KR101219796B1 - 분산 서비스 거부 방어 장치 및 그 방법 - Google Patents

분산 서비스 거부 방어 장치 및 그 방법 Download PDF

Info

Publication number
KR101219796B1
KR101219796B1 KR1020090095173A KR20090095173A KR101219796B1 KR 101219796 B1 KR101219796 B1 KR 101219796B1 KR 1020090095173 A KR1020090095173 A KR 1020090095173A KR 20090095173 A KR20090095173 A KR 20090095173A KR 101219796 B1 KR101219796 B1 KR 101219796B1
Authority
KR
South Korea
Prior art keywords
packet
session
abnormal
information
traffic
Prior art date
Application number
KR1020090095173A
Other languages
English (en)
Other versions
KR20110037645A (ko
Inventor
윤승용
김병구
오진태
장종수
나중찬
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090095173A priority Critical patent/KR101219796B1/ko
Publication of KR20110037645A publication Critical patent/KR20110037645A/ko
Application granted granted Critical
Publication of KR101219796B1 publication Critical patent/KR101219796B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 세션 추적, 플로우 별 트래픽 측정, 화이트 리스트 및 블랙 리스트 기법 등을 적용한 하드웨어 기반의 고성능 DDoS 방어 장치 및 그 방법에 관한 것이다. 본 발명의 분산 서비스 거부 방어 장치는, 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블; 플로우 별 트래픽 측정 정보가 저장된 플로우 테이블; 유입트래픽에서 패킷을 추출하는 패킷 추출부; 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하고, 추출된 필드 및 세션 테이블 중 어느 하나를 이용하여 패킷이 비정상 패킷인지를 탐지하는 탐지부; 및 탐지부에서 패킷이 비정상 패킷으로 탐지되면, 탐지된 패킷을 차단하는 대응부를 구비한다.

Description

분산 서비스 거부 방어 장치 및 그 방법{Apparatus and Method for protecting DDoS}
본 발명은 네트워크 및 시스템 보호를 방어 장치 및 그 방법에 관한 것이다. 보다 상세하게는, 플로우 기반의 분산 서비스거부(DDoS) 공격 방어 기법 및 장치에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2009-S-038-01, 과제명: 분산서비스거부(DDoS) 공격 대응 기술개발].
분산 서비스 거부(Distributed Denial of Service; 이하, 'DDoS') 공격은 불특정 다수의 공격자가 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 보내 대상 네트워크나 시스템의 성능을 급격히 저하시켜, 해당 시스템에서 제공하는 서비스를 사용하지 못하게 하는 공격이다.
상기 DDoS 공격은 크게 네트워크 레벨(Network Level) 공격과 응용 레벨(Application Level) 공격으로 분류된다.
상기 네트워크 레벨 공격은 TCP Flooding, UDP Flooding 및 ICMP Flooding과 같은 네트워크 레벨 또는 계층의 공격을 일컫고, 응용 레벨 공격은 HTTP Flooding, SIP Flooding 및 DNS Flooding 과 같은 응용 계층의 공격을 일컫는다.
기존의 DDoS 방어 기법들은 대부분 트래픽 양을 측정하고, 상기 측정된 트래픽 양이 기 설정된 임계치(Threshold)를 초과하면, 일정 시간동안 패킷을 차단하는 기법을 사용한다.
또한 IDS/IPS(Intrusion Detection System/Intrusion Prevention System) 제품들에서는 주로 DDoS 공격 툴에서 나타나는 스트링 패턴(String Pattern)들을 탐지룰(Detection Rule)로 적용하고, 패턴 매칭(Pattern Matching) 기능을 수행하여 이러한 패킷이 탐지되면 바로 차단하는 기법을 사용한다.
그러나, 상기와 같은 단순 패턴 매칭만으로는 한계가 있어서 근래에는 QoS와 결합하여 우선 순위 Queue를 두던지, Rate Limiting 기법을 함께 적용함으로써, 보다 효과적으로 대응하려는 시도가 이루어지고 있다.
네트워크 레벨의 DDoS 공격 트래픽은 프로토콜의 종류에 따라 TCP Flooding, ICMP Flooding, UDP Flooding으로 나눌 수 있다.
이 중에서, TCP Flooding은 TCP SYN Flooding, TCP Flag Flooding, TCP Open Flooding으로 나눌 수 있는데, 새로운 TCP 세션 연결을 요청하는 TCP SYN 패킷을 대량 전송하는 TCP SYN Flooding은 가장 대표적인 DDoS 공격이다.
TCP Flag Flooding은 세션 연결이 성립되지 않은 세션에 속한 패킷, 예를 들면 SYN+ACK, ACK, FIN, RST, PSH+ACK, NULL, XMAS 등의 패킷을 대량 전송하여 서비스거부 공격을 야기한다.
TCP Open Flooding은 세션 연결한 후, 아무런 데이터 패킷을 보내지 않고 서버의 세션을 고갈시키는 공격이다.
또한, ICMP나 UDP Flooding은 대량의 해당 프로토콜 트래픽을 야기하여 네트워크 및 서버의 리소스를 고갈시켜 서비스를 제공하지 못하게 하는 공격이다.
네트워크 레벨 DDoS 공격을 탐지하고 대응하기 위해서는 기본적으로 세션 추적 기술,플로우 별 트래픽 측정 기술 등이 필요하며, 효과적인 대응을 위해서 그 이외의 Blocking 및 Rate Limiting 기술 등이 필수적이다.
이를 위해 세션 혹은 플로우 기반으로 패킷을 처리하는 기법들이 제안되고 있는데, 그 대표적인 예가 리눅스 커널 2.4 이상 버전에서 구현된 IPTable/Netfilter이다.
그러나, IPTable/Netfilter는 소프트웨어 기반으로 구현되어 있기 때문에 패킷 처리 성능상의 문제점을 가지고 있어 기가급 네트워크 망에 적용하기가 실질적으로 불가능하다.
이러한 성능상의 문제점을 극복하기 위해 하드웨어 기반으로 세션 혹은 플로우를 관리하면서 DDoS 공격을 방어하기 위한 노력이 계속 이루어지고 있으나, 기가급 네트워크 환경에서 트래픽 양의 증가에 따른 세션 혹은 플로우 수의 엄청난 증가로 모든 엔트리를 관리하면서 선로 속도의 패킷 처리 성능을 보장하기에는 기술적으로 어려움이 많은 실정이다.
본 발명은 전술한 바와 같은 문제점을 해결하기 위해 고안된 것으로서,
세션 추적, 플로우 별 트래픽 측정, 화이트 리스트 및 블랙 리스트 기법 등을 적용한 하드웨어 기반의 고성능 DDoS 방어 장치 및 그 방법을 제공함으로써, 기가급 네트워크 환경에서 속로 속도를 보장하면서 실시간으로 세션 상태를 추적하고, 플로우 별 트래픽 측정 및 처리함으로써 DDoS 공격 발생 시, 빠르게 탐지하여 효과적으로 대응할 수 있도록 하는데 그 목적이 있다.
본 발명에 따른 분산 서비스 거부 방어 장치는, 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블과; 플로우 별 트래픽 측정 정보가 저장된 플로우 테이블과; 유입트래픽에서 패킷을 추출하는 패킷 추출부와; 상기 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하고, 상기 추출된 필드 및 상기 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 탐지부와; 상기 탐지부에서 상기 패킷이 비정상 패킷으로 탐지되면, 상기 탐지된 패킷을 차단하는 대응부;를 포함하여 이루어진다.
특히, 상기 세션 정보는 세션 인식을 위한 세션 인덱스 정보 및 상기 침입 탐지에 대응하기 위해 기 설정된 세션 엔트리들 중 적어도 하나를 포함할 수 있고, 상기 탐지부는 상기 패킷에 해당하는 엔트리가 상기 세션 정보내에 존재하지 않으면, 상기 패킷을 비정상 패킷으로 판정할 수 있다.
또한, 상기 탐지부는 상기 추출된 필드를 바탕으로 상기 유입트래픽의 플로우 기반 트래픽 특성을 측정하고, 상기 측정된 특성과 기 설정된 적어도 하나의 임계치와 비교하여 상기 패킷이 비정상 패킷인지를 탐지할 수 있다.
또한, 본 발명에 따른 분산 서비스 거부 방어 장치는, 정상적인 패킷의 소스 IP 정보가 저장된 화이트리스트 테이블과; 비정상적인 패킷의 소스 IP 정보가 저장된 블랙리스트 테이블;을 더 포함하여 이루어질 수 있다.
또한, 상기 대응부는 상기 탐지부로부터 탐지된 비정상적인 패킷의 소스 IP 정보를 파악하고, 상기 비정상적인 패킷의 소스 IP 정보가 상기 블랙리스트 테이블에 존재하면, 상기 비정상적인 패킷을 차단할 수 있다.
또한, 본 발명에 따른 탐지부는, 상기 패킷 추출부에 의해 추출된 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하는 패킷 파싱기와; 상기 패킷 파싱기에 의해 추출된 필드를 바탕으로 각각의 세션을 구별하기 위한 해쉬키를 생성하는 해쉬키 생성기와; 상기 해쉬키 생성기에서 생성된 해쉬키를 상기 세션 테이블에 저장하는 세션 관리기와; 상기 패킷 파싱기에 의해 추출된 필드 및 상기 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 탐지기;를 포함하여 이루어진다.
한편, 본 발명에 따른 분산 서비스 거부 방어 방법은, 유입트래픽에서 패킷을 추출하는 단계와; 상기 추출된 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하는 단계와; 상기 추출된 필드 및 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 단계와; 상기 탐지 결과 상기 패킷이 비정상 패킷이면, 상기 패킷을 차단하는 단계;를 포함하여 이루어진다.
특히, 상기 탐지 단계는 상기 패킷에 해당하는 엔트리가 상기 세션 정보내에 존재하지 않으면, 상기 패킷을 비정상 패킷으로 판정할 수 있다.
또한, 상기 탐지 단계는, 상기 추출된 필드를 바탕으로 상기 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 단계와; 상기 측정된 특성을 기 설정된 적어도 하나의 임계치와 비교하는 단계와; 상기 비교 결과, 상기 측정된 특성이 상기 임계치 이하이면, 상기 패킷을 비정상 패킷으로 판정하는 단계;를 포함하여 이루어질 수 있다.
본 발명에 따른 DDoS 방어 장치 및 그 방법은, 기존의 DDoS 방어 장치에서 일반적으로 적용되던 소프트웨어 방식의 방어 기법을 하드웨어 기반으로 설계 및 구현 가능하게 하여 처리 속도를 현저히 증가시킬 수 있다.
따라서, 최근 보편화 되고 있는 기가급 네트워크 환경에서 선로 속도의 실시간 탐지를 보장하는 비정상 패킷 탐지 기능을 수행하는데 도움을 주어 네트워크 및 서버 시스템의 보안성을 한층 강화할 수 있다.
이하, 본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
본 발명의 하드웨어 기반 고성능 DDoS 방어 장치 및 그 방법을 좀 더 상세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 플로우 기반의 DDoS 방어 엔진이 적용된 시스템의 구조도이다.
도 1을 참조하면, 패킷의 입출력 인터페이스인 PHY(100)로부터 네트워크 패킷이 인입되면, 우선 본 발명에 따른 하드웨어 기반 보안 엔진(110)에서 침입을 탐지하고, 상기 탐지된 결과를 PCI(140)를 통해 소프트웨어 기반 보안 엔진(150)으로 전달한다.
기존의 대부분 상용 제품들은 하드웨어 기반 보안 엔진에 패턴 매칭 엔진(120)만이 위치하여 기능을 수행하고, DDoS 방어 엔진(130)은 소프트웨어 기반 보안 엔진에 위치하여 근본적으로 처리 속도의 한계를 가지고 있다.
그러나 본 발명에서는 이러한 문제점을 해결하기 위해 DDoS 방어 엔진(130)도 하드웨어 기반 보안 엔진 위에 위치 시킴으로써 선로속도를 보장하면서 실시간 비정상 트래픽 탐지 기능을 수행할 수 있게 하고 있다.
소프트웨어 기반의 보안 엔진(150)은 PCI(140)를 통해 입력된 데이터를 S/W 매니저(170)로 전달하고, S/W 매니저(170)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정한다.
도 2는 본 발명에 따른 하드웨어 기반의 DDoS 방어 엔진이 탑재된 방어 장치를 나타낸 기능별 내부 블록도이다.
도 2를 참조하면, 본 발명에 따른 DDoS 방어 장치는, 입출력 인터페이스인 PHY(200)와, 패킷 추출부(210)와, 탐지부(220)와, 테이블 매니저(230)와, 대응부(240) 및 Conf I/F(250)을 포함하여 이루어진다.
물론, 본 발명에 따른 DDoS 방어 장치가 필요에 따라 전술한 구성요소 이외의 것이 포함되어 구성될 수 있을 것이나, 상기 전술한 구성요소 이외의 것은 본 발명에 직접적 연관이 있는 것은 아니므로 설명의 간명함을 위해 이에 대한 자세한 설명은 이하 생략된다.
한편, 상기 구성요소들은 실제 응용에서 구현될 때 필요에 따라 2 이상의 구성요소가 하나의 구성요소로 합쳐져서 구성되거나, 하나의 구성요소가 2 이상의 구성요소로 세분되어 구성될 수 있음을 유념해야 한다.
네트워크 패킷은 시스템 입출력 인터페이스인 PHY(200)을 통해 유입되고, 또 다음 단으로 전송된다.
패킷 추출부인 이더넷(Ethernet) 맥(MAC) 모듈(210)은 PHY(200)를 통해 수신되는 2 계층 이더넷 프레임을 인식하고, 상기 프레임으로부터 IP 패킷을 추출하여 탐지부(220) 내부로 전달한다.
이때, 패킷 추출부(210)는 상기 프레임으로부터 추출되는 각각의 패킷을 구별하기 위해 패킷마다 Packet ID를 생성하여 같이 전달하여 준다. 이것은 패킷당 대응을 필요로 할 때 아주 유용하다.
상기 패킷 추출부(210)로부터 전달된 패킷은 기본적으로 탐지부(220)의 패킷 병합기(221)을 통해 De-fragmentation 과정을 거쳐 패킷 파싱이 이루어진다.
패킷 파싱기(222)는 상기 패킷 병합기(221)로부터 수신된 패킷에서 본 발명에 따라 세션 추적 및 트래픽 측정에 필요한 필드들을 추출해낸다. 이때, 패킷 파싱기(222)는 기본적으로 플로우 관리에 필요한 5-튜플(Tuple) 정보와 TCP 플래그 정보 등을 추출한다.
상기 5-튜플 정보는 세션 인식을 위한 인덱스 정보로 사용되고, 도 3에 도시된 바와 같이, 소스 IP 주소와, 목적지 IP 주소와, 소스 포트와, 목적지 포트와, 프로토콜 정보 등을 포함한다.
해쉬 키 생성기(223)는 패킷 파싱기(222)추출된 5-튜플 정보를 바탕으로 해쉬 키 생성기(Hash Key Generator)(223)는 각각의 세션을 구별하기 위한 키를 만들어내고, 세션 관리기(224)에 의해 테이블 매니저(230) 내의 세션 테이블(232)에 저장되어 관리된다.
또한, 세션 관리기(224)는 세션을 인식하여 해당 세션이 존재하는지를 검사하는 검색(Search)기능, 새로운 세션을 생성하여 세션 테이블(232)에 삽입(Insert)하는 기능, 연결이 끊어지면 테이블에서 해당 세션을 삭제(Delete)하는 기능, 세션 상태 변화나 타임스탬프 값을 변경(Update)하는 기능 등을 수행할 수 있다.
탐지기(225)는 탐지부(220) 내의 구성 요소(221, 222, 223, 224) 및 본 발명에 따른 DDoS 방어 장치의 전반적인 동작을 제어할 수 있다.
탐지기(225)는 패킷 파싱기(222)에 의해 추출된 5-튜플 정보 및 세션 테이블(232) 내의 DDoS 침입 탐지를 위해 기 저장된 세션 엔트리 정보 중 어느 하나를 이용하여 입력 패킷이 비정상 패킷인지를 탐지한다.
즉, 탐지기(225)는 입력된 패킷에 해당하는 엔트리와 동일한 세션 엔트리 정보가 상기 세션 테이블(232) 내에 존재하지 않으면, 상기 입력 패킷을 비정상 패킷으로 판정할 수 있다.
또한, 탐지기(225)는 상기 5-튜플 정보를 바탕으로 입력 패킷의 플로우 기반 트래픽 특성을 측정하고, 상기 측정된 특성과 기 설정된 적어도 하나의 임계치와 비교하여 상기 패킷이 비정상 패킷인지를 탐지할 수 있다.
상기와 같이, 탐지기(225)는 입력 패킷이 비정상 패킷으로 탐지되면, 경보를 발생하여 대응부(240)로 상기 입력 패킷이 비정상 패킷인 것을 통지하고, 상기 탐지 결과를 리포트 인터페이스(260)와 PCI(270)를 통해 S/W 매니저(280)로 상기 탐지 결과를 송신한다.
여기서, 상기 트래픽 특성은 세션 성공율(Session Success Rate)과, 세션 데이터 전송율(Session Data Transfer Rate)과, BPS 및 PPS 등을 포함하고, 실시간으로 처리되어 비정상 유무의 판단에 이용된다.
한편, 테이블 매니저(230)는 내부에 저장된 플로우 테이블(231)과, 세션 테 이블(232)과, 화이트리스트 테이블(233) 및 블랙리스트 테이블(234) 내에 저장된 데이터의 리딩 및 삭제 등의 관리를 한다.
플로우 테이블(231)은 탐지기(225)에 의해 측정된 입력 패킷에 대한 플로우 별 트래픽 측정 정보가 저장 관리된다.
세션 테이블(232)은 상술한 바와 같이, DDoS 침입 탐지에 대응하기 위한 세션 정보가 저장 관리된다. 이때, 상기 세션 정보는 세션 인식을 위한 세션 인덱스 정보(5-튜플 정보)와, 상기 침입 탐지에 대응하기 위해 기 설정된 세션 엔트리들에 대한 정보를 포함한다.
화이트리스트 테이블(233)은 세션 추적 및 정상적인 패킷의 소스 IP 정보가 저장 관리되고, 블랙리스트 테이블(234)은 비정상적인 패킷의 소스 IP 정보가 저장 관리된다.
이때, 탐지기(225)는 내부에 화이트리스트/블랙리스트 관리 모듈과, 시그니처 기반 탐지(Signatured-Based Intrusion Detection) 모듈과, 플로우 기반 트래픽 측정 모듈 및 변칙(Anomaly) 기반 탐지 모듈등이 구비될 수 있다.
즉, 탐지기(225)는 입력 패킷의 탐지 결과 상기 입력 패킷이 정상 패킷이면, 상기 화이트리스트/블랙리스트 관리 모듈을 제어하여 상기 정상 패킷의 소스 IP 정보를 상기 화이트리스트 테이블(233)에 업데이트할 수 있다.
또한, 탐지기(225)는 입력 패킷의 탐지 결과 상기 입력 패킷이 비정상적인 패킷이면, 상기 화이트리스트/블랙리스트 관리 모듈을 제어하여 상기 비정상 패킷의 소스 IP 정보를 상기 블랙리스트 테이블(233)에 업데이트할 수 있다.
또한, 탐지기(225)는 침입 탐지 룰이 적용된 상기 시그니처 기반 탐지 모듈을 제어하여 입력 패킷에 대한 비정상 여부를 탐지하고, 상기 시그니처 기반 탐지 모듈의 탐지 결과 상기 입력 패킷이 비정상 패킷이면, 상기 화이트리스트/블랙리스트 관리 모듈을 제어하여 상기 비정상 패킷의 소스 IP 정보를 상기 블랙리스트 테이블(233)에 업데이트할 수 있다.
한편, 대응부(240)는 상기 탐지기(225)로부터 경보가 발생되면, 해당 네트워크나 서버 시스템에 현재 DDoS 공격이 진행되고 있는 것으로 판단하고, 입력 패킷을 차단한다.
이때, 대응부(240)는 탐지기(225)를 통해 탐지된 비정상 패킷의 소스 IP 정보를 파악하고, 상기 비정상적인 패킷의 소스 IP 정보가 상기 블랙리스트 테이블(234)에 존재하면, 상기 비정상적인 패킷의 차단 및 Rate 제한 동작을 수행한다.
한편, 탐지기(225)에 의해 탐지된 결과는 리포트 인터페이스(260)를 통해 PCI(270)를 거쳐 S/W 매니저(280)로 전달된다.
S/W 매니저(280)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정하기 위해 컨피규레이션(Configuration) 인터페이스(280)를 이용한다.
한편, 본 발명에 따른 DDoS 방어 장치에서 상기 S/W 매니저(280)를 제외한 모든 모듈은 FPGA 혹은 ASIC과 같은 하드웨어와 SRAM과 같은 메모리 장치로 구현될 수 있다.
또한, 본 발명에 따른 DDoS 방어 장치는 모두 하드웨어 기반으로 설계, 구현 되므로, 플로우 테이블(231) 또는 세션 테이블(232) 구조가 아주 중요하다. 즉, 제한된 하드웨어 리소스를 가지고 많은 세션 또는 플로우 엔트리를 효율적으로 관리하기 위한 해쉬 함수와 N-Way Set Associative Table 구조를 포함하는 것을 특징으로 한다.
본 발명에서는 사용되는 플로우 테이블(231), 세션 테이블(232), 화이트리스트 테이블(233), 블랙리스트 테이블(234) 구조는 빠른 검색을 위한 해수 함수와 효율적인 리소스 사용을 위한 N-Way Set Associative Table 구조로 되어있다.
이하, 도 4 내지 6을 참조하여, 본 발명에 따른 DDoS 방어 장치의 DDoS 방어 과정에 대해 상세히 설명한다.
도 4는 본 발명에 따른 DDoS 방어 장치의 DDoS 방어 과정을 나타낸 흐름도이다.
먼저, 도 4를 참조하면, 본 발명에 따른 DDoS 방어 장치는 PHY(200)을 통해 유입되는 트래픽에서 IP 패킷을 추출하고[S111], 상기 추출된 패킷에서 본 발명에 따른 세션 추적 및 플로우 단위별 트래픽 측정을 위한 필드값인 5-튜플 정보를 다시 추출한다[S112].
이때, 상기 DDoS 방어 장치는 상기 추출된 5-튜플 정보 및 세션 테이블(232) 내의 DDoS 침입 탐지를 위해 기 저장된 세션 엔트리 정보 중 어느 하나를 이용하여 입력 패킷이 비정상 패킷인지를 탐지하고[S113], 상기 탐지 결과 상기 입력 패킷이 비정상 패킷이면[S114], 상기 입력 패킷을 차단한다[S115].
즉, 본 발명에서 방어하고자 하는 네트워크 레벨의 DDoS 공격 중, TCP Flooding 공격은 크게 "1. TCP SYN Flooding 공격"과 SYN 패킷 이외의 "2. TCP Flag Flooding 공격" 및 서버의 세션 고갈을 목적으로 하는 "3. TCP Open Flooding 공격"으로 구분할 수 있다.
이때, 본 발명에 따른 DDoS 방어 장치를 이용하여, 입력 패킷의 세션 및 플로우를 추적하고, 상기 추적된 플로우 기반의 트래픽 특성인 세션 현재 상태(Session Current State)와, 세션 성공율(Session Success Rate) 및 세션 데이터 전송율(Session Data Transfer Rate) 등을 측정하면 위의 공격들을 효과적으로 탐지하고 대응할 수 있다.
이하, 도 5를 참조하여, 본 발명에 따른 DDoS 방어 장치를 이용하여 TCP Flag Flooding 공격 방어 과정에 대해 설명한다.
도 5는 본 발명에 따른 DDoS 방어 장치를 이용하여 TCP Flag Flooding 공격의 방어 과정을 나타낸 흐름도이다.
도 5를 참조하면, 상기 TCP Flag Flooding 공격은 세션을 추적하면서 관리함으로써 쉽게 방어할 수 있다.
상기 TCP Flag Flooding의 대표적인 예로는 TCP Fin+Ack, Reset, Syn+Ack, Null, XMAX Flooding 등의 공격을 들 수 있다.
각각의 세션 엔트리는 TCP 3-Way Handshaking 연결 설정 과정을 통해 세션 테이블(232)에 등록되고, 리셋 패킷이나 핀(Fin) 패킷은 TCP 4-Way Handshaking 연결 종료 과정에 의해 세션 테이블(232)에서 삭제된다.
즉, DDoS 방어 장치는 유입트래픽에서 패킷을 추출하고[S211], 상기 추출된 패킷의 엔트리를 파악하고[S212], 상기 파악된 유입 패킷의 엔트리가 세션 테이블(232) 내에 존재하는지 검사한다[S213].
이때, 세션 테이블(232) 내에는 DDoS 침입 탐지를 위해 기 설정된 다수개의 세션 엔트리들에 대한 정보가 저장되어 있다. 상기 DDoS 침입 탐지를 위한 세션 엔트리들의 정보는 외부의 서비스 제공 업체를 통해 상기 세션 테이블(232)에 사전에 업데이트되어 있거나, 또는 탐지부(220)에 의해 탐지되는 패킷들이 정상 패킷일 경우에 상기 탐지부(220)에 의해 상기 정상 패킷들의 세션 엔트리들 정보가 상기 세션 테이블(232)에 실시간으로 업데이트 된다.
DDoS 방어 장치는 상기 검사 결과, 상기 세션 테이블(232) 내에 상기 유입 패킷의 엔트리가 존재하면[S214], 상기 유입된 패킷을 정상적인 패킷으로 판정한다[S215].
이때, DDoS 방어 장치는 상기 판정된 정상 패킷의 엔트리 정보를 상기 세션 테이블(232)에 실시간 업데이트하고, 상기 정상 패킷의 소스 IP 주소 정보를 화이트리스트 테이블(233)에 실시간 업데이트한다.
그러나, DDoS 방어 장치는 상기 검사 결과, 상기 세션 테이블(232) 내에 상기 유입 패킷의 엔트리가 존재하지 않으면, 상기 유입된 패킷을 비정상적인 패킷으 로 판정한다[S216].
DDoS 방어 장치는 상기 유입된 패킷이 비정상 패킷이면, 해당 네트워크나 서버 시스템에 현재 TCP Flag Flooding 공격이 진행되고 있는 것으로 판단하고, 입력 패킷을 차단한다.
즉, DDoS 방어 장치는 상기 비정상적 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234)에 존재하는지를 다시 한번 확인하여 상기 비정상적인 패킷의 차단 및 Rate 제한 동작을 수행한다. 또한, DDoS 방어 장치는 상기 비정상적 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234)에 존재하지 않으면, 상기 비정상적 패킷의 소스 IP 주소 정보를 블랙리스트 테이블(234)에 실시간 업데이트한다.
그 다음으로, 도 6을 참조하여 DDoS 방어 장치의 TCP SYN Flooding 공격 방어 과정에 대해 설명한다.
도 6은 본 발명에 따른 DDoS 방어 장치를 이용하여 TCP SYN Flooding 공격의 방어 과정을 나타낸 흐름도이다.
도 6을 참조하면, 대부분의 TCP SYN Flooding 공격은 공격자가 해당 패킷의 소스 IP 주소를 속여서, 즉 IP Spoofing된 대량의 SYN 패킷을 서버에 전송함으로써 이루어진다.
이때, DDoS 방어 장치는 SYN Flooding 공격을 탐지하기 위하여 3-Way 핸드쉐이킹 과정을 모두 추적하여 세션 별 상태 정보를 가지고 있다.
즉, 공격자가 연결 설정을 위해 서버로 SYN 패킷을 전송하면, 상기 DDoS 방 어 장치의 세션 테이블(232)에 상기 SYN 패킷의 해당 세션이 등록된다[S311].
상기 서버는 상기 수신된 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 전송하게 되고[S312], 서버의 세션의 상태는 연결 요청 수신 상태인 "SYN_RCVD" 상태로 바뀌게 된다[S313].
여기서, 상기 공격자가 합법적인 클라이언트라면 ACK 패킷을 전송하여 연결을 설정하는데, 세션 상태는 "ESTABLISHED" 바뀌게 된다. 연결 설정이 이루어지고 난 후, 클라이언트와 서버간 데이터가 전송된다.
만약, 상기 서버에 대한 TCP SYN Flooding 공격이 이루어지고 있는 상황이라면, IP Spoofing된 대량의 SYN 패킷들에 의해 서버에는 "SYN_RCVD" 상태의 세션들이 갑자기 증가하게 되고, 세션 성공율 급격하게 감소하게 된다. 왜냐하면 3-Way 핸드쉐이킹 과정의 마지막 ACK 패킷이 전송되지 않아 세션 연결 설정이 이루어지지 않기 때문이다.
따라서, DDoS 방어 장치는 상기 서버의 세션 상태가 "SYN_RCVD" 상태이면, 세션 성공율을 측정한다[S314].
이때, 상기 세션 성공율은 플로우 별, 즉 예를 들면 목적지 IP 주소 별로 세션 연결을 시도한 횟수(Session Trial Count)와 3-Way 핸드쉐이킹 과정을 거쳐 연결 설정이 이루어진 세션의 개수(Session Established Count)를 측정하여 구할 수 있다.
즉, 세션 성공률을 이하의 수식에 의해 구할 수 있다.
세션 성공률 = Session Established Count / Session Trial Count
상기 측정된 플로우 별 트래픽 측정 정보는 플로우 테이블(231)에 기록 및 관리된다.
만약, DDoS 방어 장치는 상기 측정한 세션 성공율이 감소하여 기 설정된 임계치 이하가 되면[S315], 상기 TCP SYN Flooding 방식의 DDoS 공격이 이루어지고 있는 상황이라 판정한다[S316].
DDoS 방어 장치는 상기 DDoS가 발생된 상황이라고 판정한 이후에 제1 SYN 패킷이 수신되면[S317], 상기 제1 SYN 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234) 내에 존재하는지 검사한다.
DDoS 방어 장치는 상기 제1 SYN 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234) 내에 존재하는지 여부를 판단[S318]하여, 상기 제1 SYN 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234) 내에 존재하지 않으면, 상기 제1 SYN 패킷은 정상적인 패킷이므로 서버로 통과시킨다[S319].
그러나, DDoS 방어 장치는 상기 제1 SYN 패킷의 소스 IP 주소 정보가 상기 블랙리스트 테이블(234) 내에 존재하면, 상기 제1 SYN 패킷은 DDoS 공격용 패킷이므로 차단한다[S320].
또한, DDoS 방어 장치는 상기 제1 SYN 패킷 이후에 제2 SYN 패킷이 수신되면[S321], 상기 제2 SYN 패킷의 소스 IP 주소 정보가 화이트리스트 테이블(233) 내에 존재하는지 검사할 수도 있다.
DDoS 방어 장치는 상기 제2 SYN 패킷의 소스 IP 주소 정보가 상기 화이트리 스트 테이블(233) 내에 존재하면[S322], 상기 제2 SYN 패킷은 정상적인 패킷이므로 상기 서버로 통과시킨다[S323].
그러나, DDoS 방어 장치는 상기 제2 SYN 패킷의 소스 IP 주소 정보가 상기 화이트리스트 테이블(233) 내에 존재하지 않으면, 상기 제2 SYN 패킷은 DDoS 공격용 패킷이므로 차단한다[S324].
상기와 같은 과정으로, 서버에 DDoS 공격이 이루어지는 상황에서도 합법적인 클라이언트들의 연결 요청만을 받아들여, 해당 네트워크나 서버 시스템이 서비스를 제공할 수 있도록 한다.
한편, 도시되지는 않았지만, DDoS 방어 장치는 TCP Open Flooding은 입력 패킷의 세션 데이터 전송율(Session Data Transfer Rate)을 측정하고, 상기 측정된 세션 데이터 전송율이 기 설정된 임계치 이하이면, 입력 패킷을 차단하여 상기 TCP Open Flooding 방식의 DDoS 공격을 방어할 수 있다.
상기 TCP Open Flooding 공격 방식은 서버의 세션 연결 자원을 고갈시키기 위해 세션 연결 후, 아무런 데이터도 전송하지 않는 공격 방식이다.
한편, 세션 데이터 전송율은 세션 연결 개수(Session Established Count)와, 실제 연결된 세션을 통해 데이터를 전송한 세션의 개수(Session Data Transfer Count)를 이용하여 측정할 수 있다.
즉, 상기 세션 데이터 전송율을 이하의 수식에 의해 구할 수 있다.
세션 데이터 전송율 = Session Data Transfer Count / Session Established Count
한편, UDP/ICMP 프로토콜은 TCP 프로토콜과는 달리 Connectionless 프로토콜 이지만, 대부분 클라이언트와 서버 사이에 Request와 Reply 메시지가 전송된다.
도 7은 TCP, UDP 및 ICMP 연결 과정을 나타낸 신호 처리도이다.
도 7에 도시된 바와 같이, 실시간 인터넷 방송이나 온라인 게임에 이용되는 UDP 프로토콜은 클라이언트와 서버 사이에 Request/Replay 메시지를 교환한다.
또한, 실시간 인터넷 방송이나 온라인 게임에 이용되는 ICMP 프로토콜의 경우 에코 요구/응답(ICMP Type: 8, 0)과, 라우터 요구/응답(ICMP Type: 9, 10)과, 타임스템프 요구/응답(ICMP Type: 13, 14)과, 정보 요구/응답(ICMP Type: 15, 16)과, 주소 마스크 요구/응답(ICMP Type: 17, 18)을 위해 Request/Reply 메시지를 교환한다.
DDoS 공격 상황이 아닐 때, 이러한 데이터 전송 내역은 합법적인 통신의 근거가 되어 학습을 통해 화이트리스트 테이블(233)에 이용된다. UDP/ICMP Flooding은 BPS, PPS 등의 트래픽 양이 임계치를 넘으면 탐지되는데, 대부분의 대응은 일정 시간 동안 기 설정된 임계치 이상의 패킷은 무조건 차단한다.
이에 반해, 화이트리스트 테이블(233)을 이용하면 보다 정확하게 대응할 수 있는 근거를 제공한다. 화이트리스트 테이블(233)에 속한 패킷은 우선적으로 통과 되고, 상기 통과된 트래픽 중에서 기 설정된 임계치 이상이 되면 Rate Limiting이 적용되므로 신뢰도를 높일 수 있다.
본 발명의 일부 단계들은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있을 수 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1은 본 발명에 따른 플로우 기반의 DDoS 방어 엔진이 적용된 시스템의 구조도이다.
도 2는 본 발명에 따른 하드웨어 기반의 DDoS 방어 엔진이 탑재된 방어 장치를 나타낸 기능별 내부 블록도이다.
도 3은 본 발명에 따른 5-튜플 구조를 나타낸 도면이다.
도 4는 본 발명에 따른 DDoS 방어 장치의 DDoS 방어 과정을 나타낸 흐름도이다.
도 5는 본 발명에 따른 DDoS 방어 장치를 이용하여 TCP Flag Flooding 공격의 방어 과정을 나타낸 흐름도이다.
도 6은 본 발명에 따른 DDoS 방어 장치를 이용하여 TCP SYN Flooding 공격의 방어 과정을 나타낸 흐름도이다.
도 7은 TCP, UDP 및 ICMP 연결 과정을 나타낸 신호 처리도이다.

Claims (10)

  1. 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블;
    플로우 별 트래픽 측정 정보가 저장된 플로우 테이블;
    유입트래픽에서 패킷을 추출하는 패킷 추출부;
    상기 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하고, 상기 추출된 필드 및 상기 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 탐지부; 및
    상기 탐지부에서 상기 패킷이 비정상 패킷으로 탐지되면, 상기 탐지된 패킷을 차단하는 대응부를 구비하며,
    정상적인 패킷의 소스 IP 정보가 저장된 화이트리스트 테이블; 및
    비정상적인 패킷의 소스 IP 정보가 저장된 블랙리스트 테이블을 더 구비하는 분산 서비스 거부 방어 장치.
  2. 청구항 1에 있어서,
    상기 세션 정보는,
    세션 인식을 위한 세션 인덱스 정보 및 상기 침입 탐지에 대응하기 위해 기 설정된 세션 엔트리들 중 적어도 하나를 포함하는 것을 특징으로 하는 분산 서비스 거부 방어 장치.
  3. 청구항 2에 있어서,
    상기 탐지부는, 상기 패킷에 해당하는 엔트리가 상기 세션 정보내에 존재하지 않으면, 상기 패킷을 비정상 패킷으로 판정하는 것을 특징으로 하는 분산 서비스 거부 방어 장치.
  4. 청구항 1에 있어서,
    상기 탐지부는,
    상기 추출된 필드를 바탕으로 상기 유입트래픽의 플로우 기반 트래픽 특성을 측정하고, 상기 측정된 특성과 기 설정된 적어도 하나의 임계치와 비교하여 상기 패킷이 비정상 패킷인지를 탐지하는 것을 특징으로 하는 분산 서비스 거부 방어 장치.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 대응부는,
    상기 탐지부로부터 탐지된 비정상적인 패킷의 소스 IP 정보를 파악하고, 상기 비정상적인 패킷의 소스 IP 정보가 상기 블랙리스트 테이블에 존재하면, 상기 비정상적인 패킷을 차단하는 것을 특징으로 하는 분산 서비스 거부 방어 장치.
  7. 청구항 1에 있어서,
    상기 탐지부는,
    상기 패킷 추출부에 의해 추출된 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하는 패킷 파싱기;
    상기 패킷 파싱기에 의해 추출된 필드를 바탕으로 각각의 세션을 구별하기 위한 해쉬키를 생성하는 해쉬키 생성기;
    상기 해쉬키 생성기에서 생성된 해쉬키를 상기 세션 테이블에 저장하는 세션 관리기; 및
    상기 패킷 파싱기에 의해 추출된 필드 및 상기 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 탐지기를 구비하는 것을 특징으로 하는 분산 서비스 거부 방어 장치.
  8. 유입트래픽에서 패킷을 추출하는 단계;
    상기 추출된 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하는 단계;
    상기 추출된 필드 및 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블 중 어느 하나를 이용하여 상기 패킷이 비정상 패킷인지를 탐지하는 단계; 및
    상기 탐지 결과 상기 패킷이 비정상 패킷이면, 상기 패킷을 차단하는 단계를 포함하며,
    상기 패킷이 비정상 패킷인지를 탐지하는 단계를 통해, 상기 패킷이 정상 패킷으로 탐지된 경우 상기 패킷의 소스 IP 정보를 화이트리스트 테이블에 저장하는 단계; 및
    상기 패킷이 비정상 패킷인지를 탐지하는 단계를 통해, 상기 패킷이 비정상 패킷으로 탐지된 경우 상기 패킷의 소스 IP 정보를 블랙리스트 테이블에 저장하는 단계를 더 포함하는 분산 서비스 거부 방어 방법.
  9. 청구항 8에 있어서,
    상기 탐지 단계는,
    상기 패킷에 해당하는 엔트리가 상기 세션 정보내에 존재하지 않으면, 상기 패킷을 비정상 패킷으로 판정하는 것을 특징으로 하는 분산 서비스 거부 방어 방법.
  10. 청구항 8에 있어서,
    상기 탐지 단계는,
    상기 추출된 필드를 바탕으로 상기 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 단계;
    상기 측정된 특성을 기 설정된 적어도 하나의 임계치와 비교하는 단계; 및
    상기 비교 결과, 상기 측정된 특성이 상기 임계치 이하이면, 상기 패킷을 비정상 패킷으로 판정하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 방어 방법.
KR1020090095173A 2009-10-07 2009-10-07 분산 서비스 거부 방어 장치 및 그 방법 KR101219796B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090095173A KR101219796B1 (ko) 2009-10-07 2009-10-07 분산 서비스 거부 방어 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090095173A KR101219796B1 (ko) 2009-10-07 2009-10-07 분산 서비스 거부 방어 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20110037645A KR20110037645A (ko) 2011-04-13
KR101219796B1 true KR101219796B1 (ko) 2013-01-09

Family

ID=44045091

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090095173A KR101219796B1 (ko) 2009-10-07 2009-10-07 분산 서비스 거부 방어 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101219796B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563772B2 (en) 2019-09-26 2023-01-24 Radware, Ltd. Detection and mitigation DDoS attacks performed over QUIC communication protocol

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101091697B1 (ko) * 2011-05-27 2011-12-08 주식회사 시큐클라우드 탐지되기 어려운 디도스 공격을 방어하는 방법
KR101360591B1 (ko) * 2011-09-29 2014-02-11 한국전력공사 화이트리스트를 이용한 네트워크 감시 장치 및 방법
KR101429452B1 (ko) * 2012-04-18 2014-08-13 라온시큐어(주) 무선 단말기 상에서 침입 차단 방법
KR101327317B1 (ko) * 2012-11-30 2013-11-20 (주)소만사 Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
KR101416618B1 (ko) * 2013-01-24 2014-07-09 한남대학교 산학협력단 리눅스 커널 보안 기반 침입방지 시스템
KR101683781B1 (ko) * 2015-03-23 2016-12-08 (주) 시스메이트 플로우 기반 디도스 탐지 및 방어 장치 및 방법
KR102311336B1 (ko) 2017-05-02 2021-10-14 한국전자통신연구원 안전 저장소 접근정보를 보호하는 위치고정형 사물인터넷 기기 및 위치고정형 사물인터넷 기기의 안전 저장소 접근정보를 보호하는 방법
KR102013044B1 (ko) * 2017-11-01 2019-08-21 숭실대학교산학협력단 멀웨어 공격을 방지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US10768990B2 (en) 2018-11-01 2020-09-08 International Business Machines Corporation Protecting an application by autonomously limiting processing to a determined hardware capacity
KR102356070B1 (ko) * 2019-08-19 2022-01-28 한국전자통신연구원 인증서 평판 점수 추출 장치 및 그것의 동작 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060099050A (ko) * 2005-03-10 2006-09-19 한국전자통신연구원 적응적 침해 방지 장치 및 방법
KR20080083495A (ko) * 2007-03-12 2008-09-18 주식회사 엘지씨엔에스 정적 정책정보를 이용한 침입방지 장치 및 방법
KR20090005662A (ko) * 2007-07-09 2009-01-14 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
KR20090065313A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060099050A (ko) * 2005-03-10 2006-09-19 한국전자통신연구원 적응적 침해 방지 장치 및 방법
KR20080083495A (ko) * 2007-03-12 2008-09-18 주식회사 엘지씨엔에스 정적 정책정보를 이용한 침입방지 장치 및 방법
KR20090005662A (ko) * 2007-07-09 2009-01-14 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
KR20090065313A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563772B2 (en) 2019-09-26 2023-01-24 Radware, Ltd. Detection and mitigation DDoS attacks performed over QUIC communication protocol

Also Published As

Publication number Publication date
KR20110037645A (ko) 2011-04-13

Similar Documents

Publication Publication Date Title
KR101219796B1 (ko) 분산 서비스 거부 방어 장치 및 그 방법
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
Chen et al. Defending against TCP SYN flooding attacks under different types of IP spoofing
US7478429B2 (en) Network overload detection and mitigation system and method
US9749340B2 (en) System and method to detect and mitigate TCP window attacks
US7464404B2 (en) Method of responding to a truncated secure session attack
US8255996B2 (en) Network threat detection and mitigation
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
Hussein et al. SDN security plane: An architecture for resilient security services
KR20110089179A (ko) 네트워크 침입 방지
KR20130017333A (ko) 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
Kshirsagar et al. CPU load analysis & minimization for TCP SYN flood detection
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
Gupta et al. Mitigation of dos and port scan attacks using snort
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
Huang et al. Detecting stepping-stone intruders by identifying crossover packets in SSH connections
KR20110029340A (ko) 분산 서비스 거부 공격의 방어 시스템
Malliga et al. A proposal for new marking scheme with its performance evaluation for IP traceback
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
Nayak et al. Depth analysis on DoS & DDoS attacks
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
GB2418563A (en) Monitoring for malicious attacks in a communications network
Anbar et al. Investigating study on network scanning techniques

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161228

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 8