KR100983549B1 - 클라이언트 ddos 방어 시스템 및 그 방법 - Google Patents

클라이언트 ddos 방어 시스템 및 그 방법 Download PDF

Info

Publication number
KR100983549B1
KR100983549B1 KR1020080042005A KR20080042005A KR100983549B1 KR 100983549 B1 KR100983549 B1 KR 100983549B1 KR 1020080042005 A KR1020080042005 A KR 1020080042005A KR 20080042005 A KR20080042005 A KR 20080042005A KR 100983549 B1 KR100983549 B1 KR 100983549B1
Authority
KR
South Korea
Prior art keywords
security information
information list
security
packet
server
Prior art date
Application number
KR1020080042005A
Other languages
English (en)
Other versions
KR20090116206A (ko
Inventor
김기영
박재성
Original Assignee
소프트포럼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트포럼 주식회사 filed Critical 소프트포럼 주식회사
Priority to KR1020080042005A priority Critical patent/KR100983549B1/ko
Publication of KR20090116206A publication Critical patent/KR20090116206A/ko
Application granted granted Critical
Publication of KR100983549B1 publication Critical patent/KR100983549B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 클라이언트 DDOS 방어 시스템에 관한 것으로서, 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 공격패킷을 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 룰에 대응되는 패킷만을 서비스서버로 송신하며, 소정의 주기로 보안정보목록서버로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장하는 보안에이전트(100)와, 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 보안에이전트로 송신하고, 보안에이전트 이외의 서버로부터 수신한 공격패킷을 보안정보목록서버로 송신하여 이와 대응하는 갱신된 보안정보목록을 수신하는 서비스서버(200), 및 보안정보목록 요청정보에 대응하는 보안정보목록을 보안에이전트로 송신하며, 공격패킷을 수신ㆍ분석하여 보안정보DB(320)에 갱신하고, 갱신된 보안정보목록을 상기 서비스서버로 송신하는 보안정보목록서버(300)를 포함하는 것을 특징으로 한다.
클라이언트, DDOS, 보안정보목록, 패킷, 공격, 탐지, 검증, 차단, 모니터링

Description

클라이언트 DDOS 방어 시스템 및 그 방법{SYSTEM FOR DEFENDING CLIENT DISTRIBUTE DENIAL OF SERVICE AND METHOD THEREFOR}
본 발명은 클라이언트 DDOS 방어 시스템에 관한 것으로서, 더욱 상세하게는 DDOS 공격을 목적으로 하는 해커들에 의해 유포된 불법 프로그램들의 패킷을 보안에이전트가 보안갱신서버로부터 기배포받은 보안정보목록을 통해 차단함으로써, 서비스를 제공하는 서버로의 DDOS 공격을 차단ㅇ방어하는 기술에 관한 것이다.
분산서비스거부공격(DDOS: Distribute Denial Of Service)은 인터넷의 구조적인 취약성을 공격하여 길게는 수일 동안 정상적인 서비스의 지연 혹은 마비상황을 불러일으키는 해킹 공격을 일컫는데, 구체적으로 도 1에 나타난 바와 같이, 특정 사이트를 공격하기 위해 해커들이 서비스 공격을 위한 공격용 프로그램을 여러 컴퓨터에 분산ㆍ설치되도록 하고, 공격대상 사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시다발적으로 범람시켜 네트워크의 성능 저하나 시스템의 마비를 초래하는 해킹기법이다.
기존의 일반적인 해킹 방법은 해커가 기업의 네트워크에 불법적인 방법으로 침투해서 중요한 시스템의 슈퍼 사용자 권한을 획득하고, 그 내부에 들어있는 기밀 정보를 탈취하는 것이 대표적이었다.
하지만, DDOS 공격은 기업이 대고객 서비스를 운영하고 있는 운영 서버들(웹 서버, DNS 서버 등)과 네트워크 장비(라우터, 방화벽 등)에 임의로 조작된 엄청난 양의 공격성 트래픽을 전송해서 시스템 자체를 지연 혹은 마비시켜 버림으로써 고객들이 기업의 서비스를 이용할 수 없는 서비스거부(Denial of Service) 상황을 만드는 목적을 가진다는 점에서 그 성격이 다르다고 볼 수 있다.
최근의 공격 추세를 보면 기업의 개별적인 서비스 웹 사이트나 기타 서버들에 대한 공격을 통해 서비스를 마비시키는 공격 형태에서 점차 인터넷서비스 제공업체의 코어(Core) 라우터, DNS 서버들을 직접 공격해서 인터넷 인프라 자체를 완전히 마비시키는 형태로 발전해 가고 있다.
뿐만 아니라, 이런 공격방법이 정치적인 핵티비즘(Hactivism, Hacking과 Activism의 합성어)의 목적과 사이버 테러리스트들의 테러 목적을 수행하는 강력한 도구가 되는 경우가 빈번해서, 비단 일반 기업뿐만 아니라 국가나 정부 차원의 대응이 절실하게 필요하다는 인식이 확산되고 있으며, DDOS 공격으로부터의 방어와 관련한 연구들이 활발히 이루어지고 있다.
이러한 DDOS 공격을 방어하기 위해 사용되고 있는 기술 중에 하나로, 블랙홀링(BlackHoling) 기법이 있다. 블랙홀링은 라우터에서 특정 목적지로 전송되는 모든 트래픽을 차단한 후 블랙홀이라고 하는 일종의 폐기장소로 빼내서 소멸시키는 방법이다. 하지만 해당 목적지로 전송되는 악성공격패킷들뿐만 아니라 정상적인 패킷들도 포함한 모든 트래픽이 소멸되기 때문에 이 방법은 해결책이 될 수 없다.
또한, 라우터는 ACL(Access Control List)을 이용한 필터링 기능을 제공하는데, 이 기능만으로는 현재의 고도화된 DDOS 공격을 방어하기 어렵다. 첫째로, 라우터는 핑(Ping) 공격 같은 인터넷 통신에 꼭 필요하지 않은 몇 가지 간단한 DDOS 공격에 대해서는 필터링 메커니즘을 통해 방어할 수 있다. 하지만 최근의 DDOS 공격은 인터넷을 사용하기 위해서 가장 기본적이고 필수적인 프로토콜을 사용하기 때문에 특정 프로토콜 자체를 모두 필터링하는 방법은 사용할 수가 없는 것이다. 둘째로, 스푸핑된 공격에 대해서는 uRPF를 이용한 방어법이 권고되고 있으나 실제로 구현하는 것은 한계가 있다. 셋째로, 라우터의 ACL기능은 소스가 스푸핑 되었는가 여부에 상관없이 HTTP 에러와 HTTP half-open 커넥션 공격 같은 애플리케이션 레이어의 공격에 대해선 그 효과를 발휘하기 어렵다는 한계점을 가진다.
또한, 많은 방화벽 공급업체들 역시 자사의 방화벽이 DDOS 방어 기능을 제공한다고 주장하지만 역시나 한계점을 가지고 있다. 첫째로, 방화벽은 네트워크 트래픽이 흐르는 경로의 내부(In-line)에 위치하기 때문에 방화벽 자체가 공격의 대상이 되어서 대용량의 공격 트래픽을 견디지 못하고 다운되는 경우가 많다. 이렇게 되면 전체 네트워크가 마비되는 문제가 발생할 수 있다. 둘째로, 인터넷 서비스를 위해서 모든 외부 사용자에게 개방해야만 하는 Web, DNS같은 일반적인 인터넷 프로토콜을 이용한 공격은 방어하기가 어렵다. 셋째로, 설사 방화벽이 비정상적인 행위를 정확히 탐지할 수 있다고 할지라도 개별 패킷들에 대해서 정상적인 것인지 아닌지의 여부를 구분할 수 있는 기능이 없기 때문에 스푸핑된 소스에서의 공격은 방어하기 어렵다.
또한, 사람이 직접 수작업을 통해 방어를 하는 경우는 그 대응이 너무 부분적이며 즉각적인 반응이 어렵다. DDOS 공격을 당했을 때 전형적인 첫번째 반응은 해당 ISP에 연락해서 소스를 밝혀달라고 요청하는 일이다. 스푸핑된 주소일 경우에는 다수의 ISP들이 협력해서 검증해야 하는 복잡하고 오랜 작업이 필요하다. 또한, 소스가 밝혀진다고 할지라도 그것을 차단한다는 것은 모든 트래픽을 차단한다는 의미가 된다.
마지막으로, 로드 밸런싱 혹은 이중화, 삼중화 등을 통해서 더욱 용량이 큰 트래픽에 대해서도 처리할 수 있도록 네트워크의 대역폭 및 성능을 강화시키는 방법이 있다. 하지만, 이런 방법은 비용 대비 효과적인 대안이 되지 못한다고 할 수 있다. 비용 대비 효과 문제를 떠나서라도, 결국 얼마간 기간이 지나면 또다시 그 용량을 초과하는 형태의 공격이 발생하게 될 것이 자명한 일이기 때문에 임시방편에 그칠 수 있다.
본 발명은 상기와 같은 문제점을 해소하고자 안출된 것으로서, DDOS 공격을 목적으로 하는 해커들에 의해 유포된 불법 프로그램들을 사전에 보안에이전트가 보안정보목록서버로부터 수신한 보안패킷정보를 사용자 시스템에 설치된 보안에이전트 프로그램에 갱신하여 차단한다. 즉, 개개의 보안에이전트가 트래픽 발생의 근원을 차단하여, 트래픽을 통제할 수 있다.
이러한 기술적 과제를 달성하기 위한 본 발명에 따른 클라이언트 DDOS 방어 시스템은, 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 공격패킷을 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 룰에 대응되는 패킷만을 서비스서버로 송신하며, 소정의 주기로 보안정보목록서버로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장하는 보안에이전트(100)와, 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 보안에이전트로 송신하고, 보안에이전트 이외의 서버로부터 수신한 공격패킷을 보안정보목록서버로 송신하여 이와 대응하는 갱신된 보안정보목록을 수신하는 서비스서버(200), 및 보안정보목록 요청정보에 대응하는 보안정보목록을 보안에이전트로 송신하며, 공격패킷을 수신ㆍ분석하여 보안정보DB(320)에 갱신하고, 갱신된 보안정보목록을 상기 서비스서버로 송신하는 보안정보목록서버(300)를 포함한다.
또한, 본 발명에 따른 보안에이전트(100)는, 악성프로그램에 포함된 패킷을 탐지하는 패킷탐지모듈(110)과, 기배포받은 보안정보목록을 저장하는 보안정보DB(120)와, 탐지된 패킷을 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 탐지된 패킷이 보안정보목록과 대응하면, 검사된 패킷을 서비스서버로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응되지 않으면 탐지된 패킷을 차단하는 패킷검사모듈(130) 및, 소정의 주기로 보안정보목록서버에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 상기 보안정보DB(120)에 저장토록하는 보안정보목록 갱신모듈(140)을 더 포함한다.
그리고, 본 발명에 따른 보안정보목록서버(300)는, 보안에이전트로부터 보안정보목록 요청정보를 수신함과 아울러 서비스서버(200)로부터 공격받은 패킷을 수신하는 패킷수집모듈(310)과, 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰, 방화벽 설정리스트를 포함하는 보안정보목록, 및 DDOS 차단을 동의한 서비스서버들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장하는 보안정보DB(320)와, 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하여 상기 보안정보DB(320)의 보안정보목록을 갱신토록 하는 패킷분석모듈(330), 및 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 보안에이전트로 송신함과 아울러 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버로 송신하는 보안정보목록 송신모듈(340)을 더 포함한다.
한편, 상술한 시스템을 기반으로 하는 본 발명의 따른 클라이언트 DDOS 방어 방법은, 보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 색인된 보안정보목록과 대응하는지 검사하는 제 1 과정과, 탐지된 패킷이 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 검사된 패킷과 대응하는 서비스정보를 수신하는 제 2 과정, 및 보안정보목록서버(300)가 공격패킷들을 수집함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분석하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신하는 제 3 과정으로 이루어지되, 상기 제 1 과정 이후, 상기 보안에이전트(100)는 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 탐지된 패킷이 상기 서비스서버(200)로 송신되지 못하도록 차단하는 제 4 과정을 포함한다.
그리고, 상기 제 3 과정 또는 4 과정 이후, 보안에이전트(100)가 소정의 주기로 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 서비스서버(200)가 수신한 공격패킷을 상기 보안정보목록서버(300)로 송신하는 제 5 과정과, 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 보안에이전트로 송신하며, 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 상기 서비스서버(200)로 송신하는 제 6 과정, 및 보안에이전트 배포서버(400)가 사전에 허가된 보안에이전트들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포하는 제 7 과정을 더 포함한다.
상기와 같은 본 발명에 따르면, 보안에이전트가 기배포받은 보안정보목록의 룰에 따라 사용자 시스템이 전송하는 패킷을 검사하여 검증되지 않은 패킷들을 차단함으로써, 서비스를 제공하는 서버로 검증된 패킷만을 송신하도록 하여 해커들에 의한 DDOS 공격을 클라이언트 단에서 차단하고, 서버의 부하를 감소시킴과 아울러 트래픽을 통제하는 효과가 있다.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.
도 2 는 본 발명에 따른 클라이언트 DDOS 방어 시스템(S)을 나타내는 구성도이고, 도 3 은 본 발명의 클라이언트 DDOS 방어 시스템의 구성요소들간의 관계를 나타낸 도면이다.
본 발명의 제 1 실시예에 따른 클라이언트 DDOS 방어 시스템(S)은 도 2 에 도시된 바와 같이, 보안에이전트(100), 서비스서버(200) 및 보안정보목록서버(300)를 포함하는데, 구체적으로 도 3 과 함께 살피면, 보안에이전트(100)는 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 에 포함된 패킷(이하, '공격패킷')을 독출하여 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 룰에 대응 되는 패킷만을 서비스서버(200)로 송신하며, 소정의 주기로 보안정보목록서버(300)로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장한다.
패킷탐지모듈(110)은 악성프로그램에 포함된 패킷을 탐지하고, 보안정보DB(120)는 기배포받은 보안정보목록을 저장한다. 여기서 보안정보목록이란, 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 악성프로그램에 포함된 패킷을 탐지하는 모니터링 룰과, 탐지된 패킷들을 검사하는 룰, 방화벽 설정리스트 및 DDOS 차단을 동의한 서비스서버들의 목록을 포함하며, 컴퓨터시스템의 드라이버레벨 등에 상주될 수 있다.
패킷검사모듈(130)은 탐지된 패킷을 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 탐지된 패킷이 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응하지 않으면 차단한다. 이때, 차단이란, 서비스서버(200)를 포함하는 기타 외부로의 송신을 차단하는 것으로 이해할 수 있다.
보안정보목록 갱신모듈(140)은 소정의 주기로 보안정보목록서버(300)의 보안정보목록 송신모듈(340)에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 보안정보DB(120)에 저장ㆍ갱신토록 한다. 이러한 보안에이전트는 사용자 시스템, 휴대폰, TV, 셋탑박스, 게임기, 라우터, 게이트웨이 등의 네트워크가 가능한 모든 시스템에 위치할 수 있다.
또한, 서비스서버(200)는 보안에이전트(100)로부터 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 보안에이전트(100)로 송신하고, 해커들이 유포한 악성(공격) 프로그램들에 의한 공격패킷을 보안정보목록서버(300)로 송신하여 이와 대응하는 보안정보목록을 수신한다. 여기서 보안정보목록의 수신은 사전에 허가된 서비스서버(200)에 한정되어 수신될 수 있으며, 이러한 서비스서버는 특정분야에 한정되지 않고 서비스를 제공하는 서버를 총칭하는 것으로, 정부기관, 은행, 웹 포털, 대학, 기업, 쇼핑몰 등의 총체적 서비스 시스템을 포함한다.
또한, 보안정보목록서버(300)는 보안에이전트(100)로부터 수신한 보안정보목록 요청정보에 대응하는 보안정보목록을 송신하며, 서비스서버(200)로부터 공격패킷을 수신ㅇ분석하여 보안정보DB(320)를 갱신하고, 갱신된 보안정보목록을 서비스서버(200)로 송신한다.
패킷수집모듈(310)은 보안에이전트(100)로부터 보안정보목록 요청정보를 수신함과 아울러 서비스서버(200)로부터 공격받은 패킷을 수신한다.
보안정보DB(320)는 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰 및 방화벽 설정리스트를 포함하는 보안정보목록, 허가된 보안에이전트(100)들의 목록, 허가된 서비스서버(200)들의 목록 및 DDOS 차단을 동의한 서비스서버(200)들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장한다.
패킷분석모듈(330)은 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하여 보안정보DB(320)의 보안정보목록을 갱신토록 한다.
보안정보목록 송신모듈(340)은 보안에이전트(100)의 보안정보목록 갱신모 듈(140)로부터 수신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 보안에이전트(100)로 송신함과 아울러 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버(200)로 송신한다. 이때 갱신된 보안정보목록의 송신은 보안정보DB(320)에 기저장된 허가된 보안에이전트(100) 및 서비스서버(200)들에게만 송신한다.
보안정보목록 관리모듈(350)은 상술한 구성요소 패킷수집모듈(310), 보안정보DB(320), 패킷분석모듈(330), 및 보안정보목록 송신모듈을 제어함과 아울러 패킷 수집과 보안정보DB(320)의 갱신과, 패킷 분석 및 갱신된 보안정보목록을 송신하는 일련의 과정을 출력한다.
그리고, 보안에이전트 배포서버(400)는 사전에 허가된 보안에이전트(100)들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포한다.
이하, 본 발명에 따른 클라이언트 DDOS 방어 방법에 대해 살펴본다.
도 4 내지 도 6 을 참조하면, 보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 색인된 보안정보목록과 대응하는지 검사한다(S10).
이어서, 탐지된 패킷이 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 검사된 패킷과 대응하는 서비스정보를 수신하고, 이를 출력한다(S20).
뒤미처, 보안정보목록서버(300)는 공격패킷들을 수신함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분류하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신한다(S30).
이때, 상기 S10 단계 이후, 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 탐지된 패킷이 서비스서버(200)로 송신되지 못하도록 차단한다(S40).
한편, 보안에이전트(100)가 소정의 주기로 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 서비스서버(200)는 공격 프로그램으로부터 전송되는 공격패킷을 보안정보목록서버(300)로 송신한다(S50).
그리고, 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 보안에이전트(100)로 송신하며, 서비스서버(200)로부터 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 서비스서버(200)로 송신한다(S60). 또한, 보안에이전트 배포서버(400)는 사전에 허가된 보안에이전트(100)들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포한다(S70).
이처럼 사전에 보안정보목록을 기저장하고 있는 보안에이전트(100)는 도 7 에 도시된 바와 같이 특정서버에 대한 DDOS 공격을 위해 해커가 유포한 악성 프로그램을 원천적으로 차단시킨다. 또한, DDOS 공격 뿐만 아니라, 기타 해킹 등 사용자 기반의 악의적 네트워크 및 시스템 공격의 근원을 차단할 수 있다.
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서, 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
도 1 은 종래의 DDOS 방어 시스템을 나타낸 도면.
도 2 는 본 발명에 따른 클라이언트 DDOS 방어 시스템의 구성을 나타낸 도면.
도 3 은 본 발명에 따른 클라이언트 DDOS 방어 시스템의 구성요소들간의 관계를 나타낸 도면.
도 4 는 본 발명에 따른 클라이언트 DDOS 방어 방법을 나타낸 순서도.
도 5 는 본 발명의 제 3 과정 또는 제 4 과정 이후의 클라이언트 DDOS 방어 방법을 나타낸 도면.
도 6 은 본 발명에 따른 클라이언트 DDOS 방어 방법의 구성요소간 정보의 흐름을 나타낸 도면.
도 7 은 본 발명에 따라 DDOS 공격이 차단되는 것을 나타낸 도면.
** 도면의 주요 부분에 대한 부호의 설명 **
100: 보안에이전트 110: 패킷탐지모듈
120: 보안정보DB 130: 패킷검사모듈
140: 보안정보목록 갱신모듈 200: 서비스서버
300: 보안정보목록서버 310: 패킷수집모듈
320: 보안정보DB 330: 패킷분석모듈
340: 보안정보목록 송신모듈 350: 보안정보목록 관리모듈
400: 보안에이전트 배포서버

Claims (5)

  1. 클라이언트 DDOS 방어 시스템에 있어서,
    외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 공격패킷을 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 상기 룰에 대응되는 패킷만을 서비스서버로 송신하며, 소정의 주기로 보안정보목록서버로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장하는 보안에이전트(100);
    상기 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 상기 보안에이전트로 송신하고, 상기 보안에이전트 이외의 서버로부터 수신한 공격패킷을 상기 보안정보목록서버로 송신하여 이와 대응하는 갱신된 보안정보목록을 수신하는 서비스서버(200); 및
    상기 보안정보목록 요청정보에 대응하는 보안정보목록을 상기 보안에이전트로 송신하며, 상기 공격패킷을 수신ㆍ분석하여 보안정보DB(320)를 갱신하고, 갱신된 보안정보목록을 상기 서비스서버로 송신하는 보안정보목록서버(300); 를 포함하되,
    상기 보안정보목록서버(300)는, 상기 보안에이전트(100)로부터 보안정보목록 요청정보를 수신함과 아울러 상기 서비스서버(200)로부터 공격받은 패킷을 수신하는 패킷수집모듈(310)과, 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰 및 방화벽 설정리스트를 포함하는 보안정보목록, 허가된 보안에이전트들의 목록, 및 DDOS 차단을 동의한 서비스서버들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장하는 보안정보DB(320)와, 상기 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 상기 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하여 상기 보안정보DB(320)의 보안정보목록을 갱신토록 하는 패킷분석모듈(330), 및 상기 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 상기 보안에이전트(100)로 송신함과 아울러 상기 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버(200)로 송신하는 보안정보목록 송신모듈(340)을 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 시스템.
  2. 제 1 항에 있어서,
    상기 보안에이전트(100)는,
    상기 악성프로그램에 포함된 패킷을 탐지하는 패킷탐지모듈(110);
    기배포받은 보안정보목록을 저장하는 보안정보DB(120);
    상기 탐지된 패킷을 상기 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 상기 탐지된 패킷이 상기 보안정보목록과 대응하면, 검사된 패킷을 상기 서비스서버로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응되지 않으면 상기 탐지된 패킷을 차단하는 패킷검사모듈(130); 및
    소정의 주기로 상기 보안정보목록서버에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 상기 보안정보DB(120)에 저장토록하는 보안정보목록 갱신모듈(140); 을 더 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 시스템.
  3. 삭제
  4. 클라이언트 DDOS 방어 방법에 있어서,
    보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 상기 색인된 보안정보목록과 대응하는지 검사하는 제 1 과정;
    상기 탐지된 패킷이 상기 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 상기 검사된 패킷과 대응하는 서비스정보를 수신하는 제 2 과정; 및
    보안정보목록서버(300)가 공격패킷들을 수집함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분석하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신하는 제 3 과정; 으로 이루어지되,
    상기 제 1 과정 이후, 상기 보안에이전트(100)는 상기 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 상기 탐지된 패킷이 상기 서비스서버(200)로 송신되지 못하도록 차단하는 제 4 과정;
    상기 제 3 과정 또는 4 과정 이후, 상기 보안에이전트(100)가 소정의 주기로 상기 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 상기 서비스서버(200)가 수신한 공격패킷을 상기 보안정보목록서버(300)로 송신하는 제 5 과정;
    상기 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 상기 보안에이전트(100)로 송신하며, 상기 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 상기 서비스서버(200)로 송신하는 제 6 과정; 및
    보안에이전트 배포서버(400)가 사전에 허가된 보안에이전트들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포하는 제 7 과정; 을 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 방법.
  5. 삭제
KR1020080042005A 2008-05-06 2008-05-06 클라이언트 ddos 방어 시스템 및 그 방법 KR100983549B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080042005A KR100983549B1 (ko) 2008-05-06 2008-05-06 클라이언트 ddos 방어 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080042005A KR100983549B1 (ko) 2008-05-06 2008-05-06 클라이언트 ddos 방어 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090116206A KR20090116206A (ko) 2009-11-11
KR100983549B1 true KR100983549B1 (ko) 2010-09-27

Family

ID=41601001

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080042005A KR100983549B1 (ko) 2008-05-06 2008-05-06 클라이언트 ddos 방어 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100983549B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101511030B1 (ko) * 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518852B1 (ko) * 2013-12-23 2015-05-13 주식회사 시큐아이 Ips 장치 및 ids 장치를 포함하는 보안 시스템 및 그것의 동작 방법
KR101658450B1 (ko) * 2016-04-01 2016-09-21 이석우 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101511030B1 (ko) * 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Also Published As

Publication number Publication date
KR20090116206A (ko) 2009-11-11

Similar Documents

Publication Publication Date Title
Alsmadi et al. Security of software defined networks: A survey
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
EP1817685B1 (en) Intrusion detection in a data center environment
Izhikevich et al. {LZR}: Identifying unexpected internet services
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
US20060026679A1 (en) System and method of characterizing and managing electronic traffic
Miao et al. The dark menace: Characterizing network-based attacks in the cloud
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
Alabady Design and Implementation of a Network Security Model for Cooperative Network.
van Oorschot et al. Intrusion detection and network-based attacks
Särelä et al. Evaluating intrusion prevention systems with evasions
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Balogh et al. LAN security analysis and design
Verwoerd et al. Security architecture testing using IDS—a case study
Holik Protecting IoT Devices with Software-Defined Networks
Pant et al. A cumulative security metric for an information network
Kakanakov et al. Securing against Denial of Service attacks in remote energy management systems
Foote et al. Low Cost ICS Network Scanning for Vulnerability Prevention
Whyte Network scanning detection strategies for enterprise networks
Thangavel et al. Sniffers Over Cloud Environment: A Literature Survey
Iacob et al. Information Security for Web Services-Proactive and Reactive Security Techniques
Sulaman An Analysis and Comparison of The Security Features of Firewalls and IDSs
Chieffalo et al. The Internet of Things-An Engineering Approach to Combating a Potential Skynet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130828

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140901

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170901

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 10