KR100973076B1 - 분산 서비스 거부 공격 대응 시스템 및 그 방법 - Google Patents

분산 서비스 거부 공격 대응 시스템 및 그 방법 Download PDF

Info

Publication number
KR100973076B1
KR100973076B1 KR1020090080442A KR20090080442A KR100973076B1 KR 100973076 B1 KR100973076 B1 KR 100973076B1 KR 1020090080442 A KR1020090080442 A KR 1020090080442A KR 20090080442 A KR20090080442 A KR 20090080442A KR 100973076 B1 KR100973076 B1 KR 100973076B1
Authority
KR
South Korea
Prior art keywords
information
connection
ddos attack
ddos
service target
Prior art date
Application number
KR1020090080442A
Other languages
English (en)
Inventor
신수철
허재원
Original Assignee
(주)넷코아테크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷코아테크 filed Critical (주)넷코아테크
Priority to KR1020090080442A priority Critical patent/KR100973076B1/ko
Application granted granted Critical
Publication of KR100973076B1 publication Critical patent/KR100973076B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

분산 서비스 거부(Distributed Denial of Service; DDoS) 공격 대응 시스템 및 그 방법이 제공된다. DDoS 공격 대응 시스템은, 복수의 클라이언트와 연결된 에지 라우터에 연결되고, 상기 에지 라우터를 통해 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 수집하는 프로브 및 상기 프로브로부터 상기 접속 정보를 수신하여, 상기 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 서비스 대상 기관별 접속 패턴 정보를 분석하고, 상기 분석된 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 서비스 대상 기관에 대한 DDoS 공격 여부를 판단한 후 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보를 상기 에지 라우터, 상기 에지 라우터에 연결된 방화벽 또는 상기 프로브 중 하나로 전송하는 대응 서버를 포함하되, 상기 프로브는, 상기 대응 서버로부터 수신된 접속 제한 정보에 기초하여, DDoS에 감염된 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 리다이렉션부를 포함한다.
분산 서비스 거부, DDoS, 패킷, 접속 제한, 백신

Description

분산 서비스 거부 공격 대응 시스템 및 그 방법{SYSTEM FOR DEPENDING AGAINST DISTRIBUTED DENIAL OF SERVICE ATTACK AND METHOD THEREFOR}
감염된 클라이언트를 신속하게 추적하여 웹 리다이렉션(Web Redirection)을 통해 해당 클라이언트에게 감염 사실 통보 및 백신 실행을 유도함으로써, 감염된 클라이언트를 신속하게 치료할 수 있는 DDoS 공격 대응 시스템 및 그 방법에 관한 것이다.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software)의 전염 경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성소프트웨어에는 컴퓨터 바이러스와 악성코드 즉 트로이 목마(Trojan Horse), 웜(Worm), 논리폭탄(Logic Bomb), 트랩도어(Trap Door), 스파이웨어(Spyware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
서비스 거부(Denial of Service; DoS) 공격이란 외부 공격자가 특정 컴퓨터 시스템과 그 시스템이 속한 네트워크에 과다한 데이터를 보냄으로써 시스템과 네트워크의 성능을 급격히 저하시켜 정상적인 운영을 방해하여 그 컴퓨터 시스템이 사용자에 대한 서비스의 제공을 거부하도록 하는 것으로써 DoS 공격 방법의 일례로 한 사용자가 특정 시스템의 리소스를 독점하거나 파괴함으로써, 다른 사용자들이 그 시스템의 서비스를 받을 수 없도록 하는 방법이 사용된다.
분산 서비스 거부(Distributed Denial of Service; DDoS) 공격이란 많은 수의 호스트들에 패킷을 범람시킬 수 있는 서비스 거부 공격용 프로그램들이 분산 설치되어 이들이 서로 통합된 형태로 특정 컴퓨터 시스템이나 네트워크의 성능을 저하시키거나 시스템을 마비시키는 것을 말한다.
그래서, 이러한 서비스 거부(DoS) 공격이나 분산 서비스 거부(DDoS) 공격을 방지하기 위해서, 호스트 컴퓨터가 위치하는 로컬 네트워크에 방화벽과 네트워크 침입 방지 시스템을 설치하여 인터넷에 연결된 공격자 컴퓨터로부터 공격 대상이 되는 목표 호스트 컴퓨터에 대한 공격을 방지하고 있다.
즉, 공격자 컴퓨터로부터 공격이 발생하면 로컬 네트워크에서의 트래픽이 급격히 증가하게 되는데, 이때 침입 방지 시스템에서 공격을 감지하여 공격 패킷들을 폐기함으로써 공격을 차단하게 된다.
그러나, 종래 기술에 따른 침입 방지 시스템은 목표 호스트 컴퓨터와 네트워크 중간에 위치한 관계로 로컬 네트워크에 연결된 호스트 컴퓨터로 전달되는 모든 데이터를 동시에 처리해야만 하기 때문에 중간에서 공격의 발생 여부를 감지하여 공격 패킷들을 처리하는 작업으로 인해 네트워크의 통과 능력을 저하시키는 문제점이 있다.
또한, 종래 기술에 따른 침입 방지 시스템에 따르면, 호스트 컴퓨터에서 침입 방지를 하기 위해서는 네트워크로부터 들어오는 패킷을 운영시스템에서 DoS나 DDoS의 공격을 감지하기 위한 처리과정을 수행하여 이상이 있는 패킷을 폐기하여 침입 방지를 하기 때문에, 이상 패킷에 대한 처리 과정에 소요되는 처리 시간과 연산 자원이 많이 소요됨에 따라 호스트 컴퓨터의 응용 프로그램의 기능이 현저히 저하되는 문제점이 있다.
한편, 제 1 선행 기술로서, 한국 공개 특허 제2004-0057257호에는 “분산 서비스 거부 공격 대응 시스템 및 방법과 그 프로그램을 기록한 기록매체”라는 명칭의 발명이 개시되어 있는 바, 라우터에 유입 또는 유출되는 트래픽 정보(Netflow)를 분석함으로써 분산 서비스 거부 공격을 탐지하여 해당 라우터에 트래픽 이동량을 제한시켜 비정상 트래픽을 제어하는 기술에 관한 것이다.
하지만, 상술한 제 1 선행 기술은, 트래픽 정보(Netflow)를 이용하여 트래픽 변화 정보를 관찰함으로써 DDoS 공격의 발생을 탐지하고 또한 트래픽 이동량을 제한하도록 하고는 있으나, 트래픽의 패턴 정보를 이용하는 것이 아니라 트래픽의 전체 양의 변화 상황을 보고 유추하는 것이기 때문에 정확한 정보를 제공할 수 없다는 문제점이 있다. 또한, 트래픽 이동량의 제한에 있어서도 해당 패킷이 DDoS 공격용 패킷인지에 대한 정확한 판단 하에 이루어지는 것이 아니라는 문제점 있다.
본 발명의 일 실시예는 목적지 앞단이 아닌 출발지인 에지 라우터에서 DDoS 공격 패턴의 검출 및 차단이 가능한 DDoS 공격 대응 시스템 및 그 방법을 제공한다.
또한, 본 발명의 일 실시예는 에지 라우터 별로 각 에지 라우터를 통해 서비스 대상 기관에 접속하는 고정된 수의 클라이언트만을 대상으로 접속 정보의 축적 및 분석을 수행하여 서비스 대상 기관에 대한 DDoS 공격에 신속하게 대응할 수 있는 DDoS 공격 대응 시스템 및 그 방법을 제공한다.
또한, 본 발명의 일 실시예는 서비스 대상 기관 별로 각 서비스 대상 기관에 접속하는 모든 클라이언트의 접속 패턴을 분석하여 서비스 대상 기관에 대한 DDoS 공격 여부를 신속하게 파악하여 DDoS 공격용 패킷을 차단할 수 있는 있는 DDoS 공격 대응 시스템 및 그 방법을 제공한다.
또한, 본 발명의 일 실시예는 감염된 클라이언트를 신속하게 추적하여 웹 리다이렉션을 통해 해당 클라이언트에게 감염 사실 통보 및 백신 실행을 유도함으로써, 감염된 클라이언트의 즉각적인 치료가 가능하며, DDoS 치료 백신의 개발 기간을 최소한으로 단축시킬 수 있는 DDoS 공격 대응 시스템 및 그 방법을 제공한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측 면은 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 시스템에 있어서, 복수의 클라이언트와 연결된 에지 라우터에 연결되고, 상기 에지 라우터를 통해 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 수집하는 프로브 및 상기 프로브로부터 상기 접속 정보를 수신하고, 상기 수신된 접속 정보에 기초하여, 상기 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 서비스 대상 기관별 접속 패턴 정보를 작성하고, 상기 작성된 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 서비스 대상 기관에 대한 DDoS 공격 여부를 판단하여, 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보를 상기 에지 라우터, 상기 에지 라우터에 연결된 방화벽 또는 상기 프로브 중 하나로 전송하는 대응 서버를 포함하되, 상기 프로브는, 상기 수신된 접속 제한 정보에 기초하여, DDoS에 감염된 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 리다이렉션부를 포함하는 것인 DDoS 공격 대응 시스템을 제공한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 2 측면은 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 방법에 있어서, (a) 에지 라우터를 통해 네트워크에 접속하는 복수의 클라이언트의 접속 정보를 프로브로부터 주기적으로 수신하는 단계, (b) 상기 수신된 접속 정보에 기초하여, 각 서비스 대상 기관에 접속하는 상기 복수의 클라이언트의 접속 정보를 분석한 서비스 대상 기관별 접속 패턴 정보를 작성하는 단계, (c) 상기 프 로브에서 상기 서비스 대상 기관에 대한 DDoS 공격 패턴이 검출되면, 상기 프로브로부터 상기 서비스 대상 기관의 패킷 요약 정보를 수신하는 단계, (d) 상기 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 수신된 패킷 요약 정보에 해당하는 서비스 대상 기관에 대한 DDoS 공격 여부를 판단하는 단계, (e) 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 상기 에지 라우터, 상기 에지 라우터에 연결된 방화벽 또는 상기 프로브 중 하나에서 차단하는 단계 및 (f) DDoS 공격용 패킷을 송신하는 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 단계를 포함하는 DDoS 공격 대응 방법을 제공한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 3 측면은 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 방법에 있어서, (a) 복수의 클라이언트와 연결된 에지 라우터를 통해 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 주기적으로 수집하는 단계, (b) 상기 수신된 접속 정보에 기초하여, 각 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대해 서비스 대상 기관별 접속 패턴 정보를 분석하는 단계, (c) 상기 서비스 대상 기관별 접속 패턴 정보에 기초하여, DDoS 공격 패턴을 검출하여 상기 서비스 대상 기관에 대한 DDoS 공격 여부를 판단하는 단계, (d) 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하는 단계 및 (e) 상기 DDoS 공격용 패킷을 송신하는 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 단계를 포함하는 DDoS 공격 대응 방법을 제공한다.
전술한 본 발명의 과제 해결 수단 중 하나에 의하면, 에지 라우터 별로 각 에지 라우터를 통해 서비스 대상 기관에 접속하는 고정된 수의 클라이언트만을 대상으로 접속 정보의 축적 및 분석을 수행하여 서비스 대상 기관에 대한 DDoS 공격에 신속하게 대응할 수 있도록 한다.
또한, 본 발명의 다른 과제 해결 수단 중 하나에 의하면, 서비스 대상 기관 별로 각 서비스 대상 기관에 접속하는 모든 클라이언트의 접속 패턴을 분석하여 서비스 대상 기관에 대한 DDoS 공격 여부를 신속하게 파악하여 DDoS 공격용 패킷을 차단할 수 있도록 한다.
또한, 본 발명의 다른 과제 해결 수단 중 하나에 의하면, 에지 라우터에 연결된 프로브에서 DDoS 공격 패턴이 검출된 경우라 할지라도 각 서비스 대상 기관들에 대한 접속 현황이 정상인 경우에는 DDoS 공격이 아닌 정상 상태로 처리함으로써 DDoS 공격 발생에 대한 오탐률을 최대한 줄일 수 있다.
또한, 본 발명의 다른 과제 해결 수단 중 하나에 의하면, 감염된 클라이언트를 신속하게 추적하여 웹 리다이렉션을 통해 해당 클라이언트에게 감염 사실 통보 및 백신 실행을 유도함으로써, 감염된 클라이언트의 즉각적인 치료가 가능하며, DDoS 치료 백신의 개발 기간을 최소한으로 단축시킬 수 있다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하에는 도 1 내지 도 6을 참조하여, 본 발명의 일 실시예에 따른 DDos 공격 대응 시스템 및 그 방법을 설명한다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격에 대응하기 위한 시스템의 연결 관계를 도시한 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 DDoS 공격 대응 시스템(600)의 네트워크 연결은 복수의 클라이언트(100), 네트워크(200), 에지 라우터(300), 방화벽(350), 프로브(400), 서비스 대상 기관(500), DDoS 공격 대응 시스템(600) 및 백신 서버(700)를 포함한다.
클라이언트(100)는 노트북 컴퓨터, 데스크톱(Desktop) 컴퓨터, 랩톱(Laptop) 컴퓨터 및 개인 휴대용 단말기를 이용하여 네트워크(200)를 통해 웹 페이지나 콘텐츠 등을 요청하는 사용자가 이용하는 디지털 처리 장치일 수 있으며, 이러한 복수의 클라이언트(100)는 1 이상의 네트워크에 분산되어 접속할 수 있다.
이때, 복수의 클라이언트(100) 중에서 일부의 클라이언트는 공격자 클라이언트로서, 공격자 클라이언트들은 복수의 패킷을 생성하고, 이 생성된 복수의 패킷을 에지 라우터(300)를 통해 네트워크(200)에 접속하여 DDoS 공격 대상으로 결정된 특정 서비스 대상 기관(500)으로 동시에 송신한다.
에지 라우터(Edge-Router; 300)는 네트워크(200) 접속에 필요한 네트워크 계층의 장비로서, 클라이언트(100)에 가장 근접하여 접속되어 있으며, 자신이 관할하는 IP 주소군에 대한 정보를 가지고 있다. 구체적으로, 에지 라우터(300)는 클라이언트(100)로부터 수신된 패킷에 의하여 자신이 연결되어 있는 네트워크 또는 다른 네트워크 내의 수신처를 결정하여 여러 경로 중 가장 효율적인 경로를 선택하여 패킷을 송신한다.
방화벽(350)은 네트워크(200)에 출입하는 송/수신 패킷을 감시하고, DDoS 공격 대응 시스템(600)으로부터 DDoS 공격용 패킷의 차단 요청이 수신되면 이를 차단한다. 일반적으로, 방화벽(350)은 외부 네트워크와의 정보 송/수신을 선택적으로 조정 허용하기 위한 하드웨어 또는 소프트웨어로서, 내부 네트워크와 외부 네트워크의 모든 통신은 방화벽(350)을 거쳐야 한다. 그에 따라 방화벽(350)은 내부 네트워크를 인터넷 등의 외부 네트워크로 연결하며, 특정 사업체의 랜(LAN)과 같은 내 부 네트워크를 구축할 때 장착되어 네트워크 간에 오가는 모든 통신을 감시하고 허용되지 않은 비인가 접근을 차단한다.
프로브(400)는 에지 라우터(300)에 연결되어 자신이 연결된 에지 라우터(300)를 주기적으로 모니터링하며, 해당 에지 라우터(300)를 통해 네트워크(200)에 접속하는 모든 클라이언트(100)의 접속 정보를 수집하고 이를 미리 정해진 주기마다 DDoS 공격 대응 시스템(600)으로 전송한다. 여기서, 접속 정보는 소스 IP 주소, 타겟 IP 주소 및 도착지 포트 번호 중 적어도 하나를 포함할 수 있다. 여기서, 프로브(400)는 에지 라우터(300)로부터 직접 데이터를 수신하는 것이 아니라, 실제로는 각 에지 라우터(300)에 연결되어 각 에지 라우터(300)와 통신을 수행하여 라우팅 정보를 획득하는 링크(미도시)를 통해 각 에지 라우터(300)에 접속하는 클라이언트(100)의 접속 정보를 수집할 수 있다. 더욱 구체적으로, 라우터(300)의 상단 또는 하단의 링크로부터 직접 통신 데이타(패킷)를 획득하거나 라우터(300) 또는 스위치(미도시)의 포트 미러링을 통해 통신 내용을 획득할 수 있다.
또한, 프로브(400)는 수집된 클라이언트의 접속 정보를 분석하여 클라이언트별 접속 패턴 정보, 예를 들어 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio), 타겟 IP 등을 작성하며, DDoS 공격 패턴이 검출된 경우 DDoS 공격 대상이 되는 서비스 대상 기관(400)의 패킷 요약 정보를 작성하여 DDoS 공격 대응 시스템(600)으로 전송하고, 이후에 서비스 대상 기관(500)으로부터 접속 제한 정보가 수신되면 접속 제한 정보에 기초하여 DDoS 공격용 패킷을 차단한다.
서비스 대상 기관(500)은 DDoS 공격에 대응하기 위해 DDoS 공격 대응 시스 템(600)에 신청한 기관으로, 예를 들면, 정부 부처, 공공 기관, 민간 기관 및 기업 등의 웹 서버이다.
DDOS 공격 대응 시스템(600)은 프로브(400)로부터 에지 라우터(300)를 통해 네트워크(200)에 접속하는 모든 클라이언트(100)의 접속 정보를 주기적으로 수신하고, 이 수신된 접속 정보를 바탕으로 서비스 대상 기관(500)에 접속하는 모든 클라이언트(100)의 접속 패턴을 분석하여 서비스 대상 기관별 접속 패턴 정보를 작성한다. 또한, DDoS 공격 대응 시스템(600)은 프로브(400)로부터 DDoS 공격이 의심되는 서비스 대상 기관(500)의 패킷 요약 정보가 수신되면, 해당 서비스 대상 기관(500)의 접속 패턴 정보에 기초하여, DDoS 공격 여부를 판단하고, 서비스 대상 기관(500)에 대한 DDoS 공격이 발생한 경우 에지 라우터(300), 방화벽(350) 또는 프로브(400)를 통해 서비스 대상 기관(500)으로 향하는 DDoS 공격용 패킷을 신속하게 차단한다. 뿐만 아니라, DDoS 공격 대응 시스템(600)은 DDoS 공격용 패킷을 송신하는 소스 IP 주소에 해당하는 클라이언트(100)의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드할 수 있는 백신 서버(700)의 웹 페이지로 리다이렉션하여 DDoS 치료 백신의 다운로드를 유도한다.
백신 서버(700)는 DDoS를 치료하기 위한 백신 프로그램 및 이 백신 프로그램을 최신의 버전으로 갱신하기 위한 파일들을 클라이언트(100)에 제공한다.
도 2는 본 발명의 일 실시예에 따른 DDOS 공격 대응 시스템의 세부 구성도이다.
도 2를 참조하면, DDOS 공격 대응 시스템(600)은 대응 서버(610) 및 데이터 베이스(620)를 포함하여 이루어지고, 이때, 대응 서버(610)는 접속 정보 수신부(611), 접속 패턴 분석부(612), 패킷 요약 정보 수신부(613), DDoS 공격 판단부(614), 접속 제한 정보 전송부(615), 치료 IP 패턴 확인부(616) 및 접속 차단 해제 요청부(617)를 포함하며, 데이터베이스(620)는 접속 정보 DB(621), 접속 패턴 정보 DB(622) 및 패킷 요약 정보 DB(623)를 포함한다.
접속 정보 수신부(611)는 프로브(400)로부터 해당 프로브(400)가 접속되어 있는 에지 라우터(300)를 통해 네트워크(200)에 접속하는 모든 클라이언트(100)의 접속 정보, 예를 들어 소스 IP 주소, 타겟 IP 주소, 도착지 포트 번호 등을 수신한다.
접속 패턴 분석부(612)는 접속 정보 수신부(611)를 통해 수신된 접속 정보에 기초하여 서비스 대상 기관별 접속 패턴 정보, 예를 들어 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio), 소스 IP 주소 등을 분석한다.
패킷 요약 정보 수신부(613)는 프로브(400)에 의해 DDoS 공격 패턴이 검출된 경우, 프로브(400)로부터 서비스 대상 기관(500)의 패킷 요약 정보를 수신한다.
DDoS 공격 판단부(614)는 패킷 요약 정보 수신부(613)를 통해 서비스 대상 기관(500)의 패킷 요약 정보가 수신되면, 해당 서비스 대상 기관(500)의 현재 접속 패턴을 접속 패턴 분석부(612)에 의해 분석된 해당 서비스 대상 기관(500)의 접속 패턴 정보와 비교하여, 서비스 대상 기관(500)에 대한 DDoS 공격 여부를 판단한다.
접속 제한 정보 전송부(615)는 DDoS 공격 판단부(614)에 의해 서비스 대상 기관(500)에 대한 DDoS 공격이 발생한 것으로 판단된 경우, 서비스 대상 기관(500) 으로 향하는 DDoS 공격용 패킷을 차단시키기 위한 접속 제한 정보를 프로브(400)로 전송한다.
치료 IP 패턴 확인부(616)는 DDoS 치료가 완료된 소스 IP의 접속 패턴을 미리 정해진 기간 동안 관찰하여 해당 소스 IP의 접속 패턴이 정상인지를 확인한다.
접속 차단 해제 요청부(617)는 치료 IP 패턴 확인부(616)에 의해 해당 소스 IP의 미리 정해진 기간 동안의 접속 패턴이 정상으로 확인된 경우, 해당 소스 IP에 대한 접속 차단의 해제를 프로브(400)로 요청한다.
접속 정보 DB(621)는 접속 정보 수신부(611)에 의해 각 프로브(400)로부터 수신된 접속 정보를 저장한다.
접속 패턴 정보 DB(622)는 접속 패턴 분석부(612)에 의해 분석된 각 서비스 대상 기관(500)의 접속 패턴 정보를 저장한다.
패킷 요약 정보 DB(623)는 패킷 요약 수신부(613)에 의해 각 프로브(400)로부터 수신된 서비스 대상 기관(500)의 패킷 요약 정보를 저장한다.
도 3은 본 발명의 일 실시예에 따른 프로브의 세부 구성도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 프로브(400)는 접속 정보 수집부(410), 접속 정보 송신부(420), 접속 패턴 분석부(430), DDoS 패턴 판단부(440), 패킷 요약 정보 송신부(450), 접속 제한/복구 정보 수신부(460), 접속 차단/복구부(470) 및 저장부(480)을 포함한다.
접속 정보 수집부(410)는 에지 라우터(300)를 주기적으로 모니터링하여 에지 라우터(300)에 접속하는 모든 클라이언트(100)의 접속 정보, 예를 들어 클라이언트 의 IP 주소, 타겟 IP 주소, 도착 포트 번호 등을 수집한다.
접속 정보 송신부(420)는 수집된 클라이언트의 접속 정보를 미리 정해진 주기마다 DDoS 공격 대응 시스템(600)으로 전송한다.
접속 패턴 분석부(430)는 접속 정보 수집부(410)에 의해 수집된 각 클라이언트의 접속 정보를 분석하여, 클라이언트별 접속 패턴 정보, 예를 들어, 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 타겟 IP 주소 등을 작성한다.
DDoS 패턴 검출부(440)는 에지 라우터(300)에 접속하는 모든 클라이언트(100)에 대한 접속 패턴을 저장부(470)에 저장된 클라이언트별 접속 패턴 정보와 비교하여 비정상적인 접속 패턴, 즉 DDoS 공격 패턴을 검출한다.
또한, DDoS 패턴 검출부(440)는 DDoS 공격 패턴이 검출된 경우, 이 DDoS 공격 패턴을 가진 패킷들을 분석하여 공격 대상이 되는 서비스 대상 기관(500)의 패킷 요약 정보를 작성한다.
패킷 요약 정보 송신부(450)는 DDoS 패턴 검출부(440)에 의해 작성된 서비스 대상 기관의 패킷 요약 정보를 DDoS 공격 대응 시스템(600)으로 전송한다.
접속 제한/복구 정보 수신부(460)는 DDoS 공격 대응 시스템(600)으로부터 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보 또는 DDoS의 치료가 완료된 소스 IP에 대해 접속 차단 해제 요청, 즉 접속 복구 정보를 수신한다.
접속 차단/복구부(470)는 DDoS 공격 대응 시스템(600)으로부터 수신된 접속 제한 정보에 기초하여, DDoS 공격용 패킷을 차단하거나, DDoS의 치료가 완료된 소 스 IP에 대해 접속 차단 해제 요청, 즉 접속 복구 정보가 수신되면 해당 소스 IP에 대한 접속 차단을 해제하여 네트워크의 접속을 복구시킨다. 여기서, 접속 제한 정보는 소스 IP 또는 DDoS 공격용 패킷의 패턴 정보를 포함한다.
리다이렉션부(480)는 DDoS 공격 대응 시스템(600)으로부터 수신된 접속 제한 정보에 기초하여, 웹 리다이렉션(Web Redirection)을 통해 DDoS에 감염된 클라이언트(100)로 DDoS 감염 정보, 접속 차단 정보 및 백신 다운로드 정보를 전송한다. 즉, 리다이렉션부(480)는 DDoS에 감염된 클라이언트(100)의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드할 수 있는 백신 서버(700)의 웹 페이지로 리다이렉션하여 DDoS 치료 백신의 다운로드를 유도한다.
저장부(480)는 에지 라우터(300)에 접속하는 모든 클라이언트(100)의 접속 정보 및 클라이언트별 접속 패턴 정보 등을 저장한다.
지금까지는 상기 프로브(400)에서 DDoS 공격 대응 시스템(600)으로부터 수신한 접속 제한 정보에 기초하여 DDoS 공격용 패킷을 차단하는 것을 예로 들어 설명하였지만, 본 발명이 이에 한정되는 것은 아니다. 예를 들면, 에지 라우터(300) 또는 방화벽(350)에서 DDoS 공격 대응 시스템(600)으로부터 수신한 접속 제한 정보에 기초하여, DDoS 공격용 패킷을 송신하는 소스 IP 주소가 포함된 패킷들을 차단하도록 할 수도 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 DDoS 공격 대응 시스템에 따르면, 에지 라우터에 연결된 프로브에서 DDoS 공격 패턴이 검출된 경우라 할지라도 각 서비스 대상 기관들에 대한 접속 현황이 정상인 경우에는 DDoS 공격이 아닌 정 상 상태로 처리함으로써 DDoS 공격 발생에 대한 오탐률을 최대한 줄일 수 있게 된다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격에 대응하는 방법을 설명하기 위한 흐름도이다.
단계(S110)에서 DDoS 공격 대응 시스템(600)은 복수의 서비스 대상 기관(400)으로부터 DDoS 공격 대응 서비스의 이용 요청을 수신한 다음, 단계(S120)으로 진행하여, 서비스 대상 기관의 정보 갱신을 프로브(400)로 요청한다.
단계(S130)에서 프로브(400)는 에지 라우터(300)를 주기적으로 모니터링한 다음, 단계(S140)으로 진행하여, 해당 에지 라우터(300)를 통해 네트워크(200)에 접속하는 모든 클라이언트(100)의 접속 정보, 예를 들어 클라이언트(100)의 IP 주소, 타겟 IP 주소, 도착지 포트(Dst_port) 번호 등을 수집한다.
상술한 단계(S130) 및 단계(S140)에서는 프로브(400)가 에지 라우터(300)로부터 직접 데이터를 수신하는 것을 예로 들어 설명하였지만, 실제로는 각 에지 라우터(300)에 연결되어 각 에지 라우터(300)와 통신을 수행하여 라우팅 정보를 획득하는 링크(미도시)를 통해 각 에지 라우터(300)에 접속하는 클라이언트(100)의 접속 정보를 수집할 수 있다. 더욱 구체적으로, 라우터(300)의 상단 또는 하단의 링크로부터 직접 통신 데이타(패킷)를 획득하거나 라우터(300) 또는 스위치(미도시)의 포트 미러링을 통해 통신 내용을 획득할 수 있다.
단계(S150)에서 프로브(400)는 이 수집된 접속 정보에 기초하여 각 클라이언트(100)의 접속 패턴을 분석하여 클라이언트별 접속 패턴 정보를 작성한다. 여기 서, 클라이언트별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 타겟 IP 주소 중 적어도 하나를 포함할 수 있다.
단계(S160)에서 프로브(400)는 단계(S140)에서 수집된 클라이언트의 접속 정보를 미리 정해진 주기 마다 DDoS 공격 대응 시스템(600)으로 전송한다.
단계(S170)에서 DDoS 공격 대응 시스템(600)은 프로브(400)로부터 수신된 클라이언트의 접속 정보에 기초하여 각 서비스 대상 기관(500)에 접속하는 모든 클라이언트(100)의 접속 패턴을 분석하여 서비스 대상 기관별 접속 패턴 정보를 작성한다. 여기서, 서비스 대상 기관별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 소스 IP 주소 중 적어도 하나를 포함할 수 있다.
단계(S210)에서 프로브(400)는 에지 라우터(300)에 접속하는 모든 클라이언트(100)의 접속 정보를 단계(S150)에서 작성한 해당 클라이언트의 접속 패턴 정보와 비교하여 DDoS 공격 패턴을 검출한다. 여기서, DDoS 공격 패턴의 검출은 복수의 패킷으로부터 페이로드(payload)를 검출하여 문맥을 비교하고, 이 문맥 속에 공통적으로 반복되는 데이터 패턴을 인식함으로써 수행될 수 있다.
DDoS 공격 패턴이 검출되면, 단계(S230)에서 프로브(400)는 공격 대상이 되는 서비스 대상 기관(500)의 패킷 요약 정보를 작성한 다음, 단계(S240)으로 진행하여, 단계(S230)에서 작성된 서비스 대상 기관(500)의 패킷 요약 정보를 DDoS 공격 대응 시스템(600)으로 전송한다.
프로브(400)로부터 서비스 대상 기관(500)의 패킷 요약 정보가 수신되면, 단 계(S240)에서 DDoS 공격 대응 시스템(600)은 현재 해당 서비스 대상 기관(500)의 접속 패턴을 접속 패턴 정보 DB(622)에 저장된 서비스 대상 기관별 접속 패턴 정보와 비교한 다음, 단계(S250)으로 진행하여, 해당 서비스 대상 기관(500)에 대한 DDoS 공격 여부를 판단한다. 즉, DDoS 공격 대응 시스템(600)은 DDoS 공격이 의심되는 서비스 대상 기관(500)의 현재 접속 패턴이 이전의 접속 패턴들과 비교한 결과, 비정상 상태인 경우에 DDoS 공격이 발생한 것으로 판단한다. 반면, 해당 서비스 대상 기관(500)의 현재 접속 패턴이 이전의 접속 패턴들과 비교한 결과, 정상 상태인 경우에는 DDoS 공격이 발생하지 않은 것으로 판단한다.
단계(S250)에서의 판단 결과, DDoS 공격이 발생한 것으로 판단된 경우에는 단계(S260)으로 진행하여, DDoS 공격이 발생했음을 해당 서비스 대상 기관(500)에 통보한 다음, 단계(S270)으로 진행하여, DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보를 해당 프로브(400)로 전송한다. 즉, DDoS 공격 대응 시스템(600)은 해당 서비스 대상 기관(500)에 대한 DDoS 공격이 발생한 경우, DDoS 공격용 패킷들로부터 소스 IP 주소를 독출하고, DDoS 공격용 패킷의 패턴 정보를 작성한 후 해당 서비스 대상 기관의 IP 주소(DDoS 공격 대상의 타겟 IP 주소)와 함께 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보에 포함시켜 프로브(400)로 전송한다.
단계(S280)에서 프로브(400)는 DDoS 공격 대응 시스템(600)으로부터 수신된 접속 제한 정보에 기초하여, DDoS 공격용 패킷을 차단한다. 즉, 프로브(400)는 접속 제한 정보에 기초하여, 에지 라우터(300)에 접속하는 클라이언트(100)의 접속 정보를 분석하여 DDoS 공격용 패킷을 송신하는 소스 IP 주소가 포함된 패킷들을 차 단하거나, 또는 DDoS 공격용 패킷의 패턴 정보에 해당하는 패킷들을 차단하거나, 또는 DDoS 공격용 패킷을 송신하는 소스 IP 주소 및 DDoS 공격 대상이 된 타겟 IP 주소가 동시에 포함된 패킷들을 차단하도록 할 수도 있다.
지금까지는 상기 프로브(400)에서 DDoS 공격 대응 시스템(600)으로부터 수신한 접속 제한 정보에 기초하여 DDoS 공격용 패킷을 차단하는 것을 예로 들어 설명하였지만, 본 발명이 이에 한정되는 것은 아니다. 예를 들면, 에지 라우터(300) 또는 방화벽(350)에서 DDoS 공격 대응 시스템(600)으로부터 수신한 접속 제한 정보에 기초하여, DDoS 공격용 패킷을 송신하는 소스 IP 주소가 포함된 패킷들을 차단하도록 할 수도 있다.
또한, 지금까지는 DDoS 공격 패턴이 검출되어 해당 서비스 대상 기관(500)의 패킷 요약 정보를 프로브(400)로부터 수신되면, DDoS 공격 대응 시스템(600)에서 해당 서비스 대상 기관(500)의 DDoS 공격 여부를 판단하여, DDoS 공격이 실제 발생된 경우에는 해당 DDoS 공격용 패킷을 차단하도록 접속 제한 정보를 프로브(400)로 전송하는 것을 예로 들어 설명하였지만, 본 발명이 반드시 이에 한정되는 것은 아니다. 예를 들어, DDoS 공격 대응 시스템(600)이 아닌 프로브(400)에서 독자적으로 DDoS 공격 여부를 판단하여 DDoS 공격용 패킷을 차단한 후 이를 DDoS 공격 대응 시스템(600)으로 통보하도록 할 수도 있다.
도 5는 본 발명의 다른 실시예에 따른 DDoS 공격에 대응하는 방법을 설명하기 위한 흐름도이다.
단계(S310)에서 DDoS 공격 대응 시스템(600)은 복수의 서비스 대상 기 관(500)으로부터 DDoS 공격 대응 서비스의 이용 요청을 수신한 다음, 단계(S320)으로 진행하여, 서비스 대상 기관의 정보 갱신을 프로브(400)로 요청한다.
단계(S330)에서 프로브(400)는 에지 라우터(300)를 주기적으로 모니터링한 다음, 단계(S340)으로 진행하여, 해당 에지 라우터(300)를 통해 네트워크(200)에 접속하는 모든 클라이언트(100)의 접속 정보, 예를 들어 클라이언트(100)의 IP 주소, 타겟 IP 주소, 도착지 포트(Dst_port) 번호 등을 수집한다.
상술한 단계(S330) 및 단계(S340)에서는 앞서 설명한 바와 같이, 프로브(400)가 에지 라우터(300)로부터 직접 데이터를 수신하는 것을 예로 들어 설명하였지만, 실제로는 각 에지 라우터(300)에 연결되어 각 에지 라우터(300)와 통신을 수행하여 라우팅 정보를 획득하는 링크(미도시)를 통해 각 에지 라우터(300)에 접속하는 클라이언트(100)의 접속 정보를 수집할 수 있다. 더욱 구체적으로, 라우터(300)의 상단 또는 하단의 링크로부터 직접 통신 데이타(패킷)를 획득하거나 라우터(300) 또는 스위치(미도시)의 포트 미러링을 통해 통신 내용을 획득할 수 있다.
단계(S350)에서 프로브(400)는 이 수집된 접속 정보에 기초하여, 각 클라이언트(100)의 접속 패턴을 분석하여 클라이언트별 접속 패턴 정보를 작성한다. 여기서, 클라이언트별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 타겟 IP 주소 중 적어도 하나를 포함할 수 있다.
단계(S410)에서 프로브(400)는 각 서비스 대상 기관(500)에 접속하는 모든 클라이언트(100)의 접속 패턴을 분석하여 서비스 대상 기관별 접속 패턴 정보를 작 성한다. 여기서, 서비스 대상 기관별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 수신 IP 주소 중 적어도 하나를 포함할 수 있다.
단계(S420)에서 프로브(400)는 에지 라우터(300)에 접속하는 모든 클라이언트(100)의 접속 정보를 단계(S350)에서 작성한 해당 클라이언트의 접속 패턴 정보와 비교하여 DDoS 공격 패턴을 검출한다. 여기서, DDoS 공격 패턴의 검출은 복수의 패킷으로부터 페이로드(payload)를 검출하여 문맥을 비교하고, 이 문맥 속에 공통적으로 반복되는 데이터 패턴을 인식함으로써 수행될 수 있다.
DDoS 공격 패턴이 검출되면, 단계(S430)에서 프로브(400)는 단계(S360)에서 작성한 서비스 대상 기관별 접속 패턴 정보와 DDoS 공격이 의심되는 서비스 대상 기관(500)의 현재 접속 패턴을 비교한 다음, 단계(S440)으로 진행하여, 해당 서비스 대상 기관(500)에 대한 DDoS 공격 여부를 판단한다. 즉, 프로브(400)는 DDoS 공격이 의심되는 서비스 대상 기관(500)의 현재 접속 패턴을 이전의 접속 패턴들과 비교한 결과, 비정상 상태인 경우에 DDoS 공격이 발생한 것으로 판단한다. 반면, 해당 서비스 대상 기관(500)의 현재 접속 패턴이 이전의 접속 패턴들과 비교한 결과, 정상 상태인 경우에는 DDoS 공격이 발생하지 않은 것으로 판단한다.
단계(S440)에서의 판단 결과, DDoS 공격이 발생한 것으로 판단된 경우에는 단계(S450)으로 진행하여, DDoS 공격용 패킷을 차단한다. 즉, 프로브(400)는 에지 라우터(300)에 접속하는 클라이언트(100)의 접속 정보를 분석하여 DDoS 공격용 패킷을 송신하는 소스 IP 주소가 포함된 패킷들을 차단하거나, 또는 DDoS 공격용 패 킷의 패턴 정보에 해당하는 패킷들을 차단하거나, 또는 DDoS 공격용 패킷을 송신하는 소스 IP 주소 및 DDoS 공격 대상이 된 타겟 IP 주소가 동시에 포함된 패킷들을 차단하도록 할 수도 있다.
단계(S460)에서 프로브(400)는 DDoS 공격의 대상이 된 서비스 대상 기관(500)의 정보 및 DDoS 공격용 패킷의 차단 정보 등을 DDoS 공격 대응 시스템(600)으로 전송한다.
상술한 바와 같이, 본 발명의 다른 실시예에 따른 DDoS 공격 대응 방법에 따르면, 프로브(400)에서 각 서비스 대상 기관(500)을 향하는 모든 패킷들을 분석하여 소스 IP 주소의 기존 사용 패턴을 기반으로 미리 정해진 기간 동안 정상 범위를 벗어난 경우 해당 소스 IP 주소 및 타겟 IP 주소를 바탕으로 DDoS 공격용 패킷을 차단하고 이를 이후에 DDoS 공격 대응 시스템(600)으로 통보하여 확인 받는다. 이와 같이 DDoS 공격 대응 시스템(600)에서의 처리 과정을 생략함으로써 비용을 최소화할 수 있을 뿐만 아니라 보다 용이하게 시스템을 구현할 수 있게 된다.
한편, 사전에 DDoS 공격 대응 서비스의 이용 요청을 하지 않은 서비스 비 대상 기관에 대해서도 차후에 이용 요청이 신청되면, DDoS 공격 대응 시스템(600)은 해당 서비스 비 대상 기관의 정보를 프로브(400)로 전송하고, 서비스 비 대상 기관의 정보를 수신한 프로브(400)는 서비스 대상 기관의 정보를 갱신한다. 이후, 프로브(400)는 해당 서비스 비 대상 기관의 패킷 요약 정보가 존재하지 않으므로, 기존 서비스 대상 기관(500)의 패킷 요약 정보를 DDoS 공격 대응 시스템(600)으로 전송하고, DDoS 공격 대응 시스템(600)은 기존 서비스 대상 기관과 마찬가지로 해당 서 비스 비 대상 기관의 DDoS 공격 여부를 판단하고, 해당 서비스 비 대상 기관에 대한 DDoS 공격이 발생한 경우에는 해당 서비스 비 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하도록 프로브(400), 방화벽(350) 또는 에지 라우터(300)로 접속 제한 정보를 전송한다.
도 6은 본 발명의 일 실시예에 따른 DDoS에 감염된 클라이언트의 네트워크 접속을 복구하는 방법을 설명하기 위한 흐름도이다.
단계(S510)에서 프로브(400)는 리다이렉션(Redirection)을 통하여 DDoS 감염 정보 및 접속 차단 정보를 차단된 소스 IP 주소에 해당하는 클라이언트(100)로 전송한다. 이때, 프로브(400)는 웹 리다이렉션(Web Redirection)을 통해 DDoS 바이러스 치료를 위한 백신 다운로드 정보도 함께 해당 클라이언트(100)로 전송함으로써, 클라이언트(100)로 하여금 인터넷 접속 시에 DDoS 안내 페이지를 확인하여 DDoS 감염 사실을 통보 받을 수 있도록 하며, 치료 백신을 다운로드하여 실행하도록 할 수 있다. 또한, 프로브(400)는 백신으로 치료가 완료될 때까지 특정 사이트로의 인터넷 접속이 제한됨을 함께 통보한다.
프로브(400)로부터 DDoS 바이러스 감염 및 접속 차단 안내 정보가 수신되면, 단계(S520)에서 클라이언트(100)는 백신 서버(700)에 접속하여 DDoS 치료 백신을 요청한 다음, 단계(S530)으로 진행하여, 백신 서버(700)로부터 DDoS 치료 백신을 다운로드 받는다.
단계(S540)에서 클라이언트(100)는 다운로드 받은 DDoS 치료 백신을 이용하여 DDoS 바이러스를 치료한 다음, 단계(S550)으로 진행하여, DDoS 치료 완료 보고 를 DDoS 공격 대응 시스템(600)에 전송한다. 이때, 치료 완료 보고는 클라이언트(100)에 설치된 백신 소프트웨어에 의해 자동으로 통보되거나, 클라이언트(100)가 특정 사이트를 방문하여 DDoS 치료가 완료되었음을 직접 보고함으로써 통보될 수도 있다.
클라이언트(100)로부터 DDoS 치료 완료 보고가 수신되면, 단계(S560)에서 DDoS 공격 대응 시스템(600)은 치료가 완료된 소스 IP의 접속 패턴 정보를 확인한 다음, 단계(S570)으로 진행하여, 해당 소스 IP의 접속 패턴이 소정 기간 동안 정상적인 접속 패턴인 경우 이 소스 IP에 대한 접속 차단을 해제하도록 프로브(400)에 요청한다.
단계(S580)에서 프로브(400)는 DDoS 공격 대응 시스템(600)으로부터의 요청에 응답하여, 이 소스 IP에 대한 접속 차단을 해제하여 네트워크 접속을 복구시킨다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 DDoS 공격 대응 방법에 따르면 감염된 클라이언트를 신속하게 추적하여 웹 리다이렉션을 통해 해당 클라이언트에 감염 사실 통보 및 백신 실행을 유도함으로써, 감염된 클라이언트의 즉각적인 치료가 가능하며, DDoS 치료 백신의 개발 기간을 최소한으로 단축시킬 수 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격 대응 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 DDoS 공격 대응 시스템의 세부 구성도이다.
도 3은 본 발명의 일 실시예에 따른 프로브의 세부 구성도이다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 대응 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 DDoS 공격 대응 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 DDoS에 감염된 클라이언트의 네트워크 접속을 복구하는 방법을 설명하기 위한 흐름도이다.

Claims (12)

  1. 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 시스템에 있어서,
    복수의 클라이언트와 연결된 에지 라우터에 연결되고, 상기 에지 라우터를 통해 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 수집하는 프로브 및
    상기 프로브로부터 상기 접속 정보를 수신하여, 상기 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 서비스 대상 기관별 접속 패턴 정보를 분석하고, 상기 분석된 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 서비스 대상 기관에 대한 DDoS 공격 여부를 판단한 후 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보를 상기 에지 라우터, 상기 에지 라우터에 연결된 방화벽 또는 상기 프로브 중 하나로 전송하는 대응 서버
    를 포함하되,
    상기 프로브는, 상기 대응 서버로부터 수신된 접속 제한 정보에 기초하여, DDoS에 감염된 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 리다이렉션부를 포함하고,
    상기 대응 서버는, 상기 DDoS 공격용 패킷을 송신하는 클라이언트의 DDoS 치료가 완료된 경우, 상기 DDoS 치료가 완료된 클라이언트의 소스 IP 주소에 대해 미리 정해진 기간 동안의 접속 패턴을 확인하는 치료 IP 패턴 확인부 및 상기 소스 IP 주소의 접속 패턴이 정상인 경우, 상기 소스 IP 주소에 대한 접속 차단을 해제하기 위한 접속 복구 정보를 상기 에지 라우터, 상기 프로브 또는 상기 방화벽 중 하나로 전송하는 접속 차단 해제 요청부를 포함하는 것인 DDoS 공격 대응 시스템.
  2. 제 1 항에 있어서,
    상기 접속 제한 정보는, DDoS 공격용 패킷 패턴 정보 또는 소스 IP 주소를 포함하는 것인 DDoS 공격 대응 시스템.
  3. 제 2 항에 있어서,
    상기 프로브는,
    상기 에지 라우터에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 수집하는 접속 정보 수집부,
    상기 수집된 접속 정보를 미리 정해진 주기마다 상기 대응 서버로 전송하는 접속 정보 송신부,
    상기 수집된 접속 정보를 분석하여, 클라이언트별 접속 패턴 정보를 작성하는 제 1 접속 패턴 분석부,
    상기 클라이언트별 접속 패턴 정보에 기초하여, DDoS 공격 패턴을 검출하여 공격 대상이 되는 서비스 대상 기관의 패킷 요약 정보를 작성하는 DDoS 패턴 검출부,
    상기 작성된 서비스 대상 기관의 패킷 요약 정보를 상기 대응 서버로 전송하는 패킷 요약 정보 송신부,
    상기 대응 서버로부터 DDoS 공격 패킷을 차단하기 위한 접속 제한 정보를 수 신하는 접속 제한/복구 정보 수신부 및
    상기 수신된 접속 제한 정보에 기초하여, DDoS 공격용 패킷을 차단하는 접속 차단/복구부
    를 포함하는 것인 DDoS 공격 대응 시스템.
  4. 제 3 항에 있어서,
    상기 대응 서버는,
    상기 프로브로부터 수신된 접속 정보에 기초하여, 상기 서비스 대상 기관별 접속 패턴 정보를 작성하는 제 2 접속 패턴 분석부,
    상기 프로브로부터 DDoS 공격 패턴이 검출된 서비스 대상 기관의 패킷 요약 정보를 수신하는 패킷 요약 정보 수신부,
    상기 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 수신된 서비스 대상 기관의 패킷 요약 정보에 해당하는 서비스 대상 기관의 DDoS 공격 여부를 판단하는 DDoS 공격 판단부,
    상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하기 위한 접속 제한 정보를 상기 에지 라우터, 상기 프로브 또는 상기 방화벽 중 하나로 전송하는 접속 제한 정보 전송부
    를 포함하는 것인 DDoS 공격 대응 시스템.
  5. 삭제
  6. 제 4 항에 있어서,
    상기 접속 제한/복구 정보 수신부는 상기 대응 서버로부터 상기 접속 복구 정보를 수신하되, 상기 수신된 접속 복구 정보에 기초하여, 상기 소스 IP의 네트워크 접속을 복구하며,
    상기 접속 차단/복구부는 상기 수신된 접속 복구 정보에 기초하여, 상기 소스 IP 주소에 대한 접속 차단을 해제하는 것인 DDoS 공격 대응 시스템.
  7. 제 1 항에 있어서,
    상기 접속 정보는 소스 IP 주소, 타겟 IP 주소 및 도착지 포트 번호 중 적어도 하나를 포함하는 것인 DDoS 공격 대응 시스템.
  8. 제 3 항에 있어서,
    상기 클라이언트별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 타겟 IP 주소 중 적어도 하나를 포함하는 것인 DDoS 공격 대응 시스템.
  9. 제 1 항에 있어서,
    상기 서비스 대상 기관별 접속 패턴 정보는 단위 시간당 세션수, PPS(Packet Per Second), SPR(Small Packet Ratio) 및 소스 IP 주소 중 적어도 하나를 포함하는 것인 DDoS 공격 대응 시스템.
  10. DDoS 공격 대응 시스템이 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 방법에 있어서,
    (a) 에지 라우터를 통해 네트워크에 접속하는 복수의 클라이언트의 접속 정보를 프로브로부터 주기적으로 수신하는 단계,
    (b) 상기 수신된 접속 정보에 기초하여, 각 서비스 대상 기관에 접속하는 상기 복수의 클라이언트의 접속 정보를 분석한 서비스 대상 기관별 접속 패턴 정보를 작성하는 단계,
    (c) 상기 프로브에서 상기 서비스 대상 기관에 대한 DDoS 공격 패턴이 검출되면, 상기 프로브로부터 상기 서비스 대상 기관의 패킷 요약 정보를 수신하는 단계,
    (d) 상기 서비스 대상 기관별 접속 패턴 정보에 기초하여, 상기 수신된 패킷 요약 정보에 해당하는 서비스 대상 기관에 대한 DDoS 공격 여부를 판단하는 단계,
    (e) 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 상기 에지 라우터, 상기 에지 라우터에 연결된 방화벽 또는 상기 프로브 중 하나에서 차단하는 단계 및
    (f) DDoS 공격용 패킷을 송신하는 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 단계를 포함하되,
    상기 클라이언트로부터 DDoS 치료 완료 보고가 수신되면, 상기 클라이언트의 소스 IP 주소에 대해 미리 정해진 기간 동안의 접속 패턴을 확인하는 단계 및 상기 소스 IP 주소의 접속 패턴이 정상 접속 패턴인 경우, 상기 소스 IP 주소에 대한 접속 차단을 해제시키는 접속 복구 정보를 상기 에지 라우터, 상기 프로브 또는 상기 방화벽 중 하나에 전송하는 단계를 더 포함하는 것인 DDoS 공격 대응 방법.
  11. 삭제
  12. DDoS 공격 대응 시스템이 분산 서비스 거부(Distributed Denial of Service; DDoS) 공격에 대응하기 위한 방법에 있어서,
    (a) 복수의 클라이언트와 연결된 에지 라우터를 통해 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대한 접속 정보를 주기적으로 수집하는 단계,
    (b) 상기 수집된 접속 정보에 기초하여, 각 서비스 대상 기관에 접속하는 상기 복수의 클라이언트에 대해 서비스 대상 기관별 접속 패턴 정보를 분석하는 단계,
    (c) 상기 서비스 대상 기관별 접속 패턴 정보에 기초하여, DDoS 공격 패턴을 검출하여 상기 서비스 대상 기관에 대한 DDoS 공격 여부를 판단하는 단계,
    (d) 상기 서비스 대상 기관에 대한 DDoS 공격이 발생한 경우, 상기 서비스 대상 기관으로 향하는 DDoS 공격용 패킷을 차단하는 단계 및
    (e) 상기 DDoS 공격용 패킷을 송신하는 클라이언트의 웹 브라우저의 웹 페이지를 DDoS 치료 백신을 다운로드하기 위한 백신 서버의 웹 페이지로 리다이렉션하는 단계
    를 포함하되,
    상기 클라이언트로부터 DDoS 치료 완료 보고가 수신되면, 상기 클라이언트의 소스 IP 주소에 대해 미리 정해진 기간 동안의 접속 패턴을 확인하는 단계 및 상기 소스 IP 주소의 접속 패턴이 정상 접속 패턴인 경우, 상기 소스 IP 주소에 대한 접속 차단을 해제시키는 접속 복구 정보를 상기 에지 라우터, 상기 에지 라우터에 연결된 프로브 또는 방화벽 중 하나에 전송하는 단계를 더 포함하는 것인 DDoS 공격 대응 방법.
KR1020090080442A 2009-08-28 2009-08-28 분산 서비스 거부 공격 대응 시스템 및 그 방법 KR100973076B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090080442A KR100973076B1 (ko) 2009-08-28 2009-08-28 분산 서비스 거부 공격 대응 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090080442A KR100973076B1 (ko) 2009-08-28 2009-08-28 분산 서비스 거부 공격 대응 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR100973076B1 true KR100973076B1 (ko) 2010-07-29

Family

ID=42646163

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090080442A KR100973076B1 (ko) 2009-08-28 2009-08-28 분산 서비스 거부 공격 대응 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100973076B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101147483B1 (ko) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 하이브리드 DDoS 차단 시스템 및 그 방법
KR101375840B1 (ko) 2013-01-02 2014-03-17 주식회사 안랩 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
KR101498495B1 (ko) * 2013-08-26 2015-03-05 홍익대학교 산학협력단 DDoS 허위 트래픽을 차단하기 위한 시스템 및 그 방법
KR101511030B1 (ko) 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR101788019B1 (ko) * 2015-11-02 2017-10-20 주식회사 수산아이앤티 정보유출방지 장치 및 방법
KR20180031479A (ko) * 2016-09-20 2018-03-28 국방과학연구소 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법
KR20190053540A (ko) * 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
KR20230017590A (ko) 2021-07-28 2023-02-06 주식회사 케이티 가입자 네트워크의 DDoS 트래픽 차단방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060006224A (ko) * 2004-07-15 2006-01-19 주식회사 위즈링크 개인 맞춤 온-라인 상시 웹 서비스 제공 시스템 및 방법
KR20060049821A (ko) * 2004-07-09 2006-05-19 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060049821A (ko) * 2004-07-09 2006-05-19 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR20060006224A (ko) * 2004-07-15 2006-01-19 주식회사 위즈링크 개인 맞춤 온-라인 상시 웹 서비스 제공 시스템 및 방법
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Journal of Network and Computer Applications, Vol.32, Issue 2, pp.367-376 (2009.03)*

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101511030B1 (ko) 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR101147483B1 (ko) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 하이브리드 DDoS 차단 시스템 및 그 방법
KR101375840B1 (ko) 2013-01-02 2014-03-17 주식회사 안랩 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
WO2014107028A1 (ko) * 2013-01-02 2014-07-10 주식회사 안랩 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
KR101498495B1 (ko) * 2013-08-26 2015-03-05 홍익대학교 산학협력단 DDoS 허위 트래픽을 차단하기 위한 시스템 및 그 방법
KR101788019B1 (ko) * 2015-11-02 2017-10-20 주식회사 수산아이앤티 정보유출방지 장치 및 방법
KR20180031479A (ko) * 2016-09-20 2018-03-28 국방과학연구소 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법
KR101885657B1 (ko) * 2016-09-20 2018-08-06 국방과학연구소 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법
KR20190053540A (ko) * 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
KR102016461B1 (ko) * 2017-11-10 2019-08-30 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
US10931711B2 (en) 2017-11-10 2021-02-23 Korea University Research And Business Foundation System of defending against HTTP DDoS attack based on SDN and method thereof
KR20230017590A (ko) 2021-07-28 2023-02-06 주식회사 케이티 가입자 네트워크의 DDoS 트래픽 차단방법

Similar Documents

Publication Publication Date Title
US10587636B1 (en) System and method for bot detection
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US7653941B2 (en) System and method for detecting an infective element in a network environment
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US20060143709A1 (en) Network intrusion prevention
US9124617B2 (en) Social network protection system
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
US20110023088A1 (en) Flow-based dynamic access control system and method
KR20090106197A (ko) 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법
Zeidanloo et al. All About Malwares (Malicious Codes).
CN111131168A (zh) 基于Web应用的自适应防护方法
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
Gonçalves et al. A protection system against HTTP flood attacks using software defined networking
KR101231966B1 (ko) 장애 방지 서버 및 방법
KR101048000B1 (ko) 디도스 공격 감지 및 방어방법
Panimalar et al. A review on taxonomy of botnet detection
Jhi et al. PWC: A proactive worm containment solution for enterprise networks
Durairaj et al. A study on securing cloud environment from DDoS attack to preserve data availability
Stetsenko et al. Signature-based intrusion detection hardware-software complex
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
EP1751651B1 (en) Method and systems for computer security
Leelavathy A Secure Methodology to Detect and Prevent Ddos and Sql Injection Attacks
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
J121 Written withdrawal of request for trial
E90F Notification of reason for final refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130709

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150520

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160629

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180508

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 10