KR101118398B1 - 트래픽 방어 방법 및 장치 - Google Patents

트래픽 방어 방법 및 장치 Download PDF

Info

Publication number
KR101118398B1
KR101118398B1 KR1020097009120A KR20097009120A KR101118398B1 KR 101118398 B1 KR101118398 B1 KR 101118398B1 KR 1020097009120 A KR1020097009120 A KR 1020097009120A KR 20097009120 A KR20097009120 A KR 20097009120A KR 101118398 B1 KR101118398 B1 KR 101118398B1
Authority
KR
South Korea
Prior art keywords
filter
domain name
address
received
source
Prior art date
Application number
KR1020097009120A
Other languages
English (en)
Other versions
KR20090075719A (ko
Inventor
에릭 헨리 그로스
클리포드 이 마틴
Original Assignee
알카텔-루센트 유에스에이 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알카텔-루센트 유에스에이 인코포레이티드 filed Critical 알카텔-루센트 유에스에이 인코포레이티드
Publication of KR20090075719A publication Critical patent/KR20090075719A/ko
Application granted granted Critical
Publication of KR101118398B1 publication Critical patent/KR101118398B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

자동화된 검출 알고리즘으로 인한 트래픽의 차단을 선택적으로 오버라이드하는 방법 및 장치가 제공된다. 타겟 빅팀에 대한 패킷의 전송이 제한되어야 하는 적어도 하나의 소스 컴퓨팅 디바이스의 소스 어드레스를 식별하는 중앙 필터를 유지하고, 타겟 빅팀에 대한 패킷의 전송이 타겟 빅팀에 전송되어야 하는 하나 이상의 소스 컴퓨팅 디바이스를 식별하는 적어도 하나의 정규 표현식을 기입하는 오버라이드 필터를 유지하며, 적어도 하나의 수신된 패킷이 적어도 하나의 소스 컴퓨팅 디바이스로부터 수신된다는 것을 중앙 필터가 표시하는 경우 소스 어드레스를 도메인 네임 서비스(Domain Name Service : DNS) 포맷의 어드레스로 변환하고, 도메인 네임 서비스 포맷이 오버라이드 필터에 나타나는 정규 표현식을 충족하는 경우 적어도 하나의 수신된 패킷을 타겟 빅팀에 전송함으로써 원치 않는 트래픽에 대해 타겟 빅팀이 보호될 수 있다.

Description

트래픽 방어 방법 및 장치{METHOD AND APPARATUS FOR OVERRIDING DENUNCIATIONS OF UNWANTED TRAFFIC IN ONE OR MORE PACKET NETWORKS}
관련 출원에 대한 교차 참조
본 출원은 본 명세서에서 참조로서 인용되며, 본 발명의 양수인에게 양도되어, 2005년 8월 5일에 각각 출원된 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호에 관련된 것이다.
본 발명은 패킷 기반형 통신 네트워크에 대한 컴퓨터 보안 기법에 관한 것으로, 보다 구체적으로, 이러한 패킷 기반형 네트워크에서 서비스 거부(Denial of Service) 공격 또는 다른 악의적 공격과 같은 원치 않는 트래픽을 검출하고 통보하는(denouncing) 방법 및 시스템에 관한 것이다.
서비스 거부(Denial of Service ;: DoS) 공격은 그들의 의도된 사용자에 대해 이용 불가능한 컴퓨터 리소스를 만들도록 시도한다. 예를 들어, 웹 서버에 대한 DoS 공격은 통상 호스팅된 웹 페이지를 이용 불가능하게 한다. DoS 공격은 제한된 리소스가 사용자를 합법화하는 대신에 공격자에 대해 허용될 필요가 있는 경우에 막대한 서비스 붕괴를 야기할 수 있다. 공격 머신은 전형적으로 공격의 타겟 빅팀(target victim)으로 지향되는 인터넷 상에서 다수의 인터넷 프로토콜(IP) 패킷을 전송함으로써 손상을 가한다. 예를 들어, DoS 공격은 네트워크를 "넘치게 하여(flood)", 합법적인 네트워크 트래픽을 막거나, 또는 사용자가 처리할 수 있는 것보다 많은 요청을 전송함으로써 서버에 손상을 가하여, 하나 이상의 서비스에 대한 액세스를 방지하는 시도를 포함할 수 있다.
이러한 악의적 공격에 대해 방어하기 위한 다수의 기법이 제안 또는 제시되어 왔다. 예를 들어, "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호는 DoS 공격을 검출하고 통보하는 기법을 개시한다.
서비스 거부 공격과 같은 공격에 대해 방어하는 시스템은 전형적으로 2개의 모드 중 하나에서 동작한다. 구역이 "디폴트 드롭" 모드에 있는 경우, 디폴트 작용은 디폴트 드롭 상에서 명시적으로 리스트된 트래픽을 제외한 구역에 대해 예정된 모든 트래픽을 필터링하는 것이다. 일반적으로, 디폴트 드롭 모드에서, 필터는 명시적으로 허가(예를 들어, 사전 정의된 허용 필터에 부합하는)되지 않는 한 모든 트래픽을 자동적으로 드롭할 것이다. 한편, 구역이 디폴트 허용 모드에 있는 경우, 사전 정의된 드롭 필터에 부합하는 트래픽을 제외하고, 필터에 의해 가입자에 대한 모든 트래픽이 통과된다.
연관된 검출 알고리즘에 근거하는 차단 클라이언트에 의한 동작 문제점 중 하나는 평가되는 트래픽을 차단할 수 있거나 또는 이와 달리 차단하는 것으로부터 배제되어야 한다는 것이다. 예를 들어, 엔터프라이즈는 평가되고 차단하는 것으로부터 배제되어야 하는 인덱싱 로봇과 같은 특정의 제 3 가입자 서비스, 또는 특정의 고객으로부터의 임의의 트패픽을 차단하는 것을 원하지 않을 수 있다. 그러나, 네트워크 제공자 변경과 같은 검출기에서 알려져 있지 않은 이벤트에 근거하여 리스트가 변경할 수 있으므로 모든 이러한 클라이언트의 IP 어드레스의 리스트를 유지하는 것이 실행 불가능한 것으로 판명되었다. 따라서 자동화된 검출 알고리즘으로 인한 트래픽의 차단을 선택적으로 오버라이드하는 방법 및 장치에 대한 필요성이 존재한다.
발명의 개요
일반적으로, 자동화된 검출 알고리즘을 통해 트래픽 차단을 선택적으로 오버라이드하는 방법 및 장치가 제공된다. 본 발명의 일 측면에 따르면, 타겟 빅팀에 대한 패킷의 전송이 제한, 드롭 또는 허용 중 하나 이상으로 되는 적어도 하나의 소스 컴퓨팅 디바이스의 소스 어드레스를 식별하는 중앙 필터를 유지하고, 타겟 빅팀에 대한 패킷의 전송이 중앙 필터의 엔트리에 관계없이 타겟 빅팀에 전송되어야 하는 하나 이상의 소스 컴퓨팅 디바이스를 식별하는 적어도 하나의 정규 표현식을 나열하는 오버라이드 필터(override filter)를 유지하며, 중앙 필터가 적어도 하나의 수신된 패킷이 적어도 하나의 소스 컴퓨팅 디바이스로부터 수신된다고 표시하는 경우 소스 어드레스를 도메인 네임 서비스(Domain Name Service : DNS) 포맷의 도메인 네임 어드레스로 변환하고, 도메인 네임 서비스 포맷이 오버라이드 필터에 나타나는 정규 표현식을 충족하는 경우 적어도 하나의 수신된 패킷을 상기 타겟 빅팀에 전송함으로써 악의적 공격 또는 서비스 거부 공격과 같은 원치 않는 트래픽에 대해 타겟 빅팀이 보호될 수 있다.
소스 어드레스는, 예를 들어, 역 DNS 룩업을 수행함으로써 도메인 네임 서비스 포맷의 도메인 네임 어드레스로 변환될 수 있다. 정규 표현식은, 예를 들어, 하나 이상의 와일드카드 필드를 포함하는 도메인 네임 서비스 마스크일 수 있다.
본 발명의 보다 완전한 이해 뿐만 아니라, 본 발명의 다른 특징 및 장점은 후술하는 상세한 설명 및 도면을 참조하여 획득될 것이다.
도면의 간단한 설명
도 1은 본 발명이 동작할 수 있는 네트워크 환경을 도시하고,
도 2는 도 1의 중앙 필터 시스템의 개략적인 블록도이며,
도 3은 도 2의 서비스 거부 필터 규칙 베이스로부터의 샘플 테이블이고,
도 4는 도 2의 필터 오버라이드 데이터베이스로부터의 샘플 테이블이고,
도 5는 본 발명의 특징을 포함하는 서비스 거부 필터링 프로세스의 예시적인 구현예를 기술하는 플로우 차트이다.
본 발명은 하나 이상의 패킷 네트워크에서 서비스 거부 공격과 같은 악의적 공격의 디넌시에이션을 오버라이드하는 방법 및 장치를 제공하다. 일반적으로, 수신기가 디넌시에이션을 행하려는 시점에서, 명칭이 proxy*.isp.com 또는 *.searchenginebox.com과 같은 특정의 사전 정의된 정규 표현식에 부합하는지를 알기 위해 소스 어드레스에 대해 역 DNS 룩업이 수행된다. 이러한 방식으로, 검출기가 분석하고 있는 로그의 각각의 어드레스에 대해 DNS 룩업이 요구되지 않는다.
도 1은 본 발명이 동작할 수 있는 네트워크 환경(100)을 도시한다. 도 1에 도시된 바와 같이, 엔터프라이즈 네트워크(150)는 검출기(140)를 이용하여 악의적 공격에 대해 자신을 보호한다. 엔터프라이즈 네트워크(150)는 엔터프라이즈 사용자가 서비스 제공자 네트워크(120)에 의해 인터넷 또는 다른 네트워크를 액세스하도록 한다. 서비스 제공자 네트워크(120)는 엔터프라이즈 네트워크(150)의 사용자에게 서비스를 제공하고, 인그레스(ingress) 포트(115)에 의해 각종 소스로부터 패킷을 수신하며, 이들을 엔터프라이즈 네트워크(150) 내의 개별적인 목적지에 전송한다.
예시적인 일 실시예에서, 검출기(140)는 악의적 공격에 대해 자신을 보호하기 위해, 이하 도 2와 관련하여 더 기술된 중앙 필터(200)와 공동 동작한다. 일반적으로, 이하 더 기술된 바와 같이, 검출기(140)는 엔터프라이즈 네트워크(150)에 대해 서비스 거부(DoS) 공격과 같은 악의적 공격을 검출할 것이고, 서비스 제공자에 의해 유지된 중앙 필터(200)를 통지할 것이다.
중앙 필터(200)는 서비스 제공자 네트워크(120)에 의해 엔터프라이즈 네트워크(150)에 도달하는 트래픽을 제한하도록 기능한다. 검출기(140)는 전형적으로 엔터프라이즈 네트워크(150) 내의 방화벽 뒤에 놓이고, 검출기(140)는 전형적으로 ISP의 중앙 필터(200)에 목적지 메시지를 전송한다. 검출기(140) 및 중앙 필터(200)는 본 발명의 특징 및 기능을 제공하도록 본 명세서에서 한정된 바와 같이 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호에 근거하여 구현될 수 있다.
검출기(140)는 엔터프라이즈 네트워크(150) 상에 서비스 거부(DoS) 공격이 범해지는 것으로 판정할 때에, 하나 이상의 소스/목적지 IP 어드레스 쌍을 중앙 필터(200)에 전송할 것이고, 이는 소스 IP 어드레스 및 목적지 IP 어드레스가 임의의 전송된 소스/목적지 IP 어드레스 쌍의 이들 어드레스에 부합하는 IP 패킷의 전송을 서비스 제공자 네트워크(120)가 제한(예를 들어, 차단 또는 레이트 제한)하도록 하여, 엔터프라이즈 네트워크(150) 내에서 하나 이상의 소스 디바이스(110)로부터 공격 빅팀으로의 악의적 공격을 제한(또는 제거)하게 된다. 검출기(140)는 선택적으로 신뢰 불가능한 UDP 접속(135) 또는 주요한 접속(130)의 사용에 의해 소스/목적지 IP 어드레스 쌍을 전송한다.
따라서 서비스 거부(DoS) 공격의 빅팀을 허용하는 개시된 시스템은 차단될 소스/목적지 IP 어드레스 쌍의 테이블에 응답하여 이를 업데이트할 그 서비스 제공자에 대한 공격자를 통보함으로써 "푸시 백(push back)"될 수 있다. 보다 구체적으로, 공격이 발생하는 것으로 인식할 때에, 빅팀(엔터프라이즈 네트워크(150))은 공격의 일부분이 될 것으로 예정된 패킷 내에 지정되는 하나 이상의 소스 및 목적지 IP 어드레스를 식별하고, 중앙 필터(200)에 의해 차단하기 위해 서비스 제공자에 대해 이들 IP 어드레스 쌍을 통신할 것이다.
도 1에 도시된 바와 같이, 가입자(엔터프라이즈 네트워크(150))에 대해 예정된 패킷은 일반적으로 "양호한" 및 "불량한" 트래픽에 대응하는 클래스로 분류된다. 예를 들어, 카테고리 A(105-A)로부터 양호한 트래픽이 전달되고(허용되고), 카테고리 B(105-B) 및 카테고리 C(105-C)로부터 불량한 트래픽이 각각 레이트 제한되거나 드롭된다. 엔터프라이즈 네트워크(150)와 연관된 목적지 어드레스에 트래픽을 전송하는 소스 컴퓨팅 디바이스(110)는 N개의 예시적인 카테고리 중 하나로 분류된다. 디넌시에이션은 양호한 트래픽 및 불량한 트래픽 사이의 경계를 쉬프트한다.
특정의 예시적인 실시에에 따르면, 공격자(즉, 식별된 소스 IP 어드레스 또는 어드레스들)는 네트워크로부터 완전하게 차단될 필요는 없으며, 그 대신에 단지 전송 패킷으로부터 빅팀(식별된 목적지 IP 어드레스 또는 어드레스들)으로 금지될 수 있다는 것을 주목해야 한다. 이것은 식별된 소스 IP 어드레스 또는 어드레스들이 빅팀에 대한 소정의 공격(예를 들어, 좀비(zombie))에 대해 전달되는 합법적인 사용자를 나타내는 경우에 특히 유용할 수 있다. 따라서, 전달되는 머신의 소유자가 합법적인 목적을 위해 시스템을 계속해서 사용할 수 있는 한편, 유리하게는 빅팀 상에서 범해지는 공격(가능하게는 합법적인 사용자에 대해 알려지지 않음)이 방해된다. 또한, 이러한 예시적인 실시예에 따른 기법은 유리하게는 소정의 빅팀에 의해 공격자의 과도하게 열정적인 식별로부터의 보호를 제공한다는 것에 또한 주목해야 한다. 본 발명의 원리에 따르면, 명확하게 유리한 것은 공격의 식별이 명백한 빅팀의 분별에 남겨지므로, 소정의 빅팀에 대한 트래픽만이 차단되거나 제한된다는 것이다.
악의적 공격은 간략화 또는 복잡화의 정도를 변화시키는 하나 이상의 알고리즘에 의해 인식될 수 있으며, 이는 본 발명의 범위 외부에 있으며, 이들의 다수가 당 분야에서 통상의 지식을 가진 자에게 열려져 있다. 예를 들어, 본 발명의 특정의 예시적인 실시에에 따르면, 단일의 식별된 소스 또는 복수의 식별된 소스로부터의 매우 높은 트래픽 레벨(예를 들어, 높은 패킷 레이트)의 존재에만 근거하여 애플리케이션 로그가 검사되고 공격이 식별될 수 있다. 이것은 서비스 거부(DoS) 공격의 존재를 식별하는 하나의 통상적인 방법이며 당 분야에서 통상의 지식을 가진 자에게 친숙할 것이라는 점에 주목해야 한다.
그러나, 다른 구현예에서, 패킷 콘텐츠의 분석에 근거한 애플리케이션은, 예를 들어, 존재하지 않는 데이터베이스 요소에 대해 빈번한 데이터베이스 탐색이 존재하는 것으로 인식하고, 사람이 초기화할 수 있는 것보다 높은 레이트에서 발생하는 인간으로부터 다수의 요청이 명백하게 존재하는 것으로 인식하며, 무효 요청을 구문적으로 식별하고, 통상적으로 발생하는 활동의 동작 시에 특히 민감한 시점에서 트래픽의 의심적인 요소를 식별하는 것과 같은 의심적인 속성을 갖는 패킷, 패킷 시퀀스 또는 액션을 식별하도록 수행될 수 있다. 의심적인 패킷의 후자 클래스의 예는, 예를 들어, 주식 거래 웹 사이트가 촉박한 주식 트랜잭션 동안 민감한 시점에서 특히 붕괴적인 트래픽을 통지하는 경우에 식별될 수 있다. 다른 변형예에서, 예를 들어, 상기 기술된 상황의 하나 이상을 포함하는 다수의 상이한 인덱스의 가능한 공격은 유리하게는, 공격의 존재를 식별하기 위해 보다 복잡한 분석으로 결합될 수 있다.
도 2는 본 발명의 프로세스를 구현할 수 있는 도 1의 중앙 필터 시스템(200)의 개략적인 블록도이다. 도 2에 도시된 바와 같이, 메모리(230)는 본 명세서에서 기술된 서비스 거부 필터링 방법, 단계 및 기능을 구현하도록 프로세서(220)를 구성한다. 메모리(230)는 분산 메모리이거나 로컬 메모리일 수 있고, 프로세서(220)는 분산될 수 있거나 단일의 프로세서일 수 있다. 메모리(230)는 전기적, 자기적 또는 광학적 메모리, 또는 이들 메모리와 또는 다른 유형의 저장 디바이스의 임의의 조합으로서 구현될 수 있다. 프로세서(220)를 구성하는 각각의 분산 프로세서가 일반적으로 자기 자신의 어드레스가능한 메모리 공간을 포함한다는 점을 인지해야 한다. 컴퓨터 시스템(200)의 일부 또는 전체가 애플리케이션 특정 집적 회로 또는 범용 집적 회로로 통합될 수 있음을 또한 인지해야 한다.
도 2에 도시된 바와 같이, 예시적인 메모리(230)는 도 3 내지 도 5와 관련하여 각각 이하 더 기술된 바와 같이, 서비스 거부 필터 규칙 베이스(300), 필터 오버라이드 데이터베이스(400) 및 하나 이상의 서비스 거부 필터링 프로세스(500)를 포함한다. 일반적으로, 서비스 거부 필터 규칙 베이스(300)는 중앙 필터(200)에 의해 제한되거나 또는 허용되어야 하는 트래픽과 연관된 소스/목적지 어드레스 쌍을 포함하는 통상적인 필터 베이스이다. 필터 오버라이드 데이터베이스(400)는 서비스 거부 필터 규칙 베이스(300)의 하나 이상의 디넌시에이션이 오버라이드되도록 허용하는 proxy*.isp.com 또는 *.searchenginebox.com과 같은 하나 이상의 사전 구성된 정규 표현식을 포함한다. 서비스 거부 필터링 프로세스(500)는 본 발명의 디넌시에이션 오버라이드 특징에 따른 서비스 거부 또는 다른 공격에 대해 방어하는 예시적인 방법이다.
중앙 필터(200)는 서비스 제공자 네트워크(120)에 포함된 스탠드 얼론(stand-alone) 박스로서, 또는 대안적으로, 네트워크(120)에 이미 존재하는 다른 통상적인 네트워크 요소로 통합된 라인 카드로서 구현될 수 있다. 또한, 특정의 예시적인 실시예에 따르면, 중앙 필터(200)는 유리하게는 공격 시점에 상대적으로 근접한 위치에서 네트워크(120) 내에서 캐리어에 의해 개발될 수 있거나, 또는 초기에 공격으로부터 우수 고객을 유리하게 방어하도록 위치할 수 있다.
도 3은 도 2의 서비스 거부 필터 규칙 베이스(300)로부터의 샘플 테이블이다. 앞서 나타낸 바와 같이, 서비스 거부 필터 규칙 베이스(300)는 전형적으로 중앙 필터(200)에 의해 제한되거나 허용되어야 하는 트래픽과 연관된 소스/목적지 어드레스 쌍을 포함하는 통상적인 필터 베이스로서 구현된다.
앞서 나타낸 바와 같이, 서비스 거부 침과 같은 공격에 대해 방어하는 시스템은 전형적으로 2개의 모드 중 하나에서 동작한다. 구역이 "디폴트 드롭" 모드에 있는 경우, 디폴트 작용은 서비스 거부 필터 규칙 베이스(300)에서 명시적으로 리스트된 트래픽을 제외한 구역에 대해 예정된 모든 트래픽을 필터링한다. 한편, 구역이 디폴트 허용 모드에서, 서비스 거부 필터 규칙 베이스(300)에서 사전 정의된 드롭 필터에 부합하는 트래픽을 제외하고, 필터(200)에 의해 가입자에 대한 모든 트래픽이 통과된다. 따라서, 도 3에 도시된 바와 같이, 예시적인 서비스 거부 필터 규칙 베이스(300)는 사용자가 디폴트 모드가 트래픽을 드롭하거나 또는 허용하는지 여부를 지정하도록 하는 선택적인 버튼 선택(310)을 포함한다. 도 3의 예시적인 실시예에서, 서비스 거부 필터 규칙 베이스(300)는 예시적인 "디폴트 허용" 모드에 대해 구성됨에 따라, 서비스 거부 필터 규칙 베이스(300)에서 사전 정의된 드롭 필터에 부합하는 트래픽을 제외하고, 필터(200)에 의해 가입자에 대한 모든 트래픽이 통과된다.
도 3에 도시된 예시적인 구현예에서, 서비스 거부 필터 규칙 베이스(300)는 소스/목적지 어드레스 쌍, 및 각각의 리스트된 소스/목적지 어드레스 쌍 사이의 모든 트래픽에 대해 수행되어야 하는 선택적인 표시된 액션으로 구성된다.
중앙 필터(200)의 필터링 메커니즘의 동작은 잠재적으로 다수의(예를 들어, 수백만의) 매우 간단한 규칙에 근거하여 동작하는 것을 제외하고, 통상적인 방화벽의 동작과 유사할 수 있음에 주목해야 한다. 특히, 규칙은 "소정의 패킷의 소스 IP 어드레스가 a, b, c, d이고, 목적지 IP 어드레스가 w, x, y, z이면, 패킷을 차단(드롭)한다"의 형태로 표현될 수 있다.
소정의 소스 및 목적지 IP 어드레스의 전송을 금지하는 대신에, 중앙 필터(200)는 이러한 패킷을 우선 순위를 부여하는 것을 해제할 수 있다. 즉, 필터링 메커니즘은 이러한 패킷에 낮은 라우팅 우선 순위를 할당허가나 또는 이러한 패킷에 대해 패킷 레이트 제한을 강화할 수 있다. 두 경우에서, 소정의 소스 및 목적지 IP 어드레스는 트래픽 상에서 현저한 효과를 갖는 것이 불가능할 것이므로 빅팀에 대해 성공적인 서비스 거부 공격을 더 이상 초래하지 않을 것이다.
도 4는 도 2의 필터 오버라이드 데이터베이스(400)로부터의 샘플 테이블이다. 필터 오버라이드 데이터베이스(400)는 서비스 거부 필터 규칙 베이스(300)의 하나 이상의 디넌시에이션이 오버라이드되도록 허용하는 proxy*.isp.com 또는 *.searchenginebox.com과 같은 하나 이상의 사전 구성된 정규 표현식을 포함한다. 도 4에 도시된 예시적인 구현예에서, 예시적인 "디폴트 모드"에 대해 필터 오버라이드 데이터베이스(400)가 구성됨에 따라, 서비스 거부 필터 규칙 베이스(300)에 리스트된 예시적인 드롭 필터는 필터 오버라이드 데이터베이스(400)가 에리스트된 하나 이상이 마크에 의해 오버라이드될 수 있다. 도 4에 도시된 정규 표현식이 사용되는 방식은 도 4와 관련하여 이하 더 기술된다.
도 5는 본 발명의 특징을 포함하는 스트링 부합 검출 프로세스의 예시적인 구현예를 기술하는 플로우 차트이다. 예시적인 서비스 거부 필터링 프로세스(500)는 "디폴트 허용" 모드에 대해 구현된다는 점에 주목해야 한다. "디폴트 드롭" 모드에 대한 구현예는 당 분야에서 통상의 지식을 가진 자에게 용이하게 명백할 것이다. 일반적으로, 서비스 거부 필터링 프로세스(500)는 본 발명에 따른 서비스 거부 또는 다른 공격에 대해 방어하는 예시적인 방법이고 본 발명의 디넌시에이션 오버라이드 특징을 구현한다. 예시적인 서비스 거부 필터링 프로세스(500)는 중앙 필터(200)에서 수행되고 단계(510) 동안 엔터프라이즈 네트워크(150) 내의 소정의 타겟 빅팀 상에 서비스 거부 공격이 범해지는 표시를 검출기(140)로부터 수신함으로써 개시된다.
이후, 단계(520) 동안, 네트워크 캐리어는 서비스 거부 공격을 방해하기 위해 차단되어야 하는 IP 패킷을 나타내는 검출기(140)로부터 하나 이상의 소스/목적지 IP 어드레스 쌍을 수신한다. 예시적으로, 소스 IP 어드레스는 공격(예를 들어, "좀비") 컴퓨팅 디바이스(110)의 어드레스이고 목적지 IP 어드레스는 타겟 빅팀 자체와 연관된 어드레스이다.
그 다음에 네트워크 캐리어는 단계(530) 동안 소스 및 목적지 IP 어드레스가 수신된 소스/목적지 IP 어드레스 쌍 중 하나에 부합하는 IP 패킷을 식별하도록 모니터링한다. 단계(540) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(300) 내의 어드레스 쌍에 부합하는지를 판정하도록 테스트가 수행된다.
단계(540) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(300) 내의 어드레스 쌍에 부합하는 것으로 판정되면, 단계(545) 동안 소스 IP 어드레스 상에 대해 역 도메인 네임 서비스(Domain Name Service : DNS) 룩업이 수행된다. 역 DNS 룩업은 소스 IP 어드레스와 연관된 전형적으로 알려진 DNS 포맷으로 전체 어드레스를 반환할 것이다. 본 명세서에서 사용된 바와 같이, DNS 포맷은 IP 또는 다른 패킷 어드레스의 임의의 도메인 네임 표시를 포함할 것이다.
단계(550) 동안 DNS 엔트리가 필터 오버라이드 데이터베이스(400) 내의 마스크를 충족하는지 여부를 판정하기 위해 또 다른 테스트가 수행된다. 단계(550) 동안 DNS 엔트리가 필터 오버라이드 데이터베이스(400) 내의 마스크를 충족하는 것으로 판정되면, (서비스 거부 필터 규칙 베이스(300)의 출현에도 불구하고) 패킷은 드럽되거나 또한 제한되어서는 안 되며, 프로그램 제어는 이하 기술된 바와 같이 단계(570)로 진행한다. 그러나, 단계(550) 동안 DNS 엔트리가 필터 오버라이드 데이터베이스(400) 내의 마스크를 충족하지 않는 것으로 판정되면, 네트워크 캐리어의 중앙 필터(200)는 식별된 IP 패킷을 차단하여, 타겟 빅팀 상에서의 서비스 거부 공격을 방해한다.
단계(540) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(300) 내의 어드레스 쌍에 부합하지 않는 것으로 판정되거나, 또는 단계(550) 동안 DNS 엔트리가 필터 오버라이드 데이터베이스(400) 내의 마스크를 충족하지 않는 것으로 판정되면, 패킷은 엔터프라이즈 네트워크(150)로 전송되도록 허용된다.
서비스 거부 필터링 프로세스(500)의 "디폴트 모드" 구현에서, 리스트된 소스 디바이스가 서비스 거부 필터 규칙 베이스(300)에 명시적으로 나타나지 않는다 하더라도, 중앙 필터(200)는 필터 오버라이드 데이터베이스(400)에서 리스트된 임의의 소스 디바이스로부터의 패킷을 전달한다.
예시적인 실시예에서 중앙 필터(200)에 의해 수행되는 것으로서 도시된다 하더라도, 당 분양에서 통상의 지식을 가진 자에게 명백한 바와 같이, 본 발명의 디넌시에이션 오버라이드 특징은 마찬가지로 검출기(140)에 의해 수행될 수 있음에 또한 주목해야 한다.
본 발명은 하나 이상의 보조 툴과 결합하여 작동할 수 있다. 예를 들어, 이러한 툴은 영향을 받은 서비스 배제 공격의 인식을 위한 인터넷 서버 플러그 인, 각종 IDS(Intrusion Detection Systems) 시스템에 대한 링크, 네트워크 진단을 위한 데이터베이스(상기 설명 참조), 및 소정의 캐리어의 인프라스트럭쳐 내에서의 재퍼 기능의 배치를 위한 지침을 제공하는 방법을 포함한다. 이들 예시적인 툴 중 다양한 툴을 제공하는 본 발명의 예시적인 실시예는 본 발명의 개시 내용의 관점에서 당 분야에서 통상의 지식을 가진 자라에 명백할 것이다.
제조 세부 사항의 시스템 및 물품
당 분야에서 알려져 있는 바와 같이, 본 명세서에서 개시된 방법 및 장치는 본 명세서에서 구현된 컴퓨터 판독 가능한 코드 수단을 갖는 컴퓨터 판독 가능한 매체를 자체 포함하는 제조 물품으로서 분배될 수 있다. 컴퓨터 판독 가능한 프로그램은 코드 수단은 본 명세서에서 기술된 방법을 수행하거나 또는 장치를 생성하는 단계의 전부 또는 일부를 실행하기 위해, 컴퓨터 시스템과 결합하여 동작 가능하다. 컴퓨터 판독 가능한 매체는 기록 가능한 매체(예를 들어, 플로피 디스크 하드 드라이브, CD(compact disk), 메모리 카드, 반도체 디바이스, 칩, ASIC일 수 있으며, 또는 전송 매체(예를 들어, 광 파이버, WWW(world wide web), 케이블, 또는 시분할 다중 액세스, 코드 분할 다중 액세를 이용하는 무선 채널, 또는 다른 무선 주파수 채널을 포함하는 네트워크)일 수 있다. 컴퓨터 시스템과 함께 사용하기 위해 적합한 정보를 저장할 수 있는 알려진 또는 개발된 임의의 매체가 사용될 수 있다. 컴퓨터 판독 가능한 코드 수단은 자기 매체 상의 자기 편차 또는 CD 표면 상의 높이 편차와 같은 인스트럭션 및 데이터를 컴퓨터가 판독하도록 하는 임의의 메커니즘이다.
본 명세서에서 개시된 방법, 단계 및 기능을 구현하도록 연관된 파라미터를 구성할 메모리를 각각 포함한다. 메모리는 분산되거나 국소적일 수 있고, 프로세서는 분산되거나 하나일 수 있다. 메모리는 전기적, 자기적 또는 과학적 메모리, 또는 이들 또는 다른 유형의 저장 디바이스의 임의의 결합으로서 구현될 수 있다. 또한, "메모리"란 용어는 연관된 프로세서에 의해 액세스된 어드레스 가능한 공간에서 어드레스로부터 판독 가능하거나 또는 어드레스에 기록하는 것이 가능하다. 이러한 정의에 의해, 연관된 프로세서가 네트워크로부터 정보를 검색할 수 있으므로 네트워크 상의 정보가 메모리에 또한 기록된다.
본 명세서에서 도시하고 기술된 실시예 및 변형예는 본 발명의 원리를 단지 예시하기 위한 것이며, 그 각종 수정예는 본 발명의 특허 청구 범위의 범위 및 사상으로부터 벗어나지 않고 당 분야에서 통상의 지식을 가진 자에 의해 구현될 수 있음을 이해해야 한다.

Claims (10)

  1. 하나 이상의 목적지 어드레스를 갖는 타겟 빅팀(target victim)에 의해 수신되는 원치 않는 트래픽에 대해 방어하는 방법으로서,
    상기 타겟 빅팀으로의 패킷 전송이 제한, 드롭(dropped) 및 허용 중 적어도 하나가 되는 적어도 하나의 소스 컴퓨팅 디바이스의 소스 어드레스를 식별하는 중앙 필터를 유지하는 단계와,
    상기 타겟 빅팀으로의 패킷 전송이 상기 중앙 필터 내의 엔트리와 무관하게 상기 타겟 빅팀으로 전송되어야만 하는 하나 이상의 소스 컴퓨팅 디바이스를 식별하는 적어도 하나의 정규 표현식(regular expression)을 나열하는 오버라이드 필터(override filter)를 유지하는 단계와,
    적어도 하나의 수신된 패킷이 상기 적어도 하나의 소스 컴퓨팅 디바이스로부터 수신됨을 상기 중앙 필터가 표시하는 경우, 상기 소스 어드레스를 도메인 네임 서비스(Domain Name Service : DNS) 포맷의 도메인 네임 어드레스로 변환하는 단계와,
    상기 도메인 네임 서비스 포맷의 상기 변환된 도메인 네임 어드레스가 상기 오버라이드 필터에서 나타내는 정규 표현식을 만족시키는 경우, 상기 적어도 하나의 수신된 패킷을 상기 타겟 빅팀에 전송하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 중앙 필터의 상기 소스 어드레스는 원치 않는 트래픽이 수신되고 있음을 표시하는 상기 타겟 빅팀 또는 상기 중앙 필터의 구성 동안의 상기 타겟 빅팀과 연관된 하나 이상의 검출기로부터 수신되는
    방법.
  3. 제 1 항에 있어서,
    상기 변환 단계는 역 DNS 룩업(lookup)을 수행하는 단계를 포함하는
    방법.
  4. 제 1 항에 있어서,
    상기 정규 표현식은 하나 이상의 와일드카드 필드(wildcard field)를 포함하는 도메인 네임 서비스 마스크(Domain Name Service mask)인
    방법.
  5. 제 1 항에 있어서,
    상기 원치 않는 트래픽은 악의적 공격 또는 서비스 거부 공격(DoS attack)을 포함하는
    방법.
  6. 하나 이상의 목적지 어드레스를 갖는 타겟 빅팀에 의해 수신되는 원치 않는 트래픽에 대해 방어하는 장치로서,
    메모리와,
    상기 메모리에 결합된 프로세서를 포함하되,
    상기 프로세서는,
    상기 타겟 빅팀으로의 패킷 전송이 제한, 드롭 및 허용 중 적어도 하나가 되는 적어도 하나의 소스 컴퓨팅 디바이스의 소스 어드레스를 식별하는 중앙 필터를 유지하고,
    상기 타겟 빅팀으로의 패킷 전송이 상기 중앙 필터 내의 엔트리와 무관하게 상기 타겟 빅팀으로 전송되어야만 하는 하나 이상의 소스 컴퓨팅 디바이스를 식별하는 적어도 하나의 정규 표현식을 나열하는 오버라이드 필터를 유지하고,
    적어도 하나의 수신된 패킷이 상기 적어도 하나의 소스 컴퓨팅 디바이스로부터 수신됨을 상기 중앙 필터가 표시하는 경우, 상기 소스 어드레스를 도메인 네임 서비스(DNS) 포맷의 도메인 네임 어드레스로 변환하며,
    상기 도메인 네임 서비스 포맷의 상기 변환된 도메인 네임 어드레스가 상기 오버라이드 필터에서 나타나는 정규 표현식을 만족시키는 경우, 상기 적어도 하나의 수신된 패킷을 상기 타겟 빅팀에 전송
    하도록 구성되는
    장치.
  7. 제 6 항에 있어서,
    상기 중앙 필터의 상기 소스 어드레스는 원치 않는 트래픽이 수신되고 있음을 표시하는 상기 타겟 빅팀 또는 상기 중앙 필터의 구성 동안의 상기 타겟 빅팀과 연관된 하나 이상의 검출기로부터 수신되는
    장치.
  8. 제 6 항에 있어서,
    상기 소스 어드레스는 역 DNS 룩업을 수행함으로써 도메인 네임 서비스 포맷의 상기 도메인 네임 어드레스로 변환되는
    장치.
  9. 제 6 항에 있어서,
    상기 정규 표현식은 하나 이상의 와일드카드 필드를 포함하는 도메인 네임 서비스 포맷 마스크인
    장치.
  10. 제 6 항에 있어서,
    상기 원치 않는 트래픽은 악의적 공격 또는 서비스 거부 공격을 포함하는
    장치.
KR1020097009120A 2006-11-03 2007-10-23 트래픽 방어 방법 및 장치 KR101118398B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/592,725 2006-11-03
US11/592,725 US20080109902A1 (en) 2006-11-03 2006-11-03 Methods and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
PCT/US2007/022444 WO2008133644A2 (en) 2006-11-03 2007-10-23 Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks

Publications (2)

Publication Number Publication Date
KR20090075719A KR20090075719A (ko) 2009-07-08
KR101118398B1 true KR101118398B1 (ko) 2012-03-13

Family

ID=39361202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097009120A KR101118398B1 (ko) 2006-11-03 2007-10-23 트래픽 방어 방법 및 장치

Country Status (6)

Country Link
US (1) US20080109902A1 (ko)
EP (1) EP2105004A2 (ko)
JP (1) JP5153779B2 (ko)
KR (1) KR101118398B1 (ko)
CN (1) CN101536456A (ko)
WO (1) WO2008133644A2 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380870B2 (en) * 2009-08-05 2013-02-19 Verisign, Inc. Method and system for filtering of network traffic
US8797866B2 (en) * 2010-02-12 2014-08-05 Cisco Technology, Inc. Automatic adjusting of reputation thresholds in order to change the processing of certain packets
EP2727281B1 (en) 2011-07-01 2019-09-04 Google LLC System and method for tracking network traffic of users in a research panel
US9934374B2 (en) * 2012-02-10 2018-04-03 Irdeto B.V. Method and apparatus for program flow in software operation
US9674053B2 (en) 2015-01-30 2017-06-06 Gigamon Inc. Automatic target selection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001038999A1 (en) * 1999-11-23 2001-05-31 Escom Corporation Electronic message filter having a whitelist database and a quarantining mechanism
WO2006090392A2 (en) * 2005-02-24 2006-08-31 Rsa Security Inc. System and method for detecting and mitigating dns spoofing trojans

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051365B1 (en) * 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
EP1132797A3 (en) * 2000-03-08 2005-11-23 Aurora Wireless Technologies, Ltd. Method for securing user identification in on-line transaction systems
JP2003333084A (ja) * 2002-05-09 2003-11-21 Matsushita Electric Ind Co Ltd パケットフィルタリングルール設定方法
US7464404B2 (en) * 2003-05-20 2008-12-09 International Business Machines Corporation Method of responding to a truncated secure session attack
US7409707B2 (en) * 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies
JP2006067314A (ja) * 2004-08-27 2006-03-09 Ntt Docomo Inc アクセス制御リスト生成装置およびアクセス制御リスト生成方法
US8185955B2 (en) * 2004-11-26 2012-05-22 Telecom Italia S.P.A. Intrusion detection method and system, related network and computer program product therefor
US8533822B2 (en) * 2006-08-23 2013-09-10 Threatstop, Inc. Method and system for propagating network policy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001038999A1 (en) * 1999-11-23 2001-05-31 Escom Corporation Electronic message filter having a whitelist database and a quarantining mechanism
WO2006090392A2 (en) * 2005-02-24 2006-08-31 Rsa Security Inc. System and method for detecting and mitigating dns spoofing trojans

Also Published As

Publication number Publication date
EP2105004A2 (en) 2009-09-30
CN101536456A (zh) 2009-09-16
JP5153779B2 (ja) 2013-02-27
WO2008133644A2 (en) 2008-11-06
JP2010507871A (ja) 2010-03-11
WO2008133644A3 (en) 2009-04-09
KR20090075719A (ko) 2009-07-08
US20080109902A1 (en) 2008-05-08

Similar Documents

Publication Publication Date Title
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
US7076803B2 (en) Integrated intrusion detection services
US7650634B2 (en) Intelligent integrated network security device
US7222366B2 (en) Intrusion event filtering
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
KR101067781B1 (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US10135785B2 (en) Network security system to intercept inline domain name system requests
US20110035795A1 (en) Port hopping and seek you peer to peer traffic control method and system
JP2008011537A (ja) ネットワークセキュリティデバイスにおけるパケット分類
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
Chen Aegis: An active-network-powered defense mechanism against ddos attacks
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP2006325091A (ja) ネットワーク攻撃防御システム
Mantoo et al. A machine learning model for detection of man in the middle attack over unsecured devices
Bou-Harb et al. On detecting and clustering distributed cyber scanning
Kumar et al. DDoS Attack Prediction System Using Machine Learning Algorithms Check for updates
Nonyelum et al. Hybrid Incident Response Digital Traceback Technique in Network-Based Intrusion Source Detection
Lawal NETWORK SECURITY USING INTRUSION DETECTION & PREVENTION SYSTEM INTEGRATION MODEL
JP2004363915A (ja) DoS攻撃対策システムおよび方法およびプログラム
Elechi Onyekachi et al. Denial of Service (DoS) in Internet Protocol (IP) Network and Information Centric Network (ICN): An Impediment to Network Quality of Service (QoS).

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee