KR101103744B1 - 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 - Google Patents

양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 Download PDF

Info

Publication number
KR101103744B1
KR101103744B1 KR1020100081624A KR20100081624A KR101103744B1 KR 101103744 B1 KR101103744 B1 KR 101103744B1 KR 1020100081624 A KR1020100081624 A KR 1020100081624A KR 20100081624 A KR20100081624 A KR 20100081624A KR 101103744 B1 KR101103744 B1 KR 101103744B1
Authority
KR
South Korea
Prior art keywords
response
server
denial
packet
client
Prior art date
Application number
KR1020100081624A
Other languages
English (en)
Inventor
한영호
한경태
장유정
Original Assignee
시큐아이닷컴 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐아이닷컴 주식회사 filed Critical 시큐아이닷컴 주식회사
Priority to KR1020100081624A priority Critical patent/KR101103744B1/ko
Application granted granted Critical
Publication of KR101103744B1 publication Critical patent/KR101103744B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 서비스 거부 공격 탐지 방법은 클라이언트-서버 쌍에 대하여 서버로부터의 응답 트래픽을 설정된 주기로 반복적으로 추출하여, 응답 트래픽의 패턴에 행동 비정상이 탐지될 때, 해당 클라이언트 IP를 공격자 IP로 판단하는 것을 특징으로 한다. 본 발명에 따른 서비스 거부 공격 탐지 방법은 양방향 트래픽 중 응답 패킷의 특성 패턴을 이용하므로 공격 패킷 수 집계 방식에 비하여 보다 신속하고 안정적으로 공격을 탐지하는 효과가 있다.

Description

양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 {Denial-of-Service Attack Detection Method through Bi-Directional Packet Analysis}
본 발명은 네트워크 상에서 서비스거부 공격 탐지 방법에 관한 것이다.
분산 서비스 거부 공격(Distributed Denial-of-Service (DDoS) Attack) 또는 도스(DoS)는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단을 초래한다.
분산 서비스 거부 공격은 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법이다. 이는 IAB(Internet Architecture Board)의 정당한 인터넷 사용 정책에 반하는 것이며, 거의 모든 인터넷 서비스 공급자의 사용 정책에도 위반될 뿐 아니라, 개별 국가의 법률에도 저촉되는 행위이다.
일반적으로 게이트웨이의 후단에 설치된 전용 모듈이 트래픽을 분류하여 공격이 의심되는 패킷 수를 집계하여 일정 제한치(threshold)를 초과하는 경우, 공격을 탐지하게 된다. 그러나 단순히 패킷을 집계하여 공격을 판단하는 경우, 정상적인 트래픽과의 구분을 위하여 공격이 어느 정도 진행된 상태에서 공격이 탐지되므로, 트래픽 탐지 및 차단에 있어서 반응성이 느리므로 효과적인 공격 차단에 제한이 있다. 그러므로 단순히 공격자의 패킷을 집계하는 외에 보다 효과적으로 조기에 공격을 탐지하여 대처하는 것이 요구된다.
본 발명은 서비스거부 공격의 양방향 트래픽의 패턴 특성을 이용하여 효과적으로 공격 여부를 탐지 가능하게 하기 위한 것이다.
본 발명에 따른 서비스 거부 공격 탐지 방법은 클라이언트-서버 쌍에 대하여 서버로부터의 응답 트래픽을 설정된 주기로 반복적으로 추출하여, 응답 트래픽의 패턴에 행동 비정상이 탐지될 때, 해당 클라이언트 IP를 공격자 IP로 판단하는 것을 특징으로 한다.
본 발명에 따른 서비스 거부 공격 탐지 방법은 설정 주기 동안의 총 응답 패킷 중 "not modified" 응답 패킷의 비율이 기준치 미만일 경우, 해당 클라이언트 IP를 공격자 IP로 판단하는 것을 특징으로 할 수 있다.
본 발명에 따른 서비스 거부 공격 탐지 방법은 주기 동안 응답 패킷 중 클라이언트 에러 응답 코드를 갖는 패킷의 개수가 기준치 이상일 경우, 해당 클라이언트 IP를 공격자 IP로 판단하는 것을 특징으로 할 수 있다.
본 발명에 따른 서비스 거부 공격 탐지 방법은 주기 동안 응답 패킷 중 "Port UnReachable" 또는 "IP Unreachable" 패킷의 개수가 기준치 이상일 경우, 해당 클라이언트 IP를 공격자 IP로 판단하는 것을 특징으로 할 수 있다.
본 발명에 따른 서비스 거부 공격 탐지 방법에서 설정 주기는 일정한 시간 주기 또는 일정 개수의 응답 패킷이 발생되는 주기인 것을 특징으로 할 수 있다.
본 발명에 따른 서비스 거부 공격 탐지 방법은 양방향 트래픽 중 응답 패킷의 특성 패턴을 이용하므로 공격 패킷 수 집계 방식에 비하여 보다 신속하고 안정적으로 공격을 탐지하는 효과가 있다.
도1은 본 발명이 적용되는 네트워크 구성도이다.
도2는 양방향 패킷 송수신 상태도이다.
이하에서는 본 발명에 따른 구체적인 실시예가 설명된다. 그러나 본 발명은 여러 가지 다양한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 본 발명에 첨부된 도면은 설명의 편의를 위한 것으로서 상대적인 척도는 변경될 수 있으며, 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략되었다.
이하에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 기재된 구성요소 외에 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "--부", "--기", "--모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 발명에 따른 양방향 트래픽 분석을 통한 서비스거부 공격 탐지 방법은 클라이언트-서버(Client-Server) 쌍(pair)에 대하여 각각 양방향 트래픽 정보를 모두 추출하여, 각 쌍 별로 인바운드(Inbound) 트래픽과 아웃바운드(Outbound) 트래픽의 패턴 특성을 분석, 모니터링 하여 클라이언트 중 공격자 IP 를 검출한다.
공격자를 검출하는 판단은 캐시 행동 비정상 (Cache Behavioral Anomaly), 서버 행동 비정상 (Server Behavioral Anomaly), 또는 유저 행동 비정상 (User Behavioral Anomaly)이 나타날 때, 해당 클라이언트 IP를 공격자 IP로 검출하게 된다. 모니터링은 정해진 주기로 반복하여 수행되는데, 주기는 일정 시간 주기일 수도 있고, 또는 일정 개수의 요청/응답(request/response) 패킷이 발생되는 주기일 수도 있다. 각각의 행동 비정상 유형은 후술한다.
도1은 서버(100)와 클라이언트(300) 사이에 송수신되는 인바운드(Inbound) 및 아웃바운드(Outbound) 트래픽을 도시한다. 트래픽 정보 추출(information extraction) 및 분석은 별도의 분석 모듈(200)에서 이루어지며, 이는 게이트웨이 라우터의 후단에 위치하는 것이 보통이다.
HTTP는 클라이언트와 서버 사이에 이루어지는 요청/응답(request/response) 프로토콜이다. 도2의 인바운드 트래픽 및 아웃바은드 트래픽은 각각 요청 트래픽 및 응답 트래픽에 해당된다. 예를 들면, 클라이언트에 설치된 웹 브라우저가 HTTP를 통하여 웹 페이지나 그림 정보를 요청하면, 서버는 이 요청에 응답하여 필요한 정보를 해당 사용자에게 전달하게 된다.
HTTP 요청 패킷은 첫 라인에 Method, URL, Version 이 기재되고, 다음 라인에 Header-Value 쌍이 기재된다. 예를 들어, 요청 패킷의 첫 라인이 GET /newscast/2010/0629/190343924777872.jpg HTTP /1.1인 경우에 MethodGET이고, URL/ newscast /2010/0629/190343924777872. jpg 이고, VersionHTTP /1.1 이 된다.
HTTP 응답 패킷은 첫 라인에 Version 및 응답 코드가 기재되고, 다음 라인에 Header-Value 쌍이 기재되며, 이후 마지막 라인에 실제 응답 데이터가 기재된다. 응답 패킷의 첫 라인이 HTTP /1.1 200 OK 인 경우 VersionHTTP /1. 1 이고, 응답코드가 200 OK 이다.
알려진 HTTP Transactions 계열 공격으로는 HTTP Get Flooding, Invalid HTTP Get Flooding, CC Attack 등이 있다. HTTP Get Flooding은 대량의 HTTP Get 패킷을 전송하는 것이고, Invalid HTTP Get Flooding은 비정상적인 HTTP 패킷을 전송하는 것이다. 또한 CC Attack은 HTTP Get 패킷에 Cache-Control 옵션이 있는 것으로서 DB 공격 등에 사용되는데, 사실 Cache-Control 옵션의 존재 자체는 큰 의미는 없다.
지금까지 알려진 종래의 HTTP Transaction 계열 공격에 대한 방어 기법은 Source IP 별로 HTTP Get 패킷을 계수(counting) 하여 기준치 이상 개수의 패킷이 전송될 경우 차단하거나, Get 패킷에 Cache-Control 옵션이 있는 경우 패킷을 차단하는 것이었다.
그러나 첫 번째 방법과 같이 단순히 패킷 개수에 대한 기준치를 적용할 경우, 기준치가 너무 낮게 설정되면 정상 패킷이 차단되는 문제점이 있고, 기준치가 너무 높게 설정되면 공격 패킷이 그만큼 피해(Victim) 서버로 전송된다는 단점이 있다. 또한, 실제로 정상 패킷도 Cache-Control 옵션을 사용하는 경우가 종종 있기 때문에, 두 번째와 같은 방법이 사용되면 정상 패킷이 차단될 위험이 있으며, 해당 Cache-Control 옵션을 제거하고 공격할 경우에 대해서는 대응이 불가능하다.
그러므로 본 발명에서는 공격시 나타나는 양 방향(Bi-directional) 트래픽의 패턴을 체크하여 HTTP 공격(Attack)을 탐지한다. 즉, 양방향 트래픽을 모두 검사하여 응답 패킷이 특정한 양상을 나타낼 때, 공격자를 탐지한다.
이하에서는 먼저 캐시 행동 비정상(Cache Behavioral Anomaly)시의 방어에 대하여 설명한다.
도2에 도시된 바와 같이, 정상적인 사용자에 의한 웹 브라우저는 하나의 웹 페이지(Web Page) 호출시 해당 Page가 가진 링크(gif의 image, 또는 swf의 flash 등)를 가져오기 위해서 여러 번의 요청에 의하여 link를 가져오게 되는데, 이때 적어도 한번의 접속이 이루어진 사이트에서는 이미 해당 link 는 다운로드 되어있다는 "not modified" 응답(response)이 반드시 발생하게 된다. 예를 들어 도2의 좌측에 도시된 바와 같이, 정상 사용자가 처음 사이트에 접속하여 Get /image/secui.gif라는 요청 패킷을 보내면 처음에는 200 ok 코드를 갖는 응답 패킷에 의하여 이미지 데이터가 응답된다. 그러나 이러한 요청 패킷이 동일 접속에서 두 번 이상 접수되거나, 두 번 이상 접속되는 경우, 304 not modified 라는 응답 패킷이 회신되며, 여기에는 이미지 데이터가 포함되지 않는다. 즉, 마지막 Get 요청시의 접속일시가 저장되어 있고, 이것이 목적 이미지의 마지막 수정 일시 이후라면, 304 not modified라는 응답 패킷이 응답되며 이미지 전송을 하지 않는 대신, 웹 브라우저는 caching되어 있는 이미지를 사용한다.
그러나 공격 패킷들은 그 특성상 HTTP Caching 메커니즘을 사용하지 않으며, 웹 서버(Web Server)에 최신정보를 요청하여 이를 반영한 완전한 웹 페이지(Web Page)를 구현하는 것에는 관심이 없기 때문에, 하나의 Web 에 걸려있는 수많은 링크(gif, swf 등의 멀티미디어)를 가져오는 로직을 굳이 수행하지 않는다. 따라서 "not modified" 응답이 전혀 발생되지 않는다. 예를 들면, 도2의 우측에 도시된 공격자의 경우, 반복적인 Get /index.php 요청에 대하여 서버가 계속적으로 "200 ok"라는 응답을 하도록 하여 서버를 오버로드 시키는 것이 그 한 예이다.
본 발명은 서비스 거부 공격의 이러한 응답 패턴의 차이점에 착안하여, 특정 클라이언트(Client) IP에 대한 응답 코드(Response Code)를 분석하여 "not modified" (응답 코드 304)의 개수 또는 비율이 일정 기준치 미만이면 해당 클라이언트 IP를 공격자 IP로 판단한다.
이를 위해서 분석 모듈(200)에서 클라이언트 IP 별로 노드 관리가 이루어지고, HTTP 응답코드(Response code) 분석을 수행한다.
위와는 다른 유형으로서, 서버 행동 비정상 (Server Behavioral Anomaly)이 발생되는 경우는, 공격자가 존재하지 않는 페이지를 계속 접근하거나, 허가되지 않은 페이지를 계속 접근하는 등의 비정상적인 행위를 계속할 때, 서버가 특정한 Client Error 응답코드를 발생시키는 경우이다. 사용자가 잘못된 요청(Request)을 하는 경우에 Web 서버의 대표적인 클라이언트 오류(Client Error) 응답 코드로는 401(Unauthorized), 403(Forbidden), 404(Not Found), 414(Request-URI Too Long) 등을 들 수 있다. 사용자 별로 HTTP 응답(Response) 패킷의 응답코드(Response Code)를 모니터링 하여, 주기 동안 Client Error 응답코드(4xx)를 기준치 이상 발생시키는 사용자를 공격자로 판단한다.
또 다른 유형으로서, 유저 행동 비정상 (User Behavioral Anomaly)이 발생되는 경우는 공격자가 서비스하지 않는 포트로 접근하려 하거나, 서비스하지 않는 IP 로 접근하려고 시도하는 경우에 서버나 라우터가 특정 ICMP(Internet Control Message Protocol) 코드를 갖는 응답 패킷을 생성한다. 사용자가 서비스하지 않는 포트로 접근하는 경우에 서버는 "Port UnReachable" 패킷(ICMP Code: 0x03)으로 응답한다. 또한 사용자가 서비스하지 않는 IP로 접근하는 경우에 라우터는 "IP UnReachable" 패킷(ICMP Code: 0x02)으로 응답한다.
주로 공격의 전 단계로서 흔히 IP Scan, Port Scan 등을 하는 경우가 많고, 또는 고의적으로 소스 IP 를 피해(Victim) 서버로 스푸핑하여 트래픽을 발생시켜, 피해 서버로 하여금 UnReachable 패킷을 유발시키는 DrDos(Distributed Reflection Denial of Service, 분산 반사 서비스 거부) 공격이 행해지기도 한다.
그러므로 분석 모듈(200)은 소스IP 별로 모니터링을 수행하여 서비스하지 않는 포트로 계속 접근하거나 존재하지 않는 IP 로 계속 접근하는 사용자를 공격자로 판단한다. 이 경우에 분석 모듈(200)은 Client별 노드 관리를 하고 ICMP Unreachable 패킷의 Code 분석을 수행하여 주기 동안 ICMP Unreachable 패킷의 개수가 기준치 이상 발생하는 경우, 공격으로 판단한다.
위에서 개시된 발명은 기본적인 사상을 훼손하지 않는 범위 내에서 다양한 변형예가 가능하다. 따라서, 위의 실시예들은 모두 예시적으로 해석되어야 하며, 한정적으로 해석되지 않는다. 따라서 본 발명의 보호범위는 상술한 일 실시예가 아니라 첨부된 청구항에 따라 정해져야 한다. 첨부된 청구항의 균등물로의 치환은 첨부된 청구항의 보호범위에 속하는 것이다.
100: 서버 200: 분석모듈
300: 클라이언트 310: 정상 사용자
390: 공격자

Claims (8)

  1. HTTP 클라이언트-서버 쌍에 대하여 서버로부터의 동기화된 응답 트래픽을 설정된 주기로 반복적으로 추출 분석하여, 특정 응답 패킷이 일정 개수 이상 또는 미만으로 수신되었는지 파악하여 캐시 행동 비정상 (Cache Behavioral Anomaly), 서버 행동 비정상 (Server Behavioral Anomaly) 및 유저 행동 비정상 (User Behavioral Anomaly)중 어느 하나에 해당하는 특정 양상이 탐지될 때, 해당 클라이언트 IP를 공격자 IP로 판단하는 서비스 거부 공격 탐지 방법.
  2. 제1항에 있어서,
    상기 캐시 행동 비정상 탐지에 해당하는 특정 양상은 설정 주기 동안의 총 응답 패킷 중 "not modified" 응답 패킷의 개수 또는 비율이 기준치 미만일 경우인 것을 특징으로 하는 서비스 거부 공격 탐지 방법.
  3. 제2항에 있어서,
    "not modified" 응답 패킷 판정은 패킷의 응답 코드를 분석함에 의하여 이루어지는 서비스 거부 공격 탐지 방법.
  4. 제1항에 있어서,
    상기 서버 행동 비정상 탐지에 해당하는 특정 양상은 주기 동안의 응답 패킷 중 클라이언트 에러 응답 코드를 갖는 패킷의 개수가 기준치 이상일 경우인 것을 특징으로 하는 서비스 거부 공격 탐지 방법.
  5. 제4항에 있어서,
    클라이언트 에러 응답 코드는 401, 403, 404, 및 414를 포함하는 서비스 거부 공격 탐지 방법.
  6. 제1항에 있어서,
    상기 유저 행동 비정상 탐지에 해당하는 특정 양상은 주기 동안의 응답 패킷 중 "Port UnReachable" 또는 "IP UnReachable" 패킷의 개수가 기준치 이상일 경우인 것을 특징으로 하는 서비스 거부 공격 탐지 방법.
  7. 제6항에 있어서,
    "Port UnReachable" 또는 "IP UnReachable" 패킷의 판정은 패킷의 ICMP 코드를 분석함에 의하여 이루어지는 서비스 거부 공격 탐지 방법.
  8. 제1항에 있어서,
    상기 설정 주기는 일정한 시간 주기 또는 일정 개수의 응답 패킷이 발생되는 주기인 서비스 거부 공격 탐지 방법.
KR1020100081624A 2010-08-23 2010-08-23 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 KR101103744B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100081624A KR101103744B1 (ko) 2010-08-23 2010-08-23 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100081624A KR101103744B1 (ko) 2010-08-23 2010-08-23 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법

Publications (1)

Publication Number Publication Date
KR101103744B1 true KR101103744B1 (ko) 2012-01-11

Family

ID=45613959

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100081624A KR101103744B1 (ko) 2010-08-23 2010-08-23 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법

Country Status (1)

Country Link
KR (1) KR101103744B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587571B1 (ko) 2014-12-10 2016-02-02 (주)아이티언 학습기법을 응용한 분산서비스거부 공격 방어시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050066049A (ko) * 2003-12-26 2005-06-30 한국전자통신연구원 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법
KR20070060441A (ko) * 2005-12-08 2007-06-13 한국전자통신연구원 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
KR20080063952A (ko) * 2007-01-03 2008-07-08 주식회사 케이티 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
KR20080100918A (ko) * 2007-05-15 2008-11-21 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050066049A (ko) * 2003-12-26 2005-06-30 한국전자통신연구원 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법
KR20070060441A (ko) * 2005-12-08 2007-06-13 한국전자통신연구원 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
KR20080063952A (ko) * 2007-01-03 2008-07-08 주식회사 케이티 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
KR20080100918A (ko) * 2007-05-15 2008-11-21 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587571B1 (ko) 2014-12-10 2016-02-02 (주)아이티언 학습기법을 응용한 분산서비스거부 공격 방어시스템 및 방법

Similar Documents

Publication Publication Date Title
US7478429B2 (en) Network overload detection and mitigation system and method
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US10015193B2 (en) Methods and devices for identifying the presence of malware in a network
Weaver et al. Very fast containment of scanning worms, revisited
JP5325335B2 (ja) フィルタリング方法、システムおよびネットワーク機器
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
KR20110089179A (ko) 네트워크 침입 방지
CN105940655B (zh) 用于防范DDos攻击的系统
US20050182950A1 (en) Network security system and method
Xie et al. A novel model for detecting application layer DDoS attacks
CN114830112A (zh) 通过QUIC通信协议执行的检测和缓解DDoS攻击
CN112351012A (zh) 一种网络安全防护方法、装置及系统
KR20080028381A (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
KR101103744B1 (ko) 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
KR101701310B1 (ko) DDoS 공격 탐지 장치 및 방법
KR20210066432A (ko) 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법
JP4084317B2 (ja) ワーム検出方法
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160105

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 9