KR101002801B1 - Apparatus and method for defending against ddos attack - Google Patents
Apparatus and method for defending against ddos attack Download PDFInfo
- Publication number
- KR101002801B1 KR101002801B1 KR1020080084495A KR20080084495A KR101002801B1 KR 101002801 B1 KR101002801 B1 KR 101002801B1 KR 1020080084495 A KR1020080084495 A KR 1020080084495A KR 20080084495 A KR20080084495 A KR 20080084495A KR 101002801 B1 KR101002801 B1 KR 101002801B1
- Authority
- KR
- South Korea
- Prior art keywords
- network system
- packet
- traffic
- resource state
- session
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000000903 blocking effect Effects 0.000 claims abstract description 56
- 230000007123 defense Effects 0.000 claims abstract description 33
- 230000005540 biological transmission Effects 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 4
- 238000005259 measurement Methods 0.000 abstract description 11
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Abstract
네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함하는 DDoS 공격 방어 장치가 개시된다.A resource state analyzer for measuring at least one resource state value of a network system in real time, and comparing the at least one resource state value with respective predetermined thresholds, the at least one A system state determination unit for creating a blocking session in the network system when the resource state value of the network value exceeds the predetermined reference value, and when the resource state value does not exceed the reference value, A traffic measurement unit for measuring traffic for at least one IP, and generating a blocking session for an IP whose measured traffic exceeds a reference traffic among the at least one IP to the network system by the blocking session; Among the at least one packet whose transmission is blocked, Disclosed is a DDoS attack defense apparatus including a packet transmission control unit for controlling only transmission to the network system.
네트워크, 트래픽, 엔트로피, 패킷, IP, 리소스, 공격, 방어 Network, traffic, entropy, packet, IP, resource, attack, defense
Description
DDoS 공격(distributed denial-of-service attack) 방어 장치 및 방법이 개시된다. 특히, 네트워크 시스템에 대한 DDoS 공격 여부를 모니터링하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 상기 DDoS 공격을 방어하기 위한 DDoS 공격 방어 장치 및 방법이 개시된다.Disclosed are a distributed denial-of-service attack defense apparatus and method. In particular, a DDoS attack defense apparatus and method for monitoring a DDoS attack on a network system and defending the DDoS attack when there is a DDoS attack on the network system are disclosed.
최근, 초고속 인터넷 환경이 구축되면서, 해킹이나 인터넷 침해 등과 같은 네트워크 공격에 의한 피해가 속출하고 있다. 특히, 대형 포탈 사이트의 경우, 네트워크 공격으로 인해, 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다면, 상기 포탈 사이트를 운영하는 운영자에게 막대한 피해가 돌아갈 수 있다.Recently, as the high-speed Internet environment has been established, damages caused by network attacks such as hacking and internet infringement have been continued. In particular, in the case of a large portal site, if a server is down due to a network attack or a problem such as leakage of personal information, a huge damage can be returned to the operator who operates the portal site.
네트워크 공격의 유형으로는 인터넷 사이트를 해킹하여, 기밀 정보나 개인 정보를 획득하는 공격 방법이 있고, 다수의 클라이언트 컴퓨터에 악성 코드를 감염시켜서 상기 다수의 클라이언트 컴퓨터가 특정 네트워크 시스템에 한번에 다량의 패킷을 전송하도록 함으로써 상기 네트워크 시스템의 서버를 다운시키는 공격 방법 등이 있다.Types of network attacks include attack methods for hacking Internet sites to obtain confidential or personal information, and infecting a large number of client computers with malicious code, causing the plurality of client computers to send large amounts of packets to a particular network system at a time. There is an attack method for bringing down the server of the network system by transmitting.
특히, 후자의 공격 방법을 DDoS 공격(distributed denial-of-service attack)이라고 하는데, DDoS 공격은 공격 방법이 단순하고, DDoS 공격을 위한 툴(tool)을 어디서나 쉽게 구할 수 있어, 초급 해커도 얼마든지 이를 이용하여, 네트워크 시스템을 공격할 수 있다.In particular, the latter attack method is called a distributed denial-of-service attack. The DDoS attack has a simple attack method, and tools for DDoS attack can be easily obtained from anywhere. Using this, the network system can be attacked.
DDoS 공격은 일반적인 패킷으로 공격이 이루어지므로 정상 패킷과 비정상 패킷을 구분하기 어렵고, DDoS 공격을 방어한다고 해도, 비정상 패킷뿐만 아니라 정상 패킷에 대해서도 전송을 차단하기 때문에, 정상적인 사용자들에게 피해가 갈 수 있다.DDoS attack is a normal packet, so it is difficult to distinguish between normal packet and abnormal packet. Even if defending DDoS attack, it blocks the normal packet as well as abnormal packet, which can damage normal users. .
따라서, 이러한 DDoS 공격을 효율적으로 방어할 수 있는 방어 기재에 대한 연구가 필요하다.Therefore, there is a need for a research on a defense base that can effectively defend against such DDoS attacks.
네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공하고자 한다.By monitoring the resource status of the network system, by measuring the traffic transmitted to at least one IP of the network system, it is determined whether the DDoS attack, and if there is a DDoS attack in the network system, by blocking only the transmission of abnormal packets To provide a DDoS attack defense system and method that can effectively defend against DDoS attacks.
본 발명의 일실시예에 따른 DDoS 공격 방어 장치는 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함한다.The DDoS attack defense apparatus according to an embodiment of the present invention is a resource state analyzer for measuring at least one resource state value of a network system in real time, each of the predetermined at least one resource state value (predetermined) A system state determination unit for creating a blocking session in the network system when the at least one resource state value exceeds the predetermined reference values, in comparison with thresholds, the resource state value being Traffic for measuring at least one IP of the network system when the reference values are not exceeded, and creating a blocking session for an IP whose measured traffic among the at least one IP exceeds the reference traffic; At least one packet whose transmission to the network system is blocked by the measurement unit and the blocking session And a packet transmission control unit for controlling only the packets of pre-registered flows to be transmitted to the network system.
또한, 본 발명의 일실시예에 따른 DDoS 공격 방어 방법은 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 단계, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 단계를 포함한다.In addition, the DDoS attack defense method according to an embodiment of the present invention measuring the at least one resource (Resource) state value of the network system in real time, each of the predetermined criteria (predetermined) of the at least one resource state value Comparing the thresholds, if the at least one resource state value exceeds the predetermined reference values, creating a blocking session in the network system, wherein the resource state values set the reference values; If not exceeding, measuring traffic for at least one IP of the network system, creating a blocking session for an IP whose measured traffic exceeds a reference traffic among the at least one IP and the blocking session Flow registered in at least one packet whose transmission to the network system is blocked by Controlling only the packet of flows to be transmitted to the network system.
네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공할 수 있다.By monitoring the resource status of the network system, by measuring the traffic transmitted to at least one IP of the network system, it is determined whether the DDoS attack, and if there is a DDoS attack in the network system, by blocking only the transmission of abnormal packets In addition, the present invention can provide a DDoS attack defense device and method capable of effective defense against DDoS attacks.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention;
도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.1 is a diagram showing the structure of a DDoS attack defense apparatus according to an embodiment of the present invention.
도 1을 참조하면, 네트워크 시스템(110) 및 DDoS 공격 방어 장치(120)가 도시되어 있다.Referring to FIG. 1, a
DDoS 공격 방어 장치(120)는 리소스 상태 분석부(121), 시스템 상태 판단부(122), 트래픽 측정부(123) 및 패킷 전송 제어부(124)를 포함할 수 있다.The DDoS
먼저, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정한다.First, the
본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate) 또는 라우팅 테이블 카운트 레이트(Table count rate) 등이 될 수 있다.According to an embodiment of the present invention, the at least one resource state value may include a CPU load rate, a packet change amount of a network interface card (NIC), a device session count rate, or routing. Table count rate.
시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는지 판단한다.The system state determiner 122 compares the at least one resource state value measured by the
그리고 나서, 만약, 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)으로 패킷이 전송되는 것을 차단하기 위해 네트워크 시스템(110)에 차단 세션(session)을 생성한다.Then, if any one or more of the at least one resource state value exceeds each predetermined reference value, the system
예컨대, 리소스 상태 분석부(121)가 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 측정한 경우, 시스템 상태 판단부(122)는 상기 측정된 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 각각의 선정된 기준 값들과 비교한다.For example, when the
본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값들 각각에 대해 특정 기간 동안의 평균 값들을 계산할 수 있다. 이때, 본 발명의 일실시예에 따르면, 상기 선정된 기준 값들은 상기 평균 값들이 될 수 있다. According to an embodiment of the present invention, the
이에 대해, 예를 들어 설명하면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 실시간으로 측정하면서, 특정 기간 동안 측정한 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 이용하여, 각각의 평균 값들을 계산할 수 있다.For example, the
그리고 나서 시스템 상태 판단부(122)는 리소스 상태 분석부(121)로부터 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트와 상기 평균 값들을 수신한 후, 상기 평균 값들을 기준 값으로 하여, 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트가 각각의 평균 값을 초과하는지 판단할 수 있다.Then, the system
만약, 실시간으로 측정된 상기 씨피유 로드 레이트가 특정 기간 동안 측정한 씨피유 로드 레이트의 평균 값을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)이 DDoS 공격을 받는 것으로 판단하여, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.If the CPI load rate measured in real time exceeds the average value of CPI load measured during a specific period, the system
본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정할 수 있다.According to an embodiment of the present invention, the
NIC의 트래픽 볼륨 측정은 NIC에 패킷이 도착하는 시간을 측정하여, 상기 측정된 시간 따라 NIC의 트래픽 증가 여부를 판단할 수 있는 측정 방법을 의미한다. 만약, 상기 측정된 시간이 갑자기 줄어든다면, NIC의 트래픽이 갑자기 증가하고 있음을 알 수 있다.The measurement of the traffic volume of the NIC refers to a measurement method of measuring the time that a packet arrives at the NIC, and determining whether the traffic of the NIC increases according to the measured time. If the measured time suddenly decreases, it can be seen that the traffic of the NIC is suddenly increasing.
상기 NIC의 트래픽 볼륨 측정은 하기의 수학식 1로 나타낼 수 있다.The traffic volume measurement of the NIC may be represented by Equation 1 below.
여기서 k는 NIC에 도착하는 패킷의 수로 예컨대 50개의 패킷이 NIC에 도착한 다고 가정하면, k=50이 될 수 있다. 리소스 상태 분석부(121)는 상기 수학식 1을 이용하여 NIC에 패킷이 도착하는 시간을 측정함으로써 NIC의 패킷 변화량을 측정할 수 있고, 시스템 상태 분석부(122)가 상기 NIC의 패킷 변화량과 기준 값을 비교하여, 상기 NIC의 패킷 변화량이 기준 값을 초과하는 경우, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.Where k is the number of packets arriving at the NIC, for example, assuming that 50 packets arrive at the NIC, k = 50. The
본 발명의 일실시예에 따르면, 시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 선정된 기준 값을 초과하지 않고, 네트워크 시스템(110)에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제할 수 있다. 이를 통해, 네트워크 시스템(110)이 과거에 DDoS 공격을 받아서 DDoS 공격 방어 장치(120)에 의해 차단 세션이 생성된 이후, 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스의 현재 상태를 판단한 결과, 네트워크 시스템(110)이 정상이라고 판단한 경우, 상기 차단 세션을 해제하고, 네트워크 시스템(110)으로 패킷이 정상적으로 전송되도록 할 수 있다.According to an embodiment of the present invention, the system
트래픽 측정부(123)는 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 각각의 기준 값들을 초과하지 않는 것으로 판단한 경우, 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다. 이를 통해, 시스템 상태 판단부(122)가 네트워크 시스템(110)을 정상 상태인 것으로 판단한 경우에도 트래픽 측정부(123)가 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 모니터링함으로써 DDoS 공격에 대한 방어를 견고히 할 수 있다.The
본 발명의 일실시예에 따르면, 트래픽 측정부(123)는 IP 검출부 및 엔트로피 측정부를 포함할 수 있다. According to an embodiment of the present invention, the
따라서, 이하에서는 도 2를 참조하여, 트래픽 측정부(123)의 구조를 상세히 설명하기로 한다.Therefore, hereinafter, the structure of the
도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a traffic measuring unit according to an embodiment of the present invention.
도 2를 참조하면, 네트워크 시스템(210) 및 트래픽 측정부(220)가 도시되어 있다.Referring to FIG. 2, a
트래픽 측정부(220)는 IP 검출부(221) 및 엔트로피 측정부(222)를 포함할 수 있다.The
IP 검출부(221)는 네트워크 시스템(210)의 적어도 하나의 IP에 접속되어 있는 복수의 소스(Source) IP 들의 개수를 모니터링하여, 상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟(target) IP를 검출한다.The
본 발명의 일실시예에 따르면, IP 검출부(221)는 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 목록을 생성하고, 선정된 시간 간격으로 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 개수가 상기 기준 개수를 초과하는지 판단할 수 있다.According to an embodiment of the present invention, the
엔트로피 측정부(222)는 IP 검출부(221)에서 검출된 상기 타겟 IP에 접속되 어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성한다.The entropy measuring unit 222 measures an entropy value of the plurality of source IPs connected to the target IP detected by the
이때, 본 발명의 일실시예에 따르면, 상기 엔트로피 값은 하기의 수학식 2를 통해 계산될 수 있다.In this case, according to an embodiment of the present invention, the entropy value may be calculated through Equation 2 below.
단, only,
여기서 total은 네트워크 시스템(210)으로 전송되는 전체 패킷 수, srccnt는 상기 타겟 IP에 접속되어 있는 복수의 소스 IP들의 개수를 의미한다.Here, total is the total number of packets transmitted to the
결국, 트래픽 측정부(220)는 IP 검출부(221)가 네트워크 시스템(210)의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출함으로써, 과다한 패킷이 전송되는 것으로 의심되는 IP를 검출하고, 엔트로피 측정부(222)가 상기 타겟 IP의 엔트로피를 측정함으로써 상기 타겟 IP에 실제로 과다한 패킷이 전송되는지 여부를 판단한 후, 만약, 상기 타겟 IP에 과다한 패킷이 전송되는 것으로 판단한 경우, 상기 타겟 IP에 대해 차단 세션을 생성함으로써, DDoS 공격에 대한 방어를 할 수 있다.As a result, the
이상, 트래픽 측정부(220)의 구조에 대해 설명하였다. 이하에서는 도 1을 참조하여, DDoS 공격 방어 장치의 구조에 대해 계속 설명하기로 한다.The structure of the
패킷 전송 제어부(124)는 시스템 상태 판단부(122) 또는 트래픽 측정부(123)에 의해 생성된 차단 세션으로 인해 네트워크 시스템(110)으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 네트워크 시스템(110)으로 전송되도록 제어한다.The packet
일반적으로 네트워크 시스템(110)이 DDoS 공격을 받는 경우, 기존의 DDoS 공격 방어 장치는 네트워크 시스템(110)으로 전송되는 모든 패킷에 대해 전송을 차단하기 때문에 정상적인 패킷까지 네트워크 시스템(110)으로 전송되지 못하는 경우가 많았다. 하지만, 패킷 전송 제어부(124)는 평상시 정상 패킷을 등록해 놓은 후, DDoS 공격에 의해 네트워크 시스템(110)에 차단 세션이 생성된 경우, 기 등록되어 있는 정상적인 패킷에 대해서는 네트워크 시스템(110)으로 전송되도록 함으로써, DDoS 공격에 의한 비정상 패킷의 전송만을 차단할 수 있어, DDoS 공격에 대한 효율적인 방어가 가능하다.In general, when the
본 발명의 일실시예에 따르면, 패킷 전송 제어부(124)는 패킷 등록부를 포함할 수 있다.According to an embodiment of the present invention, the packet
따라서, 이하에서는 도 3을 참조하여, 패킷 전송 제어부(124)의 구조를 상세히 설명하기로 한다.Therefore, hereinafter, the structure of the packet
도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.3 is a diagram illustrating a structure of a packet transmission control unit according to an embodiment of the present invention.
도 3을 참조하면, 네트워크 시스템(310) 및 패킷 전송 제어부(320)가 도시되어 있다.Referring to FIG. 3, a
패킷 전송 제어부(320)는 패킷 등록부(321)를 포함할 수 있다.The packet
패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않는 경우, 네트워크 시스템(310)으로 전송되는 적어도 하나의 패킷을 등록한다.When there is no blocking session in the
다시 말해서, 패킷 등록부(321)는 네트워크 시스템(310)이 DDoS 공격을 받지 않을 때, 전송되는 패킷들을 정상 패킷으로 판단하여, 상기 패킷들을 등록할 수 있다.In other words, when the
그리고 나서, 만약, 네트워크 시스템(310)이 DDoS 공격을 받는 경우, 패킷 전송 제어부(320)가 차단 세션에 의해 전송이 차단된 패킷들 중에서 상기 패킷 등록부(321)에 등록되어 있는 정상 패킷들에 대해서만 네트워크 시스템(310)으로 전송되도록 제어함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.Then, if the
본 발명의 일실시예에 따르면, 패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않고, 적어도 하나의 패킷이 TCP 프로토콜을 통해 네트워크 시스템(310)으로 전송되는 경우, 3번 악수 기법 인증(Three Hand Shaking)이 이루어진 패킷만을 등록할 수 있다.According to an embodiment of the present invention, the
이를 통해, 패킷 등록부(321)가 비정상 패킷을 등록할 위험을 줄일 수 있다.In this way, the
도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이 다.4 is a flowchart illustrating a DDoS attack defense method according to an embodiment of the present invention.
단계(S410)에서는 네트워크 시스템의 적어도 하나의 리소스 상태 값을 실시간으로 측정한다.In step S410, at least one resource state value of the network system is measured in real time.
본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 또는 라우팅 테이블 카운트 레이트가 될 수 있다.According to an embodiment of the present invention, the at least one resource state value may be a CPI load rate, a packet change amount of a NIC, an equipment session count rate, or a routing table count rate.
또한, 단계(S410)에서는 상기 수학식 1에 따른 NIC 트래픽 볼륨 측정을 통해, 상기 NIC의 패킷 변화량을 측정할 수 있다.In addition, in step S410, the amount of packet change of the NIC may be measured by measuring the NIC traffic volume according to Equation (1).
단계(S420)에서는 단계(S410)에서 측정한 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는지 판단한다.In operation S420, it is determined whether at least one resource state value measured in operation S410 exceeds respective predetermined reference values.
만약, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 단계(S430)에서 상기 네트워크 시스템에 차단 세션을 생성한다.If at least one resource state value of the at least one resource state value exceeds each predetermined reference value in step S420, a blocking session is created in the network system in step S430.
하지만, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값을 초과하지 않는다면, 단계(S440)에서 상기 네트워크 시스템에 차단 세션이 존재하는지 판단한다.However, if the at least one resource state value does not exceed each predetermined reference value in step S420, it is determined in step S440 whether a blocking session exists in the network system.
단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하는 경우, 단계(S450)에서 상기 차단 세션을 해제한다.As a result of the determination in step S440, if there is a blocking session in the network system, the blocking session is released in step S450.
결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 비정상인 것으로 판단된 경우, 단계(S430)에서 차단 세션을 생성하여, 상기 네트워크 시스템으로 전송되는 패킷을 차단함으로써 DDoS 공격을 방어할 수 있다.As a result, when it is determined in step S420 that the resource state of the network system is abnormal, in step S430, a blocking session may be generated to block a DDoS attack by blocking a packet transmitted to the network system.
또한, 상기 네트워크 시스템이 과거에 DDoS 공격을 받아 차단 세션을 통해 상기 DDoS 공격을 방어하고 있는 중인 경우, 단계(S420)에서 상기 네트워크 시스템의 현재 리소스 상태를 판단한 결과, 상기 현재 리소스 상태가 정상인 것으로 판단되면, 단계(S440)에서 상기 네트워크 시스템에 상기 차단 세션이 존재함을 판단한 후, 단계(S450)에서 상기 차단 세션을 해제함으로써, 상기 네트워크 시스템으로 패킷이 정상적으로 전송되도록 할 수 있다.In addition, when the network system is receiving the DDoS attack in the past and is defending the DDoS attack through a blocking session, as a result of determining the current resource state of the network system in step S420, it is determined that the current resource state is normal. If it is determined in step S440 that the blocking session exists in the network system, by releasing the blocking session in step S450, the packet may be normally transmitted to the network system.
단계(S460)에서는 단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하지 않거나, 단계(S450)에서 상기 네트워크 시스템에 존재하였던 차단 세션이 해제되면, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다.In step S460, if the blocking session does not exist in the network system as a result of the determination in step S440, or if the blocking session that existed in the network system is released in step S450, at least one IP of the network system is determined. Traffic is measured, and a blocking session is created for the IP where the measured traffic exceeds the reference traffic.
만약, 상기 적어도 하나의 IP 중에서 기준 트래픽을 초과하는 IP가 존재하지 않는다면, 단계(S460)에서는 상기 네트워크 시스템이 DDoS 공격을 받지 않는 것으로 판단하고, 상기 네트워크 시스템에 차단 세션을 생성하지 않는다.If there is no IP exceeding the reference traffic among the at least one IP, in step S460, it is determined that the network system is not subjected to a DDoS attack, and a blocking session is not created in the network system.
본 발명의 일실시예에 따르면, 단계(S460)에서는 상기 네트워크 시스템의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출하는 단계 및 상기 수학식 2를 참조하여, 상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 단 계를 포함할 수 있다.According to an embodiment of the present invention, in step S460, detecting a target IP to which a plurality of source IPs exceeding a reference number from among at least one IP of the network system are connected and referring to Equation 2 above. And measuring an entropy value of the plurality of source IPs connected to the target IP, and generating a blocking session for the target IP when the entropy value exceeds a predetermined entropy value. have.
결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 정상인 것으로 판단된 경우에도, 단계(S460)을 통해, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하여, 상기 네트워크 시스템에 대한 DDoS 공격 여부를 판단함으로써, 상기 DDoS 공격에 대한 견고한 방어가 가능하다.As a result, even when it is determined in step S420 that the resource state of the network system is normal, through step S460, by measuring the traffic for at least one IP of the network system, DDoS attack on the network system By determining whether or not, a solid defense against the DDoS attack is possible.
단계(S470)에서는 단계(S430) 또는 단계(S460)에서 생성된 차단 세션에 의해, 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는지 여부를 판단한다.In step S470, it is determined whether there is a pre-registered packet among at least one packet whose transmission to the network system is blocked by the blocking session generated in step S430 or step S460.
단계(S470)의 판단 결과, 상기 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는 경우, 단계(S480)에서 상기 기 등록되어 있는 패킷이 상기 네트워크 시스템으로 전송되도록 제어한다.As a result of the determination in step S470, if there is a pre-registered packet among the at least one packet, the pre-registered packet is controlled to be transmitted to the network system in step S480.
이를 통해, 상기 네트워크 시스템에 차단 세션이 생성되어, DDoS 공격을 방어하는 경우에도, 정상 패킷에 대해서는 네트워크 시스템으로 전송되도록 함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.Through this, even when a blocking session is created in the network system to protect the DDoS attack, the normal packet is transmitted to the network system, thereby effectively defending the DDoS attack.
본 발명에 따른 DDoS 공격 방어 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하 드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.DDoS attack defense method according to the present invention is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and floptical disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.
도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.1 is a diagram showing the structure of a DDoS attack defense apparatus according to an embodiment of the present invention.
도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a traffic measuring unit according to an embodiment of the present invention.
도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.3 is a diagram illustrating a structure of a packet transmission control unit according to an embodiment of the present invention.
도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이다.4 is a flowchart illustrating a DDoS attack defense method according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
110: 네트워크 시스템 120: DDoS 공격 방어 장치110: network system 120: DDoS attack defense device
121: 리소스 상태 분석부 122: 시스템 상태 판단부121: resource state analysis unit 122: system state determination unit
123: 트래픽 측정부 124: 패킷 전송 제어부123: traffic measurement unit 124: packet transmission control unit
210: 네트워크 시스템 220: 트래픽 측정부210: network system 220: traffic measurement unit
221: IP 검출부 222: 엔트로피 측정부221: IP detection unit 222: entropy measuring unit
310: 네트워크 시스템 320: 패킷 전송 제어부310: network system 320: packet transmission control unit
321: 패킷 등록부321: packet register
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080084495A KR101002801B1 (en) | 2008-08-28 | 2008-08-28 | Apparatus and method for defending against ddos attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080084495A KR101002801B1 (en) | 2008-08-28 | 2008-08-28 | Apparatus and method for defending against ddos attack |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100025796A KR20100025796A (en) | 2010-03-10 |
KR101002801B1 true KR101002801B1 (en) | 2010-12-21 |
Family
ID=42177220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080084495A KR101002801B1 (en) | 2008-08-28 | 2008-08-28 | Apparatus and method for defending against ddos attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101002801B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120060655A (en) | 2010-12-02 | 2012-06-12 | 한국전자통신연구원 | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof |
KR20120136507A (en) | 2011-06-09 | 2012-12-20 | 삼성전자주식회사 | Node apparatus and method that prevent overflow of pending interest table in network system of name base |
CN106357673B (en) * | 2016-10-19 | 2019-06-21 | 中国科学院信息工程研究所 | A kind of multi-tenant cloud computing system ddos attack detection method and system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100576013B1 (en) | 2004-10-27 | 2006-05-02 | 삼성전자주식회사 | Method for defence of communication network from tcp syn flood attack |
-
2008
- 2008-08-28 KR KR1020080084495A patent/KR101002801B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100576013B1 (en) | 2004-10-27 | 2006-05-02 | 삼성전자주식회사 | Method for defence of communication network from tcp syn flood attack |
Also Published As
Publication number | Publication date |
---|---|
KR20100025796A (en) | 2010-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10218725B2 (en) | Device and method for detecting command and control channel | |
KR101574193B1 (en) | Apparatus and method for defending DDoS attack | |
KR101077135B1 (en) | Apparatus for detecting and filtering application layer DDoS Attack of web service | |
US9479532B1 (en) | Mitigating denial of service attacks | |
US8170020B2 (en) | Leveraging active firewalls for network intrusion detection and retardation of attack | |
JP6432210B2 (en) | Security system, security method, security device, and program | |
US20120167161A1 (en) | Apparatus and method for controlling security condition of global network | |
KR20130017333A (en) | Attack decision system of slow distributed denial of service based application layer and method of the same | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
CN110166480B (en) | Data packet analysis method and device | |
JP2006350561A (en) | Attack detection device | |
KR20130006750A (en) | Method for identifying a denial of service attack and apparatus for the same | |
EP3144845B1 (en) | Detection device, detection method, and detection program | |
Buchanan et al. | A methodology to evaluate rate-based intrusion prevention system against distributed denial-of-service (DDoS). | |
JP2004140524A (en) | Method and apparatus for detecting dos attack, and program | |
KR101002801B1 (en) | Apparatus and method for defending against ddos attack | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
KR101598187B1 (en) | Method and apparatus for blocking distributed denial of service | |
US7908657B1 (en) | Detecting variants of known threats | |
WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
JP6497782B2 (en) | Test apparatus, test method and test program | |
KR101231966B1 (en) | Server obstacle protecting system and method | |
KR20180101868A (en) | Apparatus and method for detecting of suspected malignant information | |
Bakhoum | Intrusion detection model based on selective packet sampling | |
JP5952220B2 (en) | File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method, and file monitoring cycle calculation program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment | ||
FPAY | Annual fee payment |
Payment date: 20141013 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151215 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161205 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |