KR101109669B1 - 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 - Google Patents
좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 Download PDFInfo
- Publication number
- KR101109669B1 KR101109669B1 KR1020100039332A KR20100039332A KR101109669B1 KR 101109669 B1 KR101109669 B1 KR 101109669B1 KR 1020100039332 A KR1020100039332 A KR 1020100039332A KR 20100039332 A KR20100039332 A KR 20100039332A KR 101109669 B1 KR101109669 B1 KR 101109669B1
- Authority
- KR
- South Korea
- Prior art keywords
- host
- zombie
- cookie
- server
- module
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.
Description
본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
최근에 인터넷서비스가 다양화됨에 따라 인터넷 사용률이 증가하고 있으며, 이에 따라 컴퓨터 바이러스나 인터넷 웜과 등과 같은 악성코드들이 인터넷을 통해 널리 확산되어 사용자들에 많은 피해를 야기시키고 있다. 특히, 악성코드인 봇(bot)에 감염된 다수의 컴퓨터들이(이를 “봇넷”이라 함) 특정 웹서버로의 트래픽을 폭증시켜 웹서버가 정상 기능을 수행하지 못하도록 방해하는 DDoS(Distributed Denial of Service:분산서비스거부) 공격은 심각한 문제로 대두되고 있다.
봇에 감염된 컴퓨터는 컴퓨터 사용자의 의지에 상관없이 해커에 의해 조종당하여 악성행위를 수행하기 때문에 좀비 호스트라 불리운다. 이러한 봇의 감염을 막고 악성행위를 차단하기 위하여, 싱크홀 서버를 통하여 봇에 의한 악성행위를 차단하는 방법이 활용되고 있다.
기존의 싱크홀 서버를 이용한 악성행위 차단 방식은 좀비 호스트가 봇넷 제어 서버의 도메인에 대한 IP를 얻기 위하여 DNS(Domain Name Service)서버에 질의할 때 싱크홀 서버의 IP를 응답해주도록 하여 향후 좀비 호스트의 트래픽이 싱크홀 서버로 향하도록 함으로써 악성 해위를 차단하는 방식이다. 그러나, 이와 같은 방식은 알려진 봇넷 제어 서버의 도메인을 질의하는 좀비 호스트에만 국한되어 대응할 수 있다는 문제점이 있다.
본 발명은 전술한 문제점을 해결하기 위한 것으로, DDoS 공격의 주된 대상이 되는 웹서버들의 전단에 좀비식별을 위한 가상서버를 제공함으로써 인증받지 못한 호스트를 좀비로 식별하여 웹서버 접속을 원천 차단하는 것을 목적으로 한다.
또한, 본 발명은 가상서버에 의해 식별된 좀비 호스트 정보를 분석하여 좀비의 규모 및 분포를 파악함으로써 향후 2차 공격에 대비하도록 하는 것을 목적으로 한다.
전술한 목적을 달성하기 위해, 본 발명의 일실시예에 따른 좀비 식별 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.
본 발명의 다른 실시예에 따른 싱크홀 서버는, 웹서버의 전단에 배치되어 상기 웹서버에 접속을 시도하는 좀비를 식별하는 가상 서버로부터 제공된 좀비의 IP 주소들을 수집하고 상기 IP 주소들중에서 중복되는 IP 주소를 제거하는 중복 IP 제거 모듈과, 상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 좀비규모산정모듈과, 상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 지리분포파악모듈과,상기 산정된 좀비의 규모 및 상기 지리적 분포를 저장하는 좀비정보 DB를 포함한다.
본 발명의 또다른 실시예에 따른 좀비식별방법은, 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하는지 판단하는 단계; 상기 접속요청 메시지가 쿠키를 포함하지 않은 경우에 상기 호스트에 자동접속방지 페이지를 전송하는 단계;상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되면 상기 호스트의 IP 주소에 대응하는 쿠키를 전송하는 단계; 상기 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 호스트의 IP 주소에 대응하는 쿠키값인지 검증하는 단계; 및 상기 쿠키값의 검증에 실패한 경우 상기 웹서버로의 접속을 차단하고 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계를 포함한다.
본 발명의 또다른 실시예에 따른 좀비 정보 통합 관리 방법은, 웹서버의 전단에 배치되어 상기 웹서버에 접속을 시도하는 좀비를 식별하는 가상 서버로부터 제공되는 좀비의 IP 주소들을 수집하는 단계; 상기 수집된 IP 주소들중에서 중복되는 IP 주소를 제거하는 단계; 상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 단계; 및 상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 단계를 포함한다.
본 발명에 따른 가상서버를 활용하여 웹 서버에 비정상으로 접속하는 좀비 호스트들을 식별하여 DDoS 공격을 유발하는 봇넷의 규모를 실시간으로 분석할 수 있다. 각 가상서버에서 좀비로 식별된 트래픽은 DDoS 싱크홀 서버로 유입되어 종합적인 관리가 가능하다. 또한, DDoS 좀비로 식별된 호스트 IP들은 다시 웹 서버의 방화벽 설정으로 등록되어 공격을 신속하게 차단할 수 있다. 결과적으로, 통합적인 좀비 규모 산정과 분포 파악을 통하여 봇넷의 규모와 분포에 대한 정보를 습득할 수 있어 향후 해당 봇넷의 트래픽 흐름을 모니터링할 수 있는 관제기술 측면에서의 네트워크 정보를 제공한다.
도 1은 본 발명의 일실시예에 따른 가상 서버를 통해 웹 서버 및 싱크홀 시스템으로 전달되는 트래픽 흐름을 개념적으로 도시한다.
도 2는 본 발명의 일실시예에 따라 좀비 식별을 수행하는 가상 서버(200)의 구성을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 싱크홀 서버의 구성을 도시한 블록도이다.
도 4는 본 발명의 일실시예에 따라 가상서버에서 수행되는 DDos 좀비 식별 과정을 도시한 흐름도이다.
도 5 는 본 발명의 일실시예에 따 정상 사용자의 접속 트래픽 제어 흐름도를 도시한다.
도 6 은 본 발명의 일실시예에 따라 좀비로 식별되는 호스트의 접속 트래픽 제어 흐름도를 도시한다.
도 2는 본 발명의 일실시예에 따라 좀비 식별을 수행하는 가상 서버(200)의 구성을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 싱크홀 서버의 구성을 도시한 블록도이다.
도 4는 본 발명의 일실시예에 따라 가상서버에서 수행되는 DDos 좀비 식별 과정을 도시한 흐름도이다.
도 5 는 본 발명의 일실시예에 따 정상 사용자의 접속 트래픽 제어 흐름도를 도시한다.
도 6 은 본 발명의 일실시예에 따라 좀비로 식별되는 호스트의 접속 트래픽 제어 흐름도를 도시한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명하겠다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.
도 1은 본 발명의 일실시예에 따른 가상 서버, 웹 서버 및 싱크홀 서버간의 트래픽 흐름을 개념적으로 도시한다. 도시된 바와 같이, 가상 서버(130)는 웹서버(140) 전단에 배치되어 웹서버(140)에 접속을 요청하는 호스트의 인증을 수행하고 인증되지 못한 호스트를 좀비로 식별하여 웹서버(140)로의 접속을 원천 차단시키는 기능을 수행한다.
정상 사용자 호스트(110)는 가상서버(130)의 인증을 통과한 경우에 웹 서버(140)를 접속할 수 있다. 가상서버(130)의 인증은 자동접속방지(CAPTCHA: Completely Automated Public Turing test to tell Computers and Human Apart) 페이지에 근거한 질의를 이용하여 수행되고 인증에 통과한 사용자 호스트는 가상서버(130)로부터 제공되는 쿠키를 이용하여 웹서버에 접속할 수 있다. 가상서버(130)의 인증과정은 나머지 도면들을 참조하여 상세히 후술하겠다. 사용자 호스트는 범용 PC, 랩탑, 휴대용 컴퓨터 또는 타블렛 등 네트워크 기능을 구비한 다양한 유형의 컴퓨터중 하나가 될 수 있으며, 이에 국한되지 않는다.
반면, DDoS 공격을 수행하는 좀비 호스트(120)는 가상서버(130)의 인증 과정을 통과하지 못한다. 이후 좀비 호스트(120)로부터 발생하는 트래픽은 가상서버(130)에 의해 싱크홀 서버(150)로 재전달된다. 본 도면에서는 DDoS 공격을 수행하는 좀비의 식별을 예로 들어 설명하고 있으나, 본 발명이 DDoS 공격을 수행하는 좀비의 식별에만 제한되는 것은 아니며 임의의 악성행위를 수행하는 악성봇에 감염된 모든 좀비에 적용됨은 본 기술분야의 당업자들에게 충분히 이해될 수 있을 것이다.
한편, 상기 도면에서는 정상사용자(110) 및 좀비(120)의 쿠키검증과 자동접속방지를 위한 페이지를 이용한 인증 절차가 모두 가상서버(130)에서 이루어지는 것으로 도시되어 있으나, 대안적으로는 인증절차 기능은 별도의 인증서버에서 이루어지도록 구현할 수 있다. 이러한 경우에, 가상서버(130)에서 수신된 접속 요청 메시지 내에 쿠키가 존재하는지 확인한다. 쿠키가 존재하지 않을 경우에는 상기 접속 요청 메시지가 인증서버로 재전달되어, 인증서버에 의한 인증 과정이 수행될 것이다. 인증이 완료된 정상사용자에게는 쿠키를 전달한 후 가상서버에 재접속하도록 유도할 것이며, 가상서버(130)에서 쿠키값 검증이 성공하면 웹서버(140)에 접속이 가능할 것이다.
도 2는 본 발명의 일실시예에 따라 좀비 식별을 수행하는 가상 서버(200)의 구성을 도시한 블록도이다. 도시된 바와 같이, 가상서버(200)는, 쿠키확인모듈(210), 인증처리모듈(220), 쿠키 DB(230), 쿠키값검증모듈(240), 웹페이지접속유도모듈(250) 및 좀비식별모듈(260)을 포함한다.
쿠키확인모듈(210)은 호스트로부터 수신된 웹서버 접속요청 메시지에 쿠키가 존재하는지 확인한다. 웹서버 접속요청 메시지내에 쿠키가 존재하지 않는 경우는 호스트가 웹서버 접속요청을 처음으로 시도한 경우이어서 가상서버로부터 아직까지 쿠키를 제공받지 못한 경우이거나 호스트가 좀비인 경우에 해당할 것이다.
인증처리모듈(220)은 쿠키를 포함하지 않은 웹서버 접속요청 메시지를 전송한 호스트에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 전송한다. 이러한 인증 과정은 네트워크 계층 L3에서 수행된다.
자동접속방지(CAPTCHA) 테스트는 사용자가 실제 인간인지 컴퓨터 프로그램인지 구별하기 위해 사용되는 방식으로서 인간은 구별할 수 있지만 컴퓨터는 구별하기 힘들게 의도적으로 비틀어놓은 코드 또는 그림을 주고 그 내용을 물어보는 방식이다. 웹사이트에 DDoS 트래픽을 발생시키는 좀비는 사용자의 개입없이 자동화된 프로그램에 의해 작동하므로 이러한 자동접속방지(CAPTCHA) 테스트를 통과할 수 없다.
일실시예에서, 인증처리모듈(220)은 임계 횟수만큼 자동접속방지(CAPTCHA) 테스트 페이지를 재전송함으로써 호스트에 정답을 제출할 수 있는 기회를 제공하고 호스트가 임계 횟수만큼의 정답 제출 기회동안 정답을 제출하지 못할 경우에 상기 호스트를 좀비로 식별한다. 인증처리모듈(220)은 좀비로 식별된 호스트의 접속을 강제 종료시키고 상기 호스트로부터 수신된 접속요청 메시지 또는 상기 호스트의 IP 주소를 싱크홀 서버로 전달한다.
한편, 인증처리모듈(220)은 자동접속방지(CAPTCHA) 테스트를 통과한 호스트에 대해서는 정상 사용자로 식별하고 향후 웹서버 접속시에 인증키로 이용될 쿠키를 호스트에 제공한다. 이 때, 호스트의 IP 주소에 매칭되는 쿠키가 제공된다. 쿠키 DB(230)는 각 IP 주소별로 미리 계산된 쿠키 목록을 저장하고 있다. 일 예에서, 쿠키값은 상기 호스트의 IP 주소의 해쉬값에 대응하여 생성된다.
쿠키값검증모듈(240)은 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 인증처리모듈(220)에 의해 상기 호스트에 정당하게 제공된 쿠키값인지 검증한다. 쿠키값 추출은 HTTP 헤더 시작점 탐색과정을 거쳐 추출된다. 쿠키값검증모듈(240)은 추출된 쿠키값과 쿠키 DB(230)에 저장된 IP별 쿠키값을 비교함으로써 쿠키값이 올바른 값인지 검증한다.
웹페이지접속유도모듈(250)은 쿠키값의 검증에 성공할 경우 호스트가 요청한 웹서버(140)의 웹페이지를 제공함으로써 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하고, 웹서버와 연결을 중계한다.
좀비식별모듈(260)은 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단된 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별한다. 또한, 상기 좀비로 식별된 호스트로부터 수신된 메시지를 싱크홀 서버(150)로 재전달하거나 또는 상기 좀비로 식별된 호스트의 IP 주소를 싱크홀 서버(150)로 전달한다. 일 실시예에서, 네트워크 부하를 감소키기 위해 일정기간동안 좀비로 식별된 호스트들의 IP 주소들을 취합한 후에 취합된 정보를 싱크홀 서버(150)로 전달할 수 있다.
한편, 전술한 실시예에서는 인증처리모듈(220)이 가상 서버(200)내에 포함되는 것으로 설명되어 있으나, 다른 실시예에서는 인증처리모듈(220)에 의해 수행되는 인증 기능이 가상 서버(200)와는 별도의 인증서버에서 수행될 수 있다. 이러한 경우에, 가상서버(200)의 쿠키확인모듈(210)이 호스트로부터의 접속 요청 메시지 내에 쿠키가 존재하는지 확인하고, 쿠키가 존재하지 않을 경우에는 상기 접속 요청 메시지를 인증서버로 재전달하여, 인증서버에 의해 인증처리가 수행되도록 할 것이다. 인증서버는 인증이 완료된 정상사용자에게 쿠키를 전달한 후 가상서버에 재접속하도록 유도할 것이다.
도 3은 본 발명의 일실시예에 따른 싱크홀 서버의 구성을 도시한 블록도이다. 도시된 바와 같이, 싱크홀 서버(300)는 중복 IP 제거모듈(310), 좀비규모산정모듈(320), 좀비분포파악모듈(330) 및 좀비 정보 DB(340)를 포함한다.
앞서 설명한 도 2는 설명의 편의상 1개의 가상서버와 1개의 웹서버를 예로 들어 설명하였으나, 본 발명에 따른 가상서버는 DDoS 공격의 주된 대상이 되는 다수의 웹서버들의 전단에 설치되어 인증에 실패하는 호스트를 좀비로 식별하고 좀비로부터 유입된 트래픽 또는 좀비의 IP 주소를 싱크홀 서버(300)로 전달한다. 싱크홀 서버(300)는 다수의 가상서버(200)들로 유입되는 좀비들에 대한 정보를 통합 관리하여 좀비의 전체적인 규모 및 지리적 분포를 파악함으로써 관제기술측면에서 향후 해당 봇넷의 트래픽 흐름을 모니터링하고 향후 2차 공격에 대비할 수 있도록 한다.
구체적으로, 중복 IP 제거모듈(310)은 다수의 가상서버들로부터 전달되는 좀비의 IP 주소들을 수집하고 수집된 IP 주소들중에서 중복되는 IP 주소를 제거한다. 대안적으로, 가상서버들로부터 좀비의 IP 주소가 아닌 좀비로부터 발생된 트래픽이 그대로 재전달되어 오는 경우에는 트래픽으로부터 IP 주소를 추출하는 IP 주소 추출 모듈(미도시됨)이 추가적으로 필요할 수 있다.
좀비규모산정모듈(320)은 중복 IP 제거모듈(310)의해 중복된 IP 주소가 제거된 IP 주소들의 총개수를 산출함으로써 좀비의 규모를 산정한다.
좀비분포파악모듈(330)은 IP 주소에 내재된 지리적 정보(예,국가, 도시 및 지역 정보)를 이용하여 좀비들의 세계적인 지리 분포를 파악한다.
좀비정보DB(340)은 좀비규모산정모듈(320)에 의해 산정된 좀비의 총개수 및 좀비분포파악모듈(330)에 의해 파악된 지리적 분포 정보가 저장되는 장소이다. 좀비정보 DB(340)은 좀비규모산정모듈(320) 및 좀비분포파악모듈(330)의 수행 결과에 따라 주기적으로 갱신된다.
도 4는 본 발명의 일실시예에 따라 가상서버에서 수행되는 DDos 좀비 식별 과정을 도시한 흐름도이다.
우선, 사용자(호스트)로부터 최초 웹 페이지 접속 요청 메시지가 수신되면(단계 410), 상기 접속 요청 메시지내에 쿠키의 존재 유무를 확인한다(단계 420).
단계(420)에서 쿠키가 존재하지 않는 것으로 확인되면, 사용자에게 자동접속방지(CAPTCHA) 페이지를 전송하여 문제에 대한 정답을 제출하도록 함으로써 사용자 인증을 수행하고(430), 인증된 사용자에 쿠키를 전송한다(단계 440).
해당 쿠키값은 IP별 쿠키값이 저장된 쿠키 DB에서 가져온다. 사용자는 차후에 웹서버에 접속할 때 상기 쿠키를 접속요청 메시지에 포함시킴으로써 인증키로 이용할 것이다.
반면에, 정답을 제출하지 못하여 인증에 실패한 사용자에게는 CAPTCHA 페이지를 재전송함으로써 임계값만큼의 정답 제출 기회를 제공하고 실패 회수가 임계값을 초과한 것으로 판단된 경우에(단계 470), DDoS 좀비로 식별하고 해당 좀비로부터 수신된 접속요청 메시지를 DDoS 싱크홀로 재전달한다(단계 480).
단계(420)에서 웹쿠키가 존재하는 것으로 확인된 경우에, 쿠키값을 추출하여 해당 웹 쿠키의 정당성 여부를 쿠키DB와 비교하여 검증한다(단계 450).
단계(450)에서 웹쿠키의 검증이 성공하면, 정상 사용자로 식별하고 웹 서버로 연결을 유도하여 사용자와 웹 서버의 통신을 중계한다(단계 460).
한편 단계(450)에서 웹쿠키의 검증에 실패한 경우에, 해당 사용자에 대한 쿠키 검증 실패횟수가 임계값을 초과하는지 판단하고(단계 470), 임계값을 초과한 경우에 해당 사용자 호스트를 DDoS 좀비로 식별하여 웹서버로의 접속을 차단하고 호스트로부터 수신된 접속 요청 메시지를 DDoS 싱크홀로 재전달한다(단계 480).
도 5 는 본 발명의 일실시예에 따 정상 사용자의 접속 트래픽 제어 흐름도를 도시한다. 도시된 바와 같이, 웹서버에 접속을 처음 시도하는 정상 사용자 호스트로부터 쿠키를 수반하지 않은 접속 요청 메시지가 수신된다(500).
호스트로부터 접속 요청 메시지가 수신되면, 가상서버는 호스트에게 자동접속방지(CAPTCHA) 페이지를 전송한다(601). 이때, 사용자의 접속은 종료된다(602).
호스트로부터 자동접속방지 페이지에 대한 정답에 제출되면(510), 상기 호스트의 IP에 대응하는 쿠키를 생성하여 호스트에 전송함과 동시에 웹서버의 해당 웹페이지 전환을 유도한다(511).
이후, 사용자는 웹서버 접속을 위해 쿠키를 수반한 접속 요청 메시지를 전송하고(520), 쿠키를 수반한 접속 요청을 수신한 가상 서버는 쿠키값를 검증하여 쿠키값이 정당한 것으로 검증된 경우에 웹서버와 연결을 중계한다(521). 가상서버는 웹 서버의 응답을 수신하여(522), 사용자에게 전달한다(523).
대안적으로, 쿠키를 수반한 접속 요청 메시지가 웹서버에 의해 직접 수신될 수 있으며, 이 경우에 웹서버에서 쿠키값을 검증하고 직접 호스트에 응답할 수 있다.
도 6 은 본 발명의 일실시예에 따라 좀비로 식별되는 호스트의 접속 트래픽 제어 흐름도를 도시한다. 호스트로부터 쿠키를 수반하지 않은 접속 요청을 수신한다(600).
호스트로부터 접속 요청 메시지가 수신되면, 가상서버는 사용자에게 자동접속방지(CAPTCHA) 페이지를 전송한다(601). 이때, 사용자의 접속은 종료된다(602). 호스트로부터 CAPTCHA 오답이 수신되면(610), 접속을 강제 종료한다 (611). 호스트로부터 비정상 쿠키를 수반한 접속 요청을 수신되면(620),쿠키 검증을 수행하여 쿠키가 비정상임을 확인하고, 접속을 강제 종료한다 (621).
각 접속이 강제 종료되는 경우가 임계값을 초과하면, 해당 호스트를 DDoS 좀비로 식별하고 상기 호스트로부터 수신된 접속 요청 메시지를 DDoS 싱크홀로 재전달한다 (630).
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
110: 정상사용자 호스트
120: 좀비 호스트
130:가상서버
140: 웹서버
150: 싱크홀 서버
210: 쿠키확인모듈
220: 인증처리모듈
230: 쿠키 DB
240: 쿠키값검증모듈
250:웹페이지접속유도모듈
260:좀비식별모듈
120: 좀비 호스트
130:가상서버
140: 웹서버
150: 싱크홀 서버
210: 쿠키확인모듈
220: 인증처리모듈
230: 쿠키 DB
240: 쿠키값검증모듈
250:웹페이지접속유도모듈
260:좀비식별모듈
Claims (13)
- 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈;
상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈;
상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및
상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈
을 포함하는 좀비식별 가상서버.
- 제1항에 있어서, 상기 호스트의 IP 주소에 대응하는 쿠키값을 저장하는 쿠키값 DB를 더 포함하는 좀비식별 가상서버.
- 제1항에 있어서, 상기 인증처리모듈은 상기 호스트가 상기 자동접속방지테스트에 대한 정답을 제출하지 못할 경우에 임계값만큼 정답 제출 기회를 제공하는 좀비식별 가상서버.
- 제3항에 있어서, 상기 인증처리모듈은 상기 호스트가 상기 임계값만큼의 정답 제출 기회동안 정답을 제출하지 못할 경우에 상기 호스트를 좀비로 식별하고 상기 호스트의 접속을 차단하고 상기 호스트의 접속요청 메시지 또는 IP 주소를 싱크홀 서버로 전달하는 좀비식별 가상서버.
- 제2항에 있어서, 상기 쿠키값검증모듈은 상기 추출된 쿠키값과 상기 쿠키 DB에 저장된 상기 호스트의 IP 주소에 대응하는 쿠키값을 비교함으로써 상기 쿠키값을 검증하는 좀비식별 가상서버.
- 제1항에 있어서, 상기 좀비식별모듈은 상기 좀비로 식별된 호스트로부터 수신된 메시지 또는 상기 좀비로 식별된 호스트의 IP 주소를 싱크홀 서버로 전달하는 좀비식별 가상서버.
- 제1항에 따른 좀비식별 가상서버에 의해 좀비로 식별된 호스트들의 IP 주소들을 수집하고 상기 IP 주소들중에서 중복되는 IP 주소를 제거하는 중복 IP 제거 모듈과,
상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 좀비규모산정모듈과,
상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 지리분포파악모듈과,
상기 산정된 좀비의 규모 및 상기 지리적 분포를 저장하는 좀비정보 DB
를 포함하는 싱크홀 서버.
- 제7항에 있어서, 상기 좀비식별 가상서버로부터 좀비 트래픽이 재전달된 경우에 상기 좀비 트래픽으로부터 상기 좀비의 IP 주소를 추출하는 IP 주소 추출 모듈을 더 포함하는 싱크홀 서버.
- 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하는지 판단하는 단계;
상기 접속요청 메시지가 쿠키를 포함하지 않은 경우에 상기 호스트에 자동접속방지 페이지를 전송하는 단계;
상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되면 상기 호스트의 IP 주소에 대응하는 쿠키를 전송하는 단계;
상기 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 호스트의 IP 주소에 대응하는 쿠키값인지 검증하는 단계; 및
상기 쿠키값의 검증에 실패한 경우 상기 웹서버로의 접속을 차단하고 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계
를 포함하는 좀비 식별 방법.
- 제9항에 있어서, 상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되지 않는 경우 상기 호스트에 상기 자동접속방지 페이지를 재전송함으로써 임계값만큼 정답 제출 기회를 제공하고 상기 호스트의 정답 실패 횟수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계를 더 포함하는 좀비 식별 방법.
- 제9항 또는 제10항에 있어서, 상기 좀비로 식별된 호스트로부터 수신된 접속요청메시지를 또는 상기 호스트의 IP 주소를 싱크홀 서버로 재전달하는 단계를 더 포함하는 좀비 식별 방법.
- 제9항에 있어서, 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버에 접속할 수 있도록 상기 웹서버의 웹페이지를 제공하는 단계를 더 포함하는 좀비 식별 방법.
- 제1항에 따른 좀비식별 가상서버에 의해 좀비로 식별된 호스트들의 IP 주소들을 수집하는 단계;
상기 수집된 IP 주소들중에서 중복되는 IP 주소를 제거하는 단계;
상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 단계;
상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 단계
를 포함하는 좀비 정보 통합 관리 방법.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100039332A KR101109669B1 (ko) | 2010-04-28 | 2010-04-28 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
| JP2010198017A JP5250594B2 (ja) | 2010-04-28 | 2010-09-03 | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 |
| US12/985,728 US8706866B2 (en) | 2010-04-28 | 2011-01-06 | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information |
| EP11151747.0A EP2383954A3 (en) | 2010-04-28 | 2011-01-21 | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100039332A KR101109669B1 (ko) | 2010-04-28 | 2010-04-28 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110119915A KR20110119915A (ko) | 2011-11-03 |
| KR101109669B1 true KR101109669B1 (ko) | 2012-02-08 |
Family
ID=44359430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100039332A KR101109669B1 (ko) | 2010-04-28 | 2010-04-28 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8706866B2 (ko) |
| EP (1) | EP2383954A3 (ko) |
| JP (1) | JP5250594B2 (ko) |
| KR (1) | KR101109669B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101468114B1 (ko) * | 2013-04-25 | 2014-12-05 | 한국인터넷진흥원 | 싱크홀 서버에 기반한 악용 경유지 추적 시스템 및 방법 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
| IL210169A0 (en) | 2010-12-22 | 2011-03-31 | Yehuda Binder | System and method for routing-based internet security |
| US20120180115A1 (en) * | 2011-01-07 | 2012-07-12 | John Maitland | Method and system for verifying a user for an online service |
| US9501651B2 (en) * | 2011-02-10 | 2016-11-22 | Fireblade Holdings, Llc | Distinguish valid users from bots, OCRs and third party solvers when presenting CAPTCHA |
| KR101369727B1 (ko) * | 2012-07-11 | 2014-03-06 | 한국전자통신연구원 | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 |
| CN103546330A (zh) * | 2012-07-11 | 2014-01-29 | 阿里巴巴集团控股有限公司 | 一种浏览器兼容性检测方法、装置及系统 |
| US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| CN103001942B (zh) * | 2012-09-14 | 2016-03-30 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
| DE102012108866A1 (de) | 2012-09-20 | 2014-03-20 | Endress + Hauser Flowtec Ag | Verfahren zum sicheren Bedienen eines Feldgerätes |
| KR101963174B1 (ko) * | 2012-10-08 | 2019-03-28 | 에스케이플래닛 주식회사 | 보안기능을 갖는 오류 관리 시스템 및 그 제어방법 |
| US10348760B2 (en) | 2012-10-22 | 2019-07-09 | Verisign, Inc. | Integrated user challenge presentation for DDoS mitigation service |
| US9100432B2 (en) * | 2012-12-21 | 2015-08-04 | Verizon Patent And Licensing Inc. | Cloud-based distributed denial of service mitigation |
| US9197711B1 (en) * | 2013-02-22 | 2015-11-24 | Symantec Corporation | Systems and methods for detecting the presence of web tracking |
| US9497213B2 (en) * | 2013-03-15 | 2016-11-15 | Fireeye, Inc. | System and method to manage sinkholes |
| EP2854411A1 (en) | 2013-09-25 | 2015-04-01 | Samsung Electronics Co., Ltd | Display apparatus and control method thereof |
| US10692102B2 (en) | 2013-12-31 | 2020-06-23 | Viesoft, Inc. | Price mining and product re-pricing data processing systems and methods |
| US10389752B2 (en) | 2015-01-14 | 2019-08-20 | Viesoft, Inc. | Price mining prevention systems and related methods |
| US9552487B2 (en) * | 2015-01-14 | 2017-01-24 | Viesoft, Inc. | Price mining prevention systems and related methods |
| EP2916512B1 (en) * | 2014-03-07 | 2016-08-24 | Mitsubishi Electric R&D Centre Europe B.V. | Method for classifying a TCP connection carrying HTTP traffic as a trusted or an untrusted TCP connection |
| US10097583B1 (en) | 2014-03-28 | 2018-10-09 | Amazon Technologies, Inc. | Non-blocking automated agent detection |
| US9361446B1 (en) * | 2014-03-28 | 2016-06-07 | Amazon Technologies, Inc. | Token based automated agent detection |
| US9424414B1 (en) | 2014-03-28 | 2016-08-23 | Amazon Technologies, Inc. | Inactive non-blocking automated agent detection |
| US20160352731A1 (en) * | 2014-05-13 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Network access control at controller |
| US10748175B2 (en) | 2015-01-14 | 2020-08-18 | Viesoft, Inc. | Price mining prevention and dynamic online marketing campaign adjustment data processing systems and methods |
| CN105306436B (zh) * | 2015-09-16 | 2016-08-24 | 广东睿江云计算股份有限公司 | 一种异常流量检测方法 |
| US10673719B2 (en) | 2016-02-25 | 2020-06-02 | Imperva, Inc. | Techniques for botnet detection and member identification |
| US10536480B2 (en) * | 2017-05-02 | 2020-01-14 | Shenzhen University | Method and device for simulating and detecting DDoS attacks in software defined networking |
| CN108810872A (zh) | 2017-05-03 | 2018-11-13 | 阿里巴巴集团控股有限公司 | 控制数据传输的方法、装置和系统 |
| CN109246160B (zh) * | 2017-06-15 | 2022-01-21 | 阿里巴巴集团控股有限公司 | 访问互联网应用的方法、装置、系统及设备 |
| CN109977221B (zh) * | 2018-09-04 | 2023-09-19 | 中国平安人寿保险股份有限公司 | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
| KR102351122B1 (ko) | 2020-04-27 | 2022-01-13 | 주식회사 웰컨 | 매크로 이상 접속 탐지 장치 및 방법 |
| US20220239673A1 (en) * | 2021-01-27 | 2022-07-28 | Zscaler, Inc. | System and method for differentiating between human and non-human access to computing resources |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100602920B1 (ko) * | 2005-12-15 | 2006-07-24 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
| KR20100075043A (ko) * | 2008-12-24 | 2010-07-02 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
| KR20100074480A (ko) * | 2008-12-24 | 2010-07-02 | 한국인터넷진흥원 | 네트워크 기반의 http 봇넷 탐지 방법 |
| KR20100098241A (ko) * | 2009-02-27 | 2010-09-06 | (주)다우기술 | 봇넷 행동 패턴 분석 시스템 및 방법 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120853A1 (en) * | 2001-02-27 | 2002-08-29 | Networks Associates Technology, Inc. | Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests |
| US7339908B2 (en) * | 2001-07-31 | 2008-03-04 | Arraycomm, Llc. | System and related methods to facilitate delivery of enhanced data services in a mobile wireless communications environment |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US20050216845A1 (en) * | 2003-10-31 | 2005-09-29 | Jason Wiener | Utilizing cookies by a search engine robot for document retrieval |
| JP2005149239A (ja) * | 2003-11-17 | 2005-06-09 | Nec Corp | ユーザ認証システム |
| JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
| KR100663546B1 (ko) * | 2005-07-08 | 2007-01-02 | 주식회사 케이티 | 악성 봇 대응 방법 및 그 시스템 |
| JP2006107524A (ja) * | 2005-11-11 | 2006-04-20 | Yafoo Japan Corp | Wwwサーバー、及び、該wwwサーバーと通信回線を介して接続された利用者端末、を有するシステム |
| US20070156592A1 (en) * | 2005-12-22 | 2007-07-05 | Reality Enhancement Pty Ltd | Secure authentication method and system |
| JP4664257B2 (ja) * | 2006-09-06 | 2011-04-06 | 富士通株式会社 | 攻撃検出システム及び攻撃検出方法 |
| US8849921B2 (en) | 2007-06-28 | 2014-09-30 | Symantec Corporation | Method and apparatus for creating predictive filters for messages |
| US8132255B2 (en) * | 2008-06-16 | 2012-03-06 | Intel Corporation | Generating a challenge response image including a recognizable image |
| US8914510B2 (en) * | 2008-11-17 | 2014-12-16 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for enhancing internet security for network subscribers |
| KR100900491B1 (ko) | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
| US20100192201A1 (en) * | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
| AU2010258278A1 (en) * | 2009-06-10 | 2012-01-12 | Site Black Box Ltd | Identifying bots |
| US9225531B2 (en) * | 2009-06-18 | 2015-12-29 | Visa International Service Association | Automated test to tell computers and humans apart |
| US9215212B2 (en) * | 2009-06-22 | 2015-12-15 | Citrix Systems, Inc. | Systems and methods for providing a visualizer for rules of an application firewall |
| US8312073B2 (en) * | 2009-08-04 | 2012-11-13 | Palo Alto Research Center Incorporated | CAPTCHA-free throttling |
| US20110208714A1 (en) * | 2010-02-19 | 2011-08-25 | c/o Microsoft Corporation | Large scale search bot detection |
| US9009330B2 (en) * | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
-
2010
- 2010-04-28 KR KR1020100039332A patent/KR101109669B1/ko active IP Right Grant
- 2010-09-03 JP JP2010198017A patent/JP5250594B2/ja active Active
-
2011
- 2011-01-06 US US12/985,728 patent/US8706866B2/en not_active Expired - Fee Related
- 2011-01-21 EP EP11151747.0A patent/EP2383954A3/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100602920B1 (ko) * | 2005-12-15 | 2006-07-24 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
| KR20100075043A (ko) * | 2008-12-24 | 2010-07-02 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
| KR20100074480A (ko) * | 2008-12-24 | 2010-07-02 | 한국인터넷진흥원 | 네트워크 기반의 http 봇넷 탐지 방법 |
| KR20100098241A (ko) * | 2009-02-27 | 2010-09-06 | (주)다우기술 | 봇넷 행동 패턴 분석 시스템 및 방법 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101468114B1 (ko) * | 2013-04-25 | 2014-12-05 | 한국인터넷진흥원 | 싱크홀 서버에 기반한 악용 경유지 추적 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2383954A2 (en) | 2011-11-02 |
| KR20110119915A (ko) | 2011-11-03 |
| US8706866B2 (en) | 2014-04-22 |
| EP2383954A3 (en) | 2015-08-12 |
| US20110270969A1 (en) | 2011-11-03 |
| JP2011233128A (ja) | 2011-11-17 |
| JP5250594B2 (ja) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101109669B1 (ko) | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 | |
| CN107888546B (zh) | 网络攻击防御方法、装置以及系统 | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
| US8881234B2 (en) | Host state monitoring | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| JP5987627B2 (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
| JP2015039214A (ja) | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US8726384B2 (en) | Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such | |
| JP2010529571A (ja) | 構造化ピアツーピア・ネットワークにおいて悪意のあるピアを検出するためのプロクタ・ピア | |
| CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| KR101576632B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| Al‐Hammouri et al. | ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload | |
| KR20130105769A (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| KR101851680B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN111526126B (zh) | 数据安全传输方法,数据安全设备及系统 | |
| US20110314527A1 (en) | Internet protocol-based filtering device and method, and legitimate user identifying device and method | |
| JP2021082342A (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| KR101223932B1 (ko) | 실사용자 인증방식을 이용한 디도스 공격 대응 시스템 및 이를 이용한 디도스 공격 대응 방법 | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20141224 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20151224 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20200106 Year of fee payment: 9 |