KR101145771B1 - Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 - Google Patents

Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 Download PDF

Info

Publication number
KR101145771B1
KR101145771B1 KR1020100058564A KR20100058564A KR101145771B1 KR 101145771 B1 KR101145771 B1 KR 101145771B1 KR 1020100058564 A KR1020100058564 A KR 1020100058564A KR 20100058564 A KR20100058564 A KR 20100058564A KR 101145771 B1 KR101145771 B1 KR 101145771B1
Authority
KR
South Korea
Prior art keywords
packet
terminal
legitimate user
transmitted
web server
Prior art date
Application number
KR1020100058564A
Other languages
English (en)
Other versions
KR20110138589A (ko
Inventor
김수용
오형근
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100058564A priority Critical patent/KR101145771B1/ko
Priority to US13/104,658 priority patent/US20110314527A1/en
Publication of KR20110138589A publication Critical patent/KR20110138589A/ko
Application granted granted Critical
Publication of KR101145771B1 publication Critical patent/KR101145771B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법에 관한 것으로, 본 발명에 따른 IP 기반 필터링 방법은 단말로부터 패킷을 수신하는 단계; 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하는 단계; 상기 패킷이 상기 합법 사용자 IP에서 전송된 패킷으로 판단되면 상기 패킷을 웹 서버 측으로 송신하고, 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 상기 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는지 판단하는 단계; 및 상기 웹 서버에 상기 용량이 존재하는 것으로 판단되면 상기 패킷을 상기 웹 서버 측으로 송신하고, 상기 용량이 존재하지 않으면 상기 패킷을 차단하는 단계를 포함한다.

Description

IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법{Internet protocol based filtering device and method, and legitimate user identifying device and method}
IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법에 관한 것으로, 보다 상세하게는 서비스 거부 공격 또는 분산 서비스 공격을 차단하는 IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법에 관한 것이다.
일반적으로 DOS/DDOS 공격으로 알려진 서비스 거부(Denial of Service: DOS)/분산 서비스 거부(Distributed Denial of Service: DDOS) 공격은, 클라이언트 단말에서 대량의 불량 트래픽을 웹 네트워크를 통해 컨텐츠 제공 서버로 전송하는 공격 방법이다.
이와 같은 서비스 거부 공격 또는 분산 서비스 공격이 성공하면 해당 사이트의 전체 사용자가 웹 서비스를 제공받지 못하게 되는데, 이와 같은 문제는 손실되는 패킷이 특정 사용자의 패킷에만 집중되지 않고 모든 사용자의 패킷에 손실이 균일하게 발생하기 때문이다.
이와 같은 서비스 거부 공격 또는 분산 서비스 거부 공격에 대응하기 위하여 종래에는 대응 장비들을 웹 서버의 네트워크 앞 단에 설치하여 공격으로 의심되는 패킷을 차단하는 방식을 사용하였다. 그러나, 이와 같은 종래의 방식은 피해 사이트의 웹 서버에 대한 자원 고갈을 목적으로 하는 공격에는 대응이 가능하지만, 해당 사이트의 네트워크 대역폭(Bandwidth) 자체를 고갈시키는 공격에는 효과적으로 대응하지 못하였다.
본 발명은 상기된 문제점들을 해결하기 위하여 안출된 것으로, 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하면 사이트에 대한 접속을 시도하는 사용자 단말 중에서 합법적인 사용자 단말을 선별하여 합법적인 사용자에 대하여 지속적으로 웹 서비스를 제공하고자 한다.
또한, 본 발명은 네트워크 대역폭 고갈을 목적으로 하는 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하더라도 합법적인 사용자에게는 서비스 장애가 발생하지 않도록 하고자 한다.
상기한 목적을 달성하기 위해 본 발명의 일실시예에 따른 IP 기반 필터링 방법은 단말로부터 패킷을 수신하는 단계; 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하는 단계; 상기 패킷이 상기 합법 사용자 IP에서 전송된 패킷으로 판단되면 상기 패킷을 웹 서버 측으로 송신하고, 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 상기 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는지 판단하는 단계; 및 상기 웹 서버에 상기 용량이 존재하는 것으로 판단되면 상기 패킷을 상기 웹 서버 측으로 송신하고, 상기 용량이 존재하지 않으면 상기 패킷을 차단하는 단계를 포함한다.
본 발명의 일실시예에 따른 합법 사용자 선별 방법은 웹 서버로 패킷을 송신하는 단말이 합법 사용자 단말인지 판단하는 단계; 상기 판단 결과에 따라 상기 단말의 IP를 합법 사용자 IP로 등록하거나 상기 단말의 IP를 차단 IP로 등록하는 단계; 및 합법 사용자 IP로 등록된 단말로부터 송신되는 패킷을 상기 웹 서버로 전달하고, 차단 IP로 등록된 단말로부터 송신되는 패킷을 차단하는 단계를 포함한다.
본 발명의 일실시예에 따른 IP 기반 필터링 장치는 단말로부터 패킷을 수신하는 패킷 수신부; 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하고, 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는지 판단하는 판단 제어부; 및 상기 판단 제어부가 상기 패킷을 상기 합법 사용자 IP에서 전송된 패킷인 것으로 판단하거나 상기 웹 서버에 상기 용량이 존재하는 것으로 판단하면 상기 판단 제어부의 제어에 의해 상기 패킷을 상기 웹 서버 측으로 송신하는 패킷 송신부를 포함한다.
본 발명의 일실시예에 따른 합법 사용자 선별 장치는 웹 서버로 패킷을 송신하는 단말이 합법 사용자 단말인지 판단하는 합법 사용자 판단부; 상기 합법 사용자 판단부의 판단 결과에 따라 상기 단말의 IP를 합법 사용자 IP로 등록하거나 상기 단말의 IP를 차단 IP로 등록하는 등록 제어부; 및 합법 사용자 IP로 등록된 단말로부터 송신되는 패킷을 상기 웹 서버로 전달하고, 차단 IP로 등록된 단말로부터 송신되는 패킷을 차단하는 패킷 전송부를 포함한다.
본 발명에 따르면 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하면 사이트에 대한 접속을 시도하는 사용자 단말 중에서 합법적인 사용자 단말을 선별하여 합법적인 사용자에 대하여 지속적으로 웹 서비스를 제공하며, 네트워크 대역폭 고갈을 목적으로 하는 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하더라도 합법적인 사용자에게는 서비스 장애가 발생하지 않도록 하고자 한다.
본 발명에 따르면 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하면 사이트에 대한 접속을 시도하는 사용자 단말 중에서 합법적인 사용자 단말을 선별하여 합법적인 사용자에 대하여 지속적으로 웹 서비스를 제공하며, 네트워크 대역폭 고갈을 목적으로 하는 서비스 거부 공격 또는 분산 서비스 거부 공격이 발생하더라도 합법적인 사용자에게는 서비스 장애가 발생하지 않도록 하고자 한다.
도 1은 본 발명의 일실시예에 따른 IP 기반 필터링 장치 및 합법 사용자 선별 장치를 이용해 분산 서비스 거부 공격에 대응하는 시스템을 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 IP 기반 필터링 장치의 구성도이다.
도 3은 본 발명의 일실시예에 따른 합법 사용자 선별 장치의 구성도이다.
도 4는 본 발명의 일실시예에 따른 IP 기반 필터링 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 일실시예에 따른 합법 사용자 선별 방법을 설명하기 위한 흐름도이다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일실시예에 따른 IP 기반 필터링 장치 및 합법 사용자 선별 장치를 이용해 분산 서비스 거부(Distributed Denial of Service: DDOS) 공격에 대응하는 시스템을 도시한 도면이다.
ISP(Internet Service Provider) 사업자 서버(120)는 웹 서버(150)에서 제공하는 웹 사이트 상에 분산 서비스 거부 공격이 가해지는 것으로 판단하면 단말(110)로부터 전송되는 패킷을 웹 서버(150) 측으로 직접 전송하지 않고, IP 기반 필터링 장치(130)로 우회하여 전송한다.
IP 기반 필터링 장치(130)는 웹 서버(150) 측으로 전송되는 모든 패킷을 수신하여 상기 패킷에 대한 검사를 수행한다. 보다 상세하게 설명하면 IP 기반 필터링 장치(130)는 상기 수신한 패킷이 합법 사용자 IP로부터 전송된 패킷인지 데이터 베이스(미도시)에 저장된 합법 사용자 IP 정보를 참조하여 검사를 수행한다. IP 기반 필터링 장치(130)의 검사 결과 상기 패킷이 합법 사용자 IP로부터 전송된 패킷인 경우에는 상기 패킷을 합법 사용자 선별 장치(140)로 송신하며, 검사 결과 상기 패킷이 합법 사용자 IP로부터 전송된 패킷이 아닌 경우에는 웹 서버(150) 또는 합법 사용자 선별 장치(140)에 상기 패킷을 처리할 수 있는 용량이 존재하는지 판단한다.
IP 기반 필터링 장치(130)는 상기 용량이 존재하는지를 판단한 결과 상기 패킷을 처리할 수 있는 용량이 존재하는 경우에는 합법 사용자 선별 장치(140)로 상기 패킷을 송신하고, 판단 결과 용량이 존재하지 않는 경우에는 상기 패킷을 차단한다. 즉, IP 기반 필터링 장치(130)는 처리 가능한 용량을 초과하는 패킷이 유입되는 것을 차단한다.
합법 사용자 선별 장치(140)는 IP 기반 필터링 장치(130)로부터 패킷을 수신함에 따라 상기 패킷을 전송한 단말(110)이 합법 사용자 단말인지를 판단한다. 합법 사용자 선별 장치(140)는 상기 판단 결과 상기 패킷을 전송한 단말(110)이 합법 사용자 단말이면 상기 단말(110)의 IP를 합법 사용자 IP로 등록하고, 단말(110)이 합법 사용자 단말이 아니면 상기 단말의 IP를 차단 IP로 등록한다. 합법 사용자 선별 장치(140)는 상기 패킷을 전송한 단말(110)이 합법 사용자 단말인지를 판단하기 위하여 상기 단말(110)의 사용자가 사람인지 또는 단말(110)이 컴퓨터 프로그램에 의하여 자동으로 패킷을 전송하는지를 판단하는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart: 자동가입방지)를 사용할 수 있다. 이와 같은 CAPTCHA로는 사람은 구별할 수 있지만 컴퓨터는 구별하기 힘들게 의도적으로 비틀어 놓은 그림을 제공하여 그림에 쓰여 있는 내용을 물어보는 방법 등의 다양한 방법이 사용된다.
합법 사용자 선별 장치(140)는 상기와 같이 합법 사용자 단말인지를 판단한 결과에 따라서 단말(110)의 IP를 합법 사용자 IP로 등록하거나 차단 IP로 등록한다. 그러므로 IP 기반 필터링 장치(130)는 상기와 같이 등록된 합법 사용자 IP 정보 및 차단 IP 정보에 따라서 단말(110)로부터 유입되는 패킷을 통과시키거나 차단한다. 따라서, 본 발명의 일실시예에 따르면 시간이 경과함에 따라 차단 IP가 합법 사용자 선별 장치(140)에서 걸러져 IP 기반 필터링 장치(130)에 등록되어 누적되므로, IP 기반 필터링 장치(130)는 패킷 검사 시에 보다 빠르고 정확하게 유해 패킷을 필터링 수 있다.
도 2는 본 발명의 일실시예에 따른 IP 기반 필터링 장치의 구성도이다. 도 2를 참조하여 본 발명의 일실시예에 따른 IP 기반 필터링 장치의 구성을 설명하기로 한다.
도 2에 도시된 바와 같이 본 발명의 일실시예에 따른 IP 기반 필터링 장치(130)는 패킷 수신부(210), 판단 제어부(220) 및 패킷 송신부(230)를 포함한다.
패킷 수신부(210)는 단말로부터 송신되어 웹 서버 측으로 전달되는 패킷을 수신한다.
판단 제어부(220)는 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단한다. 판단 제어부(220)는 상기 판단 결과 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 상기 패킷을 처리할 수 있는 용량이 웹 서버(150)에 존재하는지 판단한다. 이때, 판단 제어부(220)는 데이터 베이스(미도시)에 저장된 합법 사용자 IP 정보를 참조하여 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하도록 구성될 수 있다.
패킷 송신부(230)는 판단 제어부(220)가 상기 패킷을 합법 사용자 IP에서 전송된 패킷인 것으로 판단하거나, 또는 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는 것으로 판단하는 경우에는 판단 제어부(220)의 제어에 의해 상기 패킷을 웹 서버 측으로 송신한다.
도 3은 본 발명의 일실시예에 따른 합법 사용자 선별 장치의 구성도이다. 도 3을 참조하여 본 발명의 일실시예에 따른 합법 사용자 선별 장치의 구성을 설명하기로 한다.
도 3에 도시된 바와 같이 일실시예에 따른 합법 사용자 선별 장치(140)는 합법 사용자 판단부(310), 등록 제어부(320) 및 패킷 전송부(330)를 포함한다.
합법 사용자 판단부(310)는 웹 서버로 패킷을 송신하는 단말이 합법 사용자 단말인지 판단한다. 이때, 합법 사용자 판단부(310)는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart: 자동가입방지)를 통하여 상기 단말이 합법 사용자 단말인지를 판단할 수 있다.
등록 제어부(320)는 합법 사용자 판단부(310)의 판단 결과 상기 단말이 합법 사용자 단말이면 상기 단말의 IP를 합법 사용자 IP로 등록한다. 또한, 등록 제어부(320)는 상기 단말이 합법 사용자 단말이 아니면 상기 단말의 IP를 차단 IP로 등록한다. 그뿐만 아니라 등록 제어부(320)는 IP 기반 필터링 장치(130)에 상기 단말의 IP를 합법 사용자 IP 또는 차단 IP로 등록하도록 제어할 수 있다. 즉, 등록 제어부(320)는 상기 단말이 합법 사용자 단말이면 IP 기반 필터링 장치(130)에 상기 단말의 IP를 합법 사용자 IP로 등록하도록 제어하고, 상기 단말이 합법 사용자 단말이 아니면 IP 기반 필터링 장치(130)에 상기 단말의 IP를 차단 IP로 등록하도록 제어할 수 있다.
패킷 전송부(330)는 합법 사용자 단말로부터 수신된 패킷은 상기 웹 서버로 송신한다. 한편, 패킷 전송부(330)는 차단 IP로 등록된 단말로부터 수신된 패킷은 차단하고 웹 서버에 전송하지 않는다.
도 4는 본 발명의 일실시예에 따른 IP 기반 필터링 방법을 설명하기 위한 흐름도이다.
S410단계에서 웹 서버가 서비스 불능인지 판단한다. 이때, S410 단계에서는 웹 서버에서 제공하는 웹 사이트 상에 분산 서비스 거부 공격이 가해져 웹 서버가 서비스를 제공할 수 없는 상태인지 판단한다. 또한, 상기와 같은 서비스 불능 또는 분산 서비스 거부 공격은 ISP 사업자 서버에서 감지하도록 구성될 수 있다.
S420단계에서는 상기 S410단계에서의 판단 결과 웹 서버가 서비스 불능인 경우 단말로부터 송신되어 상기 웹 서버 측으로 전달되는 패킷을 수신한다. 이때, 상기 패킷은 상기 ISP 사업자 서버의 제어에 의해 전달되어 수신될 수 있다.
이후, S430 단계에서는 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단한다. 이때, 데이터 베이스에 저장된 합법 사용자 IP 정보를 참조하여 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단한다.
S440단계에서는 상기 판단 결과 상기 패킷이 합법 사용자 IP에서 전송된 패킷이면 상기 패킷을 웹 서버 측으로 송신하는데, 상기 웹 서버 측으로 송신된 패킷은 합법 사용자 선별 장치로 전달된다. 한편, 상기 합법 사용자 선별 장치는 상기 단말이 합법 사용자 단말인지의 여부를 판단하여 합법 사용자 단말이면 상기 단말의 IP를 합법 사용자 IP로 등록하고 합법 사용자 단말이 아니면 상기 단말의 IP를 차단 IP로 등록한다.
S450 단계에서는 상기 S430 단계에서의 판단 결과 합법 사용자 IP에서 전송된 패킷이 아닌 경우에는 상기 웹 서버에 상기 패킷을 처리할 수 있는 용량이 존재하는지 판단한다.
상기 S450 단계에서의 판단 결과 패킷을 처리할 수 있는 용량이 존재하면 상기 패킷을 상기 웹 서버 측으로 송신하고, 상기 용량이 존재하지 않으면 상기 패킷을 차단한다(S460).
도 5는 본 발명의 일실시예에 따른 합법 사용자 선별 방법을 설명하기 위한 흐름도이다.
S510 단계에서는 웹 서버로 패킷을 송신하는 단말이 합법 사용자 단말인지 판단한다. 이때, 상기 단말의 사용자가 사람인지 또는 컴퓨터 프로그램인지를 판단하기 위해, 상기 단말이 컴퓨터 프로그램에 의해서 자동으로 패킷을 송신하는 경우를 판별하는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart: 자동가입방지)를 이용할 수 있다.
S520 단계에서는 상기 S510 단계에서 합법 사용자 단말인 것으로 판단하면 상기 단말의 IP를 합법 사용자 IP로 등록하고, S530 단계에서는 합법 사용자 IP로 등록된 단말로부터 수신되는 패킷을 상기 웹 서버로 송신한다. 상기 S510 단계에서 상기 단말이 합법 사용자 단말이 아닌 것으로 판단하면, S540 단계에서는 상기 단말의 IP를 차단 IP로 등록하고 S550 단계에서는 차단 IP로 등록된 단말로부터 수신되는 패킷을 차단한다.
또한, 상기 S520 단계 및 S540 단계의 IP의 등록 시에는, 상기 단말의 IP를 IP 기반 필터링 장치에 합법 사용자 IP로 등록하거나 또는 차단 IP로 등록함으로써, 등록된 차단 IP가 누적되도록 하여 IP 기반 필터링 장치에서의 패킷 검사 시에 보다 빠르고 정확하게 유해 패킷을 필터링 한다.
위에서 설명된 본 발명의 실시예들은 임의의 다양한 방법으로 구현될 수 있다. 예를 들어, 실시예들은 하드웨어, 소프트웨어 또는 그 조합을 이용하여 구현될 수 있다. 소프트웨어로 구현되는 경우에, 다양한 운영체제 또는 플랫폼을 이용하는 하나 이상의 프로세서상에서 실행되는 소프트웨어로서 구현될 수 있다. 추가적으로, 그러한 소프트웨어는 다수의 적합한 프로그래밍 언어들 중에서 임의의 것을 사용하여 작성될 수 있고, 또한 프레임워크 또는 가상 머신에서 실행되는 실행가능 기계어 코드 또는 중간 코드로 컴파일될 수 있다.
또한, 본 발명은 하나 이상의 컴퓨터 또는 다른 프로세서상에서 실행되는 경우 위에서 논의된 본 발명의 다양한 실시예를 구현하는 방법을 수행하는 하나 이상의 프로그램이 기록된 컴퓨터 판독가능 매체(예를 들어, 컴퓨터 메모리, 하나 이상의 플로피 디스크, 콤팩트 디스크, 광학 디스크, 자기 테이프, 플래시 메모리 등)으로 구현될 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
110: 단말
120: ISP 사업자 서버
130: IP 기반 필터링 장치
140: 합법 사용자 선별 장치
140: 웹 서버

Claims (11)

  1. 단말로부터 패킷을 수신하는 단계;
    상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하는 단계;
    상기 패킷이 상기 합법 사용자 IP에서 전송된 패킷으로 판단되면 상기 패킷을 웹 서버 측으로 송신하고, 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 상기 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는지 판단하는 단계; 및
    상기 웹 서버에 상기 용량이 존재하는 것으로 판단되면 상기 단말이 합법 사용자 단말인지의 여부에 따라 상기 단말의 IP를 합법 사용자 IP 또는 차단 IP로 등록하는 합법 사용자 선별 장치로 상기 패킷을 송신하여 상기 웹 서버로 상기 패킷을 전달하도록 제어하고, 상기 용량이 존재하지 않으면 상기 패킷을 차단하는 단계
    를 포함하는 IP 기반 필터링 방법.
  2. 제1항에 있어서,
    상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하는 단계는,
    데이터 베이스에 저장된 합법 사용자 IP 정보를 참조하여 상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하는 단계
    를 더 포함하는 IP 기반 필터링 방법.
  3. 삭제
  4. 웹 서버로 패킷을 송신하는 단말의 사용자가 사람인지 또는 컴퓨터 프로그램인지를 판단하기 위한 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart: 자동가입방지)를 통하여 상기 단말이 합법 사용자 단말인지 판단하는 단계;
    상기 판단 결과에 따라 상기 단말의 IP를 합법 사용자 IP로 등록하거나 상기 단말의 IP를 차단 IP로 등록하는 단계; 및
    합법 사용자 IP로 등록된 단말로부터 송신되는 패킷을 상기 웹 서버로 전달하고, 차단 IP로 등록된 단말로부터 송신되는 패킷을 차단하는 단계
    를 포함하는 합법 사용자 선별 방법.
  5. 제4항에 있어서,
    합법 사용자 IP에서 전송된 패킷인지의 여부에 따라 상기 패킷을 필터링하는 IP 기반 필터링 장치에 상기 단말의 IP를 합법 사용자 IP로 등록하거나 또는 차단 IP로 등록하는 단계
    를 더 포함하는 합법 사용자 선별 방법.
  6. 단말로부터 패킷을 수신하는 패킷 수신부;
    상기 패킷이 합법 사용자 IP에서 전송된 패킷인지 판단하고, 상기 수신한 패킷이 합법 사용자 IP에서 전송된 패킷이 아니면 웹 서버에 패킷을 처리할 수 있는 용량이 존재하는지 판단하는 판단 제어부 - 상기 판단 제어부는 상기 용량이 존재하지 않는 것으로 판단하면 상기 패킷을 차단함- ; 및
    상기 판단 제어부가 상기 패킷을 상기 합법 사용자 IP에서 전송된 패킷인 것으로 판단하거나 상기 웹 서버에 상기 용량이 존재하는 것으로 판단하면 상기 판단 제어부의 제어에 의해 상기 패킷을 상기 웹 서버 측으로 송신하는 패킷 송신부
    를 포함하는 IP 기반 필터링 장치.
  7. 삭제
  8. 웹 서버의 전단에 배치되어 상기 웹 서버로 전송되는 패킷을 수신하고 상기 수신된 패킷을 송신하는 단말이 합법 사용자 단말인지 판단하는 합법 사용자 판단부;
    상기 합법 사용자 판단부의 판단 결과에 따라 상기 단말의 IP를 합법 사용자 IP로 등록하거나 상기 단말의 IP를 차단 IP로 등록하는 등록 제어부; 및
    합법 사용자 IP로 등록된 단말로부터 송신되는 패킷을 상기 웹 서버로 전달하고, 차단 IP로 등록된 단말로부터 송신되는 패킷을 차단하는 패킷 전송부
    를 포함하는 합법 사용자 선별 장치.
  9. 제8항에 있어서, 상기 패킷 전송부는,
    상기 등록 제어부가 상기 단말의 IP를 차단 IP로 등록하면 상기 패킷을 차단하는 합법 사용자 선별 장치.
  10. 제8항에 있어서,
    상기 합법 사용자 판단부는 상기 단말의 사용자가 사람인지 또는 컴퓨터 프로그램인지를 판단하기 위한 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart: 자동가입방지)를 통하여 상기 단말이 합법 사용자 단말인지 판단하고,
    상기 등록 제어부는 상기 합법 사용자 판단부에서 상기 CAPTCHA를 통하여 상기 단말이 합법 사용자 단말인지를 판단한 결과, 상기 단말이 합법 사용자 단말이면 합법 사용자 IP에서 전송된 패킷인지의 여부에 따라 상기 패킷을 필터링하는 IP 기반 필터링 장치에 상기 단말의 IP를 합법 사용자 IP로 등록하고, 상기 단말이 합법 사용자 단말이 아니면 상기 IP 기반 필터링 장치에 상기 단말의 IP를 차단 IP로 등록하는 합법 사용자 선별 장치.


  11. 삭제
KR1020100058564A 2010-06-21 2010-06-21 Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 KR101145771B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100058564A KR101145771B1 (ko) 2010-06-21 2010-06-21 Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법
US13/104,658 US20110314527A1 (en) 2010-06-21 2011-05-10 Internet protocol-based filtering device and method, and legitimate user identifying device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100058564A KR101145771B1 (ko) 2010-06-21 2010-06-21 Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20110138589A KR20110138589A (ko) 2011-12-28
KR101145771B1 true KR101145771B1 (ko) 2012-05-16

Family

ID=45329871

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100058564A KR101145771B1 (ko) 2010-06-21 2010-06-21 Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법

Country Status (2)

Country Link
US (1) US20110314527A1 (ko)
KR (1) KR101145771B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9679132B2 (en) * 2012-04-16 2017-06-13 Hewlett Packard Enterprise Development Lp Filtering access to network content

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010079361A (ko) * 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
KR20050090848A (ko) * 2004-03-10 2005-09-14 주식회사 케이티 차세대 네트워크 보안 관리 시스템 및 그 방법
KR20090087437A (ko) * 2006-11-03 2009-08-17 루센트 테크놀러지스 인크 트래픽 검출 방법 및 장치

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US8060916B2 (en) * 2006-11-06 2011-11-15 Symantec Corporation System and method for website authentication using a shared secret
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US20110083179A1 (en) * 2009-10-07 2011-04-07 Jeffrey Lawson System and method for mitigating a denial of service attack using cloud computing
US20120131107A1 (en) * 2010-11-18 2012-05-24 Microsoft Corporation Email Filtering Using Relationship and Reputation Data
US20120226579A1 (en) * 2011-03-01 2012-09-06 Ha Vida Fraud detection based on social data
US8392558B1 (en) * 2011-03-22 2013-03-05 Amazon Technologies, Inc. System and method for determining overload state for service requests

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010079361A (ko) * 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
KR20050090848A (ko) * 2004-03-10 2005-09-14 주식회사 케이티 차세대 네트워크 보안 관리 시스템 및 그 방법
KR20090087437A (ko) * 2006-11-03 2009-08-17 루센트 테크놀러지스 인크 트래픽 검출 방법 및 장치

Also Published As

Publication number Publication date
US20110314527A1 (en) 2011-12-22
KR20110138589A (ko) 2011-12-28

Similar Documents

Publication Publication Date Title
US10187422B2 (en) Mitigation of computer network attacks
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
CA2390850C (en) System and method for the detection of and reaction to denial of service attacks
US9444821B2 (en) Management server, communication cutoff device and information processing system
CN108270722B (zh) 一种攻击行为检测方法和装置
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
JP2006352274A (ja) フレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システム
JP2011233128A (ja) ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
JP2006350561A (ja) 攻撃検出装置
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
JP2005352673A (ja) 不正アクセス監視プログラム、装置および方法
JP2007288246A (ja) 攻撃検出装置
KR101380015B1 (ko) 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
JP7102780B2 (ja) 不正通信対処システム及び方法
KR101145771B1 (ko) Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법
KR101231966B1 (ko) 장애 방지 서버 및 방법
JP5596626B2 (ja) DoS攻撃検出方法及びDoS攻撃検出装置
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
KR101075234B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
KR101518469B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
Jansky et al. Hunting sip authentication attacks efficiently
KR101223932B1 (ko) 실사용자 인증방식을 이용한 디도스 공격 대응 시스템 및 이를 이용한 디도스 공격 대응 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160328

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190507

Year of fee payment: 8