-1, 3-2, 4-1, 4-2, 5-1, 5-2)들이 속한 각각의 공격 소스 네트워크는 공격 소스 네트워크의 탐지부(11, 12, 13, 14)와 접속되어 있으며, 공격 소스 네트워크의 탐지부(11, 12, 13, 14)는 공격 소스 네트워크와 피해자 호스트(6) 사이에서 송수신되는 패킷들에 대한 DDoS 공격의 판단 인자값을 계산하여 제1 공격 탐지 메시지를 발생한다.
한편, 피해자 호스트(6)가 속한 네트워크에는 공격 목적지 네트워크의 탐지 부(15)가 접속되어 있으며 공격 목적지 네트워크의 탐지부는 공격 소스 네트워크와 피해자 호스트(6) 사이에서 송수신되는 패킷들에 대한 DDoS 공격의 판단 인자값을 계산하여 제2 공격 탐지 메시지를 발생한다.
공격 소스 네트워크의 탐지부(11, 12, 13, 14)와 공격 목적지 네트워크의 탐지부(15)는 각각 통합 서버(17)에 접속되어 있다. 통합 서버(17)는 공격 소스 네트워크의 탐지부(11, 12, 13, 14)와 공격 목적지 네트워크의 탐지부(15)로부터 수신한 제1 공격 탐지 메시지와 제2 공격 탐지 메시지에 기초하여 DDoS 공격을 방어한다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 방어 시스템에서 송수신되는 메시지를 도시하고 있다.
도 4를 참고로, 다수의 공격 에이전트들은 대량의 공격 패킷(M1)을 피해자 호스트로 송신하여 DDoS 공격을 가한다. 다수의 공격 에이전트들이 속한 공격 소스 네트워크와 피해자 호스트 사이에서 송수신되는 패킷들은 공격 소스 네트워크의 탐지부를 통과하며, 공격 소스 네트워크의 탐지부는 통과되는 패킷들에 대한 DDoS 공격의 판단 인자값을 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값과 비교하여 제1 공격 탐지 메시지(M2)를 통합 서버로 송신한다. 제1 공격 탐지 메시지는 탐지부의 식별자, 패킷의 목적지 주소, 공격 탐지 시간, 포트 번호, 프로토콜 타입에 대한 정보를 구비하고 있다.
한편, 피해자 호스트가 속한 공격 목적지 네트워크에는 탐지부가 접속되어 있으며, 공격 목적지 네트워크의 탐지부는 송수신되는 패킷들에 대한 DDoS 공격의 판단 인자값을 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값과 비교하여 제2 공격 탐지 메시지(M3)를 통합 서버로 송신한다. 제2 공격 탐지 메시지는 탐지부의 식별자, 피해자 호스트의 주소, 공격 탐지 시간, 포트 번호, 프로토콜 타입에 대한 정보를 구비하고 있다.
통합 서버는 제1 공격 탐지 메시지와 제2 공격 탐지 메시지에 응답하여 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부에 각각 공격 방어 메시지(M4, M5)를 송신한다. 통합 서버로부터 공격 소스 네트워크의 탐지부로 송신되는 공격 방어 메시지는 제한된 공격 소스 네트워크의 통신 대역폭, 공격 목적지 네트워크 및 DDos 공격 정보를 구비한다. 통합 서버로부터 공격 목적지 네트워크의 탐지부로 송신되는 공격 방어 메시지는 공격 소스 네트워크 및 DDos 공격 정보를 구비한다.
도 5는 본 발명의 일 실시예에 따른 공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 흐름도이다.
도 5를 참고로, 공격 에이전트가 속한 공격 소스 네트워크와 피해자 호스트 사이에서 송수신되는 패킷들을 수집하여 패킷의 헤더를 추출한다(단계 1). 추출된 패킷의 헤더에 기초하여 IP 스푸핑된 패킷들이 존재하는지 판단한다(단계 2). 추출된 패킷 헤더의 소스 IP 주소에 기초하여 공격 에이전트들이 속한 공격 소스 네트워크의 소스 IP 주소와 서로 다른 소스 IP 주소를 가지는 패킷을 IP 스푸핑된 패킷으로 판단한다. 스푸핑된 패킷이 검색되는 경우 스푸핑된 패킷을 차단한다(단계 3).
IP 스푸핑된 패킷들이 존재하지 않는 경우, 공격 소스 네트워크의 탐지부를 통해 송수신되는 패킷들에 대한 DDoS 공격의 판단 인자값을 계산한다(단계 4). DDoS 공격은 일반적인 패킷으로 공격이 이루어지므로 합법적인 패킷과 공격 패킷을 보다 정확히 탐지하기 위해 통계적인 방법이 사용된다.
통계적인 DDoS 공격의 탐지 방법은 패킷 속성값의 분산도를 이용하여 탐지하는 방법으로 엔트로피(entropy) 및 카이 제곱(chi-square) 검증법을 사용한다. 패킷의 속성값은 소스 IP 주소, 목적지 IP 주소, 포트 번호 등과 같이 패킷이 포함하고 있는 필드값을 의미한다. 이하 엔트로피 검증법과 카이 제곱 검증법에 대해 보다 구체적으로 살펴본다.
엔트로피 검증법은 어떠한 네트워크 속성값에 대한 임의성(Randomness)을 계산한 뒤, 그 값의 평균 변화량을 탐지하는 검증법으로 아래의 수학식(1)에 의해 계산된다.
[수학식 1]
Figure 112006089528732-pat00001
여기서 Pi는 각각 i번째 패킷 속성값이 가지는 확률을 의미한다.
카이 제곱 검증법은 두 분포 간 차이를 측정하는 검증법으로 관측된 속성값의 분포와 비교하고자 하는 기대값의 분포 간의 차이를 계산하여 그 값에 따라 비정상적인 속성값을 검증할 수 있다. 카이 제곱은 아래의 수학식(2)에 의해 계산된다.
[수학식 2]
Figure 112006089528732-pat00002
여기서 B는 샘플 패킷들이 가질 수 있는 값들을 묶어놓은 binning 값이며(예를 들어 패킷 길이 0-64, 65-128, 129-255로 binning될 수 있음),
Figure 112006089528732-pat00003
는 N개의 샘플 패킷에서 각각의 binning 범위에 속하는 패킷의 개수이며,
Figure 112006089528732-pat00004
는 일반적인 분포에서 binning의 기대값으로
Figure 112006089528732-pat00005
로 표현된다.
바람직하게, 본 발명의 일 실시예에서 DDoS 공격을 판단하기 위한 판단 인자로 트래픽 볼륨, 소스 주소 엔트로피, 카이 제곱 및 목적지 주소 엔트로피가 사용되며, 이에 대해 보다 구체적으로 살펴보면 아래와 같다.
<트래픽 볼륨>
트래픽 볼륨이란 공격 소스 네트워크의 탐지부에 패킷이 도착할 때를 기준으로 일정 수의 패킷들이 도착한 시간을 의미한다. 즉, 100개의 패킷을 한 그룹으로 설정했다면 100개의 패킷들이 공격 소스 네트워크의 탐지부에 도착하는 시간을 의미한다. 트래픽 볼륨이 낮을수록 공격 소스 네트워크의 탐지부에 도착하는 패킷의 수가 증가한다는 것을 의미하며 반대로 트랙픽 볼륨이 높을수록 공격 소스 네트워크의 탐지부에 도착하는 패킷의 수가 작다는 것을 의미한다. 상기 트래픽 볼륨은 아래의 수학식(3)에 의해 계산된다.
[수학식 3]
Figure 112006089528732-pat00006
<소스 주소 엔트로피와 목적지 주소 엔트로피>
소스 주소 엔트로피와 목적지 주소 엔트로피는 각각 소스 주소와 목적지 주소의 분산 정도를 의미한다. 본 발명에 따른 소스 주소 엔트로피(Hss)와 목적지 주소 엔트로피(hsd)는 아래의 수학식(4)와 수학식(5)에 의해 계산된다.
[수학식 4]
Figure 112006089528732-pat00007
여기서 Hss는 소스주소엔트로피, Hss(s)는 송신되는 패킷의 소스 주소 엔트로피, Hss(r)는 수신되는 패킷의 소스 주소 엔트로피를 의미한다.
[수학식 5]
Figure 112006089528732-pat00008
여기서 Hsd는 목적지 주소 엔트로피, Hsd(s)는 송신되는 패킷의 목적지 주소 엔트로피, Hsd(r)는 수신되는 패킷의 목적지 주소 엔트로피이다.
한편 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값을 계산한다(단계 5). 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값은 아래의 수학식(6) 및 수학식(7)에 의해 계산된다.
[수학식 6]
Figure 112006089528732-pat00009
,
Figure 112006089528732-pat00010
[수학식 7]
Figure 112006089528732-pat00011
,
Figure 112006089528732-pat00012
여기서 μ는 제1 간격마다 계산된 평균값이며, α는 가중치이며, σ는 분산값이다. 한편, x는 각각 상기 공격 소스 서버와 송수신되는 패킷의 제1 간격의 트래픽 볼륨, 소스 주소 엔트로피, 카이 제곱과 목적지 주소 엔트로피이다.
각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값은 이전 평균값에 가중치를 부여하여 계산된 평균값과 분산값을 이용하여 수학식(6)와 수학식(7)에 의해 제1 간격마다 계산된다.
상기 계산된 DDoS 공격의 판단 인자값들과 제1 간격마다 계산된 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값을 비교하여 DDoS 공격을 탐지한다(단계 6).
공격 소스 네트워크의 탐지부에서 계산된 각 패킷의 속성값, 즉 트래픽 볼륨(Ts), 소스 주소 엔트로피(Hss), 카이 제곱(x2 s) 및 목적지 주소 엔트로피(Hsd)는 수학식 (6)과 수학식(7)에 의해 계산된 각 트래픽 볼륨의 임계값(Tst), 소스 주소 엔트로피의 임계값(Tss), 카이 제곱의 임계값(Tsx2) 및 목적지 주소 엔트로피(Tsd)의 임계값과 비교된다.
DDoS 공격이 발생하는 경우, 일시적으로 다량의 공격 패킷들이 공격 소스 네트워크의 탐지부를 통과하므로 트래픽 볼륨(Ts)은 급격히 감소한다. 따라서 트래픽 볼륨(Ts)이 트래픽 볼륨에 대한 임계값(Tst)보다 작은 경우 DDoS 공격을 의심할 수 있다.
또한, DDoS의 공격시 공격 소스 네트워크에 속한 다수의 공격 에이전트들이 특정 피해자 호스트로 다수의 공격 패킷을 송신하므로 공격 소스 네트워크의 탐지부를 통과하여 송신되는 패킷의 소스 주소 엔트로피(Hss(s))는 증가하는 반면 공격 소스 네트워크의 탐지부로 수신되는 패킷의 소스 주소 엔트로피(Hss(r))는 감소한다. 따라서 송수신한 패킷에 따른 소스 주소 엔트로피의 비율(Hss(s)/Hss(r))은 급격히 증가한다. 반면, 송수신한 패킷에 따른 목적지 주소 엔트로피의 비율(Hsd(s)/Hsd(r))은 소스 주소 엔트로피의 비율(Hss(s)/Hss(r))과 반대의 특성을 가지므로 급격히 감소한다. 따라서 소스 주소 엔트로피의 비율(Hss(s)/Hss(r))이 소스 주소 엔트로피 비율에 대한 임계값(Tss)보다 크고 목적지 주소 엔트로피의 비율(Hsd(s)/Hsd(r))이 목적지 주소 엔트로피 비율에 대한 임계값(Tsd)보다 작은 경우 의심스러운 패킷으로 판단하게 된다.
또한, DDoS 공격의 발생시 공격 소스 네트워크에 속한 공격 에이전트는 이전의 소스 IP 주소와 서로 다른 소스 IP 주소를 사용하여 공격 패킷을 송신하므로 카이 제곱값(X2 s)은 급격히 증가한다. 따라서 카이 제곱값(X2 s)이 카이 제곱 엔트로피에 대한 임계값(Tsx2) 보다 큰 경우 DDoS 공격을 의심할 수 있다.
위에서 설명한 패킷에 대한 DDoS 공격의 판단 인자값과 각 패킷에 대한 DDoS 공격의 판단 인자값의 임계값을 비교하여 DDoS 공격이 탐지되는 경우, 공격 소스 네트워크의 탐지부는 제1 공격 탐지 메시지를 통합 서버로 송신한다(단계 7).
도 6은 본 발명의 일 실시예에 따른 공격 목적지 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 흐름도이다.
도 6을 참고로, 피해자 호스트로 다수의 공격 에이전트들이 송신하는 공격 패킷들이 수신된다. 피해자 호스트가 속한 공격 목적지 네트워크의 탐지부는 수신된 공격 패킷들에서 헤더를 추출하고(단계 11), 추출된 패킷 헤더에 기초하여 패킷에 대한 DDoS 공격의 판단 인자값을 계산한다(단계 12). 또한, DDoS 공격의 각 판단 인자값의 임계값을 계산한다(단계 13). 단계 12와 단계 13은 도 5에서 설명한 단계 4, 단계 5와 유사하므로 이하 이에 대한 자세한 설명은 생략한다.
탐지부를 통해 송수신되는 공격 패킷들에 대한 DDoS 공격의 판단 인자값을 제1 간격마다 계산한 임계값과 비교하여 DDoS 공격을 탐지한다(단계 14). DDoS 공격시 공격 목적지 네트워크의 탐지부에서 계산된 패킷에 대한 DDoS 공격의 판단 인자값은 공격 소스 네트워크의 탐지부에서 계산된 패킷에 대한 DDoS 공격의 판단 인 자값과는 서로 반대의 특성을 가진다.
즉, 소스 네트워크의 탐지부와 마찬가지로 DDoS 공격시 전체 공격 패킷 양의 증가하고 수신한 패킷의 소스 IP 주소의 분포가 이전과 다른 분포를 나타내기 때문에 트래픽 볼륨(Td)은 급격히 감소하고 카이 제곱값(X2 d)은 급격히 증가한다. 따라서 트래픽 볼륨이 트래픽 볼륨의 임계값보다 작고 카이 제곱값이 카이 제곱값의 임계값보다 클 때 DDoS 공격으로 의심하게 된다. 송수신한 패킷에 따른 소스 주소 엔트로피의 비율(Hss(s)/Hss(r))은 급격히 감소하고 송수신한 패킷에 따른 목적지 주소 엔트로피의 비율(Hsd(s)/Hsd(r))은 급격히 증가한다. 따라서 소스 주소 엔트로피의 비율(Hss(s)/Hss(r))이 소스 주소 엔트로피 비율에 대한 임계값(Tss)보다 작고 목적지 주소 엔트로피의 비율(Hsd(s)/Hsd(r))이 목적지 주소 엔트로피 비율에 대한 임계값(Tsd)보다 클 경우 의심스러운 패킷으로 판단하게 된다.
DDoS 공격을 탐지하는 경우, 공격 목적지 네트워크의 탐지부는 제2 공격 탐지 메시지를 통합 서버로 송신한다(단계 15).
이하 도 7 내지 도 10을 참고로 공격 패킷의 수가 긴 시간에 걸쳐 천천히 증가하는 타입의 DDoS 공격을 탐지하기 위한 본 발명의 다른 실시예를 설명한다.
도 7의 (a)는 통상의 DDoS 공격시 송신되는 패킷의 양을 도시하고 있으며 도 7의 (b)는 공격 에이전트를 확보하고 있다가 천천히 공격 에이전트의 수를 증가시키면서 DDoS 공격을 가할 때 송신되는 패킷의 양을 도시하고 있다. 도 7의 (a)에 도시된 통상의 DDoS 공격은 도 5에서 설명한 임계값을 이용하여 탐지할 수 있지만, 도 7의 (b)와 같이 공격 패킷의 수가 긴 시간에 걸쳐 천천히 증가하는 DDoS 공격의 경우에는 임계값을 피하면서 피해자 호스트의 대역폭을 고갈시킨다.
이렇게 천천히 증가하는 DDoS 공격 발생시, 공격 소스 네트워크의 탐지부에서 계산된 임계값의 특징은 트래픽 볼륨에 대한 임계값이 서서히 감소하고 소스 주소 엔트로피에 대한 임계값은 서서히 증가하며 목적지 주소 엔트로피에 대한 임계값은 서서히 감소한다는 것이다.
공격 패킷의 수가 긴 시간에 걸쳐 천천히 증가하는 DDoS 공격을 탐지하는 경우에는 제1 간격마다 계산되는 임계값 대신 제1 간격보다 긴 제2 간격마다 계산되는 임계값을 이용하여 DDoS 공격을 탐지하여야 한다.
도 8은 본 발명의 다른 실시예에 따른 공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 도면이며, 도 9는 본 발명의 다른 실시예에 따른 공격 목적지 네트워크의 탐지부에서 DDoS 공격을 탐지하는 방법을 설명하는 도면이다.
도 8을 참고로, 공격 소스 네트워크의 탐지부를 통해 송수신되는 공격 패킷의 헤더를 추출하고(단계 21), 추출된 패킷 헤더의 소스 IP 주소에 기초하여 스푸핑된 패킷이 존재하는지 판단하여(단계 22), 스푸핑된 패킷이 발견되는 경우 스푸핑된 패킷을 차단한다(단계 23).
스푸핑된 패킷이 발견되지 않은 경우, 추출된 패킷 헤더에 기초하여 공격 소스 네트워크의 탐지부를 통해 송수신되는 공격 패킷에 대한 DDoS 공격의 판단 인자값을 계산한다(단계 24). 한편, 공격 소스 네트워크의 탐지부를 통해 송수신되는 공격 패킷에 대한 DDoS 공격의 판단 인자값에 대한 임계값을 제1 간격마다 계산한다(단계 25). 제1 간격마다 계산한 DDoS 공격의 판단 인자값의 임계값에 대한 평균값과 분산값을 이용하여 제2 간격마다 DDoS 공격의 판단 인자값의 새로운 임계값을 계산한다(단계 26).
도 10은 제1 간격마다 DDoS 공격의 판단 인자값의 임계값을 계산하기 위한 제1 윈도우와 제2 간격마다 DDoS 공격의 판단 인자값의 임계값을 계산하기 위한 제2 윈도우를 도시하고 있다.
제2 간격마다 계산된 DDoS 공격의 판단 인자값의 임계값을 DDoS 공격의 판단 인자값과 비교하여 DDoS 공격을 탐지한다(단계 27). 즉, 트래픽 볼륨이 트래픽 볼륨에 대한 임계값보다 작은 경우, 소스 주소 엔트로피가 소스 주소 엔트로피에 대한 임계값보다 큰 경우 또는 목적지 주소 엔트로피가 목적지 주소 엔트로피에 대한 임계값보다 작은 경우에 DDoS 공격을 탐지한다. 공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 경우 제1 공격 탐지 메시지를 통합 서버로 송신한다(단계 28).
한편, 도 9를 참고로 천천히 증가하는 DDoS 공격을 공격 목적지 네트워크의 탐지부에서 탐지하는 방법에 대해 설명한다. 공격 목적지 네트워크의 탐지부를 통해 송수신되는 공격 패킷의 헤더를 추출하고(단계 31), 추출된 공격 패킷의 헤더에 기초하여 DDoS 공격의 판단 인자값을 계산한다(단계 32).
공격 소스 네트워크의 탐지부를 통해 송수신되는 공격 패킷에 대한 DDoS 공 격의 판단 인자값에 대한 임계값을 제1 간격마다 계산한다(단계 33). 제1 간격마다 계산한 DDoS 공격의 판단 인자값의 임계값에 대한 평균값과 분산값을 이용하여 제2 간격마다 DDoS 공격의 판단 인자값의 새로운 임계값을 계산한다(단계 34). 계산된 DDoS 공격의 판단 인자값을 제2 간격마다 계산된 DDoS 공격의 판단 인자값의 각 임계값과 비교하여 DDoS 공격을 탐지한다(단계 35). 공격 목적지 네트워크의 탐지부는 트래픽 볼륨이 트래픽 볼륨에 대한 임계값보다 작고, 소스 주소 엔트로피가 소스 주소 엔트로피에 대한 임계값보다 작고 목적지 주소 엔트로피가 목적지 주소 엔트로피에 대한 임계값보다 클 경우에 DDoS 공격을 의심하게 된다.
공격 소스 네트워크의 탐지부에서 DDoS 공격을 탐지하는 경우 제2 공격 탐지 메시지를 통합 서버로 송신한다(단계 36).
도 11은 본 발명의 일 실시예에 따라 통합 서버에서 DDoS 공격을 방어하는 방법을 설명하는 흐름도이다.
도 11을 참고로, 공격 소스 네트워크의 탐지부와 공격 목적지 소스 네트워크의 탐지부로부터 각각 제1 및 제2 공격 탐지 메시지를 수신한다(단계 41). 수신한 제1 공격 탐지 메시지와 제2 공격 탐지 메시지를 비교하여(단계 42), 제2 공격 탐지 메시지의 피해자 호스트 주소와 일치하는 제1 공격 탐지 메시지가 존재하는지 판단한다(단계 43).
공격 목적지 네트워크의 탐지부에는 분산된 공격 패킷들이 집중되므로 공격 소스 네트워크의 탐지부보다 정확하게 DDoS를 탐지할 수 있으므로 공격 목적지 네트워크의 탐지부에서 송신한 제2 공격 탐지 메시지를 기준으로 타켓 주소(target address)가 일치하는 제1 공격 탐지 메시지가 존재하는지 판단한다. 바람직하게, 제2 공격 탐지 메시지에 구비되어 있는 피해자 호스트의 IP 주소 또는 공격 탐지 시간에 일치하는 제1 공격 탐지 메시지가 존재하는지 판단한다.
제2 공격 탐지 메시지에 구비되어 있는 피해자 호스트의 IP 주소 또는 공격 탐지 시간에 일치하는 제1 공격 탐지 메시지가 존재하는 경우, DDoS 공격이 발생하였다고 확정 판단하며(단계 44) 상기 제1 공격 탐지 메시지를 송신한 공격 소스 네트워크의 탐지부로 공격 방어 메시지를 송신한다. 바람직하게, 공격 방어 메시지를 통해 공격 소스 네트워크의 탐지부는 통신 대역폭을 제한한다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터로 읽을 수 있는 기록 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록 매체는 마그네틱 저장 매체(예를 들어, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장 매체를 포함한다.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 따른 분산서비스거부 공격의 방어 방법은 공격 소스 네트워크의 탐지부 및 공격 목적지 네트워크의 탐지부와 서로 협력하여 DDoS 공격을 탐지함으로써, 보다 정확하게 DDoS 공격을 탐지할 수 있다.
또한 본 발명에 따른 분산서비스거부 공격의 방어 방법은 제1 간격동안 계산된 DDoS 공격의 판단 인자값의 임계값에 대한 평균값과 분산값을 이용하여 제2 간격마다 새로운 임계값을 계산하여 DDoS 공격을 탐지함으로써, 천천히 공격 패킷이 증가하는 패턴의 DDoS 공격을 효과적으로 탐지할 수 있다.

Claims (11)

  1. (a) 공격 소스 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 계산하여 분산서비스거부(DDoS) 공격을 탐지하고 제1 공격 탐지 메시지를 발생하는 단계;
    (b) 공격 목적지 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 계산하여 분산서비스거부 공격을 탐지하고 제2 공격 탐지 메시지를 발생하는 단계;
    (c) 상기 공격 소스 네트워크의 탐지부와 공격 목적지 네트워크의 탐지부로부터 제1 공격 탐지 메시지와 제2 공격 탐지 메시지를 수신하는 단계;
    (d) 상기 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 또는 탐지 시간과 일치하는 제1 공격 탐지 메시지를 검색하는 단계;
    (e) 상기 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 및 탐지 시간과 일치하는 제1 공격 탐지 메시지가 검색되는 경우, 분산서비스거부 공격의 탐지를 확정하는 단계; 및
    (f) 상기 검색된 제1 공격 탐지 메시지를 발생하는 공격 소스 네트워크의 탐지부로 공격 방어 메시지를 송신하는 단계를 포함하는 분산서비스거부 공격의 방어 방법.
  2. 제 1 항에 있어서, 상기 DDoS 공격의 판단 인자는
    트랙픽 볼륨, 소스 주소 엔트로피, 카이 제곱 및 목적지 주소 엔트로피인 분산서비스거부 공격의 방어 방법.
  3. 제 2 항에 있어서, 상기 (a) 단계는
    공격 소스 네트워크의 탐지부로부터 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 계산하는 단계;
    상기 계산된 공격 소스 네트워크의 탐지부로부터 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 각각 제1 내지 제4 임계값과 비교하는 단계; 및
    상기 비교 결과에 기초하여 분산서비스거부 공격을 탐지하고 제1 공격 탐지 메시지를 발생하는 단계를 포함하는 분산서비스거부 공격의 방어 방법.
  4. 제 3 항에 있어서, 상기 (b) 단계는
    공격 목적지 네트워크의 탐지부로 수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 계산하는 단계;
    상기 계산된 공격 목적지 네트워크의 탐지부로 수신되는 패킷에 대한 DDoS 공격의 판단 인자값을 각각 제5 내지 제8 임계값과 비교하는 단계; 및
    상기 비교 결과에 기초하여 분산서비스거부 공격을 탐지하고 제2 공격 탐지 메시지를 발생하는 단계를 포함하는 분산서비스거부 공격의 방어 방법.
  5. 제 4 항에 있어서, 상기 제1 내지 제8 임계값은
    상기 계산된 DDoS 공격의 판단 인자값의 이전 평균값에 가중치를 부여하여 계산된 평균값과 분산값을 이용하여 제1 간격마다 계산되는 분산서비스거부 공격의 방어 방법.
  6. 제 5 항에 있어서, 상기 제1 내지 제8 임계값은
    상기 제 1 간격마다 계산된 DDoS 공격의 판단 인자값에 대한 임계값의 평균값 및 분산값을 이용하여 제2 간격마다 계산되며,
    상기 제2 간격은 제1 간격보다 더 긴 분산서비스거부 공격의 방어 방법.
  7. 삭제
  8. 제 5 항에 있어서, 상기 공격 방어 메시지는
    상기 검색된 제1 공격 탐지 메시지를 발생하는 공격 소스 네트워크의 통신 대역폭을 제한하는 분산서비스거부 공격의 방어 방법.
  9. (a) 공격 소스 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값에 기초하여 탐지된 분산서비스거부 공격을 알리기 위한 제1 공격 탐지 메시지를 수신하는 단계;
    (b) 공격 목적지 네트워크의 탐지부를 통해 송수신되는 패킷에 대한 DDoS 공격의 판단 인자값에 기초하여 탐지된 분산서비스거부 공격을 알리기 위한 제2 공격 탐지 메시지를 수신하는 단계;
    (c) 상기 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 또는 탐지 시간과 일치하는 제1 공격 탐지 메시지를 검색하는 단계;
    (d) 상기 제2 공격 탐지 메시지에 포함되어 있는 목적지 주소 및 탐지 시간과 일치하는 제1 공격 탐지 메시지가 검색되는 경우, 분산서비스거부 공격의 탐지를 확정하는 단계; 및
    (e) 상기 검색된 제1 공격 탐지 메시지를 발생하는 공격 소스 네트워크의 탐지부로 공격 방어 메시지를 송신하는 단계를 포함하는 분산서비스거부 공격의 방어 방법.
  10. 제 9 항에 있어서, 상기 DDoS 공격의 판단 인자는
    트랙픽 볼륨, 소스 주소 엔트로피, 카이 제곱 및 목적지 주소 엔트로피인 분산서비스거부 공격의 방어 방법.
  11. 삭제
KR1020060120844A 2006-12-01 2006-12-01 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법 KR100803029B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060120844A KR100803029B1 (ko) 2006-12-01 2006-12-01 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060120844A KR100803029B1 (ko) 2006-12-01 2006-12-01 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법

Publications (1)

Publication Number Publication Date
KR100803029B1 true KR100803029B1 (ko) 2008-02-18

Family

ID=39382114

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060120844A KR100803029B1 (ko) 2006-12-01 2006-12-01 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법

Country Status (1)

Country Link
KR (1) KR100803029B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101381606B1 (ko) 2013-05-28 2014-04-14 아주대학교산학협력단 콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법
KR101444899B1 (ko) 2012-07-12 2014-09-26 건국대학교 산학협력단 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법
US9386036B2 (en) 2009-07-23 2016-07-05 Ahnlab, Inc. Method for detecting and preventing a DDoS attack using cloud computing, and server
KR20160113911A (ko) * 2015-03-23 2016-10-04 (주) 시스메이트 플로우 기반 디도스 탐지 및 방어 장치 및 방법
CN115277103A (zh) * 2022-06-29 2022-11-01 中国科学院计算技术研究所 DDoS攻击检测方法、DDoS攻击流量过滤方法、装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH025131A (ja) * 1988-06-23 1990-01-10 Nec Corp 実行ユニット変更方式
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
JP2003283554A (ja) 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
KR20040105355A (ko) * 2003-06-07 2004-12-16 주식회사 디지털파루스 서비스거부 공격 및 분산 서비스거부 공격 차단 기능을갖는 네트워크 인터페이스 카드와 이를 이용한서비스거부 공격 및 분산 서비스거부 공격 차단방법
KR20040109985A (ko) * 2003-06-19 2004-12-29 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
KR20050090640A (ko) * 2004-03-09 2005-09-14 유넷시스템주식회사 유해 트래픽 분석 시스템 및 방법
KR20050098603A (ko) * 2004-04-08 2005-10-12 홍충선 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법
KR20060128734A (ko) * 2005-06-10 2006-12-14 에이티 앤드 티 코포레이션 다양한 네크워크 공격들에 대한 적응적 방어

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH025131A (ja) * 1988-06-23 1990-01-10 Nec Corp 実行ユニット変更方式
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
JP2003283554A (ja) 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
KR20040105355A (ko) * 2003-06-07 2004-12-16 주식회사 디지털파루스 서비스거부 공격 및 분산 서비스거부 공격 차단 기능을갖는 네트워크 인터페이스 카드와 이를 이용한서비스거부 공격 및 분산 서비스거부 공격 차단방법
KR20040109985A (ko) * 2003-06-19 2004-12-29 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
KR20050090640A (ko) * 2004-03-09 2005-09-14 유넷시스템주식회사 유해 트래픽 분석 시스템 및 방법
KR20050098603A (ko) * 2004-04-08 2005-10-12 홍충선 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법
KR20060128734A (ko) * 2005-06-10 2006-12-14 에이티 앤드 티 코포레이션 다양한 네크워크 공격들에 대한 적응적 방어

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
한국정보처리학회 제25회 춘계학술발표대회 논문집 제13권 제1호

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9386036B2 (en) 2009-07-23 2016-07-05 Ahnlab, Inc. Method for detecting and preventing a DDoS attack using cloud computing, and server
KR101444899B1 (ko) 2012-07-12 2014-09-26 건국대학교 산학협력단 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법
KR101381606B1 (ko) 2013-05-28 2014-04-14 아주대학교산학협력단 콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법
KR20160113911A (ko) * 2015-03-23 2016-10-04 (주) 시스메이트 플로우 기반 디도스 탐지 및 방어 장치 및 방법
KR101683781B1 (ko) 2015-03-23 2016-12-08 (주) 시스메이트 플로우 기반 디도스 탐지 및 방어 장치 및 방법
CN115277103A (zh) * 2022-06-29 2022-11-01 中国科学院计算技术研究所 DDoS攻击检测方法、DDoS攻击流量过滤方法、装置
CN115277103B (zh) * 2022-06-29 2024-08-16 中国科学院计算技术研究所 DDoS攻击检测方法、DDoS攻击流量过滤方法、装置

Similar Documents

Publication Publication Date Title
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
David et al. DDoS attack detection using fast entropy approach on flow-based network traffic
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
Collins et al. Using uncleanliness to predict future botnet addresses
Shamsolmoali et al. Statistical-based filtering system against DDOS attacks in cloud computing
CN102045344B (zh) 一种基于路径信息弹性分片的跨域溯源方法及系统
Prasad et al. Discriminating DDoS attack traffic from flash crowds on Internet Threat Monitors (ITM) using entropy variations
Bouyeddou et al. Detection of smurf flooding attacks using Kullback-Leibler-based scheme
Nikolskaya et al. Review of modern DDoS-attacks, methods and means of counteraction
KR100803029B1 (ko) 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
Bou-Harb et al. A systematic approach for detecting and clustering distributed cyber scanning
Robinson et al. Evaluation of mitigation methods for distributed denial of service attacks
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
Keshri et al. DoS attacks prevention using IDS and data mining
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
Majed et al. Efficient and Secure Statistical DDoS Detection Scheme.
Belej Development of a Technique for Detecting" Distributed Denial-of-Service Attacks" in Security Systems of Wireless Sensor Network
Haas et al. Scan Correlation–Revealing distributed scan campaigns
Bouyeddou et al. An effective network intrusion detection using hellinger distance-based monitoring mechanism
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
KR20090065313A (ko) 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치
Bou-Harb et al. On detecting and clustering distributed cyber scanning
Kim et al. Ddos analysis using correlation coefficient based on kolmogorov complexity
Song et al. Collaborative defense mechanism using statistical detection method against DDoS attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20120207

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130121

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee