KR101077135B1 - 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 - Google Patents

웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 Download PDF

Info

Publication number
KR101077135B1
KR101077135B1 KR1020090100835A KR20090100835A KR101077135B1 KR 101077135 B1 KR101077135 B1 KR 101077135B1 KR 1020090100835 A KR1020090100835 A KR 1020090100835A KR 20090100835 A KR20090100835 A KR 20090100835A KR 101077135 B1 KR101077135 B1 KR 101077135B1
Authority
KR
South Korea
Prior art keywords
ddos
threshold
ddos attack
observation time
http
Prior art date
Application number
KR1020090100835A
Other languages
English (en)
Other versions
KR20110044036A (ko
Inventor
이태진
원용근
임채태
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090100835A priority Critical patent/KR101077135B1/ko
Priority to US12/908,673 priority patent/US8438639B2/en
Publication of KR20110044036A publication Critical patent/KR20110044036A/ko
Application granted granted Critical
Publication of KR101077135B1 publication Critical patent/KR101077135B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

디도스 공격 탐지 및 대응 장치가 개시된다. 본 발명의 일 측면에 따르면, 소정의 IP로 특정되는 클라이언트 단말기로부터 HTTP 요청을 수신하는 수신부, 상기 수신한 HTTP의 개수를 소정의 관측시간동안 상기 IP별로 산출하고, 상기 관측시간동안 상기 HTTP의 URI 개수를 산출하는 데이터 측정부, 상기 산출된 URI 당 상기 HTTP의 개수를 소정의 평균 임계치와 비교하고, 상기 URI 당 상기 HTTP의 개수가 상기 평균 임계치보다 큰 경우 상기 IP의 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 디도스 판별부 및 상기 디도스 판별부가 디도스 공격으로 탐지하는 경우 상기 IP의 패킷을 차단하는 차단부를 포함하는 디도스 공격 탐지 및 대응 장치는 연산량을 최소화하면서 디도스 공격에 대응할 수 있고, 디도스 공격의 주요 대상이 되는 웹 서비스를 대상으로 응용계층 기반 디도스 공격 탐지 및 대응 알고리즘을 수행할 수 있는 효과가 있다.
디도스, DDoS, 임계치, HTTP, URI.

Description

웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치{Apparatus for detecting and filtering application layer DDoS Attack of web service}
본 발명은 전자 기기에 관한 것으로, 특히 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치에 관한 것이다.
오래전부터 많은 피해를 발생시켜 온 디도스(DDoS : Distributed Denial of Service) 공격은 최근 Netbot Attacker, Blackenergy, 7.7 DDoS 등 봇넷을 이용한 공격방식을 통해 대응하기 점차 어려워지고 있다. 특히, 기존 DDoS 공격은 SYN, UDP, SYN + ACK, ICMP Flooding 등 네트워크 계층에서의 대역폭(bandwidth) 소모위주의 공격이 발생한 반면, 최근에는 HTTP GET Flooding, CC(Cache Control) Attack 등과 같은 시스템의 CPU, 메모리, DB 서버 자원을 고갈시키는 응용계층 기반 디도스 공격이 발생하고 있다.
그러나 현재 출시된 대부분의 디도스 대응장비는 네트워크 계층에서의 디도스 공격대응 위주의 기능을 제공하고 있어서, 소량의 HTTP 트래픽이 발생하면서 특 정 호스트의 동작을 중지시키는 Netbot Attacker, Blackenergy 등의 응용계층의 디도스 공격에는 대응하지 못하고 있다. 이러한 공격도구는 기존 네트워크 계층에 대한 디도스 공격 뿐 아니라 HTTP GET Flooding, CC Attack 등 다양한 공격이 가능하다.
이러한 응용계층 디도스 공격에 대응하기 위해 최근 몇가지 연구가 진행되고 있다. 웹 서비스 특성상 이용자 IP 리스트는 균일하게 분포하지 않고 기존에 들어왔던 이들이 계속 들어오는 특징을 이용하여, 그 비율을 이용한 디도스 공격 탐지방안, 웹 서비스 이용패턴 정보를 분석하여 공격자로 의심스러운 IP 들을 대상으로 그레이 리스트(Greylist)로 분류하고, 이들에 대해 적은 리소스를 할당하는 방법에 대한 연구, 각 URL 페이지 히트 분포 등을 통계적 방식에 기반하여 분석 후, 일시적인 요청 폭주와 디도스 공격을 구별하는 방법, 웹 서비스 사용자 페이지 이동경로에 따른 분석, 디도스 공격의 원인이 되는 비정상 사용자에 대한 접속 제어(Admission Control)를 통해 대응하는 방법 등이 제안되어 있다.
하지만 종래 기술에 따르면, URL 페이지 히트 분포는 많은 연산량을 필요로 하며, 웹서비스에 올라가는 컨텐츠 및 시기에 따라 크게 변하여 임계치(threshold) 설정이 어려운 단점이 있고, 접속 제어 기법은 아웃 오브 패스(out of path) 방식으로는 동작할 수 없고, 인라인으로 동작해야 하는데 세션관리가 필요한 단점이 있다.
전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공 중에게 공개된 공지기술이라 할 수는 없다.
본 발명은 연산량을 최소화하면서 디도스 공격에 대응할 수 있는 대응 메커니즘을 수행할 수 있는 디도스 공격 탐지 및 대응 장치를 제공하기 위한 것이다.
또한, 본 발명은 디도스 공격의 주요 대상이 되는 웹 서비스를 대상으로 응용계층 기반 디도스 공격탐지 및 대응 알고리즘을 수행할 수 있는 디도스 공격 탐지 및 대응 장치를 제공하기 위한 것이다.
본 발명이 제시하는 이외의 기술적 과제들은 하기의 설명을 통해 쉽게 이해될 수 있을 것이다.
본 발명의 일 측면에 따르면, 소정의 IP로 특정되는 클라이언트 단말기로부터 HTTP 요청을 수신하는 수신부, 상기 수신한 HTTP의 개수를 소정의 관측시간동안 상기 IP별로 산출하고, 상기 관측시간동안 상기 HTTP의 URI 개수를 산출하는 데이터 측정부, 상기 산출된 URI 당 상기 HTTP의 개수를 소정의 임계치와 비교하고, 상기 URI 당 상기 HTTP의 개수가 상기 임계치보다 큰 경우 상기 IP의 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 디도스 판별부 및 상기 디도스 판별부가 디도스 공격으로 탐지하는 경우 상기 IP의 패킷을 차단하는 차단부를 포함하는 디 도스 공격 탐지 및 대응 장치가 제공된다.
여기서, 상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지할 수 있다.
Figure 112009064834198-pat00001
여기서,
Figure 112009064834198-pat00002
은 상기 임계치,
Figure 112009064834198-pat00003
,
Figure 112009064834198-pat00004
는 단위시간 t 및 특정 IP인 s에서의 HTTP PPS, T는 상기 관측시간, n은 상기 관측시간 T동안 요청했던 URI 개수이며, 임계치는 상기 관측시간이 10초인 경우 2 내지 5가 될 수 있다.
또한, 상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지할 수 있다.
Figure 112009064834198-pat00005
여기서,
Figure 112009064834198-pat00006
는 상기 임계치,
Figure 112009064834198-pat00007
,
Figure 112009064834198-pat00008
는 단위시간 t 및 특정 IP인 s에서의 k번째 URI에 대한 HTTP PPS, T는 상기 관측시간이고, 상기 임계치는 상기 관측시간이 10초인 경우 30 내지 50이 될 수 있다.
또한, 상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지할 수 있다.
Figure 112009064834198-pat00009
여기서,
Figure 112009064834198-pat00010
은 상기 임계치, T는 관측시간,
Figure 112009064834198-pat00011
,
Figure 112009064834198-pat00012
,
Figure 112009064834198-pat00013
는 단위시간 t 및 특정 IP인 s에서의 HTTP PPS, n은 상기 관측시간 T동안 요청했던 URI 개수이고, 상기 임계치는 상기 관측시간이 10초인 경우 500 내지 1000이 될 수 있다.
또한, 본 실시예는 소정의 접속 시간동안 상기 클라이언트 단말기의 접속 이력 정보를 저장하는 저장부 및 상기 클라이언트 단말기로부터 HTTP 요청을 수신하는 경우, 상기 저장부에서 추출한 상기 클라이언트 단말기의 접속 이력 정보를 참조하여, 상기 클라이언트 단말기가 상기 접속 시간동안 접속한 이력이 없는 경우 상기 클라이언트 단말기에 할당되는 리소스를 작게 하는 리소스 할당부를 더 포함할 수 있다.
또한, 본 실시예는 상기 산출된 URI 당 상기 HTTP의 개수를 상기 임계치와 비교하고, 상기 URI 당 상기 HTTP의 개수가 상기 임계치의 소정 비율보다 큰 경우 상기 디도스 판별부의 작동을 개시하는 판별 개시부를 더 포함할 수 있다.
또한, 상기 디도스 판별부는 복수의 판별 모드를 가지며, 본 실시예는 상기 복수의 판별 모드를 선택적으로 적용하여 상기 디도스 공격을 탐지하는 모드 선택부를 더 포함할 수 있다.
여기서, 상기 관측시간이 변경되는 경우, 상기 관측시간이 증가하는 비율보다 작은 비율로 상기 임계치가 증가하며, 상기 관측시간이 감소하는 비율보다 큰 비율로 상기 임계치가 감소할 수 있다.
전술한 것 외의 다른 측면, 특징, 이점이 이하의 도면, 특허청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.
본 발명에 따른 디도스 공격 탐지 및 대응 장치는 연산량을 최소화하면서 디도스 공격에 대응할 수 있고, 디도스 공격의 주요 대상이 되는 웹 서비스를 대상으로 하는 응용계층 기반 디도스 공격 탐지 및 대응 알고리즘을 수행할 수 있는 효과가 있다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다 르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1은 본 발명의 실시예에 따른 디도스(DDoS) 공격 탐지 및 대응 장치의 시스템 구성도이다. 도 1을 참조하면, 클라이언트 단말기(110), 웹서버(120), 디도스 공격 탐지 및 대응 장치(130), 네트워크(140)가 도시된다. 디도스 공격탐지 및 대응장치(130)는 네트워크 트래픽 경로 상에 인라인으로 위치하거나, 트래픽 정보를 따로 받는 아웃오프패스 방식으로 동작할 수 있다.
본 발명은 URI 당 HTTP의 개수를 산출하고 이를 이용하여 특정 IP별로 개별화하거나 전체에 대해 평균값을 산출하거나 또는 분포값을 산출하고 이를 소정의 임계치와 비교함으로써 연산량을 최소화하면서 디도스 공격에 대응할 수 있는 최적의 대응 메커니즘을 제시하는 특징이 있다.
클라이언트 단말기(110)는 웹서버(120)를 대상으로 디도스 공격을 하는 단말기로서, 소위 좀비 PC로 지칭될 수 있다. 디도스 공격 탐지 및 대응 장치(130)는 클라이언트 단말기(110)의 디도스 공격을 탐지하고 이를 탐지한 경우 클라이언트 단말기(110)가 웹서버(120)에 접속하지 못하도록 차단한다.
디도스 공격 탐지 및 대응 장치(130)는 네트워크(140)의 라우터에 구비되거나 수정 라우터 혹은 디도스 전용장비, 침입방지시스템 등에 위치하거나 또는 각 웹서버(120)의 특정 구성요소 또는 파이어월로 구비됨으로써 디도스 공격을 차단할 수 있다. 또한, 본 발명은 클라이언트 단말기(110)가 웹서버(120)에 디도스 공격을 수행하는 경우를 중심으로 설명하지만, 이에 한정되지 않으며, 예를 들면, 특정 웹사이트, 어플리케이션 서버 등 다양한 주체, 하드웨어 또는 소프트웨어 모듈을 공격하는 경우에도 적용될 수 있음은 물론이다.
디도스 공격 탐지 및 대응 장치(130)는 디도스 공격의 주요 대상이 되는 웹 서비스를 대상으로 응용계층 기반 디도스 공격 탐지 및 대응 알고리즘이 구현된다. 즉, 디도스 공격 탐지 및 대응 장치(130)는 각 IP별 소량의 HTTP 트래픽을 보내는 디도스 공격이 발생했을 때, 이를 탐지하고 대응하는 메커니즘을 제시한다. 이하에서 본 발명의 다양한 실시예에 관하여 상세히 기술한다.
도 2는 본 발명의 HTTP GET 플러딩 공격 분류를 도시한 도면이다. 본 발명의 실시예를 설명하기 전에 웹 서비스에서의 HTTP 트래픽을 종류별로 구분한다.
도 2를 참조하면, X 축은 관측시간 동안 IP별로 요청했던 URI 수를 나타내고, Y 축은 HTTP를 URI 수로 나눈 값을 나타낸다. 관측시간당 대량의 HTTP 트래픽 을 발생시키는 기본적인 GET Flooding(겟 플러딩, 이하 'GET Flooding'이라 함) 공격은 곡선으로 분류되는 ①영역에 해당한다. 각각의 URI별로 요청한 HTTP 개수가 소정의 임계치를 초과한 경우는 ②영역에 해당하며, URI 당 평균 HTTP 수가 소정의 임계치를 초과한 경우는 ③영역, URI 분포(Distribution)에 의한 DDoS 공격탐지는 ④영역, 매우 적은 트래픽으로 다수의 URI로 보낸 경우는 ⑤영역에 해당한다.
①영역의 공격 유형은 IP별, 단위시간당 대량의 HTTP 요청(request)을 발생시키는 GET Flooding이며, ②영역의 공격 유형은 IP별, 단위시간당 특정 URI에 대해 소정의 임계치를 초과하는 HTTP 요청을 발생시키는 GET Flooding이고, ③영역의 공격 유형은 IP별, 단위시간당 URI당 평균 HTTP 요청이 소정의 임계치를 초과하는 GET Flooding이며, ④영역의 공격 유형은 IP별, 단위시간당 요청된 URI 분포가 비정상적인 GET Flooding이고, ⑤영역의 공격 유형은 IP별, 단위시간당 다수의 URI를 대상으로 최소한의 HTTP 요청을 발생시키는 GET Flooding이다.
웹 서비스에서의 GET Flooding 공격 유형은 도 2에서 표현된 영역을 벗어나 존재할 수 없으며, 지금까지 발생한 다수의 디도스 공격도구는 ①영역에 해당하며, 종래의 7.7 디도스 공격과 같은 경우는 ②영역에 해당한다. 나머지 영역은 지금까지 발생하지 않았지만, 앞으로 발생가능한 공격유형을 나타낸다. 본 명세서에서는 상술한 각각의 공격 유형별로 대응가능하고, 향후 발생가능한 디도스 공격유형에 대해서도 대응할 수 있는 메커니즘을 제시한다.
도 3은 본 발명의 일 실시예에 따른 디도스 공격 탐지 및 대응 장치의 블록 구성도이다. 도 3을 참조하면, 수신부(132), 데이터 측정부(134), 디도스 판별 부(136), 차단부(138)가 도시된다.
수신부(132)는 소정의 IP로 특정되는 클라이언트 단말기(110)로부터 HTTP 요청을 수신한다. 수신부(132)는 TCP 80 포트에서 수집된 HTTP 패킷을 수신하고, HTTP 헤더를 파싱함으로써 데이터 측정부(134)가 관련 데이터를 측정 및 산출할 수 있도록 한다.
데이터 측정부(134)는 수신한 HTTP의 개수를 소정의 관측시간동안 IP별로 산출하고, 관측시간동안 HTTP의 URI 개수를 산출한다. 구체적으로 데이터 측정부(134)는 수신한 패킷마다 해당 IP, URI 별로 검색하고 이를 업데이트할 수 있다. 본 실시예는 이러한 IP별, 관측시간당, HTTP 개수, URI 개수 등과 같은 데이터를 저장하기 위한 별도의 저장부를 포함할 수 있다. IP별 및 URI별 관리를 위해서 hash/mod 방식 등이 사용될 수 있으며, 이러한 기술은 본 발명의 당업자가 용이하게 실시할 수 있는 기술이므로 자세한 설명은 생략한다.
디도스 판별부(136)는 측정된 URI 당 HTTP의 개수를 포함하는 연산결과를 소정의 임계치와 비교하고, URI 당 HTTP의 개수가 임계치보다 큰 경우 상기 IP의 클라이언트 단말기(110)의 접속을 디도스 공격으로 탐지한다. 본 발명에 따르면, 실시예별로 임계치가 4가지로 구분될 수 있으며, 본 발명은 각 임계치의 명칭에 그 권리범위가 제한되지 않고, 예를 들면, 제1 내지 제4 임계치와 같은 명칭으로 지칭될 수 있으며, 각 임계치에 대한 범위, 비교 대상 등은 이하에서 자세히 설명한다.
디도스 판별부(136)는 디도스 공격으로 탐지하기 위한 다양한 알고리즘을 포함할 수 있으며, 각 알고리즘은 판별 모드로 특정될 수 있다. 본 실시예는 복수의 판별 모드를 선택적으로 적용하여 디도스 공격을 탐지하는 모드 선택부(미도시)를 더 포함할 수 있다. 즉, 각 판별 모드는 서로 개별적으로 구현가능하며, 순차적 또는 독립적으로 적용가능하다. 예를 들면, 각 판별 모드는 특정 IP에 항상 적용되거나 또는 항상 적용되지는 않고 이상 징후가 나타날 때만 적용될 수도 있다. 여기서, 이상 징후는 웹서버(120) 접속이 지연되거나 느려지는 등 통상적인 디도스 공격 징후 또는 후술할 바와 같이 각 판별 모드별로 디도스 공격으로 탐지하는 경우를 포함할 수 있다.
본 실시예에 따르면, 디도스 판별부(136)는 상술한 바와 같은 5가지 영역의 공격 유형에 대응하여 크게 5가지 판단 알고리즘을 포함할 수 있다. 이하에서 자세히 서술한다.
①영역의 공격 유형은 정상 웹 서비스에서 발생시킬 수 있는 HTTP 트래픽 량에 비추어 볼 때, 상당한 수준으로 발생하므로, 전체적인 HTTP 개수를 기준으로 디도스 공격을 탐지하며, ②영역의 공격 유형은 개별적인 IP별로 URI에 대한 HTTP 개수를 기준으로 디도스 공격을 탐지하고, ③영역의 공격 유형은 전체적으로 URI당 평균적인 HTTP 개수를 기준으로 디도스 공격을 탐지하며, ④영역의 공격 유형은 URI 분포에 기반하여 디도스 공격을 탐지하며, ⑤영역의 공격 유형은 클라이언트 단말기(110)의 접속 이력 정보를 이용하여 디도스 공격을 탐지한다.
먼저, ①영역의 공격 유형에 대한 대응 메커니즘은 IP별, 단위시간 동안 발생한 HTTP가 소정의 임계치를 넘는 디도스 공격에 대한 방법을 나타낸다. 현재, Blackenergy, Netbot Attacker, DoSHTTP 등 거의 대부분의 GET Flooding은 ①의 영 역과 같은 임계치를 넘는 형태의 디도스 공격으로, 임계치 기반으로 탐지, 차단할 수 있다. 예를 들면, Netbot Attacker에서의 GET Flooding 트래픽과 정상 웹브라우저에서 발생가능한 최대의 HTTP 트래픽을 비교하면, 전자의 트래픽이 매우 큼을 알 수 있다. 즉, ①의 영역에 해당되는 경우는 정상 웹 서비스에서 발생시킬 수 있는 HTTP 트래픽 량에 비추어 볼 때, 상당한 수준으로 발생하므로, 쉽게 대응할 수 있다. 임계치는 상수(constraint)로 정해지지만, Y축이 URI 당 HTTP 개수를 나타내므로 곡선형태가 된다. 이러한 유형에 따른 디도스 공격 탐지 기준은 다음과 같이 제시된다.
Figure 112009064834198-pat00014
(1)
여기서,
Figure 112009064834198-pat00015
은 전체 임계치, T는 관측시간,
Figure 112009064834198-pat00016
,
Figure 112009064834198-pat00017
,
Figure 112009064834198-pat00018
는 관측시간 T의 시간구간인 t 및 특정 IP인 s에서의 HTTP PPS(packet per second), n은 상기 관측시간 T동안 요청했던 URI 개수이다. 여기서, 단위시간 t는 시간구간, 예를 들면, 1초를 의미한다. 즉,
Figure 112009064834198-pat00019
는 특정 IP에서 t ~t+1초 사이의 HTTP 개수를 의미한다. 본 실시예에 따 르면, 디도스 공격 탐지 및 대응 방법은 관측시간 T를 기준으로 수행될 수 있으며, 이하에서 설명하는 실시예들도 동일하게 관측시간 T를 기준으로 수행될 수 있다. 관측시간 T는 디도스 공격을 유효하게 탐지할 수 있으면서도 빠른 시간내에 탐지할 수 있는 시간, 예를 들면, 5초 내지 20초가 될 수 있다. 이는 웹 서비스의 특징상 PPS를 기준으로는 해당 IP의 현재 행위를 판단하기 어렵기 때문이다. 또한,
Figure 112009064834198-pat00020
의 범위는 관측시간 T가 10초인 경우 500 내지 1000이 될 수 있으며, 관측시간 T가 달라지는 비율만큼 그 범위도 달라질 수 있다.
다음으로, ②영역의 공격 유형에 대한 대응 메커니즘은 IP별, 단위시간 동안 발생한 HTTP가 소정의 임계치를 넘지 않아 ① 영역의 탐지방법을 우회하지만, 각 URI별 요청 횟수가 소정의 임계치를 초과하는 GET Flooding 공격에 대한 대응 방법을 나타낸다. 최근 발생한 7.7 디도스 공격은 IP별 HTTP 개수는 소정의 임계치를 넘지 않지만, 각 URI별 HTTP 개수는 특정 임계치를 초과한다.
예를 들면, 7.7 디도스 공격에서 클라이언트 단말기(110)에서 발생한 HTTP PPS는 다수의 타겟 시스템을 동시에 공격하므로 315.5에 이르지만, 디도스 공격을 받는 타겟 시스템에서의 HTTP PPS는 20 정도이며 대부분 동일 URI를 요청하고 있다. 또한, 정상 웹 서비스에서 최대로 발생가능한 동일 URI 요청 비율을 참조하면, 정상 웹서비스 환경에서 새로고침(refresh)을 최대한 많이 수행하는 등의 방법으로 발생가능한 동일 URI수가 26.22정도에 불과하여 이를 기반으로 임계치를 설정할 수 있다. 이러한 유형에 따른 디도스 공격 탐지 기준은 다음과 같이 제시된다.
Figure 112009064834198-pat00021
(2)
여기서,
Figure 112009064834198-pat00022
는 개별 임계치,
Figure 112009064834198-pat00023
,
Figure 112009064834198-pat00024
는 단위시간 t 및 특정 IP인 s에서의 k번째 URI에 대한 HTTP PPS, T는 상기 관측시간이다. k가 1부터 n까지 위 수식(2)이 반복 연산됨으로써 디도스 공격을 탐지할 수 있다. 여기서, 관측시간 T가 10초인 경우 개별 임계치의 범위는 예를 들면, 30 내지 50이 될 수 있다. 상술한 바와 같이 관측시간 T는 5초 내지 20초가 될 수 있다.
또한, ③영역의 공격 유형에 대한 대응 메커니즘은 IP별, 단위시간 동안 발생한 URI 당 HTTP 개수가 소정의 임계치를 넘는 디도스 공격을 탐지한다. ②의 탐지방법을 우회하는 디도스 공격이 발생하기 위해서는 각 URI별 히트(hit) 수가 크지 않게 조절하게 된다. 이 경우, 요청하는 URI가 한정된 수를 대상으로 할 경우, URI당 HTTP 개수는 큰 폭으로 증가하게 되어 탐지 및 대응할 수 있다.
예를 들면, 정상 웹서핑에서의 URI 당 HTTP 개수를 참조하면, URI 당 HTTP는 대부분 1에 근접하는 수치를 기록하게 된다. 웹 서비스에서 단 1번의 클릭으로 적게는 수십에서 많게는 수백 개의 HTTP가 발생하지만, 대부분이 해당 페이지를 표시하기 위해 필요한 파일, 예를 들면, gif, jpg, js, iframe 등으로 구성되기 때문 에, 동일 URI에 대한 히트 수는 단위시간 동안 사용자가 웹브라우저를 새로 실행하거나, 메뉴ㅇ링크를 클릭하거나, 화면을 갱신 할 경우에 한정되기 때문이다.
이러한 유형에 따른 디도스 공격 탐지 기준은 다음과 같이 제시된다.
Figure 112009064834198-pat00025
(3)
여기서,
Figure 112009064834198-pat00026
은 평균 임계치이며, 관측시간 T가 10초인 경우 그 범위는 예를 들면, 2 내지 5가 될 수 있다. 상술한 바와 같이 관측시간 T는 5초 내지 20초가 될 수 있다.
상술한 URI 당 HTTP 임계치 기반 대응 메커니즘을 적용하면 적은 수의 URI를 대상으로 발생하는 디도스 공격은 모두 탐지할 수 있다. 그러나 URI 수를 크게 증가시켜서 URI 당 HTTP 임계치를 낮게 유지하는 디도스 공격유형의 경우 ③영역 공격의 대응방법을 우회할 수 있다. 이때, URI 히트 분포가 특정 URI에 집중되어 있다면, 비정상적인 트래픽 분포로 탐지 및 차단할 수 있다. ④영역의 공격 유형에 대한 대응 메커니즘은 소량의 HTTP 트래픽이 발생하더라도, 발생한 URI 분포(Distribution)에 기반하여 디도스 공격을 탐지하는 방법이 될 수 있다.
또한, ⑤영역의 공격 유형에 대한 대응 메커니즘은 히스토리(history) 기반 탐지 및 대응 메커니즘이 될 수 있다. 히스토리 기반 탐지 및 대응 메커니즘은 현재 시스템이 상당한 부하를 받고 있으나, 어떤 디도스 공격이 발생했는지 탐지하지 못했을 때 적용하는 방법이다. 본 실시예에 따른 대응 메커니즘은 공격에 대한 어 떤 특징도 찾지 못했을 때, 상대적으로 공격이 발생했을 것으로 의심되는 IP들을 대상으로 레이트-리미트(rate-limit) 방식을 적용한다. 웹 서비스는 이용했던 IP들이 지속적으로 접속하는 경향을 띄고 있다. 따라서 접속자 IP를 기준으로 기존 접속자 IP, 신규 접속자 IP로 구분했을 때, 기존 접속 IP는 기존 웹 서비스 이용자로, 신규 접속 IP는 디도스 공격발생 IP 또는 신규 웹 서비스 이용자로 구분될 수 있다. 평소에는 기존 접속 IP의 비율이 압도적으로 높지만, 디도스 공격 발생 시, 신규 접속 IP가 큰 폭으로 증가하게 된다. 따라서 이를 기준으로 디도스 공격 발생여부를 탐지한다. 디도스 공격이 발생했을 때, 신규 접속 IP들을 대상으로 소정의 비율, 예를 들면, 20% 이하의 리소스를 할당하는 방법으로 대응할 수 있다.
이를 위하여 본 실시예는 소정의 접속 시간동안 클라이언트 단말기(110)의 접속 이력 정보를 저장하는 저장부(미도시)와, 클라이언트 단말기(110)로부터 HTTP 요청을 수신하는 경우, 저장부에서 추출한 클라이언트 단말기(110)의 접속 이력 정보를 참조하여, 클라이언트 단말기(110)가 접속 시간동안 접속한 이력이 없는 경우 클라이언트 단말기(110)에 할당되는 리소스를 상술한 소정의 비율 이하로 작게 하는 리소스 할당부(미도시)를 더 포함할 수 있다.
차단부(138)는 디도스 판별부(136)가 디도스 공격으로 탐지하는 경우 IP의 패킷을 차단한다. 차단부(138)는 특정 IP의 클라이언트 단말기(110)가 디도스 공격 단말기로 판단되는 경우 해당 클라이언트 단말기(110)의 패킷을 차단함으로써 디도스 공격에 대응할 수 있다.
또한, 본 실시예는 상술한 디도스 판별부(136)와 차단부(138)가 동작하기 전 에 예비적으로 이상 증후를 검사하기 위한 구성요소를 더 포함할 수 있다. 즉, 본 실시예에 따르면, 웹서버(120) 접속이 지연되거나 부하가 심해서 느려지는 등의 이상 징후가 발생하는 경우에만 디도스 공격 탐지 및 대응 장치(130)가 가동될 수 있도록 하여 서버의 부하를 줄이고 효율적으로 연산을 수행할 수 있는 특징이 있다. 이를 위하여 본 실시예는 상술한 각 실시예에서 산출된 URI의 HTTP 개수를 소정의 임계치와 비교하고, URI의 HTTP 개수가 이러한 임계치의 소정 비율보다 큰 경우 디도스 판별부(136)의 작동을 개시하는 판별 개시부(미도시)를 더 포함할 수 있다.
여기서, 임계치의 소정 비율은 디폴트로 정해지거나, 네트워크 및/또는 서버 환경 등에 따라 자동 설정되거나 또는 사용자 설정에 의해 임의대로 정해질 수 있다. 자동 설정의 경우 네트워크 및/또는 서버에 부하가 걸리는 빈도, 부하량 등에 따라 임계치의 소정 비율을 조절할 수 있다. 예를 들면, 부하의 빈도가 높은 경우 요주의 상황으로서 소정 비율이 높아질 수 있다. 또한. 사용자 설정의 경우 본 실시예는 이러한 임계치의 소정 비율을 조절하기 위한 사용자 인터페이스를 더 포함할 수 있다. 임계치의 소정 비율은 예를 들면, 상술한 각 임계치(전체 임계치, 평균 임계치, 개별 임계치)의 50 내지 70%가 될 수 있다.
또한, 상술한 관측시간은 본 실시예가 구현되는 운영환경, 서비스 특징 등에 따라 조정될 수 있으며, 이 경우 상술한 각 임계치도 조정될 수 있다. 여기서, 관측시간이 변경되는 경우, 임계치는 관측시간이 증가하는 비율보다 작은 비율로 증가하며, 관측시간이 감소하는 비율보다 큰 비율로 감소할 수 있다. 예를 들면, ②영역 공격의 대응 시 이용되는 개별 임계치는 관측시간이 2배인 20초로 증가하는 경우 1.5배, 즉, 45 내지 75가 될 수 있다. 또한, 관측시간이 0.5배인 5초로 감소하는 경우 개별 임계치는 0.75배인 22.5 내지 37.5가 될 수 있다. 이는 관측시간이 증가하는 경우 지속적인 디도스 공격 징후가 비례적으로 증가하지는 않을 수 있음은 반영한 결과이다. 상술한 바와 달리 본 실시예에 따르면, 관측시간과 임계치가 서로 같은 비율로 변경되거나 또는 서로 증감 비율이 반비례할 수도 있고, 이러한 비율 및 수치 조정은 운영환경 및 서비스 특징 등에 따라 변경될 수 있음은 물론이다.
도 4는 본 발명의 일 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도이다. 도시된 흐름도는 디도스 공격 탐지 및 대응 장치(130)가 수행하는 ①영역의 공격 유형에 대한 대응 메커니즘이 될 수 있다.
단계 S410에서, 클라이언트 단말기(110)로부터 패킷이 유입된다. 단계 S420에서, IP를 기반으로 미리 디도스 공격으로 판단된 클라이언트 단말기(110)를 차단한다. 여기서, 만약 클라이언트 단말기(110)의 IP가 신규 IP로 판단되는 경우 클라이언트 단말기(110)의 IP를 신규 IP로 소정의 데이터베이스에 저장할 수 있다.
단계 S430에서, TCP 80 포트 및 HTTP 패킷을 수집하고, 단계 S440에서, HTTP 헤더를 파싱한다. 예를 들면, 본 실시예는 커널 기반 고속의 트래픽 처리 엔진을 구비하여 NDIS intermediate Driver 및 커널 오브젝트인 패킷 풀(packet pool)에서 해당 HTTP를 수집하여 HTTP 헤더를 파싱할 수 있다.
단계 S450에서, IP별, URI별 HTTP 개수를 산출하고, 단계 S460에서, 상술한 바와 같이 관측시간 T동안 IP별, URI별 HTTP 누적 개수를 산출한다.
단계 S470에서, URI당 HTTP 개수를 상술한 전체 임계치와 비교하고, 만약 URI당 HTTP 개수가 상술한 전체 임계치를 상술한 관측시간 T동안 요청했던 URI 개수(n)로 나눈 값보다 큰(같은 경우도 포함될 수 있음, 이하 같음) 경우 단계 S420에서 해당 IP에 기반하여 특정 클라이언트 단말기(110)의 접속을 차단하며, URI당 HTTP 개수가 전체 임계치보다 크지 않는 경우에는 해당 IP의 접속을 유지한다.
도 5는 본 발명의 일 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도이다. 도시된 흐름도는 디도스 공격 탐지 및 대응 장치(130)가 수행하는 ②영역의 공격 유형에 대한 대응 메커니즘이 될 수 있다. 상술한 바와의 차이점을 위주로 설명한다.
단계 S480에서, 특정 IP에서의 특정 URI에 대한 HTTP 개수를 상술한 개별 임계치와 비교하고, 만약 특정 URI의 HTTP 개수가 상술한 개별 임계치보다 큰 경우 단계 S420에서 해당 IP에 기반하여 특정 클라이언트 단말기(110)의 접속을 차단하며, 특정 URI의 HTTP 개수가 개별 임계치보다 크지 않는 경우에는 해당 IP의 접속을 유지한다.
도 6은 본 발명의 일 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도이다. 도시된 흐름도는 디도스 공격 탐지 및 대응 장치(130)가 수행하는 ③영역의 공격 유형에 대한 대응 메커니즘이 될 수 있다. 상술한 바와의 차이점을 위주로 설명한다.
단계 S490에서, URI당 HTTP 개수를 상술한 평균 임계치와 비교하고, 만약 URI당 HTTP 개수가 평균 임계치보다 큰 경우 단계 S420에서 해당 IP에 기반하여 특 정 클라이언트 단말기(110)의 접속을 차단하며, URI당 HTTP 개수가 평균 임계치보다 크지 않는 경우에는 해당 IP의 접속을 유지한다.
그 외 본 발명의 실시예에 따른 디도스 공격 탐지 및 대응 장치에 대한 구체적인 시스템 구성도, O/S 등의 공통 플랫폼 기술과 통신 프로토콜, I/O 인터페이스 등 인터페이스 표준화 기술 등에 대한 구체적인 설명은 본 발명이 속하는 기술 분야의 통상의 지식을 가진자에게 자명한 사항이므로 생략하기로 한다.
상기한 바에서, 본 발명의 실시예에 따른 디도스 공격 탐지 및 대응 장치 및 그 방법은 특정 수식 및 임계치의 수치 등을 일 실시예에 따라 기술하였으나, 반드시 이에 한정될 필요는 없고, 상기 수식 및 수치가 달라지더라도 전체적인 작용 및 효과에는 차이가 없다면 이러한 다른 구성은 본 발명의 권리범위에 포함될 수 있으며, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명의 실시예에 따른 디도스 공격 탐지 및 대응 장치의 시스템 구성도.
도 2는 본 발명의 HTTP GET 플러딩 공격 분류를 도시한 도면.
도 3은 본 발명의 실시예에 따른 디도스 공격 탐지 및 대응 장치의 블록 구성도.
도 4는 본 발명의 일 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도.
도 5는 본 발명의 다른 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도.
도 6은 본 발명의 또 다른 실시예에 따른 디도스 공격 탐지 및 대응 방법의 흐름도.
<도면의 주요부분에 대한 부호의 설명>
110 : 클라이언트 단말기 120 : 웹서버
130 : 디도스 공격 탐지 및 대응 장치 140 : 네트워크
132 : 수신부 134 : 데이터 측정부
136 : 디도스 판별부 138 : 차단부

Claims (11)

  1. 소정의 IP로 특정되는 클라이언트 단말기로부터 HTTP 요청을 수신하는 수신부;
    상기 수신한 HTTP의 개수를 소정의 관측시간동안 상기 IP별로 산출하고, 상기 관측시간동안 상기 HTTP의 URI 개수를 산출하는 데이터 측정부;
    상기 산출된 URI 당 상기 HTTP의 개수를 소정의 임계치와 비교하고, 상기 URI 당 상기 HTTP의 개수가 상기 임계치보다 큰 경우 상기 IP의 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 디도스 판별부; 및
    상기 디도스 판별부가 디도스 공격으로 탐지하는 경우 상기 IP의 패킷을 차단하는 차단부를 포함하되,
    상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지하는 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
    Figure 112011024864358-pat00046
    여기서,
    Figure 112011024864358-pat00047
    은 상기 임계치,
    Figure 112011024864358-pat00048
    ,
    Figure 112011024864358-pat00049
    는 단위시간 t 및 특정 IP인 s에서의 HTTP PPS, T는 상기 관측시간, n은 상기 관측시간 T동안 요청했던 URI 개수.
  2. 삭제
  3. 제1항에 있어서,
    상기 임계치는 상기 관측시간이 10초인 경우 2 내지 5인 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
  4. 제1항에 있어서,
    상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지하는 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
    Figure 112009064834198-pat00031
    여기서,
    Figure 112009064834198-pat00032
    는 상기 임계치,
    Figure 112009064834198-pat00033
    ,
    Figure 112009064834198-pat00034
    는 단위시간 t 및 특정 IP인 s에서의 k번째 URI에 대한 HTTP PPS, T는 상기 관측시간.
  5. 제4항에 있어서,
    상기 임계치는 상기 관측시간이 10초인 경우 30 내지 50인 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
  6. 제1항에 있어서,
    상기 디도스 판별부는 하기 식을 만족하는 경우 디도스 공격으로 탐지하는 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
    Figure 112009064834198-pat00035
    여기서,
    Figure 112009064834198-pat00036
    은 상기 임계치, T는 관측시간,
    Figure 112009064834198-pat00037
    ,
    Figure 112009064834198-pat00038
    ,
    Figure 112009064834198-pat00039
    는 단위시간 t 및 특정 IP인 s에서의 HTTP PPS, n은 상기 관측시간 T동안 요청했던 URI 개수.
  7. 제6항에 있어서,
    상기 임계치는 상기 관측시간이 10초인 경우 500 내지 1000인 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
  8. 제1항에 있어서,
    소정의 접속 시간동안 상기 클라이언트 단말기의 접속 이력 정보를 저장하는 저장부; 및
    상기 클라이언트 단말기로부터 HTTP 요청을 수신하는 경우, 상기 저장부에서 추출한 상기 클라이언트 단말기의 접속 이력 정보를 참조하여, 상기 클라이언트 단말기가 상기 접속 시간동안 접속한 이력이 없는 경우 상기 클라이언트 단말기에 할당되는 리소스를 작게 하는 리소스 할당부를 더 포함하는 디도스 공격 탐지 및 대응 장치.
  9. 제1항에 있어서,
    상기 산출된 URI 당 상기 HTTP의 개수를 상기 임계치와 비교하고, 상기 URI 당 상기 HTTP의 개수가 상기 임계치의 소정 비율보다 큰 경우 상기 디도스 판별부의 작동을 개시하는 판별 개시부를 더 포함하는 디도스 공격 탐지 및 대응 장치.
  10. 제1항에 있어서,
    상기 디도스 판별부는 복수의 판별 모드를 가지며,
    상기 복수의 판별 모드를 선택적으로 적용하여 상기 디도스 공격을 탐지하는 모드 선택부를 더 포함하는 디도스 공격 탐지 및 대응 장치.
  11. 제3항, 제5항 및 제7항 중 어느 한 항에 있어서,
    상기 관측시간이 변경되는 경우,
    상기 관측시간이 증가하는 비율보다 작은 비율로 상기 임계치가 증가하며, 상기 관측시간이 감소하는 비율보다 큰 비율로 상기 임계치가 감소하는 것을 특징으로 하는 디도스 공격 탐지 및 대응 장치.
KR1020090100835A 2009-10-22 2009-10-22 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 KR101077135B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090100835A KR101077135B1 (ko) 2009-10-22 2009-10-22 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
US12/908,673 US8438639B2 (en) 2009-10-22 2010-10-20 Apparatus for detecting and filtering application layer DDoS attack of web service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090100835A KR101077135B1 (ko) 2009-10-22 2009-10-22 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치

Publications (2)

Publication Number Publication Date
KR20110044036A KR20110044036A (ko) 2011-04-28
KR101077135B1 true KR101077135B1 (ko) 2011-10-26

Family

ID=43899533

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090100835A KR101077135B1 (ko) 2009-10-22 2009-10-22 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치

Country Status (2)

Country Link
US (1) US8438639B2 (ko)
KR (1) KR101077135B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200014638A (ko) * 2018-08-01 2020-02-11 네이버웹툰 주식회사 분산 웹 크롤러에 대한 방어 방법 및 장치

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US8458769B2 (en) 2009-12-12 2013-06-04 Akamai Technologies, Inc. Cloud based firewall system and service
KR101519623B1 (ko) * 2010-12-13 2015-05-12 한국전자통신연구원 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
KR101574193B1 (ko) * 2010-12-13 2015-12-11 한국전자통신연구원 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
US20120290712A1 (en) * 2011-05-13 2012-11-15 Microsoft Corporation Account Compromise Detection
US8966625B1 (en) 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8555388B1 (en) * 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
KR20130017333A (ko) 2011-08-10 2013-02-20 한국전자통신연구원 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
CN102281298A (zh) * 2011-08-10 2011-12-14 深信服网络科技(深圳)有限公司 检测和防御cc攻击的方法及装置
EP2807574A4 (en) 2012-01-24 2015-11-18 L 3 Comm Corp METHODS AND APPARATUS FOR MANAGING NETWORK TRAFFIC
IL219499B (en) * 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
US8856924B2 (en) 2012-08-07 2014-10-07 Cloudflare, Inc. Mitigating a denial-of-service attack in a cloud-based proxy service
KR20140044970A (ko) * 2012-09-13 2014-04-16 한국전자통신연구원 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US8875287B2 (en) * 2012-10-04 2014-10-28 Akamai Technologies, Inc. Server with mechanism for reducing internal resources associated with a selected client connection
US9027136B2 (en) * 2013-04-22 2015-05-05 Imperva, Inc. Automatic generation of attribute values for rules of a web application layer attack detector
IL226747B (en) 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9628507B2 (en) * 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9148440B2 (en) * 2013-11-25 2015-09-29 Imperva, Inc. Coordinated detection and differentiation of denial of service attacks
CN103685294B (zh) * 2013-12-20 2017-02-22 北京奇安信科技有限公司 拒绝服务攻击的攻击源的识别方法和装置
CN104009983B (zh) * 2014-05-14 2017-03-29 杭州安恒信息技术有限公司 一种cc攻击的检测方法及其检测系统
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
JP6435695B2 (ja) * 2014-08-04 2018-12-12 富士通株式会社 コントローラ,及びその攻撃者検知方法
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9912678B2 (en) * 2015-06-24 2018-03-06 Verisign, Inc. Techniques for automatically mitigating denial of service attacks via attack pattern matching
US9762610B1 (en) * 2015-10-30 2017-09-12 Palo Alto Networks, Inc. Latency-based policy activation
US10419451B2 (en) * 2015-11-09 2019-09-17 Salesforce.Com Identifying attack patterns in requests received by web applications
CN105516128B (zh) * 2015-12-07 2018-10-30 中国电子技术标准化研究院 一种Web攻击的检测方法及装置
CN105554007B (zh) * 2015-12-25 2019-01-04 北京奇虎科技有限公司 一种web异常检测方法和装置
CN105491060B (zh) 2015-12-30 2019-07-02 北京神州绿盟信息安全科技股份有限公司 防御分布式拒绝服务攻击的方法、装置、客户端及设备
US10673719B2 (en) * 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
CN107666383B (zh) * 2016-07-29 2021-06-18 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
WO2018095192A1 (zh) * 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
EP3422659A1 (en) * 2017-06-30 2019-01-02 Thomson Licensing Method of blocking distributed denial of service attacks and corresponding apparatus
CN107231384B (zh) * 2017-08-10 2020-11-17 北京科技大学 一种面向5g网络切片的DDoS攻击检测防御方法及系统
US10581745B2 (en) * 2017-12-11 2020-03-03 International Business Machines Corporation Dynamic throttling thresholds
CN108449308B (zh) * 2018-01-18 2020-11-27 北京奇艺世纪科技有限公司 识别恶意资源访问的方法及装置
TWI657681B (zh) * 2018-02-13 2019-04-21 愛迪爾資訊有限公司 網路流分析方法及其相關系統
CN108833410B (zh) 2018-06-19 2020-11-06 网宿科技股份有限公司 一种针对HTTP Flood攻击的防护方法及系统
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
CN108833450B (zh) * 2018-08-22 2020-07-10 网宿科技股份有限公司 一种实现服务器防攻击方法及装置
US11363044B2 (en) * 2019-06-26 2022-06-14 Radware, Ltd. Method and system for detecting and mitigating HTTPS flood attacks
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
CN110636068B (zh) * 2019-09-24 2022-01-28 杭州安恒信息技术股份有限公司 在cc攻击防护中识别未知cdn节点的方法以及装置
US11503052B2 (en) 2019-12-19 2022-11-15 Radware, Ltd. Baselining techniques for detecting anomalous HTTPS traffic behavior
US11405418B2 (en) 2020-06-16 2022-08-02 Bank Of America Corporation Automated distributed denial of service attack detection and prevention
CN112291263A (zh) * 2020-11-17 2021-01-29 珠海大横琴科技发展有限公司 一种数据阻断的方法和装置
CN114499917B (zh) * 2021-10-25 2024-01-09 中国银联股份有限公司 Cc攻击检测方法及cc攻击检测装置
CN114338206B (zh) * 2021-12-31 2024-05-07 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080086434A1 (en) * 2006-10-09 2008-04-10 Radware, Ltd. Adaptive Behavioral HTTP Flood Protection

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200427705Y1 (ko) 2006-05-26 2006-09-29 임동연 열소각 방식을 이용한 유해 공기 정화 장치
US8069471B2 (en) * 2008-10-21 2011-11-29 Lockheed Martin Corporation Internet security dynamics assessment system, program product, and related methods

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080086434A1 (en) * 2006-10-09 2008-04-10 Radware, Ltd. Adaptive Behavioral HTTP Flood Protection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200014638A (ko) * 2018-08-01 2020-02-11 네이버웹툰 주식회사 분산 웹 크롤러에 대한 방어 방법 및 장치
KR102150530B1 (ko) 2018-08-01 2020-09-01 네이버웹툰 주식회사 분산 웹 크롤러에 대한 방어 방법 및 장치

Also Published As

Publication number Publication date
US8438639B2 (en) 2013-05-07
KR20110044036A (ko) 2011-04-28
US20110099622A1 (en) 2011-04-28

Similar Documents

Publication Publication Date Title
KR101077135B1 (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US11316878B2 (en) System and method for malware detection
US11729209B2 (en) Distributed denial-of-service attack mitigation with reduced latency
US9043912B2 (en) Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
CN104580216B (zh) 一种对访问请求进行限制的系统和方法
US20120324573A1 (en) Method for determining whether or not specific network session is under denial-of-service attack and method for the same
US20150237067A1 (en) Method and apparatus for detecting attack on server
KR101061377B1 (ko) 분포 기반 디도스 공격 탐지 및 대응 장치
Goksel et al. DoS attack detection using packet statistics in SDN
EP2112800B1 (en) Method and system for enhanced recognition of attacks to computer systems
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
CN106817268B (zh) 一种ddos攻击的检测方法及系统
KR101196325B1 (ko) 분산서비스거부 공격 탐지장치 및 방법
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
CN113037841B (zh) 一种提供分布式拒绝攻击的防护方法
KR20070083089A (ko) 이상 트래픽 분석방법
KR101970721B1 (ko) 분산서비스거부공격 탐지 방법 및 장치
TW201441861A (zh) 防禦網路攻擊之抽樣偵測系統及方法
Akilandeswari et al. Self-Healing System for Extended DDoS Attack

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141016

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151002

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee