KR101248601B1 - Security system for distributed denial of service and method for finding zombie terminal - Google Patents

Security system for distributed denial of service and method for finding zombie terminal Download PDF

Info

Publication number
KR101248601B1
KR101248601B1 KR1020110046396A KR20110046396A KR101248601B1 KR 101248601 B1 KR101248601 B1 KR 101248601B1 KR 1020110046396 A KR1020110046396 A KR 1020110046396A KR 20110046396 A KR20110046396 A KR 20110046396A KR 101248601 B1 KR101248601 B1 KR 101248601B1
Authority
KR
South Korea
Prior art keywords
traffic
terminal
access point
zombie
vector
Prior art date
Application number
KR1020110046396A
Other languages
Korean (ko)
Other versions
KR20120128445A (en
Inventor
류연식
Original Assignee
류연식
(주) 토리랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 류연식, (주) 토리랩 filed Critical 류연식
Priority to KR1020110046396A priority Critical patent/KR101248601B1/en
Publication of KR20120128445A publication Critical patent/KR20120128445A/en
Application granted granted Critical
Publication of KR101248601B1 publication Critical patent/KR101248601B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

본 발명은 라우터 및 스위치 단에서의 트래픽 초과를 방지할 수 있는 분산서비스거부 공격에 대한 보안 장치를 제공하고, 액세스 포인트에 감염된 좀비 단말기에 대한 정보를 제공하여, 좀비 단말기의 트래픽이 네트워크 상에 유입되는 것을 원천적으로 차단할 수 있다.
본 발명에 따른 분산서비스공격 보안 장치는, 액세스 포인트와 및 스위치와 연결되고, 상기 액세스 포인트 수 이상의 통신경로를 제공하는 연결 포트; 서로 다른 상기 액세스 포인트로부터 유입된 유입트래픽을 취합하는 트래픽 취합부; 상기 유입트래픽 중 좀비 단말기로부터 유입된 데이터를 필터링하는 트래픽 제어부; 상기 트래픽 제어부로부터 필터링된 트래픽을 분석하여, 상기 좀비 단말기를 탐지하고, 탐지한 상기좀비 단말기 정보를 상기 트래픽 제어부로 제공하는 트래픽 분석부; 및 상기 필터링된 트래픽을 유입된 상기 액세스 포인트 별로 서로 다른 상기 통신경로를 이용하여 상기 스위치로 제공하는 트래픽 분산부를 포함한다.The present invention provides a security device against a distributed denial of service attack that can prevent traffic exceeding at the router and switch, and provides information on the zombie terminal infected with the access point, so that traffic of the zombie terminal flows into the network You can block it from being original.
The distributed service attack security apparatus according to the present invention comprises: a connection port connected to an access point and a switch and providing a communication path equal to or greater than the number of access points; A traffic collector configured to collect inflow traffic from the different access points; A traffic controller for filtering data introduced from a zombie terminal among the inflow traffic; A traffic analyzer configured to analyze the filtered traffic from the traffic controller, detect the zombie terminal, and provide the detected zombie terminal information to the traffic controller; And a traffic distributing unit for providing the filtered traffic to the switch using the different communication paths for each of the inflowed access points.

Description

분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법{SECURITY SYSTEM FOR DISTRIBUTED DENIAL OF SERVICE AND METHOD FOR FINDING ZOMBIE TERMINAL}Distributed service denial attack security device and detection method of zombie terminal {SECURITY SYSTEM FOR DISTRIBUTED DENIAL OF SERVICE AND METHOD FOR FINDING ZOMBIE TERMINAL}

본 발명은 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법에 관한 것으로서, 상세하게는 분산서비스거부 공격용 좀비 단말기를 탐지하고, 좀비 단말기로부터 유입되는 데이터를 원천적으로 차단하여 분산서비스거부 공격을 예방하기 위한 장치 및 방법에 대한 것이다.
The present invention relates to a distributed service denial attack security device and a method for detecting a zombie terminal, and specifically, to detect a distributed service denial attack zombie terminal and to prevent a distributed service denial attack by blocking the data flowing from the zombie terminal at its source. An apparatus and method for the same.

분산서비스거부(DDoS : Distributed Denial of Service) 공격은 공격자가 일반 사용자들의 PC에 악성 코드를 심어 감염시킨 후, 감염된 PC를 이용하여 특정 사이트나 서버에 대량의 트래픽을 전송하여 자원을 고갈시키거나 네트워크 대역폭을 점유함으로서 서버나 네트워크를 마비시키는 기술이다.Distributed Denial of Service (DDoS) attacks are when an attacker infects a PC with malicious code and infects it, then uses the infected PC to send a large amount of traffic to a specific site or server to exhaust resources or network. By occupying bandwidth, it is a technology that paralyzes servers or networks.

분산서비스거부 공격은 인터넷상에서 발생하는 공격 유형 중에서 가장 심각하고 그 발생 횟수도 잦다. 최근에는 서비스나 네트워크 장애를 유발하는 공격방법에서부터 인터넷서비스 제공업체의 라우터나 DNS(Domain Name Serve) 서버를 직접 공격하는 등 인터넷을 완전히 마비시키는 성향으로 발전하는 추세이다.Distributed denial-of-service attacks are the most serious of the types of attacks on the Internet and are frequent. In recent years, the trend of developing a service or network failure from the attack method to attack the Internet service provider's router or DNS (Domain Name Server) server directly to the trend of completely paralyzing the trend.

현재 분산서비스거부 공격에 대응하기 위한 방법으로, 침입방지시스템(IPS : intrusion Prevention System), 침입탐지시스템(IDS : intrusion Detection System) 또는 고가의 DDoS 전용 보안 장비 등을 이용하여 방어를 수행하고 있지만, 기존의 방어 시스템은 스위치나 라우터 뒷 단에서 좀비 단말기의 유입트래픽을 탐지하고 차단하는 것이어서, 스위치나 라우터 또는 액세스 포인트에 트래픽이 초과되는 현상이 발생하는 것을 예방할 수 없다는 문제점이 있다.As a way to counter distributed service denial attacks, the company uses the intrusion prevention system (IPS), the intrusion detection system (IDS), or expensive DDoS-specific security equipment to protect itself. The existing defense system detects and blocks inflow traffic of zombie terminals at the back of the switch or router, and there is a problem in that it is impossible to prevent the traffic from exceeding the switch or router or the access point.

결과적으로, 분산서비스거부 공격으로 인한 각 통신 단계에서의 영향을 최소화하기 위해서는 좀비 단단말기부터 유입되는 트래픽을 차단하는 것이 가장 근본적인 것이라 할 것이며, 이와 같은 장치 및 방법에 대한 연구 개발의 필요성도 점차 증대하고 있는 실정이다.
As a result, blocking traffic from zombie terminals is the most fundamental to minimize the impact at each communication stage due to distributed denial of service attacks, and the necessity of research and development on such devices and methods is gradually increasing. I'm doing it.

본 발명은 라우터 및 스위치 단에서의 트래픽 초과를 방지할 수 있는 분산서비스거부 공격에 대한 보안 장치를 제공하는 것에 목적이 있다.It is an object of the present invention to provide a security apparatus against a distributed service denial attack that can prevent traffic overflow at router and switch stages.

또한, 액세스 포인트에 감염된 좀비 단말기에 대한 정보를 제공하여, 좀비 단말기의 트래픽이 네트워크 상에 유입되는 것을 원천적으로 차단할 수 있는 보안 장치를 제공하는 것에 다른 목적이 있다.
It is another object of the present invention to provide a security device capable of providing a source of information on a zombie terminal infected with an access point, thereby preventing the traffic of the zombie terminal from flowing on the network.

본 발명에 따른 분산서비스공격 보안 장치는, 액세스 포인트와 스위치 사이에 위치하여, 액세스 포인트로부터 유입된 트래픽을 대상으로 좀비 단말기를 탐지하고, 탐지된 좀비 단말기 정보를 상기 액세스 포인트로 전송하여 상기 액세스 포인트에서 좀비 단말기의 데이터 유입을 차단한다. The distributed service attack security apparatus according to the present invention is located between an access point and a switch, detects a zombie terminal for traffic flowing from an access point, and transmits detected zombie terminal information to the access point to the access point. Block the influx of data from the zombie terminal.

구체적으로, 분산서비스공격 보안 장치는, 액세스 포인트와 및 스위치와 연결되고, 상기 액세스 포인트 수 이상의 통신경로를 제공하는 연결 포트; 서로 다른 상기 액세스 포인트로부터 유입된 유입트래픽을 취합하는 트래픽 취합부; 상기 유입트래픽 중 좀비 단말기로부터 유입된 데이터를 필터링하는 트래픽 제어부; 상기 트래픽 제어부로부터 필터링된 트래픽을 분석하여, 상기 좀비 단말기를 탐지하고, 탐지한 상기좀비 단말기 정보를 상기 트래픽 제어부로 제공하는 트래픽 분석부; 및 상기 필터링된 트래픽을 유입된 상기 액세스 포인트 별로 서로 다른 상기 통신경로를 이용하여 상기 스위치로 제공하는 트래픽 분산부를 포함한다.In more detail, the distributed service attack security apparatus includes a connection port connected to an access point and a switch and providing a communication path of the number of access points or more; A traffic collector configured to collect inflow traffic from the different access points; A traffic controller for filtering data introduced from a zombie terminal among the inflow traffic; A traffic analyzer configured to analyze the filtered traffic from the traffic controller, detect the zombie terminal, and provide the detected zombie terminal information to the traffic controller; And a traffic distributing unit for providing the filtered traffic to the switch using the different communication paths for each of the inflowed access points.

바람직하게는, 상기 좀비 단말기 정보를 상기 좀비 단말기가 연결된 상기 액세스 포인트로 제공하여, 상기 액세스 포인트에서 상기 좀비 단말기의 데이터를 차단할 수 있도록 하는 AP 제어부를 더 포함할 수 있다. Preferably, the apparatus may further include an AP controller to provide the zombie terminal information to the access point to which the zombie terminal is connected, so that data of the zombie terminal may be blocked at the access point.

본 발명에 따른 좀비 단말기 탐지 방법은, 이상 트래픽 탐지부가 액세스 포인트로부터 유입된 트래픽을 대상으로 좀비 단말기로부터 전송된 것으로 의심되는 데이터를 탐지하는 이상 트래픽 탐지 단계;Zombie terminal detection method according to the invention, the abnormal traffic detection step for detecting the traffic suspected to be transmitted from the zombie terminal to the traffic introduced from the access point;

탐지벡터 생성부가 상기 이상 트래픽으로부터 유사도 벡터를 추출하는 단계; 벡터 맵 관리부가 상기 유사도 벡터를 기반으로 상기 이상 트래픽이 유입된 단말기의 패킷 유입 횟수를 카운팅하는 단계; 및A detection vector generator extracting a similarity vector from the abnormal traffic; Counting, by a vector map manager, the number of packet inflows of the terminal into which the abnormal traffic flows based on the similarity vector; And

좀비 단말기 탐지부가 상기 유입 횟수가 미리 정해진 횟수 이상인지 판단하여, 상기 좀비 단말기를 탐지하는 좀비 단말기 탐지 단계를 포함한다.
A zombie terminal detection unit includes a zombie terminal detection step of detecting whether the inflow number is a predetermined number or more, and detects the zombie terminal.

상기 구성에 따른 본 발명에 의하면, 좀비 단말기에서 네트워크로 유입되는 트래픽을 원천적으로 차단하여, 라우터 및 스위치 단에서 트래픽 초과 현상이 발생하는 것을 방지할 수 있는 효과가 있다.According to the present invention according to the above configuration, by blocking the traffic flowing into the network from the zombie terminal at the source, there is an effect that can prevent the traffic excess phenomenon in the router and switch stage.

또한, 어드레스가 투명한 분산서비스거부 공격 보안 장치를 제공하여, 액세스 포인트와 스위치 사이의 트래픽 변화 없이 분산서비스 거부 공격을 예방할 수 있는 장치를 제공할 수 있는 효과가 있다.In addition, it is possible to provide a device capable of preventing a distributed denial of service attack without changing traffic between the access point and the switch by providing a distributed denial of service attack security device having an transparent address.

나아가, 액세스 포인트에서 좀비 단말기의 정보를 관리함으로써, 좀비 단말기에서 유입되는 트래픽을 원천적으로 차단할 수 있는 효과가 있다.
Furthermore, by managing the information of the zombie terminal in the access point, there is an effect that can block the traffic flowing from the zombie terminal at the source.

도 1은 본 발명의 일실시예에 따른, 분산서비스거부 공격 보안 장치를 포함하는 네트워크 구성도,
도 2는 본 발명의 일실시예에 따른 분산서비스거부 공격 보안 장치의 블록도,
도 3은 트래픽 분석부의 블럭도,
도 4a 및 도 4b는 테이블을 이용한 벡터 맵의 예시도,
도 5a 및 도 5b는 입체 그래프를 활용한 벡터 맵의 예시도, 및
도 6은 본 발명의 일실시예에 따른 좀비 단말기 탐지 방법의 흐름도이다.1 is a block diagram of a network including a distributed service denial attack security device according to an embodiment of the present invention;
2 is a block diagram of a distributed service denial attack security device according to an embodiment of the present invention;
3 is a block diagram of a traffic analysis unit;
4A and 4B are exemplary diagrams of a vector map using a table;
5A and 5B are exemplary views of vector maps utilizing stereoscopic graphs, and
6 is a flowchart illustrating a zombie terminal detection method according to an embodiment of the present invention.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Prior to this, terms or words used in the specification and claims should not be construed as having a conventional or dictionary meaning, and the inventors should properly explain the concept of terms in order to best explain their own invention. Based on the principle that can be defined, it should be interpreted as meaning and concept corresponding to the technical idea of the present invention. Therefore, the embodiments described in this specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention and do not represent all the technical ideas of the present invention. Therefore, It is to be understood that equivalents and modifications are possible.

도 1은 본 발명의 일실시예에 따른, 분산서비스거부 공격 보안 장치를 포함하는 네트워크 구성도이다. 1 is a block diagram illustrating a network including a distributed service denial attack security device according to an embodiment of the present invention.

본 발명에 따른 분산서비스거부 공격 보안 장치(100)는 액세스 포인트(20, AP : Access Point)와 스위치(30) 사이에 위치한다. 분산서비스거부 공격 보안 장치(100)는 다수의 액세스 포인트(20)로부터 유입된 트래픽을 대상으로, 각각의 액세스 포인트(20)와 연결된 단말기(10)의 좀비 단말기 감염 여부를 판단하고, 좀비 단말기로부터 유입된 트래픽을 차단하여 스위치(30)에서 트래픽 과부하가 일어나지 않도록 한다. 나아가, 탐지된 좀비 단말기의 IP 주소 또는 MAC 주소를 액세스 포인트(20) 단으로 전송함으로써, 액세스 포인트(20) 단에서 좀비 단말기로의 유입 트래픽을 차단할 수 있도록 하여, 액세스 포인트(20)에서 트래픽 과부하가 일어나지 않도록 한다. 액세스 포인트(20)로 좀비 단말기의 IP 주소 또는 MAC 주소 등의 좀비 단말기 정보를 전송하기 위해, 분산서비스거부 공격 보안 장치(100)는 AP 제어부를 포함할 수 있다. AP 제어부는 도 2에서 상세히 설명하도록 한다.The distributed denial of service attack security apparatus 100 according to the present invention is located between an access point 20 (AP) and a switch 30. The distributed denial of service attack security apparatus 100 determines whether the terminal 10 connected to each access point 20 is infected by the zombie terminal, targeting the traffic introduced from the plurality of access points 20, and from the zombie terminal. Blocking the incoming traffic to prevent traffic overload in the switch (30). Furthermore, by transmitting the detected IP address or MAC address of the zombie terminal to the access point 20, it is possible to block the incoming traffic from the access point 20 to the zombie terminal, thereby overloading the traffic at the access point 20 Should not happen. In order to transmit the zombie terminal information such as the IP address or MAC address of the zombie terminal to the access point 20, the distributed service denial attack security device 100 may include an AP controller. The AP controller will be described in detail with reference to FIG. 2.

결과적으로, 본 발명에 따른 분산서비스거부 공격 보안 장치(100)를 이용하게 되면, 액세스 포인트(20) 단에서 좀비 단말기로부터 유입되는 데이터 패킷을 차단할 수 있어, 기존과 달리, 액세스 포인트(20)와 스위치(30)에서 트래픽 과부하 현상이 발생하지 않아, 분산서비스거부 공격을 근본적으로 차단할 수 있는 통신환경을 제공할 수 있다.As a result, when the distributed denial of service attack security device 100 according to the present invention is used, the data packet flowing from the zombie terminal at the access point 20 can be blocked, unlike the existing, the access point 20 Since the traffic overload phenomenon does not occur in the switch 30, it is possible to provide a communication environment that can fundamentally block a distributed service denial attack.

도 2는 본 발명의 일실시예에 따른 분산서비스거부 공격 보안 장치의 블록도이다. 도 2를 참조하면, 분산서비스거부 공격 보안 장치(100)는 액세스 포인트(20) 및 스위치(30)와 연결되어 다수의 통신경로를 제공하는 연결포트(110), 트래픽 취합부(120), 트래픽 제어부(130), 트래픽 분석부(140) 및 트래픽 분산부(150)를 포함한다. 본 발명에 따른 분산서비스거부 공격 보안 장치(100)는 AP 제어부(160)를 더 포함할 수 있다.2 is a block diagram of a distributed denial of service attack security device according to an embodiment of the present invention. Referring to FIG. 2, the distributed service rejection attack security device 100 is connected to an access point 20 and a switch 30 to provide a plurality of communication paths, a connection port 110, a traffic collector 120, and a traffic. The controller 130, the traffic analyzer 140, and the traffic distributor 150 are included. The distributed service denial attack security apparatus 100 according to the present invention may further include an AP controller 160.

연결포트(110)는 분산서비스거부 공격 보안 장치(100)와 액세스 포인트(20) 및 스위치(30)를 연결한다. 액세스 포인트(20)와 스위치(30)는 연결포트(110)에 의해 연결되어, 분산서비스거부 공격 보안 장치(100)를 거쳐 데이터를 전송하게 된다. 이때, 분산서비스공격 보안 장치(100)의 연결포트(110)는 액세스 포인트(20) 수 이상의 통신 경로를 제공한다. 이로써, 다수의 액세스 포인트(20)의 트래픽이 분산서비스 공격 보안 장치(100)로 유입되어 스위치(30)로 유출되는 과정에서, 트래픽이 하나의 통신경로로 집중되지 않고 분산될 수 있도록 하여, 분산서비스 공격 보안 장치(100)와 스위치(30) 사이에서 통신 과부하 문제를 해결할 수 있다.The connection port 110 connects the distributed service denial attack security device 100 with the access point 20 and the switch 30. The access point 20 and the switch 30 are connected by the connection port 110 to transmit data through the distributed service denial attack security device 100. In this case, the connection port 110 of the distributed service attack security device 100 provides a communication path of the number of access points 20 or more. As a result, while traffic of the plurality of access points 20 flows into the distributed service attack security device 100 and flows out to the switch 30, the traffic may be distributed without being concentrated in one communication path, The communication overload problem may be solved between the service attack security device 100 and the switch 30.

즉, 스위치(30)와 분산서비스 공격 보안 장치(100) 사이에 액세스 포인트(20)와 분산서비스 공격 보안 장치(100) 사이의 케이블 수 만큼의 케이블이 인입되어, 어느 하나의 통신 경로로 트래픽이 집중되는 것을 방지할 수 있다.That is, as many cables as the number of cables between the access point 20 and the distributed service attack security device 100 are inserted between the switch 30 and the distributed service attack security device 100, and traffic is transmitted to any one communication path. It can prevent concentration.

트래픽 취합부(120)는 서로 다른 액세스 포인트(20)로부터 유입되는 유입 트래픽을 취합하여 트래픽 제어부(130)로 제공한다. 트래픽 취합부(120)를 통해 서로 다른 액세스 포인트(20)에서 유입되는 트래픽을, 하나의 트래픽 제어부(130) 및 트래픽 분석부(140)에서 처리할 수 있다. 트래픽 취합부(120)는 복수의 액세스 포인트(20)로부터 유입된 트래픽에 식별 정보를 태깅(Tagging)하여 트래픽 제어부(130)로 제공한다. 식별 정보는 액세스 포인트(20)의 정보, 각각의 액세스 포인트(20)에 연결된 단말기(10)의 정보, 및 각 패킷을 식별하기 위한 정보를 포함할 수 있다.The traffic collecting unit 120 collects the inflowing traffic flowing from different access points 20 and provides it to the traffic control unit 130. The traffic flowing from the different access points 20 through the traffic collector 120 may be processed by one traffic controller 130 and the traffic analyzer 140. The traffic collector 120 tags the identification information to the traffic introduced from the plurality of access points 20 and provides it to the traffic controller 130. The identification information may include information of the access point 20, information of the terminal 10 connected to each access point 20, and information for identifying each packet.

일례로, 분산서비스거부 공격 보안 장치(100)가 복수의 액세스 포인트(20)와 연결된 경우, 각 데이터의 출처(전송된 액세스 포인트(20) 및/또는 단말기(10)의 정보)를 태깅(Tagging)함으로써, 유입 트래픽을 구분하고, 각각의 데이터 패킷에는 순차적으로 식별 번호를 태깅한 뒤 트래픽 제어부(130)로 제공할 수 있다.For example, when the distributed denial of service attack security device 100 is connected to a plurality of access points 20, tagging a source of each data (information of the transmitted access point 20 and / or the terminal 10). By identifying the incoming traffic, each data packet may be sequentially tagged with an identification number and then provided to the traffic controller 130.

트래픽 제어부(130)를 거쳐, 좀비 단말기로부터 유입된 데이터를 걸러낸 필터링된 트래픽은 트래픽 분산부(150)를 통해 스위치(30)로 전송된다. 트래픽 분산부(150)는 트래픽 취합부(120)에서의 태그(Tag) 정보에 기반하여, 서로 다른 액세스 포인트(20)로부터 유입된 데이터는 서로 다른 연결포트(110)로 유출 되도록 트래픽을 분산하는 역할을 수행한다.Through the traffic control unit 130, the filtered traffic filtering the data introduced from the zombie terminal is transmitted to the switch 30 through the traffic distribution unit 150. The traffic distributing unit 150 distributes traffic so that data flowing from different access points 20 is leaked to different connection ports 110 based on tag information in the traffic collecting unit 120. Play a role.

본 실시예에서는, 액세스 포인트(20)로부터 데이터가 전송되는 경우를 예를 들어 설명하고 있지만, 스위치(30)로부터 액세스 포인트(20)로 전송되는 경우에도, 본 발명이 적용될 수 있음을 인지하여야 한다.In this embodiment, the case where data is transmitted from the access point 20 is described as an example, but it should be appreciated that the present invention can be applied even when the data is transmitted from the switch 30 to the access point 20. .

트래픽 제어부(130)는 액세스 포인트(20)로부터 유입된 트래픽 중 좀비 단말기의 데이터를 필터링 하고, 필터링된 트래픽을 트래픽 분석부(140)로 제공한다. 트래픽 제어부(130)는 트래픽 분석부(140)로부터 좀비 단말기에 대한 정보, 예를 들어, 좀비 단말기의 MAC 주소 또는 IP 주소를 수신하여 저장하고, 해당 좀비 단말기로부터 유입된 데이터가 스위치(30)로 전송되는 것을 방지한다. 트래픽 분석부(140)는 좀비 단말기가 탐지되면, 좀비 단말기에 대한 정보를 추출하여 실시간으로 트래픽 제어부(130)로 전송한다.The traffic controller 130 filters data of the zombie terminal among the traffic introduced from the access point 20, and provides the filtered traffic to the traffic analyzer 140. The traffic controller 130 receives and stores information about the zombie terminal from the traffic analyzer 140, for example, a MAC address or an IP address of the zombie terminal, and the data introduced from the zombie terminal is transferred to the switch 30. Prevent transmission. When the traffic analyzer 140 detects the zombie terminal, the traffic analyzer 140 extracts information about the zombie terminal and transmits the information to the traffic controller 130 in real time.

트래픽 분석부(140)는 좀비 단말기의 데이터를 필터링한 트래픽을 분석하여, 감염된 좀비 단말기로부터 유입된 데이터를 탐지하고, 탐지한 좀비 단말기 정보를 트래픽 제어부(130)로 제공한다. 상세하게는, 트래픽 분석부(140)는 필터링된 트래픽에서 이상 트래픽을 탐지하고, 탐지된 이상 트래픽으로부터 탐지벡터를 생성하며, 액세스 포인트(20)와 단말기(10) 별로 유입된 패킷 수를 카운팅함으로써, 좀비 단말기인지를 판단한다.The traffic analysis unit 140 analyzes the traffic filtered by the data of the zombie terminal, detects the data introduced from the infected zombie terminal, and provides the detected zombie terminal information to the traffic controller 130. In detail, the traffic analyzer 140 detects abnormal traffic from the filtered traffic, generates a detection vector from the detected abnormal traffic, and counts the number of packets introduced by the access point 20 and the terminal 10. To determine if it is a zombie terminal.

구체적으로 도 3을 참조하면, 트래픽 분석부(140)는 이상 트래픽 탐지부(142), 탐지벡터 생성부(144), 벡터 맵 관리부(146) 및 좀비 단말기 탐지부(148)를 포함한다. 이상 트래픽 탐지부(142)는 필터링된 트래픽에 포함된 일련의 패킷을 대상으로, 좀비 단말기가 생성한 것으로 의심되는 데이터 패킷을 추출한다. 예시적으로, 다음의 경우를 이상 트래픽으로 간주할 수 있다.
Specifically, referring to FIG. 3, the traffic analyzer 140 includes an abnormal traffic detector 142, a detection vector generator 144, a vector map manager 146, and a zombie terminal detector 148. The abnormal traffic detector 142 extracts a data packet suspected to be generated by the zombie terminal, targeting a series of packets included in the filtered traffic. For example, the following case may be regarded as abnormal traffic.

- 데이터 패킷의 목적지(destination) 어드레스와 소스(source) 어드레스가 동일한 패킷인 경우When the destination address and the source address of the data packet are the same packet

- 하나 또는 다수의 단말기(10)에서 동일한 데이터의 패킷이 유입되는 경우When a packet of the same data flows from one or multiple terminals 10

- TCP 세션을 활성화 하기 위한 3-way handshake의 초기 신호인 SYN 패킷이 하나 또는 다수의 단말기(10)로부터 연속적으로 유입되는 경우SYN packet, which is an initial signal of a 3-way handshake for activating a TCP session, is continuously introduced from one or more terminals 10

- 시퀀스(sequence) 번호가 동일한 패킷이 연속적으로 유입되는 경우
-When packets with the same sequence number flow in succession

이상 트래픽 탐지부(142)는, 트래픽 제어부(130)로부터 유입된 일련의 데이터 패킷을 저장하고, 각 데이터 패킷의 헤더 및 페이로드(Payload)를 비교 분석함으로써, 이상 트래픽을 탐지하게 된다.The abnormal traffic detector 142 detects abnormal traffic by storing a series of data packets introduced from the traffic controller 130 and comparing and analyzing the header and payload of each data packet.

이상 트래픽이 탐지되면, 탐지벡터 생성부(144)는 이상 트래픽으로부터 유사도 벡터를 추출한다. 유사도 벡터는 이상 트래픽이 동일한 목적지(DST)를 갖는지, 동일한 데이터 패킷을 갖고 있는지 등을 확인하여 유입된 이상 트래픽을 종류별로 구분하기 위한 것이다. When abnormal traffic is detected, the detection vector generator 144 extracts a similarity vector from the abnormal traffic. The similarity vector is for classifying the abnormal traffic that is introduced by checking whether the abnormal traffic has the same destination (DST) or the same data packet.

구체적으로, 유사도 벡터는 목적지의 주소, 통신 프로토콜, 시그니처(Signature) 중 적어도 하나를 포함할 수 있다. 목적지의 주소는 유입 패킷의 최종 목적지 IP 어드레스와 목적지 포트(Port) 를 포함하는 개념으로, 유입된 트래픽이 동일한 목적지로 전송되는 패킷인지 파악하기 위함이다. 통신 프로토콜은 HTTP, FTP 등의 응용 계층(application layer)에서의 통신 프로토콜 또는, TCP, UDP 등의 전송 계층(transport layer)에서의 통신 프로토콜을 의미한다. 통신 프로토콜을 이용하여 SYN, TCP, UDP, ICMP 플러딩(Flooding) 등의 트래픽 공격과, HTTP의 Get Reques 패킷의 플러딩, HTTP 헤더의 Cache-Control 값을 변경하여 공격하는 CC 어택 등 각각의 통신 계층에서 발생하는 분산 서비스 거부 공격을 분류하기 위한 것이다. In detail, the similarity vector may include at least one of an address, a communication protocol, and a signature of a destination. The destination address is a concept including the final destination IP address and the destination port of the incoming packet, to determine whether the incoming traffic is a packet transmitted to the same destination. The communication protocol means a communication protocol in an application layer such as HTTP or FTP, or a communication protocol in a transport layer such as TCP or UDP. In each communication layer such as traffic attack such as SYN, TCP, UDP, ICMP flooding using communication protocol, flooding of Get Reques packet of HTTP, CC attack attacking by changing Cache-Control value of HTTP header To classify distributed denial of service attacks that occur.

시그니처는 일련의 데이터 패킷의 페이로드(payload)에 반복적으로 도출되는 특징값이나 가비지 데이터(Garbage data), 일련의 데이터 패킷의 헤더(header)에 반복적으로 도출되는 시퀀스 번호나 Cache-Control 값을 의미한다. 즉, 시그니처는 동일한 단말기(10) 또는 복수의 단말기(10)로부터 유입되는 이상 트래픽에 반복적으로 나타나는 데이터 또는 가비지 데이터를 의미한다.The signature means a feature value or garbage data repeatedly derived in the payload of a series of data packets, or a sequence number or Cache-Control value repeatedly derived in a header of the series of data packets. do. That is, the signature refers to data or garbage data repeatedly appearing in abnormal traffic flowing from the same terminal 10 or the plurality of terminals 10.

유사도 벡터를 이용하여 트래픽 분석부(140)는 분산 서비스 거부 공격의 종류 별로 유입트래픽을 분석할 수 있다.The traffic analyzer 140 may analyze the inflow traffic for each type of distributed denial of service attack using the similarity vector.

벡터 맵 관리부(146)는 유사도 벡터에 기반하여, 소정 시간 동안 유입된 패킷을 카운팅하여 감염된 좀비 단말기를 탐지할 수 있도록 한다. 벡터 맵 관리부(146)의 유입된 패킷의 카운팅 횟수는 소정 시간 간격으로 리셋(reset)되어, 소정 시간 동안의 트래픽 동향을 기준으로 좀비 단말기를 탐색할 수 있도록 한다.The vector map manager 146 may detect an infected zombie terminal by counting packets introduced for a predetermined time based on the similarity vector. The counting count of the incoming packet of the vector map manager 146 is reset at predetermined time intervals, so that the zombie terminal can be searched based on the traffic trend for a predetermined time.

구체적으로, 벡터 맵 관리부(146)는 유사도 벡터 별로 액세스 포인트(20) 및 액세스 포인트(20)에 연결된 단말기(10)의 수대로 구획된 벡터맵을 생성하고, 벡터 맵 상에서 패킷의 유입 횟수를 카운팅한다.Specifically, the vector map manager 146 generates a vector map partitioned by the number of the access point 20 and the terminal 10 connected to the access point 20 for each similarity vector, and counts the number of inflows of packets on the vector map. do.

즉, 벡터 맵 관리부(146)는 유사도 벡터가 신규한 것이면, 벡터맵을 신규 생성하고, 기 경험한 유사도 벡터의 경우에는 기존의 벡터맵을 이용하게 된다. 유사도 벡터 별로 벡터 맵을 생성하는 것은, 패킷별로 목적지의 IP 및 포트(Port) 주소, 통신 프로토콜 또는 시그니처가 동일한 경우 등 일련의 패킷에 일정한 패턴이 반복적으로 수행되는 경우를 분산서비스거부 공격으로 파악하기 위한 것이다.That is, the vector map manager 146 generates a new vector map if the similarity vector is new, and uses the existing vector map in the case of the similarity vector previously experienced. Creating a vector map for each similarity vector is to identify a distributed service denial attack when a certain pattern is repeatedly performed on a series of packets, such as when the destination IP and port address, communication protocol, or signature are the same for each packet. It is for.

이하에서는, 본 발명을 손쉽게 설명하기 위해, 테이블과 그래프를 이용하여 벡터맵을 설명하도록 한다. 도 4a 및 도 4b는 테이블을 이용한 벡터 맵의 예시도이고, 도 5a 및 도 5b는 입체 그래프를 활용한 벡터 맵의 예시도이다. 벡터 맵 관리부(146)는 유사도 벡터 별로, 액세스 포인트(20) 및 액세스 포인트(20)에 연결된 단말기(10)의 수대로 구획된 벡터 맵을 생성하고, 벡터 맵 상에서 유사도 벡터가 같은 패킷의 유입 횟수를 표시하게 된다. Hereinafter, to easily explain the present invention, a vector map will be described using a table and a graph. 4A and 4B are exemplary views of a vector map using a table, and FIGS. 5A and 5B are exemplary views of a vector map using a stereoscopic graph. The vector map manager 146 generates, according to the similarity vectors, the vector map partitioned into the number of the access point 20 and the terminal 10 connected to the access point 20, and the number of inflows of packets having the same similarity vector on the vector map. Will be displayed.

이때, 각 유입 패킷의 액세스 포인트(20) 정보와 단말기(10)의 정보는 트래픽 취합부(120)에서 각 패킷에 부착한 태그 정보를 이용하여 파악할 수 있고, 태그 정보에 포함된 패킷의 식별 정보를 활용하여 동일한 패킷이 1회 이상 카운팅 되지 않도록 할 수 있다.At this time, the access point 20 information of each incoming packet and the information of the terminal 10 can be identified using the tag information attached to each packet by the traffic collection unit 120, and the identification information of the packet included in the tag information. Can be used to prevent the same packet from being counted more than once.

도 4a 및 도 4b에서 각 열은 액세스 포인트(20)별로 구획된 것이고, 각 행은 단말기(10)별로 구획된 것이다. 따라서, 각각의 행열은 특정 액세스 포인트(20)와 연결된 특정 단말기(10)를 나타내게 되므로, 단말기(10) 별로 동일한 유사도 벡터를 갖는 패킷의 유입 횟수를 표시할 수 있다.4A and 4B, each column is partitioned by the access point 20, and each row is partitioned by the terminal 10. Accordingly, since each matrix represents a specific terminal 10 connected to a specific access point 20, the number of inflows of packets having the same similarity vector may be displayed for each terminal 10.

도 5a 및 도 5b는 각각 도 4a 및 도 4b의 평면 테이블을 3차원 입체그래프로 표시한 것으로, x 축은 액세스 포인트(20)의 식별정보를 의미하고, y 축은 액세스 포인트(20)와 연결된 단말기(10)의 식별정보를 의미한다. z 축은 각 단말기(10)에서 동일한 유사도 벡터를 갖는 패킷의 유입 횟수를 나타낸다. 즉, 벡터 맵 관리부(146)는 소정의 시간 동안 각 액세스 포인트(20)와 각 단말기(10)별로 유사도 벡터가 같은 패킷의 유입 횟수를 카운팅 하여 벡터 맵에 표시하는 기능을 수행하는 것이다.5A and 5B show the planar table of FIGS. 4A and 4B, respectively, in a three-dimensional stereoscopic graph, where the x-axis denotes identification information of the access point 20, and the y-axis denotes a terminal connected to the access point 20 ( 10) means identification information. The z axis represents the number of inflows of packets having the same similarity vector in each terminal 10. That is, the vector map manager 146 performs a function of counting the number of inflows of packets having the same similarity vector for each access point 20 and each terminal 10 for a predetermined time and displaying the same on the vector map.

좀비 단말기 탐지부(148)는 벡터 맵 관리부(146)의 패킷 유입 횟수를 기반으로 좀비 단말기를 탐지하고, 탐지한 좀비 단말기 정보를 트래픽 제어부(130)로 제공한다. 좀비 단말기 탐지부(148)는 탐지룰에 기반하여 좀비 단말기를 탐지할 수 있다. 예컨대, 좀비 단말기 탐지부(148)는 다음의 탐지룰을 이용하여, 동일한 유사도 벡터를 갖는 패킷이 소정 횟수 이상 유입된 단말기(10)를 좀비 단말기로 판정하게 된다.
The zombie terminal detector 148 detects a zombie terminal based on the number of packet inflows of the vector map manager 146, and provides the detected zombie terminal information to the traffic controller 130. The zombie terminal detector 148 may detect the zombie terminal based on the detection rule. For example, the zombie terminal detection unit 148 determines the terminal 10 to which a packet having the same similarity vector is introduced a predetermined number or more as a zombie terminal using the following detection rule.

- 동일한 단말기(10)로부터 유사도 벡터가 같은 패킷이 소정 횟수 이상 유입된 경우When a packet having the same similarity vector is introduced from the same terminal 10 more than a predetermined number of times

- 동일한 액세스 포인트(20)의 미리 정해진 수의 서로 다른 단말기(10)로부터 유사도 벡터가 같은 패킷이 소정 횟수 이상 유입된 경우When a packet having the same similarity vector is introduced a predetermined number of times from a predetermined number of different terminals 10 of the same access point 20

- 서로 다른 액세스 포인트(20)의 미리 정해진 수의 서로 다른 단말기(10)로부터 유사도 벡터가 같은 패킷이 소정 횟수 이상 유입된 경우
When a packet having the same similarity vector is introduced more than a predetermined number of times from a predetermined number of different terminals 10 of different access points 20

탐지룰은 네트워크 관리자에 의해 결정될 수 있으며, 유사도 벡터가 같은 패킷의 탐지 횟수, 분산의 정도 등을 고려하여 결정될 수 있다.The detection rule may be determined by the network administrator, and the similarity vector may be determined in consideration of the number of detection of the same packet, the degree of variance, and the like.

예를 들어, 도 4a에 있어서, 유사도 벡터가 같은 패킷이 5회 이상 유입된 단말기를 좀비 단말기로 판정하는 경우, 도 4a의 첫번째 액세스 포인트와 연결된 모든 단말기는 좀비 단말기로 판정될 수 있고, 도 4b와 같이 2개 이상의 액세스 포인트에서 유사도 벡터가 같은 패킷이 10회 이상 유입된 단말기를 좀비 단말기로 판정하는 경우, 제1 액세스 포인트와 연결된 제10 단말기, 제5 액세스 포인트와 연결된 제4 단말기, 제6 액세스 포인트와 연결된 제2 단말기, 제7 액세스 포인트와 연결된 제5 단말기, 제8 액세스 포인트와 연결된 제8 단말기, 제10 액세스 포인트와 연결된 제9 단말기를 좀비 단말기로 판정하는 것이다.For example, in FIG. 4A, when a terminal having five or more packets having the same similarity vector is determined as a zombie terminal, all terminals connected to the first access point of FIG. 4A may be determined as a zombie terminal, and FIG. 4B. As shown in the following description, when a terminal in which 10 or more packets with the same similarity vector are introduced from two or more access points is determined as a zombie terminal, a tenth terminal connected to a first access point, a fourth terminal connected to a fifth access point, and a sixth terminal The zombie terminal determines the second terminal connected to the access point, the fifth terminal connected to the seventh access point, the eighth terminal connected to the eighth access point, and the ninth terminal connected to the tenth access point.

AP 제어부(160)는 트래픽 분석부(140)가 탐지한 좀비 단말기의 정보를 기반으로, 액세스 포인트(20)로 로 좀비 단말기의 정보를 전송하여, 액세스 포인트(20) 단에서 좀비 단말기의 유입 패킷을 차단한다. AP 제어부(160)는 분산서비스거부 공격 보안 장치(100)와 액세스 포인트(20) 간의 유선 통신 경로를 이용하여 좀비 단말기의 정보를 전송할 수 있다. 다만 유선통신을 이용하여 각 액세스 포인트(20)로 좀비 단말기 정보를 제공하는 경우에는, 각 액세스 포인트(20)의 유선 통신 방식을 분산서비스거부 공격 보안 장치(100)가 인식하고 있어야 한다. 액세스 포인트(20)는 제조사별로 다른 통신 방식을 채용하고 있으므로, 각각의 액세스 포인트(20)와 AP 제어부(160)가 유선 통신을 수행하기 위해서는, AP 제어부(160)가 액세스 포인트(20) 별로 적합한 통신 방식을 제공해야 한다.The AP controller 160 transmits the information of the zombie terminal to the access point 20 based on the information of the zombie terminal detected by the traffic analyzer 140, and thus, the incoming packet of the zombie terminal at the access point 20. To block. The AP controller 160 may transmit information of the zombie terminal by using a wired communication path between the distributed service denial attack security device 100 and the access point 20. However, when providing zombie terminal information to each access point 20 using wired communication, the distributed service denial attack security device 100 should recognize the wired communication method of each access point 20. Since the access point 20 adopts a different communication method for each manufacturer, in order for each access point 20 and the AP control unit 160 to perform wired communication, the AP control unit 160 is suitable for each access point 20. You must provide a communication method.

AP 제어부(160)는 무선 통신 방식을 이용하여 좀비 단말기의 정보를 제공할 수도 있다. 액세스 포인트(20)는802.11b/g/n의 표준화된 무선 통신 방식을 이용하고 있으므로, 유선 통신 방식과 달리, 각 액세스 포인트(20) 별로 통신 방식을 고려할 필요가 없다.The AP controller 160 may provide information of the zombie terminal using a wireless communication method. Since the access point 20 uses a standardized wireless communication method of 802.11b / g / n, unlike the wired communication method, it is not necessary to consider the communication method for each access point 20.

즉, 분산서비스거부 공격 보안 장치(100)는 1차적으로 AP 단에 좀비 단말기 정보를 제공하여 좀비 단말기의 유입 패킷을 필터링 하고, 2차적으로는 데이터 제어부에서 좀비 단말기의 유입 패킷을 필터링 할 수 있다.That is, the distributed denial of service attack security device 100 may first provide zombie terminal information to the AP stage to filter the incoming packets of the zombie terminal, and secondly, the data control unit may filter the incoming packets of the zombie terminal. .

본 발명에 따른 분산서비스거부 공격 보안 장치(100)는 IP 주소가 투명(transparent)한 장치로 운용되어, 별도의 어드레스가 할당되지 않는 형태인 것이 바람직하다.The distributed denial of service attack security apparatus 100 according to the present invention is operated as a transparent IP address, it is preferable that a separate address is not assigned.

도 6은 본 발명의 일실시예에 따른 좀비 단말기 탐지 방법의 흐름도이다.6 is a flowchart illustrating a zombie terminal detection method according to an embodiment of the present invention.

좀비 단말기 탐지 방법에 따르면, 트래픽 취합부가 복수의 액세스 포인트로부터 유입되는 데이터 패킷을 구별할 수 있는 태그를 부착하여, 트래픽 제어부로 전송하면(S610), 트래픽 제어부가 좀비 단말기로부터 유입된 트래픽을 차단한다(S620). 이상 트래픽 탐지부는, 좀비 단말기로부터 유입된 트래픽을 필터링한 잔여 트래픽을 대상으로, 좀비 단말기로부터 전송된 것으로 의심되는 데이터를 탐지한다(S630). 이상 트래픽이 탐지되면, 탐지벡터 생성부는, 이상 트래픽으로부터 유사도 벡터를 추출한다(S640). 벡터 맵 관리부는 유사도 벡터가 신규한 것이면(S650), 새로히 벡터 맵을 생성하고(S655), 유사도 벡터가 기 저장된 것이면, 기 존재하는 벡터 맵을 이용하여 단말기 별로 동일한 유사도 벡터를 갖는 패킷의 유입 횟수를 카운팅 한다(S660). 좀비 단말기 탐지부는 벡터 맵 상에서 동일한 유사도 벡터를 갖는 패킷이 미리 정해진 횟수 이상 유입되었는지 확인하여 좀비 단말기를 판단하고(S670), 좀비 단말기가 탐지된 경우(S675), 좀비 단말기 탐지부는 트래픽 제어부로 좀비 단말기 정보를 전송하여 좀비 단말기로부터 유입되는 트래픽이 차단될 수 있도록 한다. 나아가 AP 제어부는 좀비 단말기와 연결된 액세스 포인트로 해당 좀비 단말기의 정보를 전송함으로써, 좀비 단말기와의 통신을 차단할 수 있도록 한다.According to the zombie terminal detection method, the traffic collector attaches a tag for distinguishing data packets coming from a plurality of access points, and transmits the tag to the traffic controller (S610). The traffic controller blocks the traffic from the zombie terminal. (S620). The abnormal traffic detection unit detects data suspected of being transmitted from the zombie terminal, targeting the remaining traffic filtered by the traffic introduced from the zombie terminal (S630). If abnormal traffic is detected, the detection vector generator extracts a similarity vector from the abnormal traffic (S640). If the similarity vector is new (S650), the vector map manager generates a new vector map (S655), and if the similarity vector is previously stored, the number of inflows of packets having the same similarity vector for each terminal using the existing vector map is provided. Counting (S660). The zombie terminal detector determines whether a packet having the same similarity vector has been introduced more than a predetermined number of times on the vector map to determine a zombie terminal (S670), and when a zombie terminal is detected (S675), the zombie terminal detector is a traffic control unit. By sending information, traffic from the zombie terminal can be blocked. Furthermore, the AP controller transmits the information of the zombie terminal to the access point connected to the zombie terminal, thereby blocking communication with the zombie terminal.

좀비 단말기로부터 유입된 트래픽을 차단한 잔여 트래픽은 트래픽 분산부를 통해 서로 다른 통신 경로를 통해 유출된다(S680).Residual traffic that blocks the traffic introduced from the zombie terminal is leaked through different communication paths through the traffic distribution unit (S680).

본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise.

본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능하다.
Although the present invention has been described by way of limited embodiments and drawings, the present invention is not limited thereto, and the technical spirit of the present invention and the claims to be described below by those skilled in the art to which the present invention pertains. Various modifications and variations are possible within the scope of equivalents.

10 : 단말기
20 : 액세스 포인트
30 : 스위치
100 : 분산서비스거부 공격 보안 장치
110 : 연결포트
120 : 트래픽 취합부
130 : 트래픽 제어부
140 : 트래픽 분석부
150 : 트래픽 분산부
160 : AP 제어부10: Terminal
20: access point
30: switch
100: distributed service denial attack security device
110: connection port
120: traffic collector
130: traffic control
140: traffic analysis unit
150: traffic distribution unit
160: AP control unit

Claims (17)

삭제delete 삭제delete 액세스 포인트와 및 스위치와 연결되고, 상기 액세스 포인트 수 이상의 통신경로를 제공하는 연결 포트;
서로 다른 상기 액세스 포인트로부터 유입된 유입트래픽의 각 패킷에 상기 액세스 포인트의 제1 식별정보, 상기 액세스 포인트와 연결된 단말기의 제2 식별정보 및 상기 단말기로부터 유입된 패킷을 식별하기 위한 제3 식별정보를 포함하는 식별정보를 태깅하여 취합하는 트래픽 취합부;
상기 유입트래픽 중 좀비 단말기로부터 유입된 데이터를 필터링하는 트래픽 제어부;
상기 트래픽 제어부로부터 필터링된 트래픽을 분석하여, 상기 좀비 단말기를 탐지하고, 탐지한 상기 좀비 단말기 정보를 상기 트래픽 제어부로 제공하는 트래픽 분석부; 및
상기 식별정보에 기반하여 상기 필터링된 트래픽을 유입된 상기 액세스 포인트 별로 서로 다른 상기 통신경로를 이용하여 상기 스위치로 제공하는 트래픽 분산부
를 포함하는 분산서비스거부 공격 보안 장치.
A connection port connected to an access point and a switch and providing a communication path of the number of the access points;
The first identification information of the access point, the second identification information of the terminal connected to the access point, and the third identification information for identifying the packet flowing from the terminal are included in each packet of the inflow traffic flowing from the different access points. A traffic collecting unit for tagging and collecting identification information including;
A traffic controller for filtering data introduced from a zombie terminal among the inflow traffic;
A traffic analyzer configured to analyze the traffic filtered by the traffic controller, detect the zombie terminal, and provide the detected zombie terminal information to the traffic controller; And
The traffic distributing unit provides the filtered traffic to the switch using the different communication paths for each of the access points based on the identification information.
Distributed service denial attack security device comprising a.
삭제delete 삭제delete 제 3 항에 있어서, 상기 트래픽 분석부는,
상기 필터링된 트래픽을 대상으로 이상 트래픽을 탐지하는 이상 트래픽 탐지부;
상기 이상 트래픽의 유사도 벡터를 추출하는 탐지벡터 생성부;
상기 유사도 벡터를 기반으로 상기 이상 트래픽이 유입된 단말기의 패킷 유입 횟수를 카운팅하는 벡터 맵 관리부; 및
상기 유입 횟수가 미리 정해진 횟수 이상인지 판단하여, 상기 좀비 단말기를 탐지하는 좀비 단말기 탐지부
를 포함하는 분산서비스거부 공격 보안 장치.
The method of claim 3, wherein the traffic analysis unit,
An abnormal traffic detector configured to detect abnormal traffic with respect to the filtered traffic;
A detection vector generator for extracting a similarity vector of the abnormal traffic;
A vector map manager that counts the number of packet inflows of the terminal into which the abnormal traffic flows based on the similarity vector; And
A zombie terminal detector for detecting the zombie terminal by determining whether the inflow number is a predetermined number or more.
Distributed service denial attack security device comprising a.
제 6 항에 있어서, 상기 이상 트래픽 탐지부는,
상기 필터링된 트래픽이 포함하는 일련의 패킷을 비교분석하여 이상 트래픽을 탐지하는 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 6, wherein the abnormal traffic detection unit,
Distributed service denial attack security device, characterized in that for detecting abnormal traffic by comparing and analyzing a series of packets included in the filtered traffic.
제 6 항에 있어서, 상기 유사도 벡터는,
상기 이상 트래픽이 포함하는 각 패킷의 목적지 주소, 통신 프로토콜 및 시그니처 중 적어도 하나인 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 6, wherein the similarity vector,
And at least one of a destination address, a communication protocol, and a signature of each packet included in the abnormal traffic.
제 8 항에 있어서, 상기 목적지 주소는,
상기 패킷의 목적지 IP 어드레스인 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 8, wherein the destination address,
Distributed service denial attack security device, characterized in that the destination IP address of the packet.
제 9 항에 있어서, 상기 목적지 주소는,
상기 패킷의 목적지 포트(Port)를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 9, wherein the destination address,
Distributed service denial attack security device further comprises a destination port of the packet.
제 8 항에 있어서, 상기 통신 프로토콜은,
응용 계층(application layer) 또는 전송 계층(transport layer)의 통신 프로토콜 중 적어도 하나인 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 8, wherein the communication protocol,
Distributed service denial attack security device, characterized in that at least one of the communication protocol of the application layer (transport layer).
제 8 항에 있어서, 상기 시그니처는,
상기 이상 트래픽에 포함된 상기 일련의 패킷에 반복적으로 나타나는 데이터인 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 8, wherein the signature is,
Distributed service denial attack security device, characterized in that the data repeatedly appearing in the series of packets included in the abnormal traffic.
제 6 항에 있어서, 상기 벡터 맵 관리부는,
상기 유사도벡터 별로, 상기 액세스 포인트 및 상기 액세스 포인트에 연결된 단말기의 수대로 구획된 벡터 맵을 생성하고, 상기 벡터 맵 상에서 상기 유입 횟수를 표시하는 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 6, wherein the vector map management unit,
And generating the vector map partitioned by the access point and the number of terminals connected to the access point for each similarity vector, and displaying the inflow number on the vector map.
제 13 항에 있어서, 상기 벡터 맵 관리부는,
상기 유사도 벡터가 신규한 것이면, 신규 벡터맵을 생성하고, 기 경험한 상기 유사도 벡터의 경우, 기존의 벡터맵을 이용하는 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 13, wherein the vector map management unit,
And if the similarity vector is new, generate a new vector map, and, in the case of the similarity vector previously experienced, use an existing vector map.
제 3 항에 있어서,
상기 좀비 단말기 정보를 상기 좀비 단말기가 연결된 상기 액세스 포인트로 제공하여, 상기 액세스 포인트에서 상기 좀비 단말기의 데이터를 차단할 수 있도록 하는 AP 제어부를 더 포함하는 분산서비스거부 공격 보안 장치.
The method of claim 3, wherein
And ap controller for providing the zombie terminal information to the access point to which the zombie terminal is connected, so as to block data of the zombie terminal at the access point.
제 15 항에 있어서,
상기 AP 제어부와 상기 액세스 포인트의 통신 방식은 무선 통신인 것을 특징으로 하는 분산서비스거부 공격 보안 장치.
The method of claim 15,
Distributed service denial attack security device, characterized in that the communication method between the AP control unit and the access point is wireless communication.
삭제delete
KR1020110046396A 2011-05-17 2011-05-17 Security system for distributed denial of service and method for finding zombie terminal KR101248601B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110046396A KR101248601B1 (en) 2011-05-17 2011-05-17 Security system for distributed denial of service and method for finding zombie terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110046396A KR101248601B1 (en) 2011-05-17 2011-05-17 Security system for distributed denial of service and method for finding zombie terminal

Publications (2)

Publication Number Publication Date
KR20120128445A KR20120128445A (en) 2012-11-27
KR101248601B1 true KR101248601B1 (en) 2013-03-28

Family

ID=47513195

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110046396A KR101248601B1 (en) 2011-05-17 2011-05-17 Security system for distributed denial of service and method for finding zombie terminal

Country Status (1)

Country Link
KR (1) KR101248601B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016205321A1 (en) * 2016-03-31 2017-10-05 Siemens Aktiengesellschaft Reduce an attack on a vulnerability of a device via a network access point

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070054067A (en) * 2005-11-22 2007-05-28 충남대학교산학협력단 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same
KR20070096666A (en) * 2006-03-27 2007-10-02 전덕조 Method and apparatus for detecting network attack based on network abnormal behavior
KR20090080841A (en) * 2008-01-22 2009-07-27 고려대학교 산학협력단 Apparatus and methdd of searching group activity malicious code

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070054067A (en) * 2005-11-22 2007-05-28 충남대학교산학협력단 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same
KR20070096666A (en) * 2006-03-27 2007-10-02 전덕조 Method and apparatus for detecting network attack based on network abnormal behavior
KR20090080841A (en) * 2008-01-22 2009-07-27 고려대학교 산학협력단 Apparatus and methdd of searching group activity malicious code

Also Published As

Publication number Publication date
KR20120128445A (en) 2012-11-27

Similar Documents

Publication Publication Date Title
US9860278B2 (en) Log analyzing device, information processing method, and program
KR101761737B1 (en) System and Method for Detecting Abnormal Behavior of Control System
KR101574193B1 (en) Apparatus and method for defending DDoS attack
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
Mubarakali et al. Security challenges in internet of things: Distributed denial of service attack detection using support vector machine‐based expert systems
CN101803305B (en) Network monitoring device, network monitoring method, and network monitoring program
CN108289088A (en) Abnormal traffic detection system and method based on business model
WO2011010823A2 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
US7440406B2 (en) Apparatus for displaying network status
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
Hussein et al. SDN security plane: An architecture for resilient security services
KR101219796B1 (en) Apparatus and Method for protecting DDoS
CN107347047A (en) Attack guarding method and device
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Krishnan et al. An adaptive distributed intrusion detection system for cloud computing framework
KR20120043466A (en) Method and apparatus for managing enterprise security based on information provided by intrusion detection system
KR101598187B1 (en) Method and apparatus for blocking distributed denial of service
KR20110033018A (en) Collaborative protection method and apparatus for distributed denial of service
KR101488271B1 (en) Apparatus and method for ids false positive detection
KR101248601B1 (en) Security system for distributed denial of service and method for finding zombie terminal
Raj et al. Security implementation through pcre signature over cloud network
KR100651749B1 (en) Method for detection of unknown malicious traffic and apparatus thereof
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
KR20160087448A (en) Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow
KR100767803B1 (en) Method and apparatus for detecting network attack based on network abnormal behavior

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160323

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee