KR101006372B1 - System and method for sifting out the malicious traffic - Google Patents
System and method for sifting out the malicious traffic Download PDFInfo
- Publication number
- KR101006372B1 KR101006372B1 KR1020100012953A KR20100012953A KR101006372B1 KR 101006372 B1 KR101006372 B1 KR 101006372B1 KR 1020100012953 A KR1020100012953 A KR 1020100012953A KR 20100012953 A KR20100012953 A KR 20100012953A KR 101006372 B1 KR101006372 B1 KR 101006372B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- harmful
- policy
- server
- quarantine
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 유해 트래픽 격리 시스템 및 방법에 관한 것으로, 봇넷(Botnet)에서 발생하는 트래픽 및 좀비 피시(Zombie PC) 등에서 발생하는 DDoS(분산서비스거부공격) 트래픽을 우회 격리시킴으로써 인터넷 서비스의 안정적인 제공을 가능하게 하는 유해 트래픽 격리 시스템 및 방법에 관한 것이다.
The present invention relates to a system and method for quarantining harmful traffic, and is capable of stably providing Internet services by bypassing traffic generated from a botnet and distributed denial of service attack (DDoS) traffic generated from a zombie PC. To a harmful traffic isolation system and method.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성코드(Malicious Code)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.In response to the recent surge of the Internet, the path of transmission of malicious software or malicious code through a communication network is diversified, and the damage caused by this is increasing every year. Malware is software that is intentionally designed to perform malicious activities, such as destroying the system or leaking information, contrary to the user's intentions and interests. Such malicious code types include hacking tools such as viruses, worms, trojans, backdoors, logic bombs, and trap doors, and malicious spywares. spyware and ad-ware. They are equipped with self-replicating or auto-propagating functions, leaking personal information such as user IDs and passwords, controlling target systems, changing / deleting files, destroying systems, denying services of applications / systems, leaking critical data, installing other hacking programs, etc. The problem is that the damage is very diverse and serious.
이러한 악성 소프트웨어 또는 악성 코드로 인한 피해로 최근에는 DDoS (Distribute Denial of Service)에 의한 피해가 심각하게 대두되고 있다. 이는 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 것을 말한다. Recently, damage caused by DDoS (Distribute Denial of Service) has been seriously caused by damage caused by malicious software or malware. This is a hacking method in which multiple attackers are distributed and Denial of Service attack (DoS) is made so that the system can no longer provide normal service.
통상 분산 서비스거부 또는 분산 서비스거부 공격이라고도 하는데, 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다. 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터 시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다. 이로써 이용자는 정상적으로 접속할 수 없는 것은 물론 심한 경우에는 주컴퓨터의 기능에 치명적 손상을 입을 수 있다. 또 수많은 컴퓨터시스템이 운영자도 모르는 사이에 해킹의 숙주로 이용될 수도 있다. 공격은 일반적으로 악성코드나 이메일 등을 통하여 일반 사용자의 PC를 감염시켜 이른바 좀비 PC(Zombie PC)로 만든 다음 봇넷 C&C(Command & Control) 서버의 제어를 통하여 특정한 시간대에 수행된다.It is also known as a distributed denial of service attack or a distributed denial of service attack. It is a hacking method that attacks a specific site by distributing and operating several attackers at the same time. Tools for attacking services can be placed on multiple computers, flooding the network with massive amounts of packets that cannot be handled by the site's computer system. This can lead to users not being able to connect normally and, in severe cases, to serious damage to the functionality of the host computer. Many computer systems can also be used as hosts for hacking without the operator knowing. In general, an attack is carried out at a specific time through the control of a botnet Command & Control (C & C) server by infecting a general user's PC through malware or e-mail to make a so-called zombie PC.
이러한 네트워크 피해를 대비하여, 최근에는 다양한 방식으로 분산 서비스거부 공격에 대한 예방 조치를 취하고 있다. In preparation for such network damage, recently, various measures have been taken to prevent distributed service denial attacks.
이러한 분산 서비스거부 공격에 대한 예방 기술로서 대표적으로, DNS Sinkhole 기술과 Honey-wall 기술 등이 있다. Representative technologies for preventing such distributed denial of service attacks include DNS Sinkhole technology and Honey-wall technology.
이를 자세히 설명하면, 우선 DNS Sinkhole 기술은 악성 봇(bot)을 조정하는 조정자를 탐지하고, 감염된 PC와 조정자 간의 접속을 차단해 2차 피해를 예방하기 위한 시스템 기술로서, 감염된 PC에서 특정주소로 연결을 원할 때 실제 해당 주소로 데이터가 전송되지 않고 sinkhole 네트워크가 대신 응답하여 패킷이 외부로 전달되지 않도록 처리하게 되며, 이러한 방식을 DNS(Domain Name System)에 적용한 것이 DNS Sinkhole 기술이다. To explain this in detail, DNS Sinkhole technology is a system technology that detects mediators that control malicious bots and prevents secondary damage by blocking access between infected PCs and mediators. When the data is transmitted, the data is not transmitted to the corresponding address, and the sinkhole network responds instead so that the packet is not transmitted to the outside, and this method is applied to the DNS (Domain Name System).
즉, 악성 봇에 감염된 PC가 C&C 서버에 접속하기 위하여 악성 봇 서버의 도메인에 대한 IP를 얻어야 하며, 이를 위하여 DNS 서버에 질의를 수행하면 DNS 서버는 해당 도메인을 관할하는 DNS 서버에게 IP를 받아와서 악성 봇에 감염 된 PC에 알려주는 방식을 취한다. 이러한 경우 DNS sinkhole 기술을 이용하여 사전에 악성 봇의 C&C 서버로 알려진 도메인이 감염 PC로부터 DNS 질의를 받을 경우 해당 도메인을 관할하는 DNS 에 질의하지 않고 직접 특정 IP(DNS sinkhole 서버에 설정된) IP를 응답한다. 따라서 악성 봇에 감염된 PC는 DNS sinkhole 서버로부터 응답받은 IP로 접속을 하게 되므로 악성 봇은 C&C 서버로 접속이 차단되고 악성행위를 수행할 수 없도록 하여 악성 봇을 차단하는 기술이다.In other words, in order to access the C & C server, the PC infected with the malicious bot needs to obtain the IP of the domain of the malicious bot server. When this is queried, the DNS server receives the IP from the DNS server in charge of the domain. It takes a way to inform your PC that is infected with malicious bots. In this case, if a domain known as C & C server of malicious bot receives DNS query from infected PC in advance by using DNS sinkhole technology, it directly responds to specific IP (set on DNS sinkhole server) without querying DNS that controls the domain. do. Therefore, PCs infected with malicious bots are connected to the IP received from the DNS sinkhole server. Therefore, malicious bots are blocked by C & C servers and prevent malicious actions.
하지만, 이러한 DNS Sinkhole 기술은 C&C 통신 트래픽만을 차단할 뿐이고 통신 트래픽 이외의 유해 트래픽은 차단하지 못하는 단점을 가지고 있다. 더군다나, DNS 질의를 하지 않고 IP 자체로 접속을 시도하는 경우, 해당 유해 트래픽을 차단하지 못하는 단점도 가지고 있다. However, this DNS Sinkhole technology only blocks C & C communication traffic and does not block harmful traffic other than communication traffic. In addition, if a user attempts to connect to the IP itself without performing a DNS query, there is a disadvantage that the harmful traffic cannot be blocked.
Honey-wall 기술은 Honey pot으로 유입되는 정보 중 필요한 정보를 선별하여 수집, 분석 모니터링하기 위한 시스템 기술이다. 즉, Honey-wall 기술은 트래픽 수집, 분석 및 제어, 모니터링 모듈로 구성되어 있으며 이를 이용하여 악성코드에 대한 모니터링을 통하여 행위분석을 수행할 수 있는 기술이다.Honey-wall technology is a system technology for selecting, collecting, analyzing and monitoring the necessary information from the information flowing into the honey pot. In other words, Honey-wall technology is composed of traffic collection, analysis, control, and monitoring module, and it is a technology that can conduct behavior analysis through monitoring of malicious codes using it.
트래픽 수집 모듈은 유입되는 트래픽을 수집하고, 트래픽 분석 및 제어 모듈은 트래픽을 분석하여 정해진 정책에 따라 정상적인 트래픽일 경우 포워딩하며 비정상적인 트래픽일 경우 honey pot으로 전달한다. 또한, 비정상적인 트래픽에 의하여 2차 감염이 발생하지 않도록 트래픽을 차단할 수 있다. 그리고 honey pot에 전달된 비정상적인 트래픽이 수행하는 행위는 모니터링 모듈로 전달되어 비정상 행위를 분석할 수 있도록 모니터링할 수 있다.The traffic collection module collects the incoming traffic, and the traffic analysis and control module analyzes the traffic and forwards it for normal traffic according to a predetermined policy, and delivers it to the honey pot for abnormal traffic. In addition, traffic may be blocked so that secondary infection does not occur due to abnormal traffic. In addition, the actions performed by the abnormal traffic delivered to the honey pot can be delivered to the monitoring module so that the abnormal behavior can be analyzed.
하지만, 이러한 Honey-wall 기술은 트래픽 수집, 분석 및 제어, 모니터링 기능이 탑재되는 대규모의 시스템이 필요하게 된다는 단점이 있다. 또한, 보호대상 서버와 동일한 기능을 갖는 서버/시스템을 별도로 구축해야만 하며, 비정상 트래픽에 대한 판단이 상대적으로 정확하지만 분석에 필요한 시간이 실시간이 아니어서 피해 확산에 대해 효과적 대응이 어렵다는 근원적인 문제점 또한 가지고 있다.
However, this honey-wall technology requires a large-scale system equipped with traffic collection, analysis, control and monitoring functions. In addition, the server / system having the same function as the server to be protected must be built separately, and the fundamental problem that the determination of abnormal traffic is relatively accurate, but the time required for analysis is not real time, makes it difficult to effectively deal with the spread of damage. Have.
본 발명의 목적은 봇넷에서 발생하는 트래픽 및 좀비 PC 등에서 발생하는 DDoS 트래픽을 우회 격리시킴으로써 인터넷 서비스의 안정적인 제공을 보장하는 것이다.
An object of the present invention is to ensure the stable provision of Internet services by bypass isolation of traffic generated from botnets and DDoS traffic generated from zombie PCs.
본 발명은 전술한 과제를 해결하기 위한 수단으로, 모니터링 대상 네트워크에서 트래픽을 라우팅하는 엣지 라우터에 연결되며 해당 엣지 라우터에 BGP 명령(BGP Feeding)을 하여 트래픽을 유입받으며, 유입되는 트래픽을 검사하여 봇넷 또는 좀비 피시에서 발생하는 유해 트래픽을 판별하여 내부 격리소로 우회시켜 격리(isolation, sifter)시키고 정상 트래픽을 원목적지로 포워딩시키는 것을 특징으로 하는 유해 트래픽 격리 시스템을 제공한다. The present invention is a means for solving the above problems, is connected to the edge router for routing traffic in the network to be monitored and receives the traffic by BGP command (BGP Feeding) to the edge router, and inspects the incoming traffic botnet Or it provides a harmful traffic isolation system characterized by identifying harmful traffic generated in the zombie fish to bypass the internal containment (isolation, sifter) and forward the normal traffic to the destination.
상기 유해 트래픽 격리 시스템은, 이벤트 발생시 대응 정책을 설정하고 트래픽을 유입받아 트래픽에 대한 검사 및 판별을 수행하는 에이전트부; 관제 시스템으로부터 제공되는 이벤트 정보를 관리하며, 차단대상 정책 정보를 상기 에이전트부에 전달하여 대응정책을 적용시키는 격리 관리부; 및 상기 에이전트부로부터 판별된 유해 트래픽을 저장하기 위한 격리소; 를 포함하는 것이 바람직하다. The harmful traffic isolation system may include an agent configured to set a corresponding policy when an event occurs and to inspect and determine traffic by receiving traffic; An isolation management unit for managing event information provided from the control system and transferring the blocking target policy information to the agent unit to apply a corresponding policy; And an isolation office for storing harmful traffic determined from the agent unit. It is preferable to include.
상기 차단대상 정책 정보는 관제 시스템에서 주기적으로 전달되며, 봇넷 C&C(Command & Control) 서버의 IP와 좀비 피시(Zombie PC)의 IP가 포함되는 것이 바람직하다. The blocking policy information is periodically transmitted from the control system, and preferably includes an IP of a botnet C & C server and an IP of a zombie PC.
상기 격리소는 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽을 저장하는 저장장치인 것이 바람직하다. The quarantine is preferably a storage device for storing traffic determined as harmful traffic or suspicious traffic.
상기 에이전트부는, 라우터에 대한 정책 설정을 위한 정책 설정부; 라우터로부터 트래픽을 유입받는 가상 라우터; 유입된 트래픽을 검사 및 필터링하는 방화벽; 및 정상 트래픽을 원목적지로 포워딩시키기 위한 포워딩부; 를 포함하는 것이 바람직하다. The agent unit may include a policy setting unit for setting a policy for a router; A virtual router that receives traffic from the router; A firewall for inspecting and filtering incoming traffic; And a forwarding unit for forwarding normal traffic to the destination. It is preferable to include.
상기 방화벽은, 트래픽의 IP를 근거로, 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키며, 알려지지 않은 IP를 출발지 IP로 하여 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 목적지 IP로 하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 1 차 필터; 트래픽의 반복성을 근거로, 트래픽의 크기(Payload size)를 소정의 차단 규칙과 비교하여 일치하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 2 차 필터; 트래픽의 임계치를 근거로, 유입되는 트래픽에 대하여 설정된 시간 구간(Time Windows) 내에서 보호대상 안전구역의 허용 트래픽 임계치 및 출발지 IP 별 허용 트래픽 임계치와 비교하여 이를 초과하는 IP에 대하여 격리시키고 의심 IP로 처리하는 제 3 차 필터; 및 전송되는 패킷의 접속 상태를 근거로, 전송되는 패킷의 세션 테이블(Session Table)을 확인하여 해당 세션 테이블의 상태에 따라 격리 대상 트래픽을 판별하여 격리시키고 해당 트래픽의 IP를 의심 IP로 처리하는 제 4 차 필터; 중 적어도 하나 이상을 포함하여 구성되는 것이 바람직하다. The firewall filters and isolates traffic based on the IP of the zombie fish or IP of the botnet C & C server, and filters the traffic from the unknown IP to the source IP of the zombie fish or IP of the botnet C & C server. A primary filter for filtering and isolating traffic destined for the destination IP and treating it as a suspicious IP; Based on the repeatability of the traffic, comparing the payload size with a predetermined blocking rule to filter and isolate matching traffic, and process it as a suspicious IP; Based on the traffic threshold, it compares with the allowed traffic threshold of the protected safe area and the allowable traffic threshold of each source IP within the time window set for incoming traffic, and isolates and exceeds the suspected IP as suspicious IP. A third order filter to process; And checking the session table of the transmitted packet based on the connection state of the transmitted packet to determine and quarantine quarantined traffic according to the state of the session table, and to treat the IP of the traffic as a suspicious IP. 4th order filter; It is preferably configured to include at least one.
상기 방화벽은, 상기 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해, 검사되는 컨텐츠의 내용을 실제 이벤트의 유해 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키고 해당 IP를 의심 IP로 처리하는 제 2-1 차 필터; 를 더 포함하는 것이 바람직하다. In order to reduce the false positive rate in the filtering process through the secondary filter, the firewall compares the content of the inspected content with the harmful content of the actual event and filters and isolates the corresponding traffic if it matches and suspects the IP. A second-first filter treated with; It is preferable to further include.
상기 에이전트부를 통해 이루어지는 격리 상황을 상기 격리 관리부가 모니터링 서버로 전달함으로써 관리자가 웹페이지를 통해 모니터링 서버로 접속하여 격리 정책을 관리 및 조회할 수 있도록 하는 것이 바람직하다. It is preferable that the administrator manages and inquires the isolation policy by accessing the monitoring server through the web page by transmitting the isolation situation made through the agent to the monitoring server.
한편 본 발명의 다른 측면에 따르면, (a) 관제 시스템으로부터 유해 트래픽 발생 이벤트에 관한 이벤트 정보를 수신하는 단계; (b) 모니터링 대상 네트워크 및 안전구역에 대한 정보와 좀비 피시의 IP 및 봇넷 C&C 서버의 IP에 관한 정보를 수신하여 등록하는 단계; (c) 해당 모니터링 대상 네트워크의 라우터에 BGP 명령(BGP Feeding)을 하여 트래픽을 엣지 라우터를 통해 가상 라우터로 유도하여 유입받는 단계; (d) 유입되는 트래픽에 대하여 내부 방화벽을 통해 트래픽에 대한 검사하여 유해 트래픽 여부를 판별하는 단계; 및 (e) 정상적인 트래픽으로 판별된 트래픽을 원목적지로 포워딩시키고 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽은 격리소로 격리시켜 저장하는 단계; 를 포함하는 것을 특징으로 하는 유해 트래픽 격리 방법이 제공된다. On the other hand, according to another aspect of the present invention, the method comprising the steps of: (a) receiving event information about the harmful traffic generation event from the control system; (b) receiving and registering information on the monitored network and the safe area, and information on the IP of the zombie fish and the IP of the botnet C & C server; (c) inducing traffic to the virtual router through the edge router by performing a BGP command (BGP Feeding) to the router of the monitoring network; (d) inspecting the incoming traffic through the internal firewall to determine whether harmful traffic is present; And (e) forwarding traffic determined as normal traffic to the destination, and quarantining and storing traffic determined as harmful or suspicious traffic to an quarantine station. Provided is a harmful traffic isolation method comprising a.
상기 (e) 단계에서 판별된 의심 트래픽의 IP는 의심 IP로서 방화벽에 전달되어 격리 대상 IP로 등록되는 것이 바람직하다. The IP of the suspicious traffic determined in step (e) is preferably transmitted to the firewall as a suspicious IP and registered as a quarantine target IP.
상기 (d) 단계는, 트래픽의 IP를 근거로, 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키며, 알려지지 않은 IP를 출발지 IP로 하여 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 목적지 IP로 하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 1 차 필터 단계; 트래픽의 반복성을 근거로, 트래픽의 크기(Payload size)를 소정의 차단 규칙과 비교하여 일치하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 2 차 필터 단계; 트래픽의 임계치를 근거로, 유입되는 트래픽에 대하여 설정된 시간 구간(Time Windows) 내에서 보호대상 안전구역의 허용 트래픽 임계치 및 출발지 IP 별 허용 트래픽 임계치와 비교하여 이를 초과하는 IP에 대하여 격리시키고 의심 IP로 처리하는 제 3 차 필터 단계; 및 전송되는 패킷의 접속 상태를 근거로, 전송되는 패킷의 세션 테이블(Session Table)을 확인하여 해당 세션 테이블의 상태에 따라 격리 대상 트래픽을 판별하여 격리시키고 해당 트래픽의 IP를 의심 IP로 처리하는 제 4 차 필터 단계; 중 적어도 하나 이상의 단계를 수행하는 것이 바람직하다.In step (d), the traffic is filtered based on the IP of the zombie fish or the IP of the botnet C & C server, and is isolated. The unknown IP is the source IP and the zombie fish's IP or botnet. A first filter step of filtering, isolating, and treating a traffic having a C & C server as a destination IP as a suspect IP; Based on the repeatability of the traffic, comparing the payload size with a predetermined blocking rule to filter, isolate, and process the matching traffic as a suspicious IP; Based on the traffic threshold, it compares with the allowed traffic threshold of the protected safe area and the allowable traffic threshold of each source IP within the time window set for incoming traffic, and isolates and exceeds the suspected IP as suspicious IP. A third order filter step of processing; And checking the session table of the transmitted packet based on the connection state of the transmitted packet to determine and quarantine quarantined traffic according to the state of the session table, and to treat the IP of the traffic as a suspicious IP. Fourth order filter stage; It is preferred to perform at least one of the steps.
상기 (d) 단계는, 상기 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해, 검사되는 컨텐츠의 내용을 실제 이벤트의 유해 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키고 해당 IP를 의심 IP로 처리하는 제 2-1 차 필터 단계; 를 더 포함하는 것이 바람직하다.In step (d), in order to reduce the false positive rate during the filtering through the secondary filter, if the content of the inspected content is compared with the harmful content of the actual event, the corresponding traffic is filtered and isolated and the corresponding IP is filtered. A second-first filter step of treating the IP as a suspect IP; It is preferable to further include.
상기 (d) 단계를 통해 이루어지는 유해 트래픽 격리 상황은 모니터링 서버로 전달되어 관리자가 웹페이지를 통해 모니터링 서버로 접속하여 격리 정책을 관리 및 조회할 수 있도록 하는 것이 바람직하다.
The harmful traffic isolation situation made through step (d) is delivered to the monitoring server so that the administrator can access the monitoring server through a web page to manage and query the isolation policy.
본 발명에 따른 유해 트래픽 격리 시스템 및 방법은, 봇넷에서 발생하는 트래픽 및 좀비 PC 등에서 발생하는 DDoS 트래픽을 우회 격리시킴으로써 인터넷 서비스의 안정적인 제공을 보장할 수 있게 되는 효과가 있다. The harmful traffic isolation system and method according to the present invention has an effect of ensuring stable provision of an Internet service by bypassing DDoS traffic generated from a botnet and a DDoS traffic generated from a zombie PC.
또한, 기존 라우터의 활용과 라우터 및 방화벽 기능을 포함한 소규모의 신규 격리 시스템만의 도입으로 네트워크 변동 없이 보호 대상 네트워크/서버에 적용 가능하게 되는 비용적인 효과도 있다. In addition, the use of existing routers and the introduction of small new isolation systems, including router and firewall functions, can be applied to the protected network / server without any network change.
또한, DDoS의 피해 및 좀비 PC의 확산을 막는데 기여함으로써 경제적 유,무형의 이득을 얻을 수 있으며, 봇넷을 이용한 기밀 정보(개인정보, 경영정보 등) 유출 등에 안정적으로 대응할 수 있고, 안정적인 인터넷 서비스를 보장하여 해당 사이트에 대한 신뢰성을 높일 수 있으며, 정보의 공유(침해사고 대응/조사/관리 기관 등)를 통해 유해 트래픽의 감염범위를 최소화할 수 있게 되는 효과도 있다.
In addition, by contributing to the prevention of DDoS damage and the spread of zombie PCs, it is possible to obtain economic and intangible benefits, and to stably cope with the leakage of confidential information (personal information, management information, etc.) using botnet, and stable Internet service. It can increase the credibility of the site by guaranteeing the quality of information, and it can also minimize the scope of harmful traffic by sharing information (infringement incident response / investigation / management agency, etc.).
도 1은 본 발명에 따른 유해 트래픽 격리 시스템의 개념도.
도 2 및 도 3은 본 발명에 따른 유해 트래픽 격리 시스템의 네트워크 적용 구조를 설명하기 위한 개요도.
도 4는 본 발명에 따른 유해 트래픽 격리 시스템의 내부 기능 구성 블록도.
도 5는 본 발명에 따른 의심 IP 차단 방식의 일예를 설명하기 위한 도면.
도 6은 본 발명에 따른 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 내부에 위치하는 경우의 시스템 구동원리를 설명하기 위한 도면.
도 7은 본 발명에 따른 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 외부에 위치하는 경우의 시스템 구동원리를 설명하기 위한 도면.
도 8은 본 발명에 따른 제 3 차 필터의 동작원리를 설명하기 위한 도면.
도 9는 본 발명에 따른 제 4 차 필터의 동작원리를 설명하기 위한 도면.
도 10은 본 발명에 따른 유해 트래픽 격리 시스템의 전체적인 정책 적용 과정을 설명하기 위한 도면.
도 11 내지 도 17은 본 발명에 따른 유해 트래픽 격리 모니터링 과정을 설명하기 위한 참고 도면.
도 18은 본 발명에 따른 유해 트래픽 격리 방법에 대한 전체적인 흐름도.1 is a conceptual diagram of a harmful traffic isolation system according to the present invention;
2 and 3 is a schematic diagram for explaining the network application structure of the harmful traffic isolation system according to the present invention.
4 is an internal functional block diagram of a harmful traffic isolation system according to the present invention;
5 is a view for explaining an example of a suspicious IP blocking scheme according to the present invention.
6 is a view for explaining a system driving principle when the harmful traffic isolation system according to the present invention is located inside the monitored network.
7 is a view illustrating a system driving principle when the harmful traffic isolation system according to the present invention is located outside the monitored network.
8 is a view for explaining the principle of operation of the third order filter in accordance with the present invention.
9 is a view for explaining the principle of operation of the fourth order filter according to the present invention.
10 is a view for explaining the overall policy application process of the harmful traffic isolation system according to the present invention.
11 to 17 is a reference diagram for explaining a harmful traffic isolation monitoring process according to the present invention.
18 is an overall flow chart of a malicious traffic isolation method in accordance with the present invention.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세하게 설명한다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 유해 트래픽 격리 시스템의 개념도이다. 1 is a conceptual diagram of a harmful traffic isolation system according to the present invention.
본 발명에 따른 유해 트래픽 격리 시스템은 유해 트래픽만을 추출하여 우회 격리시킴으로써 인터넷 서비스의 안정적인 제공을 가능하게 한다. 즉, 기존 네트워크의 변동 없이 해당 유해 트래픽 격리 시스템을 네트워크에 추가하는 것만으로 자체 다차 필터에 의해 유해 트래픽과 정상 트래픽을 구분하고 C&C 통신 및 DDoS 트래픽을 별도의 유해 트래픽 격리소로 우회시켜 차단하며 정상 트래픽만이 네트워크 내 안전구역(Safety Zone)으로 라우팅되도록 함으로써 DDoS의 피해 및 좀비 피시의 확산을 막을 수 있게 되는 것이다. The harmful traffic isolation system according to the present invention enables stable provision of Internet services by extracting only harmful traffic and bypassing it. That is, by simply adding the harmful traffic isolation system to the network without changing the existing network, it separates harmful traffic from normal traffic by its own multi-order filter, bypasses C & C communication and DDoS traffic to a separate harmful traffic quarantine, and blocks normal traffic. By allowing only bays to be routed to the Safety Zone within the network, it can prevent DDoS damage and the spread of zombie fish.
이러한 본 발명의 유해 트래픽 격리 시스템을 기존의 네트워크에 적용시키는 구조에 대하여 도 2를 참조하여 설명하면 다음과 같다. The structure of applying the harmful traffic isolation system of the present invention to an existing network will be described with reference to FIG.
도 2 및 도 3은 본 발명에 따른 유해 트래픽 격리 시스템의 네트워크 적용 구조를 설명하기 위한 개요도이다. 2 and 3 are schematic diagrams for explaining the network application structure of the harmful traffic isolation system according to the present invention.
도 2를 참조하면, 다수의 AS(Autonomous System)가 엣지 라우터(Edge Router)에 의해 서로 연결되는 네트워크 상에서 해당 유해 트래픽 격리 시스템은 모니터링 대상 AS(AS1)의 내부에 위치할 수 있다. 이 경우 해당 유해 트래픽 격리 시스템은 모니터링 대상 AS(AS1)의 엣지 라우터와 통신하며 동시에 내부 디폴트 라우터(Default Router)와 물리적으로 연결되어 AS 간 트래픽을 BGP(Border Gateway Protocol)를 이용하여 우회시켜 받아들이게 된다. 이때, 내부 라우팅 프로토콜은 일반적으로 사용하는 OSPF(Open Shortest Path First)를 이용하게 되는데, BGP 테이블에서 IGP(OSPF) 테이블로는 기존 IGP 간의 재분배 설정과 동일하게 되며, IGP(OSPF) 테이블에서 IGP(OSPF) 테이블로는 해당 유해 트래픽 격리 시스템이 내부 라우팅 정보를 알 필요가 없으므로 설정이 필요없게 된다. 이러한 방식으로 기존의 네트워크에 간단하게 적용되어 AS 간 트래픽을 우회시키게 되며, 해당 유해 트래픽 격리 시스템(Sifter System : SS)이 비정상 작동되거나 정지되는 경우(SS 비정상시)를 대비해 AS1의 엣지 라우터의 디폴트 라우터가 설정될 수 있다. Referring to FIG. 2, the harmful traffic isolation system may be located inside the monitored AS AS1 on a network in which multiple autonomous systems are connected to each other by an edge router. In this case, the harmful traffic isolation system communicates with the edge router of the monitored AS (AS1), and at the same time, is physically connected to the internal default router to bypass traffic between the ASs using the Border Gateway Protocol (BGP). . At this time, the internal routing protocol uses Open Shortest Path First (OSPF), which is generally used. The IGP (OSPF) table in the BGP table is the same as the redistribution setting between the existing IGPs, and IGP (OSP) in the IGP (OSPF) table. OSPF) tables do not require configuration because the malicious traffic isolation system does not need to know internal routing information. In this way, it is simply applied to the existing network to bypass traffic between ASs, and defaults to the edge router of AS1 in case the corresponding SIFter System (SS) is abnormally operated or stopped (SS abnormality). A router can be set up.
여기에서 상기 모니터링 대상 AS(AS1)에는 도 3에 도시된 바와 같이 네트워크 상태에 따라 둘 이상의 엣지 라우터(Edge Router1, Edge Router2)가 존재할 수 있으며, 이 경우에는 유해 트래픽 격리 시스템의 적용시 도면에 도시된 바와 같이 엣지 라우터들 간의 연결은 iBGP(Internal BGP)를 사용하고 그 이외의 라우터들 사이에는 OSPF를 사용하게 함으로써 간단하게 적용시킬 수 있게 된다. Here, the monitoring target AS (AS1) may exist at least two edge routers (Edge Router1, Edge Router2) according to the network state, as shown in Figure 3, in this case, shown in the drawing when applying the harmful traffic isolation system As can be seen, the connection between edge routers can be easily applied by using internal BGP (iBGP) and OSPF between other routers.
이제 도 4를 참조하여, 본 발명에 따른 유해 트래픽 격리 시스템의 구체적인 내부 구성에 대하여 살펴본다. Referring now to Figure 4, looks at the specific internal configuration of the harmful traffic isolation system according to the present invention.
도 4는 본 발명에 따른 유해 트래픽 격리 시스템의 내부 기능 구성 블록도이다. 4 is an internal functional block diagram of a harmful traffic isolation system according to the present invention.
도 4를 참조하면, 유해 트래픽 격리 시스템(200)은 이벤트 발생시 대응 정책을 설정하고 트래픽을 유입받아 유해 트래픽을 격리시키고 정상 트래픽을 포워딩하는 에이전트부(250)와, 상기 에이전트부(250)를 관리하며 관제 시스템(100)으로부터 제공되는 C&C IP 및 좀비 IP를 포함한 이벤트 정보를 관리하는 격리 관리부(210)와, 유해 트래픽을 저장하기 위한 격리소(220)로 구성된다. Referring to FIG. 4, the harmful
상기 격리 관리부(210)는 상기 관제 시스템(100)으로부터 차단대상 정책 정보를 수신하여 정보 저장부(211)에 저장하며, 상기 에이전트부(250)에 해당 정책 정보를 전송하여 적용시키게 된다. The
이와 같이 관제 시스템(100)에서 주기적으로 전달되는 차단대상 정책 정보에는 봇넷 C&C(Command & Control) 서버의 IP와 좀비 피시(Zombie PC)의 IP가 포함된다. 봇넷 C&C 서버는 악성행위를 수행하는 종속 프로세스인 봇(Bot)들을 일괄 관리하고 명령을 전달하는 서버이고 좀비 피시는 봇이 설치되어 해당 봇넷 C&C 서버에 의해 조정되는 피시로서, 트래픽의 출발지 IP 또는 목적지 IP가 이러한 봇넷 C&C 서버의 IP 이거나 좀비 피시의 IP 인 경우 이를 상기 에이전트부(250)에서 유해 트래픽으로 판단하여 격리시키도록 격리 관리부(210)에서 대응정책을 설정하게 된다. 또한, 해당 격리 관리부(210)는 DDoS 와 같은 이벤트 발생시 상기 관제 시스템(100)으로부터 이벤트 발생을 통지받아 상기 정보 저장부(211)에 저장된 봇넷 C&C 서버의 IP 와 좀비 피시의 IP를 갱신하게 된다. As such, the blocking target policy information periodically transmitted from the
한편, 상기 에이전트부(250)는 라우터에 대한 정책 설정을 위한 정책 설정부(260)와, 트래픽을 유입받는 가상 라우터(270)와, 유입된 트래픽을 검사 및 필터링하는 방화벽(280)과, 정상 트래픽을 안전구역으로 포워딩시키기 위한 포워딩부(290)를 포함하여 구성된다. Meanwhile, the
상기 정책 설정부(260)는 DDoS 이벤트 발생시 해당 모니터링 대상 AS의 라우터에 BGP 명령(BGP Feeding)을 하여 해당 라우터의 BGP 테이블을 갱신시키서 트래픽을 상기 가상 라우터(270)로 우회시키게 되며, 우회된 트래픽은 해당 가상 라우터(270)를 통해 상기 방화벽(280)으로 전달되게 된다. When the DDoS event occurs, the policy setting unit 260 updates the router BGP table by BGP command to the router of the corresponding monitoring target AS to bypass traffic to the
상기 방화벽(280)은 유입되는 트래픽에 대한 검사 및 판별을 수행하게 되고 격리 여부를 결정하여 격리소(220)로 격리시키거나 포워딩부(290)를 통해 안전구역 내 원목적지로 포워딩시키게 된다. 이때, 상기 방화벽(280)을 통해 검사되어 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽은 바로 드롭(Drop)처리되지 않고 격리소(220)로 격리되어 저장됨으로써 해당 트래픽에 대한 분석 및 통계자료의 작성을 가능하게 한다. 이러한 방화벽(280)의 트래픽 검사 방법에 대하여는 추후 상세히 기술된다. The firewall 280 performs inspection and determination on incoming traffic and determines whether to quarantine to isolate the quarantine office 220 or forward the forwarding
상기 격리소(220)는 상기 방화벽(280)을 통해 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽을 저장하게 되는데, 이러한 격리소(220)는 별도의 저장장치를 통해 구현될 수 있으며, 해당 유해 트래픽 또는 의심 트래픽은 차후 통계 및 분석용으로 활용되게 된다. 이때, 이렇게 격리소(220)에 저장된 유해 트래픽 또는 의심 트래픽은 네트워크 전송 프로토콜을 이용하여 외부의 별도 저장장치에 관리될 수도 있다. The quarantine 220 stores traffic determined as harmful traffic or suspicious traffic through the firewall 280. Such quarantine 220 may be implemented through a separate storage device. Suspicious traffic will be used for later statistics and analysis. At this time, harmful traffic or suspicious traffic stored in the quarantine 220 may be managed in an external separate storage device using a network transmission protocol.
한편, 상기 모니터링 서버(300)는 상기 격리 관리부(210)를 통해 격리 정보를 전달받아 관리자에게 제공하게 되며, 도 5에 도시된 바와 같이 의심 IP 목록 및 트래픽 정보를 제공받아 관리자가 직접 격리 여부에 대한 정책 설정을 할 수 있도록 지원하게 된다. On the other hand, the
이제 도 6 및 도 7을 참조하여, 유해 트래픽 격리 시스템과 모니터링 대상 네트워크(AS)의 위치 관계에 대하여 살펴본다. Referring now to Figures 6 and 7, look at the positional relationship between the harmful traffic isolation system and the monitored network AS.
도 6은 본 발명에 따른 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 내부에 위치하는 경우의 시스템 구동원리를 설명하기 위한 도면이고, 도 7은 본 발명에 따른 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 외부에 위치하는 경우의 시스템 구동원리를 설명하기 위한 도면이다. 6 is a view illustrating a system driving principle when the harmful traffic isolation system according to the present invention is located inside the monitored network, and FIG. 7 shows the harmful traffic isolation system according to the present invention outside the monitored network. It is a figure for demonstrating the system drive principle in case of positioning.
도 6을 참조하면 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 내부에 위치하는 경우, 정책 설정부(260, 도시 않음)가 해당 엣지 라우터에 BGP 명령(BGP Feeding)을 하여 해당 엣지 라우터의 BGP 테이블을 갱신시키서 트래픽을 제 1 인터페이스(NIC1)을 통해 가상 라우터(270)로 우회시키게 된다. 이렇게 우회되어 유입되는 트래픽은 내부 방화벽(280, 도시 않음)에 의해 검사 및 판별되게 되고 격리 여부를 결정되면 격리소(220)로 격리되며, 이와 달리 정상 트래픽으로 결정되면 포워딩부(290, 도시 않음)와 연결된 제 2 인터페이스(NIC2)를 통해 디폴트 라우터로 전달되어 원목적지로 포워딩된다. Referring to FIG. 6, when the harmful traffic isolation system is located inside the monitored network, the policy setting unit 260 (not shown) issues a BGP command (BGP feeding) to the edge router to update the BGP table of the edge router. The traffic is diverted to the
이와 유사하게, 도 7을 참조하면 해당 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 외부에 위치하는 경우에도, 마찬가지로 정책 설정부(260, 도시 않음)가 해당 엣지 라우터에 BGP 명령(BGP Feeding)을 하여 해당 엣지 라우터의 BGP 테이블을 갱신시키서 트래픽을 제 1 인터페이스(NIC1)을 통해 가상 라우터(270)로 우회시키게 된다. 이렇게 우회되어 유입되는 트래픽은 내부 방화벽(280, 도시 않음)에 의해 검사 및 판별되게 되고 격리 여부를 결정되면 격리소(220)로 격리되며, 이와 달리 정상 트래픽으로 결정되면 포워딩부(290, 도시 않음)와 연결된 제 2 인터페이스(NIC2)를 통해 물리적으로 연결된 디폴트 라우터로 전달되어 안전구역 내 원목적지로 포워딩된다. Similarly, referring to FIG. 7, even when the harmful traffic isolation system is located outside of the monitored network, the policy setting unit 260 (not shown) performs a BGP command (BGP feeding) to the corresponding edge router. The BGP table of the edge router is updated to divert traffic to the
이때, 도 6 및 도 7에 도시된 바와 같이 해당 유해 트래픽 격리 시스템이 모니터링 대상 네트워크의 내부에 위치하는 경우와 달리 모니터링 대상 네트워크의 외부에 위치하는 경우에는 내부 네트워크 전송을 사용하지 않으므로 별도의 제 3 인터페이스(NIC3)를 통해 관제 시스템(100)으로부터 차단대상 정책 정보를 포함하는 명령 정보를 수신하고 정책 적용에 따른 모니터링 정보를 제 3 인터페이스(NIC3)를 통해 관제 시스템(100)으로 전달할 수 있게 된다. In this case, unlike the case where the harmful traffic isolation system is located inside the network to be monitored, as shown in FIGS. 6 and 7, since the harmful traffic isolation system is located outside the network to be monitored, the internal network transmission is not used. The command information including the policy information to be blocked may be received from the
이제, 트래픽을 우회하여 유입받아 처리하는 상기 방화벽(280)의 구체적인 트래픽 검사 방식에 대하여 살펴본다. Now, a detailed traffic inspection method of the firewall 280 that bypasses and receives and processes traffic will be described.
상기 방화벽은(280)은 트래픽을 검사하는 방식에 따라 제 1 차 내지 제 4 차 필터로 구성될 수 있으며, 이러한 필터의 적용 순서는 네트워크의 환경에 따라 다르게 구성될 수 있다. The firewall 280 may be configured with first to fourth filters according to a method of inspecting traffic, and the order of applying the filters may be configured differently according to the environment of the network.
이러한 방화벽(280)은 외부로부터 유해 트래픽 격리 시스템이 설치된 모니터링 대상 네트워크(AS)로 유입되는 트래픽에 대한 격리 및 포워딩이 이루어질 수 있고, 역으로 모니터링 대상 네트워크(AS)로부터 외부로 방출되는 트래픽에 대한 격리 및 포워딩이 이루어질 수 있다. The firewall 280 may be isolated and forwarded to the traffic flowing into the monitored network (AS) in which the harmful traffic isolation system is installed from the outside, and conversely, for the traffic emitted from the monitored network (AS) to the outside. Isolation and forwarding can be made.
우선, 외부로부터 유해 트래픽 격리 시스템이 설치된 모니터링 대상 네트워크(AS)로 유입되는 트래픽에 대한 격리 및 포워딩 동작에 대하여 설명하면 다음과 같다. First, isolation and forwarding operations for traffic flowing into the monitoring target network (AS) where the harmful traffic isolation system is installed from the outside will be described.
이 경우, 상기 방화벽(280)의 제 1 차 필터는 트래픽의 IP를 근거로 한 필터링 방식으로서, 모니터링 대상 네트워크(AS)로 유입되는 트래픽에서 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키게 된다. 또한, 상기 방화벽(280)의 제 1 차 필터는 모니터링 대상 네트워크(AS)로 유입되는 트래픽에서 내부 봇넷 C&C 서버로 향하는 트래픽 중 좀비 피시의 IP 또는 알려지지 않은 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키게 된다. 이때, 이러한 알려지지 않은 IP는 의심 IP로 등록된다. In this case, the first filter of the firewall 280 is a filtering method based on the IP of the traffic, and the IP of the zombie fish or the IP of the botnet C & C server is used as the source IP in the traffic flowing into the monitored network AS. To filter and isolate traffic. In addition, the first filter of the firewall 280 is isolated by filtering the traffic to the internal botnet C & C server from the traffic flowing into the network to be monitored (AS) zombie fish IP or unknown IP as the source IP Let's go. At this time, such unknown IP is registered as a suspect IP.
이러한 제 1 차 필터에서 출발지 IP 는 위장 IP(Spoofed IP)가 아니라는 가정에서 출발하게 된다. In this first order filter, the source IP starts from the assumption that it is not a spoofed IP.
또한, 상기 방화벽(280)의 제 2 차 필터는 트래픽의 반복성을 근거로 한 필터링 방식으로서, 트래픽의 크기(Payload size)를 소정의 차단 규칙과 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키게 된다. In addition, the second filter of the firewall 280 is a filtering method based on the repeatability of traffic, and compares the traffic load size with a predetermined blocking rule and filters and isolates the traffic when the second filter is matched. .
실제로 DDoS와 같은 이벤트 발생시 교환되는 DDoS 트래픽은 일정한 크기를 갖게 되는 특성이 있기 때문에, 해당 트래픽의 패킷 길이(Length)를 추출하고 이를 관제 시스템(100)에서 제공된 DDoS 이벤트의 패킷 길이와 비교함으로써 유해 트래픽으로 판단하는 것은 상당한 정확성을 가지게 된다. 이때, 이러한 2 차 필터를 통해 유해 트래픽을 전송하는 IP는 의심 IP로 등록된다.In fact, since DDoS traffic exchanged when an event such as DDoS occurs has a certain size, harmful traffic is extracted by extracting the packet length of the traffic and comparing it with the packet length of the DDoS event provided by the
이러한 제 2 차 필터에서 출발지 IP 는 위장 IP가 아니라는 가정에서 출발하게 된다. In this secondary filter, the source IP starts from the assumption that it is not a spoofed IP.
이때, 이러한 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해 별도의 제 2-1 필터가 적용될 수 있다. 이러한 제 2-1 필터는 검사되는 컨텐츠의 내용을 실제 관제 시스템(100)에서 제공된 DDoS 이벤트의 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키게 된다. 이때, 이러한 제 2-1 필터의 컨텐츠 비교 과정은 시스템에 부하를 줄 수 있기 때문에 그 적용은 옵션 사항으로 하여 환경에 따라 선택적으로 적용할 수 있도록 하는 것이 바람직하다. In this case, a separate 2-1 filter may be applied to reduce a false positive rate in the filtering process through the secondary filter. The 2-1 filter compares the content of the inspected content with the content of the DDoS event provided by the
이때, 이러한 제 2 차 필터 및 제 2-1 차 필터를 통해 필터링되는 트래픽과 관련된 출발지 IP 와 목적지 IP 는 별도의 의심 IP로서 정보 저장부(211)에 등록되어 제 1 차 필터를 위한 자료로 쓰일 수 있으며, 또한 격리 관리부(210)를 통해 관제 시스템(100)으로 보고됨으로써 차후 정책 설정을 위한 자료로 쓰일 수 있다. At this time, the source IP and the destination IP related to the traffic filtered through the second filter and the second-first filter are registered in the
또한, 상기 방화벽(280)의 제 3 차 필터는 트래픽의 임계치를 근거로 한 필터링 방식으로서, 유입되는 트래픽에 대하여 설정된 시간 구간(Time Windows) 내에서 보호대상 안전구역의 허용 트래픽 임계치 및 출발지 IP 별 허용 트래픽 임계치와 비교하여 이를 초과하는 IP에 대하여 격리시키거나 의심 IP로 등록시키게 된다. In addition, the third filter of the firewall 280 is a filtering method based on the traffic threshold, and allows traffic thresholds and source IPs of the safe zone to be protected within the time window set for incoming traffic. Compared with the allowed traffic threshold, the IP exceeding it is isolated or registered as a suspect IP.
이러한 제 3 차 필터에 대하여 도 8을 참조하여 보다 상세히 설명하면 다음과 같다. This third order filter will be described in more detail with reference to FIG. 8 as follows.
도면을 참조하면, 설정된 시간 구간(Time Windows)인 ti 에서 ti + t0 의 구간에서 접속자 IP(출발지 IP) 리스트는 ip1, ip2, ip3....ipn 이며, 해당 도면에는 해당 트래픽의 목적지인 모니터링 대상 네트워크 내 안전구역(보호대상 서버군)의 임계치와 각 접속자 IP별로 임계치가 표시되어 있다. Referring to the figures, the set time interval (Time Windows) of t i interconnector IP (from IP) list in an interval of t i + t is from 0 ip 1, ip 2, ip 3 .... a n ip, the drawings In the table, the threshold of the safe zone (protected server group) in the monitored network, the destination of the traffic, and the threshold for each accessor IP are displayed.
여기에서, 격리시킬 대상 IP는 다음의 수학식 1을 만족하는 경우 해당 ipj 를 격리 대상 IP로 판단하게 된다. Herein, when the target IP to be isolated satisfies the following
또한, 의심 IP로 등록시킬 대상 IP는 다음의 수학식 2를 만족하는 경우 새로운 ipj 를 의심 IP로 등록시키게 된다. In addition, the target IP to be registered as the suspect IP registers a new ip j as the suspect IP when the following equation (2) is satisfied.
여기에서, 
이때, 이러한 제 3 차 필터의 적용시 파일 전송은 선택적으로 선정되는 것이 바람직하다. In this case, it is preferable that the file transfer is selectively selected when the third order filter is applied.
따라서 상술한 제 1 차 필터 및 제 2 차 필터를 거쳐도 다량의 트래픽이 유입되는 경우 이러한 제 3 차 필터를 적용시킴으로써 임계치와의 비교를 통해 출발지 IP를 바로 격리 IP로 조치시키거나 의심 IP로 등록함으로써 대량의 트래픽 유입에 의한 네트워크 마비를 방지할 수 있게 된다. Therefore, if a large amount of traffic flows even through the above-described primary filter and secondary filter, by applying such a third filter, the source IP is directly acted as an isolation IP or registered as a suspect IP by comparing with the threshold. By doing so, it is possible to prevent network paralysis caused by the influx of a large amount of traffic.
또한, 상기 방화벽(280)의 제 4 차 필터는 전송되는 패킷의 접속 상태를 근거로 한 필터링 방식으로서, 네트워크로 전송되는 패킷의 세션 테이블(Session Table)을 확인하여 해당 세션 테이블의 상태에 따라 해당 IP를 격리시키게 된다. In addition, the fourth filter of the firewall 280 is a filtering method based on the connection state of the transmitted packet. The fourth filter of the firewall 280 checks the session table of the packet transmitted to the network and according to the state of the corresponding session table. Isolate the IP.
이러한 제 4 차 필터에 대하여 도 9를 참조하여 보다 상세히 설명하면 다음과 같다. This fourth order filter will be described in more detail with reference to FIG. 9 as follows.
도면을 참조하면, 해당 제 4 차 필터는 네트워크로 전송되는 패킷을 수신하게 되면 해당 패킷의 세션 테이블(Session Table)을 확인하여 세션 테이블의 상태를 확인하게 된다. 이때, 이러한 세션 테이블의 상태는 연결상태에 따라 'INVALID', 'EATABLISHED', 'NEW', 'RELATED' 등이 될 수 있다. 이와 같이 현재 연결상태의 상태 정보를 이용하여 패킷의 격리 여부를 결정하는 방식은 비교적 구현이 간단하여 방화벽의 속도를 획기적으로 향상시킬 수 있다. Referring to the figure, when the fourth filter receives a packet transmitted to the network, the fourth filter checks the session table of the packet to check the state of the session table. At this time, the state of the session table may be 'INVALID', 'EATABLISHED', 'NEW', 'RELATED', etc. according to the connection state. As such, the method of determining whether to isolate packets using the state information of the current connection state is relatively simple to implement, which can greatly improve the speed of the firewall.
여기에서, 상태 'NEW' 는 새롭게 연결을 맺거나 이전의 연결추적 테이블에 보이지 않는 패킷을 의미하며, 상태 'ESTABLISHED'는 정상적으로 연결이 형성된 경우에 나타나며, 상태 'RELATED'는 새롭게 연결을 시작하려하나 이미 연결 추적 테이블에 접속과 관련 있는 항목이 있는 경우에 나타나며, 상태 'INVALID'는 연결상태를 알 수 없거나 잘못된 헤더를 가진 경우에 나타난다. Here, the state 'NEW' means a new connection or a packet not shown in the previous connection tracking table, the state 'ESTABLISHED' appears when a connection is normally established, and the state 'RELATED' tries to start a new connection. Appears when there is already an entry related to the connection in the connection tracking table. Status 'INVALID' appears when the connection status is unknown or has an invalid header.
따라서 해당 제 4 차 필터는 확인된 패킷의 세션 테이블의 상태를 판단하여 해당 세션 상태가 'INVALID'를 갖는다면 해당 패킷을 격리시키고, 또한, 동일 출발지 IP에서 세션 상태가 'NEW'인 열(row) 개수가 소정 허용 건수를 초과할 경우 해당 출발지 IP에 대한 패킷 역시 격리시키게 되며, 그 외의 세션 상태('EATABLISHED', 'RELATED' 등)를 가지는 경우에는 해당 패킷을 포워딩시키게 된다. 여기에서 상기 허용 건수는 모니터링 대상 네트워크 내 안전구역에 대한 출발지 IP 별 평균 세션 수로 정의할 수 있으며, 안전구역에 대한 출발지 IP 별 세션 수에 대한 표준편차가 더해질 수 있다. Therefore, the fourth filter determines the state of the session table of the identified packet and isolates the packet if the session state has 'INVALID'. ) If the number exceeds the allowable number, the packet for the corresponding source IP is also isolated, and if the other session state ('EATABLISHED', 'RELATED', etc.) is forwarded, the packet is forwarded. Here, the allowable number may be defined as the average number of sessions by source IP for the safe zone in the monitored network, and the standard deviation of the number of sessions by source IP for the safe zone may be added.
이와 같이, 유해 트래픽 격리 시스템은 관제 시스템(100)에서 DDoS 이벤트 발생시, 엣지 라우터에 BGP 명령을 하고 트래픽을 방화벽(280)으로 우회시키며, 해당 방화벽(280)의 제 1 차 내지 제 4 차 필터를 통해 외부로부터 유입되는 DDoS 트래픽에 대한 판별 및 격리 또는 원주소로 포워딩을 실시하게 된다. As such, when the DDoS event occurs in the
한편, 모니터링 대상 네트워크(AS)의 내부로부터 발생하는 C&C 등 봇넷 관련 서버 통신 트래픽에 대한 격리 및 포워딩 동작에 대하여 설명하면 다음과 같다. Meanwhile, the isolation and forwarding operations for botnet-related server communication traffic such as C & C generated from the inside of the monitored network AS will be described as follows.
이 경우 역시 방화벽(280)의 필터 모듈이 구동되게 되며, 기본적으로 관리되고 있는 모니터링 대상 네트워크(AS)의 보안환경이 외부에 비해 비교적 안정되어 있다는 가정하에 제 1 차 필터 및 제 2 차 필터만이 동작하도록 하는 것이 바람직하다. In this case, the filter module of the firewall 280 is also driven, and only the first filter and the second filter are assuming that the security environment of the monitored network AS is basically relatively stable compared to the outside. It is desirable to make it work.
이 경우, 상기 방화벽(280)의 제 1 차 필터는 트래픽의 IP를 근거로 한 필터링 방식으로서, 모니터링 대상 네트워크(AS)로부터 외부로 향하는 트래픽에서 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 목적지 IP로 하는 트래픽을 필터링하게 된다. In this case, the first filter of the firewall 280 is a filtering method based on the IP of the traffic, and the IP of the zombie fish or the IP of the botnet C & C server in the outbound traffic from the network to be monitored (AS) is the destination IP. This will filter the traffic.
보다 구체적으로는, 봇넷 C&C 서버의 IP 또는 좀비 피시의 IP를 목적지 IP로 하는 트래픽 중 출발지 IP가 이미 알려진 좀비 피시의 IP이거나 봇넷 C&C 서버의 IP인 경우 해당 트래픽은 바로 격리처리되며, 봇넷 C&C 서버의 IP 또는 좀비 피시의 IP를 목적지 IP로 하는 트래픽 중 출발지 IP가 알려지지 않은 IP 인 경우 해당 트래픽에 대하여는 후술하는 제 2 차 필터를 적용시키게 된다. More specifically, if traffic from the IP of the botnet C & C server or the IP of the zombie fish is the IP of the known zombie fish or the IP of the botnet C & C server, the traffic is immediately isolated and the botnet C & C server If the source IP of the traffic whose IP is the IP of the zombie fish or the destination IP is unknown, the second filter, which will be described later, is applied to the corresponding traffic.
즉, 해당 트래픽의 출발지 IP가 좀비 피시의 IP이거나 봇넷 C&C 서버의 IP로 알려져 있지는 않지만 봇넷 C&C 서버의 IP 또는 좀비 피시의 IP로 향하는 트래픽에 대하여는 일단 봇넷 트래픽으로 가정하고 즉시 격리가 아닌 제 2 차 필터를 적용하는 것이다. In other words, if the source IP of the traffic is not the IP of the zombie fish or the IP of the botnet C & C server, the traffic destined for the IP of the botnet C & C server or the IP of the zombie fish is assumed to be botnet traffic and is not immediately isolated. Apply a filter.
이러한 제 1 차 필터에서 출발지 IP 는 위장 IP가 아니라는 가정에서 출발하게 된다. In this first order filter, the starting IP is assumed to be not a spoofing IP.
상기 방화벽(280)의 제 2 차 필터는 트래픽의 반복성을 근거로 한 필터링 방식으로서, 상술한 바와 같이 해당 트래픽의 출발지 IP가 좀비 피시의 IP이거나 봇넷 C&C 서버의 IP로 알려져 있지는 않지만 봇넷 C&C 서버의 IP 또는 좀비 피시의 IP로 향하는 트래픽에 대하여 트래픽의 크기(Payload size)를 소정의 차단 규칙과 비교하고 일치할 경우 해당 트래픽을 필터링하여 격리시키며 동시에 이를 신규 좀비 IP로 등록하며 관제 시스템(210)에 통보되도록 한다. The second filter of the firewall 280 is a filtering method based on the repeatability of traffic. As described above, the source IP of the traffic is not known as the IP of the zombie fish or the IP of the botnet C & C server, but the For traffic destined for an IP or zombie fish IP, the payload size is compared with a predetermined blocking rule and, if a match is found, the traffic is filtered and isolated and registered as a new zombie IP at the same time. Be notified.
이러한 제 2 차 필터에서 출발지 IP 는 위장 IP가 아니라는 가정에서 출발하게 된다. In this secondary filter, the source IP starts from the assumption that it is not a spoofed IP.
이때, 이러한 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해 별도의 제 2-1 필터가 적용될 수 있다. 이러한 제 2-1 필터는 검사되는 컨텐츠의 내용을 실제 관제 시스템(100)에서 제공된 DDoS 이벤트의 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키게 된다. 이때, 이러한 제 2-1 필터의 컨텐츠 비교 과정은 시스템에 부하를 줄 수 있기 때문에 그 적용은 옵션 사항으로 하여 환경에 따라 선택적으로 적용할 수 있도록 하는 것이 바람직하다. In this case, a separate 2-1 filter may be applied to reduce a false positive rate in the filtering process through the secondary filter. The 2-1 filter compares the content of the inspected content with the content of the DDoS event provided by the
이때, 이러한 제 2 차 필터 및 제 2-1 차 필터를 통해 필터링되는 트래픽과 관련된 출발지 IP 와 목적지 IP 는 별도의 의심 IP로서 정보 저장부(211)에 등록되어 제 1 차 필터를 위한 자료로 쓰일 수 있으며, 또한 격리 관리부(210)를 통해 관제 시스템(100)으로 보고됨으로써 차후 정책 설정을 위한 자료로 쓰일 수 있다. At this time, the source IP and the destination IP related to the traffic filtered through the second filter and the second-first filter are registered in the
이제 도 10을 참조하여, 상술한 유해 트래픽 격리 시스템의 전체적인 정책 적용 과정에 대해 설명한다. Now, with reference to FIG. 10, the overall policy application process of the above-described harmful traffic isolation system will be described.
도 10을 참조하면, 관제 시스템(100)은 유해 트래픽 격리 시스템(200)의 격리 관리부(210)로 격리 정책을 전송하며, 이를 수신한 격리 관리부(210)는 해당 격리 정책을 내부 정보 저장부(211)에 저장하여 정책 정보를 저장하게 된다. 이와 같이 정보 저장부(211)에 저장되는 정책 정보는 추가, 수정, 삭제가 가능하며, 로그도 함께 저장되게 된다. Referring to FIG. 10, the
정책 정보를 저장한 격리 관리부(210)는 해당 격리 정책 정보를 가상 라우터(270) 및 방화벽(280)을 포함하고 있는 에이전트부(250)로 전송하여 해당 정책이 적용되도록 함으로써 상술한 트래픽의 우회 유도와 트래픽 검사 및 필터링 그리고 유해 트래픽의 격리와 정상 트래픽의 포워딩이 이루어질 수 있도록 한다. The
이러한 에이전트부(250)에서 격리 정책이 정상적으로 적용되었음을 격리 관리부(210)에 상태 정보로서 전송하게 되면, 해당 격리 관리부(210)가 로그를 저장하고 관제 시스템(100)에 정상적으로 정책이 전송되었음을 응답으로서 통보하게 된다. When the
이제 이러한 정책 프로토콜에 대하여 상세히 설명한다. This policy protocol will now be described in detail.
정책 프로토콜은 공통 프로토콜을 기반으로 대응정책 생성 요청 메시지 프로토콜을 정의하게 되며, 유해 트래픽 격리 시스템(200)과 DNS(Domain Name System) 및 Web 방화벽에 대한 정책 적용시 사용되게 된다. The policy protocol defines a response policy generation request message protocol based on a common protocol, and is used when a policy is applied to the harmful
이와 같은 공통 프로토콜은 다음의 예시된 표 1과 같은 구조로 정의될 수 있다. Such a common protocol may be defined as a structure as shown in Table 1 below.
일 예로, 이러한 공통 프로토콜은 다음과 같이 구성될 수 있다. For example, such a common protocol may be configured as follows.
[^&@!%}7000DATAS{%!@&^]\n[^ & @!%} 7000DATAS {%! @ & ^] \N
여기에서, STX 는 데이터의 시작을 알리며, 문자열 [^&@!%}으로 표현될 수 있다. CODE 는 데이터의 종류를 알리며, 4자리 문자열을 갖는다. DATA 는 데이터의 내용을 나타내며, 데이터에 여러 항목이 있을 경우 !N%S&T@ 으로 구분할 수 있다. ETX 는 데이터의 종료를 알리며, 문자열 {%!@&^]\n 으로 표현된다. Here, STX indicates the start of the data, it can be represented by the string [^ & @!%}. CODE indicates the type of data and has a 4-digit string. DATA represents the contents of the data and can be separated by! N% S & T @ when there are multiple items in the data. ETX signals the end of data, represented by the string {%! @ & ^] \ N.
한편, 관제 시스템(100)에서 유해 트래픽 격리 시스템(200)으로 전송하는 통신 프로토콜은 다음의 예시된 표 2와 같은 구조로 정의될 수 있다. Meanwhile, the communication protocol transmitted from the
여기에서 데이터 부분의 항목 구분은 Code 7777과 구분 문자 !N%S&T@ 로 이루어질 수 있다. Here, the item division of the data portion may be made up of Code 7777 and the delimiter character! N% S & T @.
일 예로, 이러한 관제 시스템(100)에서 유해 트래픽 격리 시스템(200)으로 전송하는 통신 프로토콜은 다음의 예시와 같이 구성될 수 있다. For example, the communication protocol transmitted from the
[^&@!%}7777156!N%S&T@00!N%S&T@10!N%S&T@23!N%S&T@bot.er.net!N%S&T@10.1.1.199!N%S&T@/kbot!N%S&T@01!N%S&T@02!N%S&T@10.1.1.191!N%S&T@10.1.1.192!N%S&T@01!N%S&T@10.3.1.23!N%S&T@4000!N%S&T@02!N%S&T@456!N%S&T@234!N%S&T@01!N%S&T@/load.exe!N%S&T@01!N%S&T@4000!N%S&T@01!N%S&T@10.2.1.55{%!@&^]\n[^ & @!%} 7777156! N% S & T @ 00! N% S & T @ 10! N% S & T @ 23! N%S&T@bot.er.net! N%S&T@10.1.1.199! N% S & T @ / kbot! N% S & T @ 01! N% S & T @ 02! N%S&T@10.1.1.191! N%S&T@10.1.1.192! N% S & T @ 01! N%S&T@10.3.1.23! N% S & T @ 4000! N% S & T @ 02! N% S & T @ 456! N% S & T @ 234! N% S & T @ 01! N%S&T@/load.exe! N% S & T @ 01! N% S & T @ 4000! N% S & T @ 01 !N%S&T@10.2.1.55 {%! @ & ^] \N
여기에서 전송 정책 고유 번호는 전송 정책 구분을 위한 고유 번호로, 정책 정상 처리 여부 응답시 해당 고유 번호를 사용할 수 있다. Here, the unique number of the transmission policy is a unique number for distinguishing the transmission policy, and the corresponding unique number can be used when responding to the policy normal processing.
생성 요청 타입에 대한 정의는, 00 은 자동 생성(정책 생성), 01 은 관리 콘솔 GUI로부터 요청(정책 생성), 02는 자동 생성(정책 삭제), 03은 관리 콘솔 GUI로부터 요청(정책 삭제)로 정의될 수 있다. The definition of the creation request type is 00 for auto creation (policy creation), 01 for requests from the management console GUI (policy creation), 02 for auto creation (policy deletion), and 03 for requests (policy deletion) from the management console GUI. Can be defined.
대응 정책 타입에 대한 정의는, 01 은 DNS 싱크홀 적용, 10 은 격리(Sifter) 정책, 11 은 공개 웹 방화벽 룰 설정으로 정의될 수 있다. The definition of the corresponding policy type may be defined as 01 applying DNS sinkhole, 10 as a Sifter policy, and 11 as a public web firewall rule setting.
BOTNET_INFO_TLB GLOBAL ID 는 봇넷 정보 테이블의 GLOBAL ID 값으로 관제 UI에서 격리 관리부(210)의 정보를 참조할 경우 사용할 수 있다. The BOTNET_INFO_TLB GLOBAL ID is a GLOBAL ID value of the botnet information table and may be used when referring to the information of the
BGP C&C FLAG 에 대한 정의는, 00 은 Botnet C&C NULL 라우팅 안함, 01 은 Botnet C&C NULL 라우팅으로 정의될 수 있다. For BGP C & C FLAG, 00 can be defined as Botnet C & C NULL routing and 01 as Botnet C & C NULL routing.
대응 정책 적용 시스템 IP 는 에이전트부(250)의 IP일 수 있다. The response policy application system IP may be an IP of the
Target Server IP 는 격리 정책일 경우에만 해당하며, 이는 관심 대상 서버 IP로서 해당 서버로 향하는 트래픽을 격리 시스템으로 유입시킨다. Target Server IP is applicable only if it is a quarantine policy. This is a server IP of interest, which injects traffic to that server into the quarantine system.
Target Server IP 및 출발지 IP에 대한 시간 구간(Time Windows)를 이용한 임계값 설정은 관심 대상 서버 IP의 접속 건수 임계값 설정과, 관심 대상 서버로 접속하는 IP에 대한 접속 건수 임계값 설정으로 이루어질 수 있다. The threshold setting using the time window for the target server IP and the source IP may be configured by setting the threshold of the number of accesses of the server IP of interest and the threshold of the number of accesses of the IP accessing the server of interest. .
Target Server IP Payload Size 는 관심 대상 서버 IP의 트래픽 중 특정 페이로드 크기(PayLoad Size)값으로 차단하게 된다. Target Server IP Payload Size is blocked by payload size value of traffic of server IP of interest.
Target Server IP Detect Str 은 괌심 대상 서버 IP의 트래픽 중 특정 문자열로 차단한다. Target Server IP Detect Str blocks the specific string of traffic from the target server IP.
Target Server IP Drop Dst Port 는 관심 대상 서버 IP의 트래픽 중 특정 목적지 포트로 차단한다. Target Server IP Drop Dst Port blocks the traffic of the server IP of interest to a specific destination port.
Target Server IP1 Drop Src IP 는 관심 대상 서버 IP의 트래픽 중 특정 출발지 IP로 차단한다. Target Server IP1 Drop Src IP blocks the traffic of server IP of interest to specific source IP.
다음으로, 유해 트래픽 격리 시스템(200)에서 관제 시스템(100)으로 전송하는 통신 프로토콜은 다음의 예시된 표 3과 같은 구조로 정의될 수 있다. Next, the communication protocol transmitted from the harmful
여기에서 데이터 부분의 항목 구분은 Code 7777과 구분 문자 !N%S&T@ 로 이루어질 수 있다. Here, the item division of the data portion may be made up of Code 7777 and the delimiter character! N% S & T @.
일 예로, 이러한 유해 트래픽 격리 시스템(200)에서 관제 시스템(100)으로 전송하는 통신 프로토콜은 다음의 예시와 같이 구성될 수 있다. For example, the communication protocol transmitted from the harmful
[^&@!%}7777156!N%S&T@TURE!{%!@&^]\n[^ & @!%} 7777156! N% S & T @ TURE! {%! @ & ^] \N
여기에서 정책 정상 설정 여부에 대한 정의는, TRUE 는 유해 트래픽 격리 시스템(200)이 정책을 정상적으로 설정한 경우이며, FALSE 는 유해 트래픽 격리 시스템(200)이 정책을 비정상적으로 설정한 경우로 정의될 수 있다. Here, the definition of whether the policy is normally set may be defined as TRUE when the harmful
한편, 이와 같은 유해 트래픽 격리 시스템은 모니터링 시스템과 연결되는 모니터링 서버(300)는 관리자가 웹을 통해 접근하여 격리 정책을 관리하고 유해 트래픽의 격리 상황을 파악할 수 있도록 하는 관리 웹페이지를 제공하게 된다. On the other hand, such a harmful traffic isolation
이러한 관리 웹페이지는 도 11에 도시된 바와 같이 좀비 피시의 IP를 등록 및 관리할 수 있다. 즉, 관제 시스템(100)이나 유해 트래픽 격리 시스템(200)으로부터 수신된 좀비 피시의 IP 정보를 등록하여 관리할 수 있게 된다. Such a management web page may register and manage the IP of the zombie fish as shown in FIG. 11. That is, the IP information of the zombie fish received from the
또한, 관리 웹페이지는 도 12에 도시된 바와 같이 봇넷 C&C 서버의 IP를 등록 및 관리할 수 있다. 이 역시 관제 시스템(100)이나 유해 트래픽 격리 시스템(200)으로부터 수신된 봇넷 C&C 서버의 IP 정보를 등록하여 관리할 수 있게 된다. In addition, the management web page may register and manage the IP of the botnet C & C server as shown in FIG. This also can register and manage the IP information of the botnet C & C server received from the
또한, 관리 웹페이지는 도 13에 도시된 바와 같이 DDoS 타겟 IP를 등록 및 관리할 수 있다. 이 역시 관제 시스템(100)이나 유해 트래픽 격리 시스템(200)으로부터 수신된 DDoS 타겟 IP 정보를 등록하여 관리할 수 있게 된다. In addition, the management web page may register and manage the DDoS target IP as shown in FIG. This also can register and manage the DDoS target IP information received from the
또한, 관리 웹페이지는 도 14에 도시된 바와 같이 격리 로그를 관리할 수 있다. 즉, 유해 트래픽 격리 시스템(200)에서 격리 정책을 통하여 격리된 IP 정보를 관리자에게 제공하여 실제 격리 IP의 현황을 확인할 수 있도록 한다. In addition, the management web page may manage the quarantine log as shown in FIG. That is, the harmful
또한, 관리 웹페이지는 도 15에 도시된 바와 같이 실시간으로 격리 현황을 모니터링할 수 있다. 즉, 유해 트래픽 격리 시스템(200)에서 격리 정책을 통하여 격리된 트래픽의 현황을 시간 별로 격리현황 건수를 표시함으로써 실시간으로 격리현황을 모니터링할 수 있도록 한다. In addition, the management web page may monitor the quarantine status in real time as shown in FIG. That is, the harmful
또한, 관리 웹페이지는 도 16에 도시된 바와 같이 유해 트래픽 격리 시스템에서의 격리 현황을 통계자료로서 조회할 수 있다. 즉, 유해 트래픽 격리 시스템(200)에서 격리 정책을 통하여 격리된 로그를 관리자가 선택한 기간에 따라 출발지 IP, 목적지 IP, 포트별로 분석하여 통계 데이터로서 조회할 수 있도록 한다. In addition, the management web page can query the quarantine status in the harmful traffic isolation system as statistical data, as shown in FIG. That is, the harmful
또한, 관리 웹페이지는 도 17에 도시된 바와 같이 유해 트래픽 격리 시스템에서의 격리 현황에 대한 다양한 정보를 하나의 화면을 통해 살펴볼 수 있다. 즉, 유해 트래픽 격리 시스템(200)에서 격리 정책을 통하여 격리되고 있는 종합적인 상황을 다양한 방식으로 보여줌으로써 한눈에 실시간 상황파악이 이루어질 수 있도록 한다. In addition, as shown in FIG. 17, the management web page may look at a variety of information about the quarantine status in the harmful traffic isolation system through a single screen. That is, the real-time situation can be identified at a glance by showing the comprehensive situation that is isolated through the isolation policy in the harmful
이제 도 18을 참조하여 본 발명에 따른 유해 트래픽 격리 방법에 대하여 살펴본다. Now, with reference to Figure 18 looks at the harmful traffic isolation method according to the present invention.
유해 트래픽 격리 시스템은 관제 시스템(100)으로부터 DDoS 와 같은 유해 트래픽 발생 이벤트에 관한 이벤트 정보를 수신받고(S10), 모니터링 대상 네트워크 및 안전구역에 대한 정보(대역 정보 포함)를 수신하여 정보 저장부(211)에 등록하며(S12), 좀비 피시의 IP 및 봇넷 C&C 서버의 IP에 관한 정보를 수신하여 정보 저장부(211)에 등록하게 된다(S14). The harmful traffic isolation system receives event information regarding a harmful traffic occurrence event such as DDoS from the control system 100 (S10), and receives information (including band information) about a monitored network and a safe area by using an information storage unit ( 211), and receives information about the IP of the zombie fish and the IP of the botnet C & C server to register in the information storage unit 211 (S14).
그리고 유해 트래픽 격리 시스템은 해당 모니터링 대상 AS의 라우터에 BGP 명령(BGP Feeding)을 하여 해당 라우터의 BGP 테이블을 갱신시키서 봇넷 통신 트래픽 및 DDoS 트래픽 등을 가상 라우터(270)로 유도하여 우회시키게 된다(S16). In addition, the harmful traffic isolation system performs a BGP command (BGP Feeding) to the router of the monitoring target AS to update the BGP table of the router, thereby inducing botnet communication traffic and DDoS traffic to the
이러한 과정을 통해 유입되는 트래픽에 대하여 해당 유해 트래픽 격리 시스템은 내부 방화벽(280)을 통해 제 1 차 내지 제 4 차 필터를 거치도록 함으로써 트래픽에 대한 검사 과정을 수행한다(S18). The harmful traffic isolation system performs the inspection process on the traffic by passing through the first to fourth filters through the internal firewall 280 for the traffic flowing through the process (S18).
이때, 이러한 트래픽 검사 과정은 네트워크의 환경에 따라 탄력적으로 구성될 수 있지만, 바람직하게는 외부에서 모니터링 대상 네트워크(AS)로 유입되는 트래픽에 대하여는 제 1 차 내지 제 4 차 필터를 모두 동작하도록 하고 모니터링 대상 네트워크(AS)에서 외부로 나가는 트래픽에 대하여는 제 1 차 및 제 2 차 필터만이 동작하도록 하여 운영의 효율성을 높이도록 하는 것이 바람직하다. At this time, the traffic inspection process may be configured to be flexible according to the environment of the network, but preferably all the first to fourth filters are operated and monitored for traffic flowing into the monitored network from the outside. For the outgoing traffic from the target network AS, it is preferable to operate only the first and second filters to increase the efficiency of the operation.
이러한 방화벽(280)의 트래픽 검사 과정을 통해 격리 대상 트래픽과 포워딩 대상 트래픽이 판정될 수 있으며, 이와 함께 의심 IP에 대한 정보도 함께 추출되게 된다(S20). Through the traffic inspection process of the firewall 280, the quarantine target traffic and the forwarding target traffic can be determined, together with the information on the suspicious IP (S20).
따라서, 정상적인 트래픽으로 판별된 트래픽에 대하여는 상기 포워딩부(290)를 통해 안전구역 내 원목적지로 포워딩시키게 되며(S22). 상기 방화벽(280)을 통해 검사되어 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽은 바로 드롭(Drop)처리되지 않고 격리소(220)로 격리되어 저장되게 된다(S24). Therefore, the traffic determined to be normal traffic is forwarded through the
이때, 이렇게 격리소(220)에 저장된 유해 트래픽 또는 의심 트래픽은 네트워크 전송 프로토콜을 이용하여 외부의 별도 스토리지에 저장 관리될 수도 있다. At this time, harmful traffic or suspicious traffic stored in the quarantine 220 may be stored and managed in an external separate storage using a network transmission protocol.
이러한 의심 트래픽에 대한 의심 IP는 새로운 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP로서 정보 저장부(211)에 등록되어 제 1 차 필터를 위한 자료로 쓰일 수 있으며, 또한 격리 관리부(210)를 통해 관제 시스템(100)으로 보고됨으로써 차후 정책 설정을 위한 자료로 쓰이게 된다(S26). The suspicious IP of such suspicious traffic is registered in the
또한, 상기 유해 트래픽 격리 시스템은 격리 대상 트래픽에 대한 정보 및 로그를 상기 모니터링 서버(300)으로 전송함으로써 관리자가 유해 트래픽 격리 시스템에서의 격리 현황을 통계자료로서 조회할 수 있게 지원하게 된다(S28). 즉, 유해 트래픽 격리 시스템(200)에서 격리 정책을 통하여 격리된 로그를 관리자가 선택한 기간에 따라 출발지 IP, 목적지 IP, 포트별로 분석하여 통계 데이터로서 조회할 수 있도록 한다. In addition, the harmful traffic isolation system transmits information and logs on quarantine target traffic to the
이러한 유해 트래픽 격리 시스템의 유해 트래픽 격리 동작은 직접적인 제어에 의해서 종료될 수도 있지만, 바람직하게는 상기 관제 시스템(100)의 이벤트 종료 통지를 수신함으로써 이러한 DDoS 이벤트와 같은 유해 트래픽 발생에 따른 격리 동작을 종료시킬 수 있게 된다(S30). 이와 같은 격리 동작의 종료에 따라 라우터 및 유해 트래픽 격리 시스템에 설정된 격리 정책은 해제되며, 원래대로 해당 엣지 라우터를 통한 정상적인 트래픽 전달이 이루어지게 된다(S32). The harmful traffic isolation operation of the harmful traffic isolation system may be terminated by direct control, but preferably, the isolation operation according to the occurrence of harmful traffic such as DDoS event is terminated by receiving the event termination notification of the
이상과 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
As described above, an optimal embodiment has been disclosed in the drawings and the specification. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
100 : 관제 시스템 200 : 유해 트래픽 격리 시스템
300 : 모니터링 서버100: control system 200: harmful traffic isolation system
300: monitoring server
Claims (13)
상기 유해 트래픽 격리 시스템은,
이벤트 발생시 대응 정책을 설정하고 트래픽을 유입받아 트래픽에 대한 검사 및 판별을 수행하는 에이전트부;
관제 시스템으로부터 제공되는 이벤트 정보를 관리하며, 차단대상 정책 정보를 상기 에이전트부에 전달하여 대응정책을 적용시키는 격리 관리부; 및
상기 에이전트부로부터 판별된 유해 트래픽을 저장하기 위한 격리소; 를 포함하고,
상기 에이전트부는,
라우터에 대한 정책 설정을 위한 정책 설정부;
라우터로부터 트래픽을 유입받는 가상 라우터;
유입된 트래픽을 검사 및 필터링하는 방화벽; 및
정상 트래픽을 원목적지로 포워딩시키기 위한 포워딩부; 를 포함하며,
상기 방화벽은,
트래픽의 IP를 근거로, 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키며, 알려지지 않은 IP를 출발지 IP로 하여 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 목적지 IP로 하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 1 차 필터;
트래픽의 반복성을 근거로, 트래픽의 크기(Payload size)를 이벤트 발생시 교환되는 유해 트래픽의 크기와 비교하여 일치하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 2 차 필터;
트래픽의 임계치를 근거로, 유입되는 트래픽에 대하여 설정된 시간 구간(Time Windows) 내에서 보호대상 안전구역의 허용 트래픽 임계치 및 출발지 IP 별 허용 트래픽 임계치와 비교하여 이를 초과하는 IP에 대하여 격리시키고 의심 IP로 처리하는 제 3 차 필터; 및
전송되는 패킷의 세션 테이블(Session Table)을 확인하여 해당 세션 테이블의 연결상태 정보가 연결상태를 알 수 없거나 잘못된 헤더인 경우 또는 새롭게 연결을 맺거나 이전의 연결추적 테이블에 보이지 않는 패킷인 경우 해당 트래픽을 격리 대상 트래픽으로 판별하여 격리시키고 해당 트래픽의 IP를 의심 IP로 처리하는 제 4 차 필터; 중 적어도 하나 이상을 포함하여 구성되는 것을 특징으로 하는 유해 트래픽 격리 시스템.
It communicates with the edge router that routes traffic in the monitored network, receives traffic by BGP command (BGP feeding) to the edge router, and examines the incoming traffic to determine harmful traffic from botnets or zombies To isolate and bypass normal traffic and forward normal traffic to the destination,
The harmful traffic isolation system,
An agent unit for setting a corresponding policy when an event occurs and inspecting and determining the traffic by receiving the traffic;
An isolation management unit for managing event information provided from the control system and transferring the blocking target policy information to the agent unit to apply a corresponding policy; And
An quarantine for storing harmful traffic determined from the agent unit; Including,
The agent unit,
A policy setting unit for setting a policy for a router;
A virtual router that receives traffic from the router;
A firewall for inspecting and filtering incoming traffic; And
A forwarding unit for forwarding normal traffic to the destination; Including;
The firewall,
Based on the IP of the traffic, the Zombie Fish IP or the botnet C & C server's IP is filtered and isolated, and the unknown IP is the source IP and the Zombie Fish's IP or Botnet C & C server's IP is the destination IP. A primary filter for filtering, isolating, and processing traffic into suspicious IPs;
Based on the repeatability of the traffic, comparing the payload size with the size of harmful traffic exchanged at the event occurrence, filtering a second traffic, isolating the matching traffic, and treating the suspected IP as a second filter;
Based on the traffic threshold, it compares with the allowed traffic threshold of the protected safe area and the allowable traffic threshold of each source IP within the time window set for incoming traffic, and isolates and exceeds the suspected IP as suspicious IP. A third order filter to process; And
Check the session table of the packet being sent, and if the link state information of the session table is unknown or invalid header, or if a new connection is made or the packet is not shown in the previous connection tracking table, the corresponding traffic A fourth order filter which discriminates and isolates the traffic as quarantine target traffic and treats the IP of the traffic as a suspicious IP; Harmful traffic isolation system, characterized in that it comprises at least one of.
상기 차단대상 정책 정보는 관제 시스템에서 주기적으로 전달되며, 봇넷 C&C(Command & Control) 서버의 IP와 좀비 피시(Zombie PC)의 IP가 포함되는 것을 특징으로 하는 유해 트래픽 격리 시스템.
The method of claim 1,
The blocking target policy information is periodically transmitted from the control system, and harmful traffic isolation system, characterized in that the IP of the botnet Command & Control (C & C) server and the IP of the zombie fish (Zombie PC).
상기 격리소는 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽을 저장하는 저장장치인 것을 특징으로 하는 유해 트래픽 격리 시스템.
The method of claim 1,
The quarantine is a harmful traffic isolation system, characterized in that the storage device for storing traffic determined as harmful traffic or suspicious traffic.
상기 방화벽은,
상기 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해, 검사되는 컨텐츠의 내용을 실제 이벤트의 유해 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키고 해당 IP를 의심 IP로 처리하는 제 2-1 차 필터; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 격리 시스템.
The method of claim 1,
The firewall,
In order to reduce the false positive rate during the filtering through the secondary filter, if the content of the inspected content is compared with the harmful content of the actual event, the traffic is filtered and quarantined, and the corresponding IP is treated as a suspicious IP. 2nd order filter; Hazardous traffic isolation system further comprising.
상기 에이전트부를 통해 이루어지는 격리 상황을 상기 격리 관리부가 모니터링 서버로 전달함으로써 관리자가 웹페이지를 통해 모니터링 서버로 접속하여 격리 정책을 관리 및 조회할 수 있도록 하는 것을 특징으로 하는 유해 트래픽 격리 시스템.
The method of claim 1,
Harmful traffic isolation system, characterized in that the administrator by the quarantine management through the agent unit to the monitoring server to connect to the monitoring server through a web page to manage and query the quarantine policy.
(b) 모니터링 대상 네트워크 및 안전구역에 대한 정보와 좀비 피시의 IP 및 봇넷 C&C 서버의 IP에 관한 정보를 수신하여 등록하는 단계;
(c) 해당 모니터링 대상 네트워크의 엣지 라우터에 BGP 명령(BGP Feeding)을 하여 트래픽을 가상 라우터를 통해 유도하여 유입받는 단계;
(d) 유입되는 트래픽에 대하여 내부 방화벽을 통해 트래픽에 대한 검사하여 유해 트래픽 여부를 판별하는 단계; 및
(e) 정상적인 트래픽으로 판별된 트래픽을 원목적지로 포워딩시키고 유해 트래픽 또는 의심 트래픽으로 판별된 트래픽은 격리소로 격리시켜 저장하는 단계; 를 포함하되,
상기 (d) 단계는,
트래픽의 IP를 근거로, 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 출발지 IP로 하는 트래픽을 필터링하여 격리시키며, 알려지지 않은 IP를 출발지 IP로 하여 좀비 피시의 IP 또는 봇넷 C&C 서버의 IP를 목적지 IP로 하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 1 차 필터 단계;
트래픽의 반복성을 근거로, 트래픽의 크기(Payload size)를 이벤트 발생시 교환되는 유해 트래픽의 크기와 비교하여 일치하는 트래픽을 필터링하여 격리시키고 의심 IP로 처리하는 제 2 차 필터 단계;
트래픽의 임계치를 근거로, 유입되는 트래픽에 대하여 설정된 시간 구간(Time Windows) 내에서 보호대상 안전구역의 허용 트래픽 임계치 및 출발지 IP 별 허용 트래픽 임계치와 비교하여 이를 초과하는 IP에 대하여 격리시키고 의심 IP로 처리하는 제 3 차 필터 단계; 및
전송되는 패킷의 세션 테이블(Session Table)을 확인하여 해당 세션 테이블의 연결상태 정보가 연결상태를 알 수 없거나 잘못된 헤더인 경우 또는 새롭게 연결을 맺거나 이전의 연결추적 테이블에 보이지 않는 패킷인 경우 해당 트래픽을 격리 대상 트래픽으로 판별하여 격리시키고 해당 트래픽의 IP를 의심 IP로 처리하는 제 4 차 필터 단계; 중 적어도 하나 이상의 단계를 수행하는 것을 특징으로 하는 유해 트래픽 격리 방법.
(a) receiving event information regarding a harmful traffic occurrence event from the control system;
(b) receiving and registering information on the monitored network and the safe area, and information on the IP of the zombie fish and the IP of the botnet C & C server;
(c) inducing traffic to the edge router of the corresponding network to be monitored by BGP feeding (BGP Feeding) to induce traffic through the virtual router;
(d) inspecting the incoming traffic through the internal firewall to determine whether harmful traffic is present; And
(e) forwarding traffic determined to be normal traffic to the destination and quarantining and storing traffic identified as harmful or suspicious traffic to an quarantine; Including but not limited to:
In step (d),
Based on the IP of the traffic, the Zombie Fish IP or the botnet C & C server's IP is filtered and isolated, and the unknown IP is the source IP and the Zombie Fish's IP or Botnet C & C server's IP is the destination IP. Filtering the traffic to be isolated and processing it as a suspect IP;
Based on the repeatability of the traffic, comparing the payload size with the size of harmful traffic exchanged when an event occurs, and filtering and isolating matching traffic and treating it as a suspect IP;
Based on the traffic threshold, it compares with the allowed traffic threshold of the protected safe area and the allowable traffic threshold of each source IP within the time window set for incoming traffic, and isolates and exceeds the suspected IP as suspicious IP. A third order filter step of processing; And
Check the session table of the packet being sent, and if the link state information of the session table is unknown or invalid header, or if a new connection is made or the packet is not shown in the previous connection tracking table, the corresponding traffic A fourth order filter step of discriminating and quarantining the traffic as quarantine target traffic and treating the traffic IP as a suspect IP; At least one of the above steps.
상기 (e) 단계에서 판별된 의심 트래픽의 IP는 의심 IP로서 방화벽에 전달되어 격리 대상 IP로 등록되는 것을 특징으로 하는 유해 트래픽 격리 방법.
The method of claim 9,
The malicious traffic isolation method according to claim (e), wherein the IP of the suspicious traffic determined in step (e) is transmitted to the firewall as a suspicious IP and registered as a quarantine target IP.
상기 (d) 단계는,
상기 제 2 차 필터를 통해 필터링하는 과정에서 오탐률을 줄이기 위해, 검사되는 컨텐츠의 내용을 실제 이벤트의 유해 컨텐츠와 비교하여 일치할 경우 해당 트래픽을 필터링하여 격리시키고 해당 IP를 의심 IP로 처리하는 제 2-1 차 필터 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 격리 방법.
The method of claim 9,
In step (d),
In order to reduce the false positive rate during the filtering through the secondary filter, if the content of the inspected content is compared with the harmful content of the actual event, the traffic is filtered and quarantined, and the corresponding IP is treated as a suspicious IP. 2-1st filter step; The harmful traffic isolation method further comprising.
상기 (d) 단계를 통해 이루어지는 유해 트래픽 격리 상황은 모니터링 서버로 전달되어 관리자가 웹페이지를 통해 모니터링 서버로 접속하여 격리 정책을 관리 및 조회할 수 있도록 하는 것을 특징으로 하는 유해 트래픽 격리 방법.
The method of claim 9,
The harmful traffic isolation situation made through the step (d) is delivered to the monitoring server so that the administrator can access the monitoring server through the web page and manage and query the isolation policy.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100012953A KR101006372B1 (en) | 2010-02-11 | 2010-02-11 | System and method for sifting out the malicious traffic |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100012953A KR101006372B1 (en) | 2010-02-11 | 2010-02-11 | System and method for sifting out the malicious traffic |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101006372B1 true KR101006372B1 (en) | 2011-01-05 |
Family
ID=43615892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100012953A KR101006372B1 (en) | 2010-02-11 | 2010-02-11 | System and method for sifting out the malicious traffic |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101006372B1 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101468601B1 (en) | 2014-03-13 | 2014-12-03 | 한국전자통신연구원 | Web server/web application server security management apparatus and method |
| KR101713907B1 (en) * | 2015-10-05 | 2017-03-09 | 주식회사 윈스 | Method and system for providing traffic correlation analysis service based on event generating time security network |
| US9674142B2 (en) | 2013-10-18 | 2017-06-06 | Kt Corporation | Monitoring network traffic |
| KR101987031B1 (en) * | 2018-11-22 | 2019-06-10 | (주)시큐레이어 | Method for providing visualization of information for network management and apparatus using the same |
| CN115277856A (en) * | 2022-07-25 | 2022-11-01 | 每日互动股份有限公司 | Flow screening method and system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030042318A (en) * | 2001-11-22 | 2003-05-28 | 한국전자통신연구원 | Attacker isolation method and system using packet filtering at the border router of ISP |
| KR20060103600A (en) * | 2005-03-28 | 2006-10-04 | 엘지엔시스(주) | Method and system for isolating the harmful traffic generating host from the network |
-
2010
- 2010-02-11 KR KR1020100012953A patent/KR101006372B1/en not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030042318A (en) * | 2001-11-22 | 2003-05-28 | 한국전자통신연구원 | Attacker isolation method and system using packet filtering at the border router of ISP |
| KR20060103600A (en) * | 2005-03-28 | 2006-10-04 | 엘지엔시스(주) | Method and system for isolating the harmful traffic generating host from the network |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9674142B2 (en) | 2013-10-18 | 2017-06-06 | Kt Corporation | Monitoring network traffic |
| KR101468601B1 (en) | 2014-03-13 | 2014-12-03 | 한국전자통신연구원 | Web server/web application server security management apparatus and method |
| US9444830B2 (en) | 2014-03-13 | 2016-09-13 | Electronics And Telecommunications Research Institute | Web server/web application server security management apparatus and method |
| KR101713907B1 (en) * | 2015-10-05 | 2017-03-09 | 주식회사 윈스 | Method and system for providing traffic correlation analysis service based on event generating time security network |
| KR101987031B1 (en) * | 2018-11-22 | 2019-06-10 | (주)시큐레이어 | Method for providing visualization of information for network management and apparatus using the same |
| CN115277856A (en) * | 2022-07-25 | 2022-11-01 | 每日互动股份有限公司 | Flow screening method and system |
| CN115277856B (en) * | 2022-07-25 | 2023-08-18 | 每日互动股份有限公司 | Flow screening method and system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10587636B1 (en) | System and method for bot detection | |
| US10230761B1 (en) | Method and system for detecting network compromise | |
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| US9319382B2 (en) | System, apparatus, and method for protecting a network using internet protocol reputation information | |
| US7653941B2 (en) | System and method for detecting an infective element in a network environment | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US7617533B1 (en) | Self-quarantining network | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| Kaur et al. | Comparison of network security tools-firewall, intrusion detection system and Honeypot | |
| EP1762028A2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
| KR20130124692A (en) | System and method for managing filtering information of attack traffic | |
| KR100973076B1 (en) | System for depending against distributed denial of service attack and method therefor | |
| KR101006372B1 (en) | System and method for sifting out the malicious traffic | |
| Innab et al. | Hybrid system between anomaly based detection system and honeypot to detect zero day attack | |
| EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
| Simkhada et al. | Security threats/attacks via botnets and botnet detection & prevention techniques in computer networks: a review | |
| Rajkumar et al. | Evolution for a secured path using NexGen firewalls | |
| KR20030042318A (en) | Attacker isolation method and system using packet filtering at the border router of ISP | |
| CN111541644A (en) | Illegal IP scanning prevention technology realized based on dynamic host configuration protocol | |
| Hussain | Use of Firewall and Ids To Detect and Prevent Network Attacks | |
| WO2005065023A2 (en) | Internal network security | |
| Ali et al. | Unified threat management system approach for securing sme's network infrastructure | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| OLUSEYE-PAUL | IMPLEMENTATION OF AN INTRUSION DETECTION SYSTEM ON MTU NETWORK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |