KR101072984B1 - SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC - Google Patents

SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC Download PDF

Info

Publication number
KR101072984B1
KR101072984B1 KR1020110011546A KR20110011546A KR101072984B1 KR 101072984 B1 KR101072984 B1 KR 101072984B1 KR 1020110011546 A KR1020110011546 A KR 1020110011546A KR 20110011546 A KR20110011546 A KR 20110011546A KR 101072984 B1 KR101072984 B1 KR 101072984B1
Authority
KR
South Korea
Prior art keywords
traffic
attack
target server
attack traffic
server
Prior art date
Application number
KR1020110011546A
Other languages
Korean (ko)
Other versions
KR20110093677A (en
Inventor
권오헌
김항진
Original Assignee
주식회사 유섹
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 유섹 filed Critical 주식회사 유섹
Priority to PCT/KR2011/000873 priority Critical patent/WO2011099773A2/en
Publication of KR20110093677A publication Critical patent/KR20110093677A/en
Application granted granted Critical
Publication of KR101072984B1 publication Critical patent/KR101072984B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Abstract

개시된 기술의 일 실시예에 따른 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템은 타깃 서버 및 상기 타깃 서버와 연관된 적어도 하나의 프록시 서버를 포함하는 제1 네트워크, 적어도 하나의 클라이언트와 GLB(Global Load Balancing) DNS를 포함하는 제2 네트워크 및 상기 제1 및 제2 네트워크들 간의 연동을 위한 연동 네트워크를 포함하고, 상기 GLB DNS는 상기 연동 네트워크를 통해 상기 타깃 서버로 향하는 트래픽을 분석하고, 공격 트래픽이 발생한 경우 비공격 트래픽을 상기 적어도 하나의 프록시 서버 중 하나로 안내한다.An attack traffic defense system for distributed denial of service attacks in accordance with an embodiment of the disclosed technology comprises a first network comprising a target server and at least one proxy server associated with the target server, at least one client and a global load balancing (GLB) A second network including a DNS and an interlocking network for interworking between the first and second networks, wherein the GLB DNS analyzes traffic destined for the target server through the interlocking network, and when attack traffic occurs; Direct non-attack traffic to one of the at least one proxy server.

Description

분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법 {SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC}Attack traffic defense system for distributed denial of service attack and its method {SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC}

개시된 기술은 분산 서비스 거부 공격의 방어 기술에 관한 것으로, 특히 분산 서비스 거부 공격의 대상에 대한 정상 접속자의 트래픽을 유지시킬 수 있는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 기술에 관한 것이다.The disclosed technique relates to a defense technique of a distributed denial of service attack, and more particularly, to an attack traffic defense technique for a distributed denial of service attack capable of maintaining traffic of a normal accessor to a target of a distributed denial of service attack.

DDoS(Distrubyte Denial of Service) 는 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 공격방법이다. Distrubyte Denial of Service (DDoS) is a hacking method that distributes multiple attackers simultaneously and denies a Denial of Service attack (DoS) to prevent the system from providing normal services.

기존의 DDoS 공격에 대한 방어 기술은, 공격 대상이 되는 타깃 서버에 대한 모든 네트워크 트래픽을 차단함으로써 타깃 서버를 보호하는 방법이 있다. 그러나 이러한 기존의 방어 기술은 비공격자의 트래픽을 구분하지 못하여 정상 접속자도 타깃 서버에 접속할 수 없어 실질적으로는 타깃 서버가 운영될 수 없는 문제점이 있다.The conventional defense against DDoS attacks is to protect the target server by blocking all network traffic to the target server. However, such a conventional defense technology can not distinguish the traffic of non-attack, so even normal users can not connect to the target server, there is a problem that the target server can not operate.

실시예들 중에서, 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템은 타깃 서버 및 상기 타깃 서버와 연관된 적어도 하나의 프록시 서버를 포함하는 제1 네트워크, 적어도 하나의 클라이언트와 GLB(Global Load Balancing) DNS를 포함하는 제2 네트워크 및 상기 제1 및 제2 네트워크들 간의 연동을 위한 연동 네트워크를 포함하고, 상기 GLB DNS는 상기 연동 네트워크를 통해 상기 타깃 서버로 향하는 트래픽을 분석하고, 공격 트래픽이 발생한 경우 비공격 트래픽을 상기 적어도 하나의 프록시 서버 중 하나로 안내한다.Among the embodiments, the attack traffic defense system for distributed denial of service attacks includes a first network comprising a target server and at least one proxy server associated with the target server, at least one client and a Global Load Balancing (GLB) DNS. A second network and an interworking network for interworking between the first and second networks, wherein the GLB DNS analyzes the traffic destined for the target server through the interworking network, and, when attack traffic occurs, non-attack traffic To one of the at least one proxy server.

실시예들 중에서, 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템은 복수의 네트워크들 및 상기 복수의 네트워크들을 연결하는 연동 네트워크에 대한 것이다. 상기 공격 트래픽 방어 시스템은 상기 복수의 네트워크 각각에 위치하는 프록시 서버들 및 상기 복수의 네트워크 각각에 위치하고, 타깃 서버에 대한 비공격 트래픽을 상기 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 제1 프록시 서버로 안내하는 GLB DNS(Domaion Name Server)들을 포함하고, 상기 적어도 하나의 제1 프록시 서버는 수신된 트래픽을 상기 타깃 서버로 안내한다.Among the embodiments, the attack traffic defense system for distributed denial of service attacks is directed to a plurality of networks and an interworking network connecting the plurality of networks. The attack traffic defense system includes at least one first proxy server located in each of the plurality of networks and proxy servers located in the plurality of networks, and the non-attack traffic for the target server located in the same network as the target server. GLB Domain Name Servers (DNS) that direct the server to the at least one first proxy server to direct the received traffic to the target server.

실시예들 중에서, 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법은 (a) 트래픽을 분석하여 분산 서비스 거부 공격 여부 및 그에 해당하는 타깃 서버를 식별하는 단계, (b) 상기 타깃 서버에 대한 트래픽을 분석하여 공격 트래픽과 비공격 트래픽을 구분하는 단계 및 (c) 상기 비공격 트래픽을 상기 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 프록시 서버를 이용하여 우회시키는 단계를 포함한다.Among the embodiments, the attack traffic defense method for a distributed denial of service attack includes (a) analyzing the traffic to identify whether the distributed denial of service attack and a corresponding target server, (b) analyzing the traffic for the target server And distinguishing the attack traffic from the non-attack traffic, and (c) bypassing the non-attack traffic using at least one proxy server located in the same network as the target server.

도 1은 개시된 기술이 적용될 수 있는 공격 트래픽 방어 시스템의 일 실시예에 따른 구성도이다.
도 2는 개시된 기술의 일 실시예에 따른 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법에 대한 블록도이다.
도 3은 도 2의 공격 트래픽 방어 방법에 대한 순서도이다.1 is a configuration diagram according to an embodiment of an attack traffic defense system to which the disclosed technology may be applied.
2 is a block diagram of an attack traffic defense method for distributed denial of service attacks according to an embodiment of the disclosed technology.
3 is a flow chart for the attack traffic defense method of FIG.

개시된 기술에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.The description of the disclosed technique is merely an example for structural or functional explanation and the scope of the disclosed technology should not be construed as being limited by the embodiments described in the text. That is, the embodiments may be variously modified and may have various forms, and thus the scope of the disclosed technology should be understood to include equivalents capable of realizing the technical idea.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.

"및/또는"의 용어는 하나 이상의 관련 항목으로부터 제시 가능한 모든 조합을 포함하는 것으로 이해되어야 한다. 예를 들어, "제1 항목, 제2 항목 및/또는 제3 항목"의 의미는 제1, 제2 또는 제3 항목뿐만 아니라 제1, 제2 또는 제3 항목들 중 2개 이상으로부터 제시될 수 있는 모든 항목의 조합을 의미한다.The term “and / or” should be understood to include all combinations that can be presented from one or more related items. For example, the meaning of "first item, second item and / or third item" may be presented from two or more of the first, second or third items as well as the first, second or third item It means a combination of all the items that can be.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring to", should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to features, numbers, steps, operations, components, parts, or parts thereof described. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Commonly used predefined terms should be interpreted to be consistent with the meanings in the context of the related art and can not be interpreted as having ideal or overly formal meaning unless explicitly defined in the present application.

도 1은 개시된 기술이 적용될 수 있는 공격 트래픽 방어 시스템의 일 실시예에 따른 구성도이다. 1 is a configuration diagram according to an embodiment of an attack traffic defense system to which the disclosed technology may be applied.

도 1을 참조하면, 공격 트래픽 방어 시스템은 복수의 네트워크들로 구성된 환경에서 구현된다. Referring to Figure 1, the attack traffic defense system is implemented in an environment consisting of a plurality of networks.

네트워크는 ISP(Internet Service Provider)에 의하여 제공되는 네트워크(100a 내지 100d)들과 이들을 연동하는 연동 네트워크(Internet eXchange-IX, 101)로 구성된다. 연동 네트워크(101)는 국내의 네트워크 간의 연동을 수행하여 국내 데이터가 해외 회선을 거쳐서 전송되지 않고 빠르게 전송, 수신 될 수 있도록 할 수 있다. The network is composed of networks 100a to 100d provided by an ISP (Internet Service Provider) and an interworking network (Internet eXchange-IX, 101) interworking them. The interlocking network 101 may perform interworking between domestic networks so that domestic data may be quickly transmitted and received without being transmitted through an overseas line.

DDoS 공격이 발생하면, 다른 네트워크에 비하여 대역폭이 적은 연동 네트워크(101)가 먼저 부하를 일으키게 되고, 연동 네트워크(101)는 자체의 운영을 위하여 DDoS 공격의 타깃 서버(140)로 향하는, 즉, 수신 IP가 타깃 서버의 IP인 패킷들을 모두 차단할 수 있다. When a DDoS attack occurs, the interworking network 101 with less bandwidth than other networks causes the load first, and the interworking network 101 is directed to the target server 140 of the DDoS attack for its operation, that is, the reception is performed. You can block all packets whose IP is that of the target server.

각 네트워크들(100a 내지 100d)에는 프록시 서버들(110a 내지 110d)과 GLB DNS(Domain Name Server)들(120a 내지 120d)가 위치하고 있다. Proxy servers 110a-110d and GLB Domain Name Servers (DNS) 120a-120d are located in each of the networks 100a-100d.

이하에서는, 설명의 편의를 위하여 타깃 서버(140)가 네트워크 100a에 존재하고, 네트워크 100c에 설치된 GLB(Global Load Balancing) DNS를 예로 들어 설명하나, 다른 네트워크들(100b, 100d)에 설치된 GLB DNS(120b, 120d)에서도 이에 해당하는 동작들을 수행할 수 있다.In the following description, the target server 140 exists in the network 100a for convenience of description, and the Global Load Balancing (GLB) DNS installed in the network 100c will be described as an example. However, the GLB DNS ( The operations corresponding to the same may also be performed at 120b and 120d.

도 1을 참조하여 공격 트래픽 방어 시스템의 일 실시예에 대하여 설명한다. 본 일 실시예는 네트워크를 중심으로 설명한다. An embodiment of an attack traffic defense system will be described with reference to FIG. 1. This embodiment will be described based on the network.

본 실시예는 타깃 서버(140)가 존재하는 제1 네트워크, 클라이언트가 존재하고 제1 네트워크(100a)가 아닌 네트워크 중 적어도 하나인 제2 네트워크(100c) 및 제1 및 제2 네트워크들 간의 연동을 위한 연동 네트워크(101)를 포함한다. According to the present embodiment, interworking between the first and second networks and the second network 100c, which is at least one of a first network in which the target server 140 exists and a network in which the client exists and is not the first network 100a, is performed. Interworking network (101).

제1 네트워크(100a)는 타깃 서버(140) 및 타깃 서버와 연관된 적어도 하나의 프록시 서버(110a)를 포함할 수 있다. The first network 100a may include a target server 140 and at least one proxy server 110a associated with the target server.

제 2네트워크(100c)는 적어도 하나의 클라이언트와 GLB DNS(120c)를 포함할 수 있다.The second network 100c may include at least one client and GLB DNS 120c.

여기에서, GLB DNS(120c)는 연동 네트워크(101)를 통해 타깃 서버(140)로 향하는 클라이언트의 트래픽을 분석하고, 공격 트래픽이 발생한 경우 비공격 트래픽을 적어도 하나의 프록시 서버(110a) 중 하나로 안내할 수 있다.Here, the GLB DNS 120c analyzes traffic of a client destined for the target server 140 through the interworking network 101, and guides non-attack traffic to one of the at least one proxy server 110a when attack traffic occurs. can do.

더 상세히 설명하면, GLB DNS(120c)는 자신이 속한 네트워크(100c)에서 도메인네임 서버 역할을 수행할 수 있다. GLB DNS(120c)는 자신이 속한 네트워크(100c)로부터 타깃 서버(140)로 향하는 트래픽을 분석하여 공격 트래픽과 비공격 트래픽을 구분할 수 있다. 예를 들어, GLB DNS(120c)는 타깃 서버(140)의 IP를 직접 지정하는 트래픽을 공격 트래픽으로 판단할 수 있고, 타깃 서버(140)의 도메인 네임을 대상으로 하는 트래픽을 비공격 트래픽으로 판단할 수 있다. 이는, DDoS 공격의 일반적인 경우는 클라이언트의 사용자의 의도에 상관없이 악성코드나 이메일 등을 통하여 일반 사용사의 PC를 감염시켜 이른바 좀비 PC를 다수로 생성한 후 C&C(명령제어)서버의 제어를 통하여 특정한 시간대에 특정한 IP(타깃 서버의 IP)를 대상으로 이루어지기 때문이다. 즉, 좀비 PC의 DDoS 공격을 위한 트래픽은 타깃 서버의 IP를 직접 지정한 패킷들로 이루어지는 반면에, 정상 사용자의 비공격 트래픽은 타깃 서버(140)의 도메인 네임을 이용한 패킷들로 이루질 수 있기 때문이다. In more detail, the GLB DNS 120c may serve as a domain name server in the network 100c to which the GLB DNS 120c belongs. The GLB DNS 120c may distinguish the attack traffic from the non-attack traffic by analyzing the traffic destined for the target server 140 from the network 100c to which the GLB DNS 120c belongs. For example, the GLB DNS 120c may determine traffic that directly specifies the IP of the target server 140 as attack traffic, and determine traffic that is a domain name of the target server 140 as non-attack traffic. can do. This is a common case of DDoS attacks, regardless of the user's intention of the client, by infecting the general user's PC through malware or e-mail, creating a large number of so-called zombie PCs, and then controlling the C & C (command control) server. This is because the IP is targeted to a specific time zone (the IP of the target server). That is, since traffic for DDoS attack of a zombie PC is composed of packets directly specifying the IP of the target server, non-attack traffic of a normal user may be composed of packets using the domain name of the target server 140. to be.

GLB DNS(120c)는 비공격 트래픽를 타깃 서버가 존재하는 네트워크의 프록시 서버(110a)로 안내할 수 있다. 여기에서, 프록시 서버(110a)는 하나 또는 복수의 서버군으로 이루어질 수 있고, GLB DNS(120c)는 하나의 프록시 서버 또는 복수의 프록시 서버 중 적어도 하나(110a)로 비공격 트래픽을 안내할 수 있다.GLB DNS 120c may direct non-attack traffic to proxy server 110a of the network where the target server exists. Here, the proxy server 110a may be composed of one or a plurality of server groups, and the GLB DNS 120c may direct non-attack traffic to at least one 110a of one proxy server or a plurality of proxy servers. .

여기에서, GLB DNS는 다른 도메인 네임 서버의 앞 단에 설치되어 기능하는 것이 바람직하다. 이는 일반 도메인네임 서버에 의하여 비공격 트래픽이 타깃 IP를 직접 지정하게 되면, 공격 트래픽과 구분하기 어려워지기 때문이다. 따라서, 각 네트워크는 GLB DNS가 앞 단에 설치된 2중화된 도메인네임 서버군을 구성하는 것이 바람직할 것이다.Here, GLB DNS is preferably installed in front of other domain name servers to function. This is because when the non-attack traffic directly specifies the target IP by the general domain name server, it is difficult to distinguish it from the attack traffic. Therefore, it is preferable that each network constitutes a group of dual domain name servers in which GLB DNS is installed at the front.

프록시 서버(110a)는 GLB DNS로부터 안내된 비공격 트래픽을 타깃 서버(140)로 안내할 수 있다. 이러한 GLB DNS(120a) 및 프록시 서버(110a)의 트래픽 안내에 의하여, 정상 사용자의 트래픽은 논리적으로 연동 네트워크(101)가 아닌 가상 우회 네트워크를 통하여 접속됨을 알 수 있다.The proxy server 110a may direct the non-attack traffic directed from the GLB DNS to the target server 140. By the traffic guidance of the GLB DNS 120a and the proxy server 110a, it can be seen that the traffic of the normal user is logically connected through the virtual bypass network rather than the interworking network 101.

연동 네트워크(101)는 DDoS 공격이 발생하면, 연동 네트워크를 경유하는 패킷들을 검사하고, 타깃 서버(140)의 IP를 목적지로 하는 트래픽들을 차단할 수 있다. 따라서, 공격 트래픽은 연동 네트워크(101)를 통하여 차단될 수 있으나, 비공격 트래픽은 타깃 서버(140)의 IP를 목적지로 하지 않고 해당 프록시 서버(110a)의 IP를 목적지로 하므로 연동 네트워크(101)에 의하여 차단되지 않는다.When the DDoS attack occurs, the interworking network 101 may inspect packets passing through the interworking network and block traffic destined for the IP of the target server 140. Therefore, the attack traffic may be blocked through the interworking network 101, but the non-attack traffic does not use the IP of the target server 140 as a destination but the IP of the proxy server 110a. It is not blocked by

도 1을 참조하여 공격 트래픽 방어 시스템의 다른 일 실시예에 대하여 설명한다. 본 일 실시예는 각 서버를 중심으로 설명한다.Another embodiment of an attack traffic defense system will be described with reference to FIG. 1. This embodiment will be described based on each server.

본 일 실시예는 복수의 네트워크 각각에 위치하는 프록시 서버들(110a 내지 110d) 및 복수의 네트워크 각각에 위치한 GLB DNS들(120a 내지 120d)을 포함한다.This embodiment includes proxy servers 110a through 110d located in each of the plurality of networks and GLB DNSs 120a through 120d located in each of the plurality of networks.

GLB DNS(120c)는 타깃 서버(140)에 대한 비공격 트래픽을 제1 프록시 서버(110a)로 안내할 수 있다. 여기에서, 제1 프록시 서버(110a)는 타깃 서버(140)와 동일한 네트워크에 존재한다. 일 실시예에서 GLB DNS(120c)는 자기와 동일한 네트워크에 속한 적어도 하나의 클라이언트의 비공격 트래픽에 대하여 상기 제1 프록시 서버로 안내할 수 있다.The GLB DNS 120c may direct the non-attack traffic to the target server 140 to the first proxy server 110a. Here, the first proxy server 110a is in the same network as the target server 140. In one embodiment, GLB DNS 120c may direct the first proxy server to the non-attack traffic of at least one client belonging to the same network.

프록시 서버(110a)는 수신된 트래픽을 타깃 서버(140)로 안내할 수 있다. The proxy server 110a may direct the received traffic to the target server 140.

일 실시예에서, 공격 트래픽 방어 시스템은 공격 분석장치(130)를 더 포함할 수 있다. 공격 분석장치(130)는 트래픽을 분석하여 공격 트래픽과 상기 비공격 트래픽을 구분하고, 식별된 비공격 트래픽에 대한 정보를 GLB DNS(120a 내지 120d)에 제공할 수 있다. 공격 분석장치(130)는 복수의 네트워크들(100a 내지 100d) 각각 또는 적어도 어느 하나에 설치될 수도 있고 연동 네트워크(101)에 설치될 수 있다. 공격 분석장치(130)는 타깃 서버(140)의 IP를 직접 지정하는 트래픽을 공격 트래픽으로 판단하고, 타깃 서버(140)의 도메인 네임을 대상으로 하는 트래픽을 비공격 트래픽으로 판단할 수 있다.In one embodiment, the attack traffic defense system may further include an attack analyzer 130. The attack analysis device 130 may analyze the traffic to distinguish the attack traffic from the non-attack traffic, and provide information on the identified non-attack traffic to the GLB DNS 120a to 120d. The attack analysis device 130 may be installed in each or at least one of the plurality of networks 100a to 100d or may be installed in the companion network 101. The attack analysis device 130 may determine traffic that directly specifies the IP of the target server 140 as attack traffic, and determine traffic that is a domain name of the target server 140 as non-attack traffic.

일 실시예에서, 공격 트래픽 방어 시스템은 관제 서버(미도시)를 더 포함할 수 있다. 관제 서버는 GLB DNS들(120a 내지 120d), 프록시 서버들(110a 내지 110d), 복수의 네트워크(100a 내지 110d 또는 101)에 설치된 적어도 하나의 네트워크 장비 중 적어도 하나에 타깃 서버(140)의 IP를 제공할 수 있다. 여기에서, 관제 서버는 공격 분석장치(130)로부터 DDoS 공격이 시작되었는지에 대한 정보 및 해당 타깃 서버의 IP를 제공받을 수 있고, 이러한 정보를 GLB DNS들(120a 내지 120d) 등에 제공할 수 있다. 관제 서버는 복수의 네트워크들(100a 내지 100d) 각각 또는 적어도 어느 하나에 설치될 수도 있고 연동 네트워크(101)에 설치될 수 있다. 여기에서, 관제 서버는 공격 트래픽을 발생시키는 공격 클라이언트에 대한 정보(예컨대, 공격 클라이언트의 IP를 포함하는 블랙리스트 IP)를 수집하고 이를 다른 네트워크의 관제 서버, GLB DNS들 또는 기타 네트워크 제어 장비에 제공할 수 있다. 관제 서버는 공격 클라이언트에 대하여 현재 DDoS 공격을 수행하고 있다는 알림 메시지를 제공할 수 있다. In one embodiment, the attack traffic defense system may further comprise a control server (not shown). The control server may assign an IP of the target server 140 to at least one of GLB DNSs 120a through 120d, proxy servers 110a through 110d, and at least one network device installed in the plurality of networks 100a through 110d or 101. Can provide. Here, the control server may be provided with information on whether the DDoS attack has been initiated from the attack analysis device 130 and the IP of the target server, and may provide such information to GLB DNSs 120a to 120d. The control server may be installed in each or at least one of the plurality of networks 100a to 100d or may be installed in the interworking network 101. Here, the control server collects information about the attacking client generating the attack traffic (eg, the blacklisted IP including the attacking client's IP) and provides it to the control server, GLB DNSs or other network control equipment of another network. can do. The control server may provide a notification message to the attacking client that it is currently performing a DDoS attack.

도 2는 개시된 기술의 일 실시예에 따른 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법에 대한 블록도이고, 도 3은 도 2의 공격 트래픽 방어 방법에 대한 순서도이다.FIG. 2 is a block diagram illustrating an attack traffic defense method for a distributed denial of service attack according to an embodiment of the disclosed technology, and FIG. 3 is a flowchart illustrating the attack traffic defense method of FIG. 2.

도 2를 참조하면, 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법은 (a) 트래픽을 분석하여 분산 서비스 거부 공격 여부 및 그에 해당하는 타깃 서버를 식별하는 단계, (b) 타깃 서버에 대한 트래픽을 분석하여 공격 트래픽과 비공격 트래픽을 구분하는 단계 및 (c) 비공격 트래픽을 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 프록시 서버를 이용하여 우회시키는 단계를 포함한다.Referring to FIG. 2, the attack traffic defense method for the distributed denial of service attack may include (a) analyzing traffic to identify whether the distributed denial of service attack and a corresponding target server are performed, and (b) analyzing traffic to the target server. And distinguishing the attack traffic from the non-attack traffic, and (c) bypassing the non-attack traffic by using at least one proxy server located in the same network as the target server.

도 3을 참조하여 더 상세히 설명하면, 공격 트래픽 방어 방법은 트래픽을 분석하고(단계 S310), 분산 서비스 거부 공격 여부(단계 S320, 예) 및 그에 해당하는 타깃 서버를 식별한다(단계 S330). 이후, 타깃 서버에 대한 트래픽을 분석하여 공격 트래픽과 비공격 트래픽을 구분하고(단계 S340), 비공격 트래픽을 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 프록시 서버를 이용하여 우회시킨다(단계 S350).Referring to FIG. 3, the attack traffic defense method analyzes traffic (step S310), identifies whether a distributed denial of service attack (step S320, YES), and a corresponding target server (step S330). Thereafter, traffic for the target server is analyzed to distinguish attack traffic from non-attack traffic (step S340), and the non-attack traffic is bypassed using at least one proxy server located on the same network as the target server (step S350). .

공격 트래픽과 비공격 트래픽을 구분하기 위하여(단계 S340), 공격 트래픽 방어 방법은 타깃 서버의 IP를 직접 지정하는 트래픽을 공격 트래픽으로 판단할 수 있고, 타깃 서버의 도메인 네임을 대상으로 하는 트래픽을 비공격 트래픽으로 판단할 수 있다. In order to distinguish the attack traffic from the non-attack traffic (step S340), the attack traffic defense method may determine the traffic that directly specifies the IP of the target server as the attack traffic, and deny the traffic targeting the domain name of the target server. It can be determined by the attack traffic.

비공격 트래픽을 우회시키기 위하여(단계 S350), 공격 트래픽 방어 방법은 비공격 트래픽을 적어도 하나의 프록시 서버로 안내하고, 적어도 하나의 프록시 서버에 타깃 서버의 IP를 제공할 수 있다. 더 상세히 설명하면, 비공격 트래픽은 타깃 서버의 도메임 네임을 대상으로 하는 트래픽일 수 있으므로, 공격 트래픽 방어 방법은 타깃 서버의 IP를 대체하여 타깃 서버와 연관된 프록시 서버의 IP를 제공할 수 있다. 이로 인하여, 연동 네트워크에서 타깃 서버의 IP를 지정하는 패킷들을 모두 차단하더라도 정상 트래픽은 이에 해당하지 않으므로 연동 네트워크의 차단을 우회할 수 있다. 프록시 서버는 수신한 비공격 트래픽을 타겟 서버에 제공해야 하므로, 공격 트래픽 방어 방법은 프록시 서버에 해당 타깃 서버의 IP를 제공할 수 있다.In order to bypass the non-attack traffic (step S350), the attack traffic defense method may direct the non-attack traffic to the at least one proxy server and provide the IP of the target server to the at least one proxy server. In more detail, since the non-attack traffic may be traffic targeting the domain name of the target server, the attack traffic defense method may replace the target server's IP to provide the IP of the proxy server associated with the target server. Accordingly, even if all the packets specifying the IP of the target server are blocked in the interlocked network, normal traffic does not correspond to this, and thus, the interworking network may be blocked. Since the proxy server must provide the received non-attack traffic to the target server, the attack traffic defense method can provide the proxy server with the IP of the target server.

일 실시예에서, 공격 트래픽 방어 방법은 공격 트래픽을 발생시키는 적어도 하나의 클라이언트에 대하여 알림 메시지를 전송할 수 있다. 이는 공격 트래픽을 발생하는 패킷을 분석하여 발신 IP를 확인함으로써 실시될 수 있으며, 이를 통하여 공격 클라이언트가 자신도 모르게 감염된 좀비 PC인 경우 이를 사용자에게 알려줄 수 있다. 여기에서, 알림 메시지는 해당 클라이언트가 DDoS 공격을 수행하고 있다는 점, 좀비 PC 해당 여부를 확인할 수 있는 정보, 좀비 PC에 관련된 악의적 프로그램을 삭제 등을 하는 방법, 좀비 PC를 예방하기 위한 정보 등을 포함할 수 있다.In one embodiment, the attack traffic defense method may send a notification message to at least one client generating attack traffic. This can be done by analyzing the packet generating the attack traffic and confirming the originating IP. Through this, the attack client can inform the user if the attacking client is an infected zombie PC. Here, the notification message includes the fact that the client is performing a DDoS attack, information to confirm whether or not the zombie PC is applicable, how to delete malicious programs related to the zombie PC, information to prevent the zombie PC, etc. can do.

도 2 및 도 3을 참조하여 전술한 공격 트래픽 방어 방법은 도 1의 GLB DNS에 의하여 실시될 수도 있고, 또는 GLB DNS, 공격 분석 장치 및 관제 서버 중 적어도 하나에 의하여 실시될 수도 있다. 이는 GLB DNS, 공격 분석 장치 및 관제 서버를 논리적으로는 구분할 수 있으나, 구현상에 있어서는 하나의 서버로서 동작하도록 구현할 수 있기 때문이다. The attack traffic defense method described above with reference to FIGS. 2 and 3 may be implemented by the GLB DNS of FIG. 1 or by at least one of the GLB DNS, the attack analysis device, and the control server. This is because GLB DNS, attack analysis device, and control server can be logically distinguished, but can be implemented to operate as one server in implementation.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다. The disclosed technique may have the following effects. It is to be understood, however, that the scope of the disclosed technology is not to be construed as limited thereby, as it is not meant to imply that a particular embodiment should include all of the following effects or only the following effects.

일 실시예에 따른 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템은 DDoS 공격이 실시되더라도 연동 네트워크 및 타깃 서버를 정상적으로 운영할 수 있다. 공격 트래픽을 구분하여 연동 네트워크 단에서 차단하므로 연동 네트워크의 대역폭을 확보하면서도 타깃 서버에 부하를 없엘 수 있기 때문이다.The attack traffic defense system for the distributed denial of service attack according to an embodiment may normally operate the interworking network and the target server even if the DDoS attack is performed. This is because the attack traffic is divided and blocked at the interlocking network, so that the bandwidth of the interlocking network can be secured while the load on the target server can be eliminated.

또한, 일 실시예에 따른 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템은 DDoS 공격을 방어하면서도 정상 사용자의 접속을 보장할 수 있다. 비공격 트래픽을 식별하여 타깃 서버에 대한 우회 네트워크를 제공할 수 있기 때문이다.In addition, the attack traffic defense system for a distributed denial of service attack according to an embodiment can ensure the access of the normal user while defending the DDoS attack. This is because it can identify non-attack traffic and provide a bypass network to the target server.

상기에서는 본 출원의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 출원의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 출원을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
Although described above with reference to a preferred embodiment of the present application, those skilled in the art various modifications and changes to the present application without departing from the spirit and scope of the present application described in the claims below I can understand that you can.

Claims (14)

타깃 서버 및 상기 타깃 서버와 연관된 적어도 하나의 프록시 서버를 포함하는 제1 네트워크;
적어도 하나의 클라이언트와 GLB(Global Load Balancing) DNS를 포함하는 제2 네트워크; 및
상기 제1 및 제2 네트워크들 간의 연동을 위한 연동 네트워크를 포함하고,
상기 GLB DNS는 상기 연동 네트워크를 통해 상기 타깃 서버로 향하는 트래픽을 분석하고, 공격 트래픽이 발생한 경우 비공격 트래픽을 상기 적어도 하나의 프록시 서버 중 하나로 안내하고, 상기 적어도 하나의 프록시 서버는 상기 GLB DNS로부터 안내된 상기 비공격 트래픽을 상기 타깃 서버로 안내하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
A first network comprising a target server and at least one proxy server associated with the target server;
A second network comprising at least one client and a Global Load Balancing (GLB) DNS; And
Including a interworking network for interworking between the first and second networks,
The GLB DNS analyzes the traffic destined for the target server through the interworking network, and directs non-attack traffic to one of the at least one proxy server when an attack traffic occurs, and the at least one proxy server is configured from the GLB DNS. And attack traffic defense system for distributed denial of service attacks, wherein the guided non-attack traffic is directed to the target server.
제1항에 있어서, 상기 GLB DNS는
상기 타깃 서버의 IP(Internet Protocol)를 직접 지정하는 트래픽을 상기 공격 트래픽으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
The method of claim 1, wherein the GLB DNS is
And a traffic that directly designates an Internet Protocol (IP) of the target server as the attack traffic.
제1항에 있어서, 상기 GLB DNS는
상기 타깃 서버의 도메인 네임을 대상으로 하는 트래픽을 비공격 트래픽으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
The method of claim 1, wherein the GLB DNS is
Attack traffic defense system for a distributed denial of service attack, characterized in that for determining the traffic to the domain name of the target server as non-attack traffic.
삭제delete 제1항에 있어서, 상기 연동 네트워크는
상기 타킷 서버에 대하여 DDoS 공격이 발생하면, 상기 타깃 서버의 IP에 해당하는 트래픽을 차단하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
The method of claim 1, wherein the interworking network is
If a DDoS attack occurs against the target server, the attack traffic defense system for a distributed denial of service attack, characterized in that to block the traffic corresponding to the IP of the target server.
복수의 네트워크들 및 상기 복수의 네트워크들을 연결하는 연동 네트워크에 대한 공격 트래픽 방어 시스템에 있어서,
상기 복수의 네트워크 각각에 위치하는 프록시 서버들;
상기 복수의 네트워크 각각에 위치하고, 타깃 서버에 대한 비공격 트래픽을 상기 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 제1 프록시 서버로 안내하는 GLB DNS(Domaion Name Server)들; 및
트래픽을 분석하여 공격 트래픽과 상기 비공격 트래픽을 구분하고, 상기 식별된 비공격 트래픽에 대한 정보를 상기 GLB DNS에 제공하는 공격 분석장치를 포함하고,
상기 적어도 하나의 제1 프록시 서버는 수신된 트래픽을 상기 타깃 서버로 안내하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
In the attack traffic defense system for a plurality of networks and a coordinated network connecting the plurality of networks,
Proxy servers located in each of the plurality of networks;
GLB Domain Name Servers (DNS) located in each of the plurality of networks and directing non-attack traffic to a target server to at least one first proxy server located on the same network as the target server; And
And analyzing the traffic to classify the attack traffic and the non-attack traffic, and providing the GLB DNS with information about the identified non-attack traffic,
The at least one first proxy server directs the received traffic to the target server.
삭제delete 제6항에 있어서, 상기 공격 분석장치는
상기 타깃 서버의 IP를 직접 지정하는 트래픽을 상기 공격 트래픽으로 판단하고, 상기 타깃 서버의 도메인 네임을 대상으로 하는 트래픽을 비공격 트래픽으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
The method of claim 6, wherein the attack analysis device
It is determined that the traffic that directly specifies the IP of the target server as the attack traffic, and the attack traffic defense system for distributed denial of service attacks, characterized in that the traffic targeting the domain name of the target server is determined as non-attack traffic .
제6항에 있어서, 상기 공격 트래픽 방어 시스템은
상기 GLB DNS들, 상기 프록시 서버들, 상기 복수의 네트워크에 설치된 적어도 하나의 네트워크 장비 중 적어도 하나에 상기 타깃 서버의 IP를 제공하는 적어도 하나의 관제 서버를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
The system of claim 6, wherein the attack traffic defense system is
Distributed denial of service attack further comprising at least one control server for providing the IP of the target server to at least one of the GLB DNS, the proxy server, at least one network equipment installed in the plurality of networks Attack traffic defense system against.
제9항에 있어서, 상기 적어도 하나의 관제 서버는
상기 공격 트래픽을 발생하는 클라이언트에 대한 정보를 수집하여 상기 GLB DNS들에 제공하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템.
10. The method of claim 9, wherein the at least one control server
The attack traffic defense system for distributed denial of service attacks, characterized in that for collecting the information about the client generating the attack traffic to the GLB DNS.
(a) 트래픽을 분석하여 분산 서비스 거부 공격 여부 및 그에 해당하는 타깃 서버를 식별하는 단계;
(b) 상기 타깃 서버에 대한 트래픽을 분석하여 공격 트래픽과 비공격 트래픽을 구분하는 단계; 및
(c) 상기 비공격 트래픽을 상기 타깃 서버와 동일한 네트워크에 위치하는 적어도 하나의 프록시 서버로 안내하는 단계; 및
(d) 상기 적어도 하나의 프록시 서버에 상기 타깃 서버의 IP를 제공하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법.
(a) analyzing the traffic to identify whether there is a distributed denial of service attack and a corresponding target server;
(b) analyzing traffic for the target server to differentiate attack traffic from non-attack traffic; And
(c) directing the non-attack traffic to at least one proxy server located in the same network as the target server; And
(d) providing the at least one proxy server with the IP of the target server.
제11항에 있어서, 상기 (b) 단계는
(b-1) 상기 타깃 서버의 IP를 직접 지정하는 트래픽을 상기 공격 트래픽으로 판단하는 단계 및
(b-2) 상기 타깃 서버의 도메인네임을 대상으로 하는 트래픽을 상기 비공격 트래픽으로 판단하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법.
The method of claim 11, wherein step (b)
(b-1) determining the traffic directly specifying the IP of the target server as the attack traffic; and
and (b-2) determining the traffic targeting the domain name of the target server as the non-attack traffic.
삭제delete 제11항에 있어서, 상기 공격 트래픽 방어 방법은,
상기 공격 트래픽을 발생시키는 적어도 하나의 클라이언트에 대하여 알림 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격에 대한 공격 트래픽 방어 방법.
The method of claim 11, wherein the attack traffic defense method,
And transmitting a notification message to at least one client generating the attack traffic.
KR1020110011546A 2010-02-10 2011-02-09 SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC KR101072984B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2011/000873 WO2011099773A2 (en) 2010-02-10 2011-02-09 Protection system and method against distributed denial of service attack traffic

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20100012303 2010-02-10
KR1020100012303 2010-02-10

Publications (2)

Publication Number Publication Date
KR20110093677A KR20110093677A (en) 2011-08-18
KR101072984B1 true KR101072984B1 (en) 2011-10-12

Family

ID=44930261

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110011546A KR101072984B1 (en) 2010-02-10 2011-02-09 SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC

Country Status (1)

Country Link
KR (1) KR101072984B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101379803B1 (en) * 2012-07-04 2014-03-31 주식회사 비씨클라우드 System for distributing abnormal traffic and method of distributing abnormal traffice using the same
US9762546B2 (en) 2013-06-27 2017-09-12 Jeong Hoan Seo Multi-connection system and method for service using internet protocol

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100920739B1 (en) * 2009-07-24 2009-10-07 주식회사 시소아이티 System and method for holding dos/ddos attack

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100920739B1 (en) * 2009-07-24 2009-10-07 주식회사 시소아이티 System and method for holding dos/ddos attack

Also Published As

Publication number Publication date
KR20110093677A (en) 2011-08-18

Similar Documents

Publication Publication Date Title
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
JP7250703B2 (en) Assessment and remediation of correlation-driven threats
US7620986B1 (en) Defenses against software attacks in distributed computing environments
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
Ling et al. TorWard: Discovery of malicious traffic over Tor
JP2012511847A (en) System and method for classifying unwanted or malicious software
Rajkumar A survey on latest DoS attacks: classification and defense mechanisms
US20180219882A1 (en) Systems and methods for ip source address spoof detection
JP2002026907A (en) Communication network security method and method for analyzing network security of communication network, communication system, security host computer and machine-readable medium
Tritilanunt et al. Entropy-based input-output traffic mode detection scheme for dos/ddos attacks
Mubarakali et al. A survey: Security threats and countermeasures in software defined networking
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR101072984B1 (en) SYSTEM AND METHOD FOR DEFENSING DDoS ATTACK TRAFFIC
Mirza et al. A modular approach for implementation of honeypots in cyber security
Renals et al. Blocking skype through deep packet inspection
Abt et al. Towards Efficient and Privacy-Preserving Network-Based Botnet Detection Using Netflow Data.
Chandrashekar et al. THE DARK CLOUD: UNDERSTANDING AND DEFENDING AGAINST BOTNETS AND STEALTHY MALWARE.
KR101003094B1 (en) Cyber attack traceback system by using spy-bot agent, and method thereof
Achi et al. Network security approach for digital forensics analysis
Tsunoda et al. Security by simple network traffic monitoring
WO2011099773A2 (en) Protection system and method against distributed denial of service attack traffic
Rajkumar et al. Evolution for a secured path using NexGen firewalls
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior
Thing et al. Adaptive response system for distributed denial-of-service attacks
Rahimipour et al. A survey on botnets and web-based botnet characteristics

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee