KR101230919B1 - 이상 트래픽 자동 차단 시스템 및 방법 - Google Patents

Abstract

본 발명은 인터넷에 접속된 여러 대의 단말로부터 디도스(DDoS) 공격과 같은 이상 트래픽을 감지하고 감지한 이상 트래픽의 목적지 IP 정보와 목적지 IP에 대한 장애 정보를 검출하여 이상 트래픽이 실제 망에 영향을 주어 네트워크 장애를 발생할 위험 수위에 도달한 경우 해당 IP로 송출되는 이상 트래픽을 자동 차단하는 이상 트래픽 자동 차단 시스템 및 방법을 제공한다.

Description

이상 트래픽 자동 차단 시스템 및 방법{DISTRIBUTED DENIAL OF SERVICE ATTACK AUTO PROTECTION SYSTEM AND METHOD}

본 발명은 이상 트래픽 자동 차단 시스템 및 방법에 관한 것으로, 상세하게는 인터넷에 접속된 여러 대의 단말을 일제히 동작시켜 특정 사이트를 공격하는 디도스(DDoS) 공격과 같은 이상 트래픽을 감지하고 감지한 이상 트래픽과 장애 정보를 연관하여 이상 트래픽이 실제 망에 영향을 주어 네트워크 장애를 발생시킬 위험 수위에 도달하면 이상 트래픽의 송출을 자동 차단하는 시스템 및 방법에 관한 것이다.

디도스(DDoS: Distribute Denial of Service attack(분산서비스거부))는 광대역 망에 연결되어 인터넷을 사용하는 여러 대의 단말을 이용하여 엄청난 분량의 데이터를 하나의 특정 사이트에만 집중적으로 전송함으로써 해당 특정 사이트의 정상적인 기능을 방해하는 악의적 사이버 공격을 말한다.

이러한 사이버 공격을 위한 수법은 공격자가 보안이 취약한 여러 곳의 컴퓨터 단말에 악성 코드를 설치하여 감염시킨 뒤 악성 코드에게 공격할 서버와 시간을 지정해 두면, 이들 감염된 컴퓨터 단말(이하, 좀비 단말)이 지정된 목표(서버, PC 등)에 수많은 패킷을 전송하여 일시에 목표 서버의 기능을 무력화시키는 방법이다.

디도스 공격을 방어하는 방법으로는 서비스를 제공하는 서버 시스템을 보호하는 방법, 인터넷 서비스 제공자 또는 기관에서 좀비 컴퓨터 단말에서 오는 통신을 사전에 차단하는 방법, 클라이언트 컴퓨터 단말에서 차단하는 방법이 있다.

이중, 서비스를 제공하는 서버 시스템을 보호하는 방법으로는 디도스 공격 트래픽을 감지하는 디도스 전용 장비를 설치하여 디도스 공격 트래픽을 목표 서버 앞쪽에서 제거하는 방법을 이용한다.

좀비 컴퓨터 단말에서 오는 통신을 사전에 차단하는 방법으로는 L2 보안 스위치 또는 NAC(Network Accesss Control)를 이용할 수 있다.

그런데, 서버 측에서 디도스 전용 장비를 사용하든지, 인터넷 서비스 제공자 또는 각 기관에서 L2 보안 스위치 또는 NAC를 사용하든지 좀비 컴퓨터 단말을 치료하지 않는 한 트래픽은 계속 발생된다는 단점이 있다.

또한, 클라이언트 단말 측면에서 디도스 공격을 차단할 수 있는 방법으로는 바이러스 백신을 활용하고 있다. 그러나 바이러스 백신은 이미 알려진 컴퓨터 바이러스를 제거할 수 있으나 알려지지 않은 신종 또는 변종 컴퓨터 바이러스를 치료하지 못하며 신종 또는 변종 컴퓨터 바이러스에 의하여 누군가 먼저 해당 바이러스에 감염되어 피해를 본 후에야 대응하는 단점이 있다. 즉, 바이러스가 발견된 후 백신이 나오기까지 시간이 걸리므로 네트워크 공격에 효율적으로 대응하지 못하는 문제점이 있다.

그런데, 상기한 종래 방법들은 공통적으로 좀비 컴퓨터 단말인지 아닌지를 판단하기 위해 트래픽이 발생하기 때문에 방어 장비와 서버 간의 네트워크 트래픽은 줄어들지만 외부망으로부터 방어 장비까지의 트래픽은 계속 증가하게 된다. 따라서, 하루에 수 천 건씩 공격이 진행되면 방어 장비가 방어할 수 있는 한계 트래픽 또는 네트워크 트래픽을 넘게 되므로 방어 장비는 더 이상 요청에 대한 처리나 응답을 하지 못하게 된다.

특히 네트워크 대역폭을 증가시키는 데는 물리적인 한계가 있기 때문에 대형 사이트라고 할지라도 공격 단말의 수가 증가되면 감염된 단말들에게 공격 명령을 내리는 지휘 단말을 찾아 차단하도록 하는 방법을 적용하고 있지만, 역추적하기가 쉽지 않아 현실적으로 대응하기가 힘들다.

또한, 종래 방법들은 디도스 공격이 발생하면 무조건 차단하도록 되어 있어 서비스에 영향이 없는 작은 규모의 공격에도 바로 차단하기 때문에 망 장비나 기업 고객, 서비스용 서버와 같이 서비스 정책상 차단되어서는 안되는 IP 들이 보호받을 수 없고, 피해가 없는 일반 고객들까지 서비스 사용이 차단될 수 문제점이 있다.

본 발명은 상기의 문제점을 해결하기 위해 창안된 것으로서, 인터넷에 접속된 여러 대의 단말로부터 디도스 공격과 같은 이상 트래픽을 감지하고 감지한 이상 트래픽의 목적지 IP 정보와 목적지 IP에 대한 장애 정보를 검출하여 이상 트래픽이 실제 망에 영향을 주어 네트워크 장애를 발생할 위험 수위에 도달하면 해당 IP로 송출되는 이상 트래픽을 자동 차단시키는 이상 트래픽 자동 차단 시스템 및 방법을 제공하는 데 그 목적이 있다.

이를 위하여 본 발명의 제1 측면에 따르면, 본 발명의 이상 트래픽 자동 차단 시스템은, 인터넷에 접속한 사용자 단말로부터 이상 트래픽의 발생 여부를 감지하는 트래픽 감지 서버; 망 장비에 대한 IP 주소를 관리하는 IP 정보 관리 서버; 상기 IP주소를 소유한 장비의 트래픽 폭주나 핑 손실(ping loss)과 같은 실제 장애 상황을 확인하여 각 장비의 장애 정보를 관리하는 품질 관리 서버; 및 상기 트래픽 감지 서버를 통해 이상 트래픽이 감지되면 상기 IP 정보 관리 서버 및 상기 품질 관리 서버로부터 이상 트래픽이 발생한 목적지 IP 주소의 장비 및 상기 장비에 대한 장애 정보를 각각 획득하고, 획득한 장비 및 상기 장비의 장애 정보가 기 설정한 차단 대상에 각각 포함되는지를 확인하여 차단 대상에 포함되는 경우 상기 이상 트래픽을 자동 차단시키도록 지시하는 트래픽 분석 서버를 포함하고, 상기 트래픽 분석 서버가 차단 대상을 확인할 때 차단 가능 또는 불가능한 장비에 대한 정보, 상기 장애 정보가 한계 범위를 넘는 경우 차단하는 정보에 대하여 기록한 정책 테이블을 기준으로 비교 분석하여 차단 대상에 포함되는지를 확인하는 것을 특징으로 한다.

본 발명의 제2 측면에 따른 이상 트래픽 자동 차단 방법은, 이상 트래픽의 공격을 분석하여 차단하는 트래픽 분석 서버에서의 자동 차단 방법으로서, (a) 인터넷에 접속한 사용자 단말에서 발생하는 트래픽으로부터 이상 트래픽이 발생됨을 수신하는 단계; (b) 상기 이상 트래픽이 발생한 목적지 IP 주소의 장비 및 상기 장비의 장애 정보를 IP정보 관리 서버 및 품질 관리 서버로부터 각각 확인하는 단계; (c) 확인한 장비 및 상기 장비의 장애 정보가 기 설정한 차단 대상에 각각 포함되는지 여부를 판단하는 단계; 및 (d) 판단 결과 차단 대상인 경우 블랙홀 라우터로 자동 차단을 지시하는 단계를 포함하고, 상기 (c)단계에서 차단 대상에 포함되는지 여부를 확인할 때, 차단 가능 또는 불가능한 장비에 대한 정보, 상기 장애 정보가 한계 범위를 넘는 경우 차단하는 정보에 대하여 기록한 정책 테이블을 기준으로 상기 확인한 장비 및 상기 장비의 장애 정보를 비교 분석하는 것을 특징으로 한다.

본 발명에 따르면, 디도스 공격과 같은 이상 트래픽을 장애 정보와 연관하여 이상 트래픽이 실제 망에 영향을 주어 네트워크 장애가 발생하는 경우 자동 차단을 수행함으로써 무조건 차단이 아니라 정책에 따른 선별적 차단으로 효율적인 효과가 있다.

또한, 운영자는 서비스 환경에 맞게 시스템의 차단 정책을 조정 관리할 수 있으므로 시스템의 안정적인 운영을 수행할 수 있다.

특히, 망 장비, 기업 고객, 서비스를 위한 관련 서버 등 차단되어서는 안 되는 IP 장비들을 무분별한 차단으로부터 보호하고, 서비스에 영향이 없는 소규모의 해킹 공격은 일반 가입자 고객이라도 정상적인 사용을 보장하기 위해 차단을 수행하지 않도록 할 수 있다.

도 1은 본 발명에 따른 이상 트래픽 자동 차단 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 이상 트래픽 자동 차단 방법을 설명하기 위한 순서도이다.
도 3 내지 도 5는 도 2의 방법에서 단계별로 구체적인 예를 보인 도면이다.

이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다. 본 발명의 상세한 설명에 앞서, 동일한 구성요소에 대해서는 다른 도면 상에 표시되더라도 가능한 동일한 부호로 표시하며, 공지된 구성에 대해서는 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 구체적인 설명은 생략하기로 함에 유의한다.

본 발명은 디도스 공격과 같이 이상 트래픽에 의한 장애를 방어하기 위해 서비스를 제공하는 서버 시스템을 보호하는 방식을 적용한다.

본 발명에서 언급하는 좀비 단말은 인터넷을 사용하는 컴퓨터 단말에 고의적으로 디도스 바이러스가 설치되어 감염 당한 단말을 의미한다.

공격 대상 장치는 좀비 단말이 이상 트래픽을 송출하여 공격하기 위한 대상으로, 망 장비, 기업 고객 및 일반 고객으로 구분한 가입자, 기타 서비스를 제공하는 핵심 장비 등을 포함할 수 있다. 이러한 공격 대상 장치는 고유의 IP 주소를 소유하고 있으며 서비스 정책과 연동하여 트래픽 차단이 가능하고 불가능한 대상자로 구분된다.

상기의 구성 요소를 참조하여 본 발명의 구성을 구체적으로 살펴본다.

도 1은 본 발명에 따른 이상 트래픽 자동 차단 시스템의 구성을 나타낸 도면이다.

본 발명에 따른 이상 트래픽 자동 차단 시스템(100)은 트래픽 분석 서버(110), 트래픽 감지 서버(120), IP 정보 관리 서버(130), 품질 관리 서버(140), 블랙홀 라우터(150), 메시지 발송 서버(160), 사용자 단말(170)을 포함한다.

사용자 단말(170)은 광대역 망에 연결되어 인터넷을 사용하는 모든 단말을 포함하며, 이중 공격자 단말에 의해 디도스 바이러스에 감염된 사용자 단말(170)을 좀비 단말이라고 한다. 좀비 단말은 디도스 바이러스를 통해 받은 IP 주소를 이용하여 공격 대상 장치에 이상 트래픽을 보냄으로써 디도스 공격을 하게 된다.

디도스 공격 방식은 ICMP(Internet Control Message Protocol) 스머프(smurf) 공격, IP 스푸핑(spoofing), TCP(Transmission Control Protocol) SYN 플루딩(flooding) HTTP 커넥션 플루딩 등 다양하다. 각 디도스 공격 방식에 따라 좀비 단말들은 공격 대상 장치로 하여금 응답을 하도록 하는 요청 패킷을 전송한다. 통상적으로 동일한 출발지 IP 주소로부터 동일한 목적지 IP 주소로 1초에 20회 이상의 요청 패킷이 전송되면 디도스 공격으로 판단한다.

이처럼 1초에 20회 이상의 방대한 패킷이 전송되면 트래픽 감지 서버(120)에서 이상 트래픽이 발생됨을 감지하게 된다.

또한 트래픽 감지 서버(120)는 이상 트래픽의 발생이 감지되면 발생 경보를 출력하여 알릴 수 있다.

IP 정보 관리 서버(130)는 IP 주소와 장비에 대한 정보를 서로 매칭시켜 관리한다. 따라서, IP 정보 관리 서버(130)는 트래픽 분석 서버(110)의 요청에 따라 트래픽 감지 장치를 통해 감지한 이상 트래픽의 목적지 IP 주소로부터 해당 장비를 검출한다.

품질 관리 서버(140)는 각 IP 주소에 대하여 네트워크 트래픽의 장애 여부를 관리한다. 이러한 품질 관리 서버(140)를 통해 IP 정보 관리 서버(130)에서 검출한 장비에 대하여 장애 정보를 확인할 수 있다.

블랙홀(black hole) 라우터(150)는 IP주소로 전송되는 이상 트래픽의 송출을 차단한다.

메시지 발송 서버(160)는 이상 트래픽에 관련된 알림 메시지를 관련자에게 발송하는 역할을 한다. 메시지 발송은 단문 또는 장문, 멀티미디어 데이터를 포함한 문자 전송(예컨대, SMS 전송, MMS 전송) 또는 이메일(e-mail) 전송 등으로 구분할 수 있다.

트래픽 분석 서버(110)는 트래픽 감지 서버(120)로부터 이상 트래픽의 발생을 수신하면 IP 정보 관리 서버(130) 및 품질 관리 서버(140)로부터 이상 트래픽의 목적지 IP 주소 및 IP에 대한 장애 정보를 획득한다. 그리고, 트래픽 분석 서버(110)는 획득한 IP 주소 및 장애 정보가 차단 대상에 포함되는지를 판단하여 차단 대상이면 블랙홀 라우터(150)를 이용하여 경로 조정을 통해 자동 차단을 수행한다.

이를 위해 트래픽 분석 서버(110)는 IP 주소 및 IP 주소에 대한 트래픽 장애 여부에 따라 차단 대상을 구별하는 정책 테이블을 저장하고, 저장한 정책 테이블을 기준으로 차단 대상을 판단한다.

예를 들면, 255.188.188.111 IP 주소를 갖는 장비는 핵심 장비로서 차단이 불가능한 장비로 구분하고, 255.188.188.110 IP 주소는 차단 가능한 장비로 구분할 수 있다. 또는 네트워크 대역폭이 80% 이상으로 폭주 상태가 되거나 핑(ping) 손실 상태가 되면 네트워크 장애가 발생할 위험한 상태로 차단 대상으로 구분할 수 있다.

이렇게 구분한 정책 테이블을 이용하여, 트래픽 분석 서버(110)는 핵심 장비 즉, 차단 불가능한 장비에 대하여 자동 차단을 수행하지 않거나, 이상 트래픽이 발생하더라도 네트워크 장애를 일으킬 정도의 상태가 아니면 바로 트래픽 차단을 수행하지 않도록 할 수 있다. 따라서, 트래픽 분석 서버(110)는 이상 트래픽이 발생하더라고 장애 정보와 IP 주소에 따라 선별적으로 트래픽을 차단함으로써 무분별한 차단을 방지할 수 있다.

핵심 장비는 망 장비, 기업 고객 장비, 서비스용 서버 등을 포함하며, 일반 장비는 FTTX, HFC 등 일반 가입자의 장비 등으로 구분할 수 있다. 또한, 일반 가입자의 장비 중에서도 서비스에 영향이 없는 소규모 디도스 공격의 경우 차단을 수행하지 않고 정상적인 사용을 보장하도록 하는 등의 특별 정책을 적용할 수 있다.

또한, 트래픽 분석 서버(110)는 자동 차단을 수행한 후 차단한 지속 시간이 일정 시간을 경과하였는지를 체크하여 일정 시간에 도달하면 이상 트래픽의 공격 지속 여부를 재확인하여 트래픽 차단을 자동 해제할 수 있다.

또한, 트래픽 분석 서버(110)는 트래픽 감지 서버(120)로부터 수신한 이상 트래픽의 발생시, 또는 이상 트래픽의 자동 차단 및 해제시 메시지 발송 서버(160)에 상태 알림 서비스를 요청하여 관련자에게 알림 메시지를 전달할 수 있다.

이하, 이상의 시스템을 적용하여 이상 트래픽을 지동 차단하는 방법에 대하여 설명한다.

도 2는 본 발명에 따른 이상 트래픽 자동 차단 방법을 설명하기 위한 순서도이고, 도 3 내지 도 5는 도 2의 방법에서 단계별로 구체적인 예를 보인 도면이다.

먼저, 사용자 단말(170)이 인터넷을 사용하면 트래픽 감지 서버(120)가 사용자 단말(170)에서 소정 IP 주소로 전송되는 트래픽을 실시간 수집하여 이상 트래픽의 발생 여부를 감지한다.

그러면, 트래픽 분석 서버(110)는 도 3에 도시한 것처럼 트래픽 감지 서버(120)로부터 수신한 시스템 로그(syslog) 데이터를 통해 이상 트래픽의 발생을 수신 확인한다(S100).

이후, 트래픽 분석 서버(110)는 이상 트래픽으로부터 목적지 IP주소를 검출하고, IP 정보 관리 서버(130)로부터 검출한 목적지 IP 주소의 대상 장비를 확인한다(S110). 도 4는 IP 정보 관리 서버(130)에 공격 대상인 IP 주소를 조회한 결과 IP 주소를 수용하는 대상 장비를 검출한 예를 보여주고 있다.

이후, 트래픽 분석 서버(110)는 이상 트래픽의 목적지 IP 주소에 대하여 트렁크 폭주 또는 핑(ping) 손실 상태 여부를 품질 관리 서버(140)에 조회하여 도 5에 도시한 장애 정보 데이터를 통해 네트워크 장애 여부를 확인한다(S120).

네트워크 장애가 없으면 현 상태를 그대로 유지하고(S130), 장애가 있으면 상기 과정에서 확인한 목적지 IP 주소와 IP 주소에 대한 장애 정보를 정책 테이블과 비교 분석하여 차단 대상인지를 판단한다(S140, S150).

정책 테이블은 IP 주소에 따라 차단 가능한 장비, 또는 차단 불가능한 장비로 구분되어 있으며, 또는 이상 트래픽으로 인해 IP 주소가 트래픽 폭주 상태가 되거나 핑 손실이 발생하여 네트워크 장애를 일으킬 한계 범위에 도달하면 차단을 수행하고, 또는 일반 가입자의 IP 주소라 하더라도 서비스에 영향이 없는 소규모의 공격 트래픽이 발생한 경우 정상적인 사용을 보장하기 위해 차단을 수행하지 않는 등 차단 대상에 대한 정보가 저장되어 있다.

판단 결과, 트래픽 분석 서버(110)는 목적지 IP 주소와 IP 주소에 대한 장애 정보가 차단 대상에 포함되지 않으면 메시지 발송 서버(160)에 요청하여 관련자에게 알림 메시지를 전송한다(S160). 이 경우, 알림 메시지는 IP 차단 대상이 아니지만 이상 트래픽이 발생이 됨을 알릴 수 있다.

판단 결과 차단 대상이면, 트래픽 분석 서버(110)는 블랙홀 라우터(150)를 이용하여 전송 경로를 변경함으로써 이상 트래픽의 송출을 자동 차단한다(S170).

그리고, 트래픽 분석 서버(110)는 자동 차단한 알림 메시지를 메시지 발송 서버(160)에 요청하여 알린다(S180).

이후, 트래픽 분석 서버(110)는 차단한 지속 시간이 일정 시간을 경과하였는지 체크한다(S190).

일정 시간이 경과하지 않았으면 차단 상태를 유지하고, 일정 시간이 경과하였으면 트래픽의 공격이 지속적인지 확인한다(S200).

트래픽 분석 서버(110)에서 확인한 결과 트래픽의 공격이 지속적이면 차단 상태를 유지하고, 트래픽의 공격이 중지된 상태이면 차단 상태를 자동 해체한다(S210).

상기의 과정을 통해 본 발명은 디도스 공격과 같은 이상 트래픽을 감지하고 이상 트래픽의 IP 정보 및 장애 정보를 획득하여, 이상 트래픽이 발생하면 바로 자동 차단을 수행하는 것이 아니라 장애 정보에 따라 예를 들면 실제 망에 영향을 주어 네트워크 장애가 발생하는 경우에 자동 차단을 수행한다.

이러한 방법에 의해 망 장비, 기업 고객, 서비스용 서버 등 차단되어서는 안 되는 IP 장비들을 무분별한 차단으로부터 보호하고, 서비스에 영향이 없는 소규모의 해킹 공격은 일반 가입자 고객이라도 정상적인 사용을 보장하기 위해 차단을 수행하지 않도록 할 수 있다.

이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시 예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.

100: 자동 차단 시스템 110: 트래픽 분석 서버
120: 트래픽 감지 서버 130: IP 정보 관리 서버
140: 품질 관리 서버 150: 블랙홀 라우터
160: 메시지 발송 서버 170: 사용자 단말

Claims (10)

1. 인터넷에 접속한 사용자 단말로부터 이상 트래픽의 발생 여부를 감지하는 트래픽 감지 서버;
   망 장비에 대한 IP 주소를 관리하는 IP 정보 관리 서버;
   상기 IP주소를 소유한 장비의 트래픽 폭주나 핑 손실(ping loss)과 같은 실제 장애 상황을 확인하여 각 장비의 장애 정보를 관리하는 품질 관리 서버; 및
   상기 트래픽 감지 서버를 통해 이상 트래픽이 감지되면 상기 IP 정보 관리 서버 및 상기 품질 관리 서버로부터 이상 트래픽이 발생한 목적지 IP 주소의 장비 및 상기 장비에 대한 장애 정보를 각각 획득하고, 획득한 장비 및 상기 장비의 장애 정보가 기 설정한 차단 대상에 각각 포함되는지를 확인하여 차단 대상에 포함되는 경우 상기 이상 트래픽을 자동 차단시키도록 지시하는 트래픽 분석 서버를 포함하고,
   상기 트래픽 분석 서버가 차단 대상을 확인할 때 차단 가능 또는 불가능한 장비에 대한 정보, 상기 장애 정보가 한계 범위를 넘는 경우 차단하는 정보에 대하여 기록한 정책 테이블을 기준으로 비교 분석하여 차단 대상에 포함되는지를 확인하는 것을 특징으로 하는 이상 트래픽 자동 차단 시스템.
2. 제 1 항에 있어서,
   상기 트래픽 분석 서버의 지시에 따라 상기 목적지 IP주소로 전송되는 이상 트래픽의 송출을 차단하는 블랙홀(black hole) 라우터를 더 포함하는 것을 특징으로 하는 이상 트래픽 자동 차단 시스템.
3. 삭제
4. 제 2 항에 있어서,
   상기 트래픽 분석 서버는
   상기 자동 차단을 지시한 후 일정 시간이 경과하면 이상 트래픽의 공격 지속 여부에 따라 상기 차단을 자동 해제시키도록 상기 블랙홀 라우터에 지시하는 것을 특징으로 하는 이상 트래픽 자동 차단 시스템.
5. 제 1 항에 있어서,
   상기 트래픽 분석 서버를 통해 검출한 이상 트래픽의 처리 상태를 알리기 위한 메시지 발송 서버를 더 포함하고,
   상기 트래픽 분석 서버가 상기 이상 트래픽을 자동 차단 및 해제한 경우 상기 메시지 발송 서버로 상태 알림을 요청하는 것을 특징으로 하는 이상 트래픽 자동 차단 시스템.
6. 이상 트래픽의 공격을 분석하여 차단하는 트래픽 분석 서버에서의 자동 차단 방법으로서,
   (a) 인터넷에 접속한 사용자 단말에서 발생하는 트래픽으로부터 이상 트래픽이 발생됨을 수신하는 단계;
   (b) 상기 이상 트래픽이 발생한 목적지 IP 주소의 장비 및 상기 장비의 장애 정보를 IP정보 관리 서버 및 품질 관리 서버로부터 각각 확인하는 단계;
   (c) 확인한 장비 및 상기 장비의 장애 정보가 기 설정한 차단 대상에 각각 포함되는지 여부를 판단하는 단계; 및
   (d) 판단 결과 차단 대상인 경우 블랙홀 라우터로 자동 차단을 지시하는 단계를 포함하고,
   상기 (c)단계에서 차단 대상에 포함되는지 여부를 확인할 때,
   차단 가능 또는 불가능한 장비에 대한 정보, 상기 장애 정보가 한계 범위를 넘는 경우 차단하는 정보에 대하여 기록한 정책 테이블을 기준으로 상기 확인한 장비 및 상기 장비의 장애 정보를 비교 분석하는 것을 특징으로 하는 이상 트래픽 자동 차단 방법.
7. 제 6 항에 있어서,
   상기 (b) 단계에서 상기 장비의 장애 정보를 확인하는 단계는, 상기 장비의 목적지 IP 주소에 대한 트래픽의 트렁크 폭주 또는 핑(ping) 손실 상태 여부를 확인하는 것을 특징으로 하는 이상 트래픽 자동 차단 방법.
8. 삭제
9. 제 6 항에 있어서,
   (e) 상기 자동 차단을 수행한 후 차단한 지속 시간을 체크하는 단계;
   (f) 상기 차단한 지속 시간이 일정 시간에 도달하면 이상 트래픽의 공격 지속 여부에 따라 상기 차단을 자동 해제시키도록 상기 블랙홀 라우터에 지시하는 단계
   를 더 포함하는 것을 특징으로 하는 이상 트래픽 자동 차단 방법.
10. 제 6 항에 있어서,
    상기 트래픽 분석 서버는 상기 이상 트래픽의 발생시, 이상 트래픽의 자동 차단 및 해제에 대한 알림 메시지를 메시지 발송 서버와 연계하여 전송하는 것을 특징으로 하는 이상 트래픽 자동 차단 방법.

Images