KR101002801B1 - Apparatus and method for defending against ddos attack - Google Patents

Apparatus and method for defending against ddos attack Download PDF

Info

Publication number
KR101002801B1
KR101002801B1 KR1020080084495A KR20080084495A KR101002801B1 KR 101002801 B1 KR101002801 B1 KR 101002801B1 KR 1020080084495 A KR1020080084495 A KR 1020080084495A KR 20080084495 A KR20080084495 A KR 20080084495A KR 101002801 B1 KR101002801 B1 KR 101002801B1
Authority
KR
South Korea
Prior art keywords
network system
packet
traffic
resource state
session
Prior art date
Application number
KR1020080084495A
Other languages
Korean (ko)
Other versions
KR20100025796A (en
Inventor
김광태
주문돈
황인규
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR1020080084495A priority Critical patent/KR101002801B1/en
Publication of KR20100025796A publication Critical patent/KR20100025796A/en
Application granted granted Critical
Publication of KR101002801B1 publication Critical patent/KR101002801B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control

Abstract

네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함하는 DDoS 공격 방어 장치가 개시된다.A resource state analyzer for measuring at least one resource state value of a network system in real time, and comparing the at least one resource state value with respective predetermined thresholds, the at least one A system state determination unit for creating a blocking session in the network system when the resource state value of the network value exceeds the predetermined reference value, and when the resource state value does not exceed the reference value, A traffic measurement unit for measuring traffic for at least one IP, and generating a blocking session for an IP whose measured traffic exceeds a reference traffic among the at least one IP to the network system by the blocking session; Among the at least one packet whose transmission is blocked, Disclosed is a DDoS attack defense apparatus including a packet transmission control unit for controlling only transmission to the network system.

네트워크, 트래픽, 엔트로피, 패킷, IP, 리소스, 공격, 방어 Network, traffic, entropy, packet, IP, resource, attack, defense

Description

DDoS 공격 방어 장치 및 방법{APPARATUS AND METHOD FOR DEFENDING AGAINST DDOS ATTACK}APDEFATUS AND METHOD FOR DEFENDING AGAINST DDOS ATTACK}

DDoS 공격(distributed denial-of-service attack) 방어 장치 및 방법이 개시된다. 특히, 네트워크 시스템에 대한 DDoS 공격 여부를 모니터링하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 상기 DDoS 공격을 방어하기 위한 DDoS 공격 방어 장치 및 방법이 개시된다.Disclosed are a distributed denial-of-service attack defense apparatus and method. In particular, a DDoS attack defense apparatus and method for monitoring a DDoS attack on a network system and defending the DDoS attack when there is a DDoS attack on the network system are disclosed.

최근, 초고속 인터넷 환경이 구축되면서, 해킹이나 인터넷 침해 등과 같은 네트워크 공격에 의한 피해가 속출하고 있다. 특히, 대형 포탈 사이트의 경우, 네트워크 공격으로 인해, 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다면, 상기 포탈 사이트를 운영하는 운영자에게 막대한 피해가 돌아갈 수 있다.Recently, as the high-speed Internet environment has been established, damages caused by network attacks such as hacking and internet infringement have been continued. In particular, in the case of a large portal site, if a server is down due to a network attack or a problem such as leakage of personal information, a huge damage can be returned to the operator who operates the portal site.

네트워크 공격의 유형으로는 인터넷 사이트를 해킹하여, 기밀 정보나 개인 정보를 획득하는 공격 방법이 있고, 다수의 클라이언트 컴퓨터에 악성 코드를 감염시켜서 상기 다수의 클라이언트 컴퓨터가 특정 네트워크 시스템에 한번에 다량의 패킷을 전송하도록 함으로써 상기 네트워크 시스템의 서버를 다운시키는 공격 방법 등이 있다.Types of network attacks include attack methods for hacking Internet sites to obtain confidential or personal information, and infecting a large number of client computers with malicious code, causing the plurality of client computers to send large amounts of packets to a particular network system at a time. There is an attack method for bringing down the server of the network system by transmitting.

특히, 후자의 공격 방법을 DDoS 공격(distributed denial-of-service attack)이라고 하는데, DDoS 공격은 공격 방법이 단순하고, DDoS 공격을 위한 툴(tool)을 어디서나 쉽게 구할 수 있어, 초급 해커도 얼마든지 이를 이용하여, 네트워크 시스템을 공격할 수 있다.In particular, the latter attack method is called a distributed denial-of-service attack. The DDoS attack has a simple attack method, and tools for DDoS attack can be easily obtained from anywhere. Using this, the network system can be attacked.

DDoS 공격은 일반적인 패킷으로 공격이 이루어지므로 정상 패킷과 비정상 패킷을 구분하기 어렵고, DDoS 공격을 방어한다고 해도, 비정상 패킷뿐만 아니라 정상 패킷에 대해서도 전송을 차단하기 때문에, 정상적인 사용자들에게 피해가 갈 수 있다.DDoS attack is a normal packet, so it is difficult to distinguish between normal packet and abnormal packet. Even if defending DDoS attack, it blocks the normal packet as well as abnormal packet, which can damage normal users. .

따라서, 이러한 DDoS 공격을 효율적으로 방어할 수 있는 방어 기재에 대한 연구가 필요하다.Therefore, there is a need for a research on a defense base that can effectively defend against such DDoS attacks.

네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공하고자 한다.By monitoring the resource status of the network system, by measuring the traffic transmitted to at least one IP of the network system, it is determined whether the DDoS attack, and if there is a DDoS attack in the network system, by blocking only the transmission of abnormal packets To provide a DDoS attack defense system and method that can effectively defend against DDoS attacks.

본 발명의 일실시예에 따른 DDoS 공격 방어 장치는 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함한다.The DDoS attack defense apparatus according to an embodiment of the present invention is a resource state analyzer for measuring at least one resource state value of a network system in real time, each of the predetermined at least one resource state value (predetermined) A system state determination unit for creating a blocking session in the network system when the at least one resource state value exceeds the predetermined reference values, in comparison with thresholds, the resource state value being Traffic for measuring at least one IP of the network system when the reference values are not exceeded, and creating a blocking session for an IP whose measured traffic among the at least one IP exceeds the reference traffic; At least one packet whose transmission to the network system is blocked by the measurement unit and the blocking session And a packet transmission control unit for controlling only the packets of pre-registered flows to be transmitted to the network system.

또한, 본 발명의 일실시예에 따른 DDoS 공격 방어 방법은 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 단계, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 단계를 포함한다.In addition, the DDoS attack defense method according to an embodiment of the present invention measuring the at least one resource (Resource) state value of the network system in real time, each of the predetermined criteria (predetermined) of the at least one resource state value Comparing the thresholds, if the at least one resource state value exceeds the predetermined reference values, creating a blocking session in the network system, wherein the resource state values set the reference values; If not exceeding, measuring traffic for at least one IP of the network system, creating a blocking session for an IP whose measured traffic exceeds a reference traffic among the at least one IP and the blocking session Flow registered in at least one packet whose transmission to the network system is blocked by Controlling only the packet of flows to be transmitted to the network system.

네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공할 수 있다.By monitoring the resource status of the network system, by measuring the traffic transmitted to at least one IP of the network system, it is determined whether the DDoS attack, and if there is a DDoS attack in the network system, by blocking only the transmission of abnormal packets In addition, the present invention can provide a DDoS attack defense device and method capable of effective defense against DDoS attacks.

이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention;

도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.1 is a diagram showing the structure of a DDoS attack defense apparatus according to an embodiment of the present invention.

도 1을 참조하면, 네트워크 시스템(110) 및 DDoS 공격 방어 장치(120)가 도시되어 있다.Referring to FIG. 1, a network system 110 and a DDoS attack defense device 120 are shown.

DDoS 공격 방어 장치(120)는 리소스 상태 분석부(121), 시스템 상태 판단부(122), 트래픽 측정부(123) 및 패킷 전송 제어부(124)를 포함할 수 있다.The DDoS attack defense device 120 may include a resource state analyzer 121, a system state determiner 122, a traffic measurer 123, and a packet transfer controller 124.

먼저, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정한다.First, the resource state analyzer 121 measures at least one resource state value of the network system 110 in real time.

본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate) 또는 라우팅 테이블 카운트 레이트(Table count rate) 등이 될 수 있다.According to an embodiment of the present invention, the at least one resource state value may include a CPU load rate, a packet change amount of a network interface card (NIC), a device session count rate, or routing. Table count rate.

시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는지 판단한다.The system state determiner 122 compares the at least one resource state value measured by the resource state analyzer 121 with respective predetermined threshold values, and compares the at least one resource state value. It is determined whether the selected reference values are exceeded.

그리고 나서, 만약, 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)으로 패킷이 전송되는 것을 차단하기 위해 네트워크 시스템(110)에 차단 세션(session)을 생성한다.Then, if any one or more of the at least one resource state value exceeds each predetermined reference value, the system state determination unit 122 indicates that the packet is transmitted to the network system 110. A blocking session is created in the network system 110 to block.

예컨대, 리소스 상태 분석부(121)가 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 측정한 경우, 시스템 상태 판단부(122)는 상기 측정된 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 각각의 선정된 기준 값들과 비교한다.For example, when the resource state analyzer 121 measures the CSI load rate of the network system 110, the packet change amount of the NIC, the device session count rate, and the routing table count rate, the system state determiner 122 measures the measured state. The CPI load rate, the packet change amount of the NIC, the device session count rate and the routing table count rate are compared with respective predetermined reference values.

본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값들 각각에 대해 특정 기간 동안의 평균 값들을 계산할 수 있다. 이때, 본 발명의 일실시예에 따르면, 상기 선정된 기준 값들은 상기 평균 값들이 될 수 있다. According to an embodiment of the present invention, the resource state analyzer 121 may calculate average values for a specific period for each of at least one resource state value of the network system 110. In this case, according to an embodiment of the present invention, the selected reference values may be the average values.

이에 대해, 예를 들어 설명하면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 실시간으로 측정하면서, 특정 기간 동안 측정한 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 이용하여, 각각의 평균 값들을 계산할 수 있다.For example, the resource state analyzer 121 measures the CSI load rate of the network system 110, the packet change amount of the NIC, the equipment session count rate, and the routing table count rate in real time, and during a specific period of time. The average values may be calculated using the measured CSI load rate, the packet change amount of the NIC, the device session count rate, and the routing table count rate.

그리고 나서 시스템 상태 판단부(122)는 리소스 상태 분석부(121)로부터 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트와 상기 평균 값들을 수신한 후, 상기 평균 값들을 기준 값으로 하여, 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트가 각각의 평균 값을 초과하는지 판단할 수 있다.Then, the system state determining unit 122 receives the CPI load rate, the packet change amount of the NIC, the equipment session count rate, the routing table count rate, and the average values from the resource state analyzing unit 121. Using the average values as reference values, it may be determined whether the CPI load rate, the packet change amount of the NIC, the device session count rate, and the routing table count rate exceed respective average values.

만약, 실시간으로 측정된 상기 씨피유 로드 레이트가 특정 기간 동안 측정한 씨피유 로드 레이트의 평균 값을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)이 DDoS 공격을 받는 것으로 판단하여, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.If the CPI load rate measured in real time exceeds the average value of CPI load measured during a specific period, the system state determination unit 122 determines that the network system 110 is subjected to a DDoS attack, A blocking session can be created in the system 110.

본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정할 수 있다.According to an embodiment of the present invention, the resource state analyzer 121 may measure the packet change amount of the NIC by measuring the traffic volume of the NIC of the network system 110.

NIC의 트래픽 볼륨 측정은 NIC에 패킷이 도착하는 시간을 측정하여, 상기 측정된 시간 따라 NIC의 트래픽 증가 여부를 판단할 수 있는 측정 방법을 의미한다. 만약, 상기 측정된 시간이 갑자기 줄어든다면, NIC의 트래픽이 갑자기 증가하고 있음을 알 수 있다.The measurement of the traffic volume of the NIC refers to a measurement method of measuring the time that a packet arrives at the NIC, and determining whether the traffic of the NIC increases according to the measured time. If the measured time suddenly decreases, it can be seen that the traffic of the NIC is suddenly increasing.

상기 NIC의 트래픽 볼륨 측정은 하기의 수학식 1로 나타낼 수 있다.The traffic volume measurement of the NIC may be represented by Equation 1 below.

Figure 112008061443314-pat00001
Figure 112008061443314-pat00001

여기서 k는 NIC에 도착하는 패킷의 수로 예컨대 50개의 패킷이 NIC에 도착한 다고 가정하면, k=50이 될 수 있다. 리소스 상태 분석부(121)는 상기 수학식 1을 이용하여 NIC에 패킷이 도착하는 시간을 측정함으로써 NIC의 패킷 변화량을 측정할 수 있고, 시스템 상태 분석부(122)가 상기 NIC의 패킷 변화량과 기준 값을 비교하여, 상기 NIC의 패킷 변화량이 기준 값을 초과하는 경우, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.Where k is the number of packets arriving at the NIC, for example, assuming that 50 packets arrive at the NIC, k = 50. The resource state analyzer 121 may measure the packet change amount of the NIC by measuring the time that the packet arrives at the NIC using Equation 1, and the system state analyzer 122 determines the packet change amount and the reference of the NIC. By comparing the values, when the amount of packet change of the NIC exceeds a reference value, a blocking session may be created in the network system 110.

본 발명의 일실시예에 따르면, 시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 선정된 기준 값을 초과하지 않고, 네트워크 시스템(110)에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제할 수 있다. 이를 통해, 네트워크 시스템(110)이 과거에 DDoS 공격을 받아서 DDoS 공격 방어 장치(120)에 의해 차단 세션이 생성된 이후, 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스의 현재 상태를 판단한 결과, 네트워크 시스템(110)이 정상이라고 판단한 경우, 상기 차단 세션을 해제하고, 네트워크 시스템(110)으로 패킷이 정상적으로 전송되도록 할 수 있다.According to an embodiment of the present invention, the system state determination unit 122 may determine that at least one resource state value of the network system 110 measured by the resource state analyzer 121 does not exceed a predetermined reference value. If there is a blocking session in the system 110, the blocking session may be released. Through this, after the network system 110 has received a DDoS attack in the past and a blocking session is generated by the DDoS attack defense device 120, the system state determination unit 122 may determine whether at least one resource of the network system 110 is stored. As a result of determining the current state, when it is determined that the network system 110 is normal, the blocking session may be released, and the packet may be normally transmitted to the network system 110.

트래픽 측정부(123)는 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 각각의 기준 값들을 초과하지 않는 것으로 판단한 경우, 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다. 이를 통해, 시스템 상태 판단부(122)가 네트워크 시스템(110)을 정상 상태인 것으로 판단한 경우에도 트래픽 측정부(123)가 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 모니터링함으로써 DDoS 공격에 대한 방어를 견고히 할 수 있다.The traffic measurer 123 determines that at least one resource state value of the network system 110 does not exceed respective reference values when the system state determiner 122 determines that at least one IP of the network system 110 is determined. Measure traffic for the IP, and create a blocking session for the IP where the measured traffic exceeds the reference traffic. As a result, even when the system state determining unit 122 determines that the network system 110 is in a normal state, the traffic measuring unit 123 monitors traffic for at least one IP of the network system 110 to prevent a DDoS attack. It can strengthen your defense against it.

본 발명의 일실시예에 따르면, 트래픽 측정부(123)는 IP 검출부 및 엔트로피 측정부를 포함할 수 있다. According to an embodiment of the present invention, the traffic measurement unit 123 may include an IP detection unit and an entropy measurement unit.

따라서, 이하에서는 도 2를 참조하여, 트래픽 측정부(123)의 구조를 상세히 설명하기로 한다.Therefore, hereinafter, the structure of the traffic measuring unit 123 will be described in detail with reference to FIG. 2.

도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a traffic measuring unit according to an embodiment of the present invention.

도 2를 참조하면, 네트워크 시스템(210) 및 트래픽 측정부(220)가 도시되어 있다.Referring to FIG. 2, a network system 210 and a traffic measurement unit 220 are shown.

트래픽 측정부(220)는 IP 검출부(221) 및 엔트로피 측정부(222)를 포함할 수 있다.The traffic measurer 220 may include an IP detector 221 and an entropy measurer 222.

IP 검출부(221)는 네트워크 시스템(210)의 적어도 하나의 IP에 접속되어 있는 복수의 소스(Source) IP 들의 개수를 모니터링하여, 상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟(target) IP를 검출한다.The IP detector 221 monitors the number of source IPs connected to at least one IP of the network system 210, and a plurality of source IPs exceeding a reference number among the at least one IP are connected. Detect target IP.

본 발명의 일실시예에 따르면, IP 검출부(221)는 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 목록을 생성하고, 선정된 시간 간격으로 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 개수가 상기 기준 개수를 초과하는지 판단할 수 있다.According to an embodiment of the present invention, the IP detection unit 221 generates a list of a plurality of source IPs connected to the at least one IP, and the plurality of IPs connected to the at least one IP at predetermined time intervals. It may be determined whether the number of source IPs exceeds the reference number.

엔트로피 측정부(222)는 IP 검출부(221)에서 검출된 상기 타겟 IP에 접속되 어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성한다.The entropy measuring unit 222 measures an entropy value of the plurality of source IPs connected to the target IP detected by the IP detector 221, and the entropy value exceeds a predetermined entropy value. , For the target IP, creates a blocking session.

이때, 본 발명의 일실시예에 따르면, 상기 엔트로피 값은 하기의 수학식 2를 통해 계산될 수 있다.In this case, according to an embodiment of the present invention, the entropy value may be calculated through Equation 2 below.

Figure 112008061443314-pat00002
Figure 112008061443314-pat00002

단,

Figure 112008061443314-pat00003
only,
Figure 112008061443314-pat00003

여기서 total은 네트워크 시스템(210)으로 전송되는 전체 패킷 수, srccnt는 상기 타겟 IP에 접속되어 있는 복수의 소스 IP들의 개수를 의미한다.Here, total is the total number of packets transmitted to the network system 210, and srccnt is the number of source IPs connected to the target IP.

결국, 트래픽 측정부(220)는 IP 검출부(221)가 네트워크 시스템(210)의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출함으로써, 과다한 패킷이 전송되는 것으로 의심되는 IP를 검출하고, 엔트로피 측정부(222)가 상기 타겟 IP의 엔트로피를 측정함으로써 상기 타겟 IP에 실제로 과다한 패킷이 전송되는지 여부를 판단한 후, 만약, 상기 타겟 IP에 과다한 패킷이 전송되는 것으로 판단한 경우, 상기 타겟 IP에 대해 차단 세션을 생성함으로써, DDoS 공격에 대한 방어를 할 수 있다.As a result, the traffic measuring unit 220 detects a target IP to which a plurality of source IPs exceeding a reference number from among at least one IP of the network system 210 is connected, thereby transmitting an excess packet. After detecting the suspected IP, the entropy measuring unit 222 determines whether the excess packet is actually transmitted to the target IP by measuring the entropy of the target IP, and if the excess packet is transmitted to the target IP, If determined, by creating a blocking session for the target IP, it is possible to defend against DDoS attacks.

이상, 트래픽 측정부(220)의 구조에 대해 설명하였다. 이하에서는 도 1을 참조하여, DDoS 공격 방어 장치의 구조에 대해 계속 설명하기로 한다.The structure of the traffic measurement unit 220 has been described above. Hereinafter, the structure of the DDoS attack defense apparatus will be described with reference to FIG. 1.

패킷 전송 제어부(124)는 시스템 상태 판단부(122) 또는 트래픽 측정부(123)에 의해 생성된 차단 세션으로 인해 네트워크 시스템(110)으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 네트워크 시스템(110)으로 전송되도록 제어한다.The packet transmission control unit 124 is a flow that is registered among at least one packet whose transmission to the network system 110 is blocked due to the blocking session generated by the system state determination unit 122 or the traffic measurement unit 123. Only the packets of the flows are controlled to be transmitted to the network system 110.

일반적으로 네트워크 시스템(110)이 DDoS 공격을 받는 경우, 기존의 DDoS 공격 방어 장치는 네트워크 시스템(110)으로 전송되는 모든 패킷에 대해 전송을 차단하기 때문에 정상적인 패킷까지 네트워크 시스템(110)으로 전송되지 못하는 경우가 많았다. 하지만, 패킷 전송 제어부(124)는 평상시 정상 패킷을 등록해 놓은 후, DDoS 공격에 의해 네트워크 시스템(110)에 차단 세션이 생성된 경우, 기 등록되어 있는 정상적인 패킷에 대해서는 네트워크 시스템(110)으로 전송되도록 함으로써, DDoS 공격에 의한 비정상 패킷의 전송만을 차단할 수 있어, DDoS 공격에 대한 효율적인 방어가 가능하다.In general, when the network system 110 is subjected to a DDoS attack, since the conventional DDoS attack defense device blocks transmission of all packets transmitted to the network system 110, normal network packets cannot be transmitted to the network system 110. There were many cases. However, the packet transmission control unit 124 normally registers a normal packet, and when a blocking session is generated in the network system 110 by a DDoS attack, the packet transmission control unit 124 transmits the registered normal packet to the network system 110. By doing so, it is possible to block transmission of abnormal packets only by DDoS attacks, thus enabling effective defense against DDoS attacks.

본 발명의 일실시예에 따르면, 패킷 전송 제어부(124)는 패킷 등록부를 포함할 수 있다.According to an embodiment of the present invention, the packet transmission control unit 124 may include a packet registration unit.

따라서, 이하에서는 도 3을 참조하여, 패킷 전송 제어부(124)의 구조를 상세히 설명하기로 한다.Therefore, hereinafter, the structure of the packet transmission control unit 124 will be described in detail with reference to FIG. 3.

도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.3 is a diagram illustrating a structure of a packet transmission control unit according to an embodiment of the present invention.

도 3을 참조하면, 네트워크 시스템(310) 및 패킷 전송 제어부(320)가 도시되어 있다.Referring to FIG. 3, a network system 310 and a packet transfer control unit 320 are shown.

패킷 전송 제어부(320)는 패킷 등록부(321)를 포함할 수 있다.The packet transmission control unit 320 may include a packet registration unit 321.

패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않는 경우, 네트워크 시스템(310)으로 전송되는 적어도 하나의 패킷을 등록한다.When there is no blocking session in the network system 310, the packet registerer 321 registers at least one packet transmitted to the network system 310.

다시 말해서, 패킷 등록부(321)는 네트워크 시스템(310)이 DDoS 공격을 받지 않을 때, 전송되는 패킷들을 정상 패킷으로 판단하여, 상기 패킷들을 등록할 수 있다.In other words, when the network system 310 is not subjected to a DDoS attack, the packet registerer 321 may determine the transmitted packets as normal packets and register the packets.

그리고 나서, 만약, 네트워크 시스템(310)이 DDoS 공격을 받는 경우, 패킷 전송 제어부(320)가 차단 세션에 의해 전송이 차단된 패킷들 중에서 상기 패킷 등록부(321)에 등록되어 있는 정상 패킷들에 대해서만 네트워크 시스템(310)으로 전송되도록 제어함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.Then, if the network system 310 is subjected to a DDoS attack, the packet transmission control unit 320 is only for the normal packets registered in the packet register 321 among the packets blocked transmission by the blocking session. By controlling the transmission to the network system 310, it is possible to effectively defend against DDoS attacks.

본 발명의 일실시예에 따르면, 패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않고, 적어도 하나의 패킷이 TCP 프로토콜을 통해 네트워크 시스템(310)으로 전송되는 경우, 3번 악수 기법 인증(Three Hand Shaking)이 이루어진 패킷만을 등록할 수 있다.According to an embodiment of the present invention, the packet registration unit 321 shakes three times when a blocking session does not exist in the network system 310 and at least one packet is transmitted to the network system 310 through the TCP protocol. Only packets that have been authenticated (Three Hand Shaking) can be registered.

이를 통해, 패킷 등록부(321)가 비정상 패킷을 등록할 위험을 줄일 수 있다.In this way, the packet register 321 may reduce the risk of registering an abnormal packet.

도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이 다.4 is a flowchart illustrating a DDoS attack defense method according to an embodiment of the present invention.

단계(S410)에서는 네트워크 시스템의 적어도 하나의 리소스 상태 값을 실시간으로 측정한다.In step S410, at least one resource state value of the network system is measured in real time.

본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 또는 라우팅 테이블 카운트 레이트가 될 수 있다.According to an embodiment of the present invention, the at least one resource state value may be a CPI load rate, a packet change amount of a NIC, an equipment session count rate, or a routing table count rate.

또한, 단계(S410)에서는 상기 수학식 1에 따른 NIC 트래픽 볼륨 측정을 통해, 상기 NIC의 패킷 변화량을 측정할 수 있다.In addition, in step S410, the amount of packet change of the NIC may be measured by measuring the NIC traffic volume according to Equation (1).

단계(S420)에서는 단계(S410)에서 측정한 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는지 판단한다.In operation S420, it is determined whether at least one resource state value measured in operation S410 exceeds respective predetermined reference values.

만약, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 단계(S430)에서 상기 네트워크 시스템에 차단 세션을 생성한다.If at least one resource state value of the at least one resource state value exceeds each predetermined reference value in step S420, a blocking session is created in the network system in step S430.

하지만, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값을 초과하지 않는다면, 단계(S440)에서 상기 네트워크 시스템에 차단 세션이 존재하는지 판단한다.However, if the at least one resource state value does not exceed each predetermined reference value in step S420, it is determined in step S440 whether a blocking session exists in the network system.

단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하는 경우, 단계(S450)에서 상기 차단 세션을 해제한다.As a result of the determination in step S440, if there is a blocking session in the network system, the blocking session is released in step S450.

결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 비정상인 것으로 판단된 경우, 단계(S430)에서 차단 세션을 생성하여, 상기 네트워크 시스템으로 전송되는 패킷을 차단함으로써 DDoS 공격을 방어할 수 있다.As a result, when it is determined in step S420 that the resource state of the network system is abnormal, in step S430, a blocking session may be generated to block a DDoS attack by blocking a packet transmitted to the network system.

또한, 상기 네트워크 시스템이 과거에 DDoS 공격을 받아 차단 세션을 통해 상기 DDoS 공격을 방어하고 있는 중인 경우, 단계(S420)에서 상기 네트워크 시스템의 현재 리소스 상태를 판단한 결과, 상기 현재 리소스 상태가 정상인 것으로 판단되면, 단계(S440)에서 상기 네트워크 시스템에 상기 차단 세션이 존재함을 판단한 후, 단계(S450)에서 상기 차단 세션을 해제함으로써, 상기 네트워크 시스템으로 패킷이 정상적으로 전송되도록 할 수 있다.In addition, when the network system is receiving the DDoS attack in the past and is defending the DDoS attack through a blocking session, as a result of determining the current resource state of the network system in step S420, it is determined that the current resource state is normal. If it is determined in step S440 that the blocking session exists in the network system, by releasing the blocking session in step S450, the packet may be normally transmitted to the network system.

단계(S460)에서는 단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하지 않거나, 단계(S450)에서 상기 네트워크 시스템에 존재하였던 차단 세션이 해제되면, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다.In step S460, if the blocking session does not exist in the network system as a result of the determination in step S440, or if the blocking session that existed in the network system is released in step S450, at least one IP of the network system is determined. Traffic is measured, and a blocking session is created for the IP where the measured traffic exceeds the reference traffic.

만약, 상기 적어도 하나의 IP 중에서 기준 트래픽을 초과하는 IP가 존재하지 않는다면, 단계(S460)에서는 상기 네트워크 시스템이 DDoS 공격을 받지 않는 것으로 판단하고, 상기 네트워크 시스템에 차단 세션을 생성하지 않는다.If there is no IP exceeding the reference traffic among the at least one IP, in step S460, it is determined that the network system is not subjected to a DDoS attack, and a blocking session is not created in the network system.

본 발명의 일실시예에 따르면, 단계(S460)에서는 상기 네트워크 시스템의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출하는 단계 및 상기 수학식 2를 참조하여, 상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 단 계를 포함할 수 있다.According to an embodiment of the present invention, in step S460, detecting a target IP to which a plurality of source IPs exceeding a reference number from among at least one IP of the network system are connected and referring to Equation 2 above. And measuring an entropy value of the plurality of source IPs connected to the target IP, and generating a blocking session for the target IP when the entropy value exceeds a predetermined entropy value. have.

결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 정상인 것으로 판단된 경우에도, 단계(S460)을 통해, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하여, 상기 네트워크 시스템에 대한 DDoS 공격 여부를 판단함으로써, 상기 DDoS 공격에 대한 견고한 방어가 가능하다.As a result, even when it is determined in step S420 that the resource state of the network system is normal, through step S460, by measuring the traffic for at least one IP of the network system, DDoS attack on the network system By determining whether or not, a solid defense against the DDoS attack is possible.

단계(S470)에서는 단계(S430) 또는 단계(S460)에서 생성된 차단 세션에 의해, 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는지 여부를 판단한다.In step S470, it is determined whether there is a pre-registered packet among at least one packet whose transmission to the network system is blocked by the blocking session generated in step S430 or step S460.

단계(S470)의 판단 결과, 상기 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는 경우, 단계(S480)에서 상기 기 등록되어 있는 패킷이 상기 네트워크 시스템으로 전송되도록 제어한다.As a result of the determination in step S470, if there is a pre-registered packet among the at least one packet, the pre-registered packet is controlled to be transmitted to the network system in step S480.

이를 통해, 상기 네트워크 시스템에 차단 세션이 생성되어, DDoS 공격을 방어하는 경우에도, 정상 패킷에 대해서는 네트워크 시스템으로 전송되도록 함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.Through this, even when a blocking session is created in the network system to protect the DDoS attack, the normal packet is transmitted to the network system, thereby effectively defending the DDoS attack.

본 발명에 따른 DDoS 공격 방어 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하 드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.DDoS attack defense method according to the present invention is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and floptical disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.

도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.1 is a diagram showing the structure of a DDoS attack defense apparatus according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a traffic measuring unit according to an embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.3 is a diagram illustrating a structure of a packet transmission control unit according to an embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이다.4 is a flowchart illustrating a DDoS attack defense method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

110: 네트워크 시스템 120: DDoS 공격 방어 장치110: network system 120: DDoS attack defense device

121: 리소스 상태 분석부 122: 시스템 상태 판단부121: resource state analysis unit 122: system state determination unit

123: 트래픽 측정부 124: 패킷 전송 제어부123: traffic measurement unit 124: packet transmission control unit

210: 네트워크 시스템 220: 트래픽 측정부210: network system 220: traffic measurement unit

221: IP 검출부 222: 엔트로피 측정부221: IP detection unit 222: entropy measuring unit

310: 네트워크 시스템 320: 패킷 전송 제어부310: network system 320: packet transmission control unit

321: 패킷 등록부321: packet register

Claims (14)

네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부; A resource state analyzer for measuring at least one resource state value of the network system in real time; 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부; Comparing the at least one resource state value with respective predetermined thresholds, when the at least one resource state value exceeds the predetermined reference values, a system state determination unit generating a session); 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 접속되어 있는 복수의 소스(Source) IP들의 개수를 모니터링하여 상기 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부; 및 When the resource state value does not exceed the reference values, the traffic for the at least one IP is measured by monitoring the number of source IPs connected to at least one IP of the network system, A traffic measuring unit configured to generate a blocking session for an IP in which the measured traffic among the at least one IP exceeds a reference traffic; And 상기 시스템 판단부 또는 상기 트래픽 측정부에 의해 생성된 상기 차단 세션으로 인해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 정상 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함하고,Only normal packets of flows that are pre-registered among the at least one packet whose transmission to the network system is blocked due to the blocking session generated by the system determining unit or the traffic measuring unit are transmitted to the network system. A packet transmission control unit for controlling to 상기 트래픽 측정부는,The traffic measuring unit, 상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟(target) IP를 검출하는 IP 검출부; 및An IP detector configured to detect a target IP to which a plurality of source IPs exceeding a reference number from among the at least one IP are connected; And 상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 엔트로피 측정부An entropy measuring unit for measuring an entropy value of the plurality of source IPs connected to the target IP, and generating a blocking session for the target IP when the entropy value exceeds a predetermined entropy value. 를 포함하는 것을 특징으로 하는 DDoS 공격 방어 장치.DDoS attack defense device comprising a. 제1항에 있어서,The method of claim 1, 상기 적어도 하나의 리소스 상태 값은,The at least one resource state value is 씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate), 라우팅 테이블 카운트 레이트(Table count rate) 중 어느 하나 이상인 것을 특징으로 하는 DDoS 공격 방어 장치.DDoS, characterized in that one or more of the CPU load rate (CPU Load rate), the packet change amount of the Network Interface Card (NIC), the equipment session count rate, the routing table count rate Attack defense device. 제2항에 있어서,The method of claim 2, 상기 리소스 상태 분석부는,The resource state analysis unit, 상기 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정하는 것을 특징으로 하는 DDoS 공격 방어 장치.DDoS attack defense device characterized in that for measuring the packet change amount of the NIC by measuring the traffic volume (Volume) of the NIC. 제1항에 있어서,The method of claim 1, 상기 시스템 상태 판단부는,The system state determination unit, 상기 리소스 상태 값이 상기 선정된 기준 값을 초과하지 않고, 상기 네트워크 시스템에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제하는 것을 특징으로 하는 DDoS 공격 방어 장치.And if the resource state value does not exceed the predetermined reference value and there is a blocking session in the network system, releasing the blocking session. 삭제delete 제1항에 있어서,The method of claim 1, 상기 IP 검출부는,The IP detection unit, 상기 복수의 소스 IP들의 목록을 생성하고, 선정된 시간 간격으로 상기 복수의 IP들의 개수가 상기 기준 개수를 초과하는지 판단하는 것을 특징으로 하는 DDoS 공격 방어 장치.And generating a list of the plurality of source IPs and determining whether the number of the plurality of IPs exceeds the reference number at predetermined time intervals. 제1항에 있어서,The method of claim 1, 상기 패킷 전송 제어부는,The packet transmission control unit, 상기 네트워크 시스템에 차단 세션이 존재하지 않는 경우, 상기 네트워크 시스템으로 전송되는 적어도 하나의 패킷을 정상 패킷으로 등록하는 패킷 등록부If there is no blocking session in the network system, the packet registration unit for registering at least one packet transmitted to the network system as a normal packet 를 포함하는 것을 특징으로 하는 DDoS 공격 방어 장치.DDoS attack defense device comprising a. 제7항에 있어서The method of claim 7, 상기 패킷 등록부는,The packet registration unit, 상기 적어도 하나의 패킷이 TCP 프로토콜을 통해 상기 네트워크 시스템으로 전송되는 경우, 3번 악수 기법 인증(Three Hand Shaking)이 이루어진 패킷만을 등 록하는 것을 특징으로 하는 DDoS 공격 방어 장치.When the at least one packet is transmitted to the network system through the TCP protocol, the DDoS attack defense device, characterized in that registers only the packet that has been made three times handshake authentication (Three Hand Shaking). 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계;Measuring at least one resource state value of the network system in real time; 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 단계;Comparing the at least one resource state value with respective predetermined thresholds, when the at least one resource state value exceeds the predetermined reference values, creating a session); 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 접속되어 있는 복수의 소스(Source) IP들의 개수를 모니터링하여 상기 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계; 및When the resource state value does not exceed the reference values, the traffic for the at least one IP is measured by monitoring the number of source IPs connected to at least one IP of the network system, Creating a blocking session for the IP among the at least one IP where the measured traffic exceeds a reference traffic; And 상기 네트워크 시스템에 생성된 차단 세션 및 상기 기준 트래픽을 초과하는 IP에 생성된 차단 세션으로 인해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 정상 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 단계를 포함하고, Only for normal packets of flows already registered among at least one packet blocked for transmission to the network system due to a blocking session created in the network system and a blocking session created in the IP exceeding the reference traffic. Controlling the transmission to the network system; 상기 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계는,For an IP that exceeds the reference traffic, creating a blocking session may include: 상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스(Source) IP들이 접속되어 있는 타겟(target) IP를 검출하는 단계; 및Detecting a target IP to which a plurality of source IPs exceeding a reference number from among the at least one IP are connected; And 상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 단계Measuring an entropy value of the plurality of source IPs connected to the target IP, and if the entropy value exceeds a predetermined entropy value, generating a blocking session for the target IP; 를 포함하는 것을 특징으로 하는 DDoS 공격 방어 방법.DDoS attack defense method comprising the. 제9항에 있어서,10. The method of claim 9, 상기 적어도 하나의 리소스 상태 값은,The at least one resource state value is 씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate), 라우팅 테이블 카운트 레이트(Table count rate) 중 어느 하나 이상인 것을 특징으로 하는 DDoS 공격 방어 방법.DDoS, characterized in that one or more of the CPU load rate (CPU Load rate), the packet change amount of the Network Interface Card (NIC), the equipment session count rate, the routing table count rate Attack defense method. 제10항에 있어서,The method of claim 10, 상기 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계는,Measuring the at least one resource state value in real time, 상기 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정하는 것을 특징으로 하는 DDoS 공격 방어 방법.DDoS attack defense method characterized in that for measuring the packet change amount of the NIC by measuring the traffic volume (Volume) of the NIC. 제9항에 있어서,10. The method of claim 9, 상기 네트워크 시스템에 차단 세션을 생성하는 단계는,Creating a blocking session in the network system, 상기 리소스 상태 값이 상기 선정된 기준 값을 초과하지 않고, 상기 네트워크 시스템에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제하는 단계Releasing the blocking session when the resource state value does not exceed the predetermined reference value and there is a blocking session in the network system. 를 포함하는 것을 특징으로 하는 DDoS 공격 방어 방법.DDoS attack defense method comprising the. 삭제delete 제9항 내지 제12항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of any one of claims 9 to 12.
KR1020080084495A 2008-08-28 2008-08-28 Apparatus and method for defending against ddos attack KR101002801B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080084495A KR101002801B1 (en) 2008-08-28 2008-08-28 Apparatus and method for defending against ddos attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080084495A KR101002801B1 (en) 2008-08-28 2008-08-28 Apparatus and method for defending against ddos attack

Publications (2)

Publication Number Publication Date
KR20100025796A KR20100025796A (en) 2010-03-10
KR101002801B1 true KR101002801B1 (en) 2010-12-21

Family

ID=42177220

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080084495A KR101002801B1 (en) 2008-08-28 2008-08-28 Apparatus and method for defending against ddos attack

Country Status (1)

Country Link
KR (1) KR101002801B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120060655A (en) 2010-12-02 2012-06-12 한국전자통신연구원 Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
KR20120136507A (en) 2011-06-09 2012-12-20 삼성전자주식회사 Node apparatus and method that prevent overflow of pending interest table in network system of name base
CN106357673B (en) * 2016-10-19 2019-06-21 中国科学院信息工程研究所 A kind of multi-tenant cloud computing system ddos attack detection method and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100576013B1 (en) 2004-10-27 2006-05-02 삼성전자주식회사 Method for defence of communication network from tcp syn flood attack

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100576013B1 (en) 2004-10-27 2006-05-02 삼성전자주식회사 Method for defence of communication network from tcp syn flood attack

Also Published As

Publication number Publication date
KR20100025796A (en) 2010-03-10

Similar Documents

Publication Publication Date Title
US10218725B2 (en) Device and method for detecting command and control channel
KR101574193B1 (en) Apparatus and method for defending DDoS attack
KR101077135B1 (en) Apparatus for detecting and filtering application layer DDoS Attack of web service
US9479532B1 (en) Mitigating denial of service attacks
US8170020B2 (en) Leveraging active firewalls for network intrusion detection and retardation of attack
JP6432210B2 (en) Security system, security method, security device, and program
US20120167161A1 (en) Apparatus and method for controlling security condition of global network
KR20130017333A (en) Attack decision system of slow distributed denial of service based application layer and method of the same
JP2007179131A (en) Event detection system, management terminal and program, and event detection method
CN110166480B (en) Data packet analysis method and device
JP2006350561A (en) Attack detection device
KR20130006750A (en) Method for identifying a denial of service attack and apparatus for the same
EP3144845B1 (en) Detection device, detection method, and detection program
Buchanan et al. A methodology to evaluate rate-based intrusion prevention system against distributed denial-of-service (DDoS).
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
KR101002801B1 (en) Apparatus and method for defending against ddos attack
JP6470201B2 (en) Attack detection device, attack detection system, and attack detection method
KR101598187B1 (en) Method and apparatus for blocking distributed denial of service
US7908657B1 (en) Detecting variants of known threats
WO2013189723A1 (en) Method and system for malware detection and mitigation
JP6497782B2 (en) Test apparatus, test method and test program
KR101231966B1 (en) Server obstacle protecting system and method
KR20180101868A (en) Apparatus and method for detecting of suspected malignant information
Bakhoum Intrusion detection model based on selective packet sampling
JP5952220B2 (en) File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method, and file monitoring cycle calculation program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment
FPAY Annual fee payment

Payment date: 20141013

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151215

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161205

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee