KR101352553B1 - Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic - Google Patents
Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic Download PDFInfo
- Publication number
- KR101352553B1 KR101352553B1 KR1020100055496A KR20100055496A KR101352553B1 KR 101352553 B1 KR101352553 B1 KR 101352553B1 KR 1020100055496 A KR1020100055496 A KR 1020100055496A KR 20100055496 A KR20100055496 A KR 20100055496A KR 101352553 B1 KR101352553 B1 KR 101352553B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- flow
- statistical information
- service attack
- distributed denial
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 방법 및 그 시스템에 관한 것이다.
이러한 본 발명에 따르면, 플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법은, 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하고, 플로우 별로 집합화하여 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공한다. 그리고, 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하고, 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용한다.The present invention relates to a distributed denial of service attack (DDoS) detection and traffic mitigation method and system using the statistical information for each flow.
According to the present invention, the distributed denial of service attack detection and traffic reduction method using the statistical information for each flow, the first statistical information for each flow based on the flow information generated in accordance with the traffic movement of the device connecting the network, The data is aggregated for each flow and processed into second statistical information including at least one of a byte number, a packet number, and a flow number per unit time. And calculating the change rate of the second statistical information to determine a distributed denial of service attack when the change rate exceeds a preset threshold rate, and perform a rate-limit function to perform the rate limit function. Limit the amount of traffic moving.
Description
본 발명은 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 방법 및 그 시스템에 관한 것이다.The present invention relates to a distributed denial of service attack (DDoS) detection and traffic mitigation method and system using the statistical information for each flow.
본 발명은 지식경제부의 IT성장동력사업의 일환으로 수행한 연구로부터 도출된 것이다.[과제관리번호: 2009-S-020-01, 과제명: 차세대 유무선 융합 게이트웨이 기술 개발]The present invention is derived from a study conducted as part of the IT growth engine business of the Ministry of Knowledge Economy. [Task management number: 2009-S-020-01, Title: Development of next generation wired / wireless convergence gateway technology]
일반적으로 분산 서비스 거부 공격(Distributed Denial Of Sevice, DDoS)은 악의적인 공격자가 인터넷 상의 웹 서비스 제공 서버와 같은 목표 시스템과 그 시스템이 속한 네트워크로 순간적으로 다량의 데이터를 보냄으로써 해당 시스템 및 네트워크가 정상적으로 동작하지 못하게 하는 것을 의미한다.In general, Distributed Denial Of Sevice (DDoS) allows a malicious attacker to send a large amount of data instantaneously to a target system, such as a web service providing server on the Internet, and to the network to which the system belongs. It means not working.
도 1은 일반적인 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성도이다.1 is a network diagram illustrating an example of a general distributed denial of service attack (DDoS).
공격 단말(100)은 좀비 PC와 같이 악성 바이러스등에 감염되어 공격대상서버(500)로 다량의 트래픽을 발생한다. 일반적으로 라우터(200)는 유입되는 모든 트래픽을 DDoS 방어 시스템(300), IPS 방어 시스템(400), 공격대상서버(500)등이 있는 네트워크로 보내게 된다. 이 때, 라우터(200)의 뒤에 위치한 각종 장비들은 너무나 많은 공격성 트래픽의 유입으로 인해 자신의 기능을 제대로 수행하지 못하고 다운되거나 부하가 심하여 정상적인 사용자의 트래픽을 서비스하지 못하게 된다. 또한, 다량의 공격성 트래픽으로 인하여 네트워크 전체에 트래픽이 증가함으로써 값비싼 자원을 효율적으로 사용하지 못하게 되는 문제점이 발생한다. The attack terminal 100 is infected with a malicious virus such as a zombie PC and generates a large amount of traffic to the
이러한 공격을 위한 트래픽 종류는 TCP SYN Flooding, ICMP Flooding, UDP Flooding 등이 있다. Traffic types for such attacks include TCP SYN Flooding, ICMP Flooding, and UDP Flooding.
TCP SYN Flooding 공격은 서버에게 계속해서 SYN 패킷만을 보냄으로서 서버가 많은 TCP 연결을 맺게 하여 서버의 자원을 고갈시키게 하는 공격이다. 이러한 공격 형태는 외관상 정상적인 트래픽의 흐름으로 보이기 때문에 이런 공격을 탐지하는 것은 상당히 어려운 문제이다. 현존하는 탐지 방법으로는 DDoS 공격을 완벽히 탐지하지 못하고 공격이 발생한 후 많은 시간이 경과한 후에야 공격 여부를 인식하고 대응하기 때문에 상당한 시간 동안 정상적인 서비스를 제공하지 못한다. The TCP SYN Flooding attack is an attack that sends out only SYN packets to the server, causing the server to make many TCP connections and exhaust the server's resources. Since this type of attack appears to be a normal flow of traffic, it is quite difficult to detect such an attack. Existing detection methods do not fully detect DDoS attacks, and recognize and respond to attacks only after many hours have elapsed.
한편, 종래의 공격 탐지 방법은 송신지(source/attacker)측면에서 탐지하는 방법, 목적지(destination/victim)측면에서 탐지하는 방법, 코어 네트워크에서 감지하는 방법이 있다. 대표적인 기술로는 푸시백(pushback)기법과 IP 역추적(traceback) 기법을 들 수 있다. On the other hand, the conventional attack detection method is a method of detecting at the source (attachment / side) side, a method of detection at the destination (destination / victim) side, a method of detecting in the core network. Typical technologies include pushback techniques and IP traceback techniques.
그 중에서 푸시백(pushback) 기법은 네트워크상의 개별 라우터의 패킷 버림(packet drop)통계를 관찰하여 공격을 탐지한다. 좀비 PC와 같은 공격자에 의해 발생된 DDoS 공격은 여러 경로를 거쳐 목적지에 도착하게 되므로, 공격 패킷이 증가하는 목적지 근처의 라우터에서는 많은 량의 패킷 버림 현상이 발생한다. 즉, 이런 경우 목적지 근처의 라우터는 패킷을 보낸 경로로 푸시백 메시지를 전달하고, 이 메시지를 수신한 다른 라우터는 해당 트래픽의 전달을 차단하고, 계속해서 패킷이 온 경로를 향해 푸시백 메시지를 전달함으로써 전체적으로 공격 패킷을 차단할 수 있는 것이다. Among them, pushback technique detects attacks by observing packet drop statistics of individual routers on the network. Since DDoS attacks caused by attackers such as zombie PCs arrive at their destinations through various paths, a large amount of packet dropping occurs at routers near the destination where attack packets increase. That is, in this case, the router near the destination forwards the pushback message along the path from which the packet was sent, the other router that received the message blocks the delivery of that traffic, and continues forwarding the pushback message toward the path the packet came from. By doing so, you can block attack packets as a whole.
그러나, 기존의 푸시백 기법은 많은 좀비 PC에서 이루어지는 현재의 DDoS 공격 추세에 적절히 대응하기 어려운 문제가 있다. 왜냐하면 네트워크상에는 공격 PC들이 분산되어 있으므로 모든 개별 라우터에 푸시백 메시지를 전달하는 것은 많은 시간과 자원이 소모된다. 따라서, 푸시백 메시지를 전달하는 것이 오히려 네트워크에 부하를 가중시키는 결과를 초래하는 문제가 발생한다.However, the existing pushback technique has a problem that it is difficult to adequately cope with the current DDoS attack trends that are performed on many zombie PCs. Because there are distributed attack PCs on the network, delivering pushback messages to all individual routers can be time-consuming and resource-intensive. Thus, a problem arises that the delivery of pushback messages results in loads on the network.
IP 역추적(traceback) 기법은 공격 대상 시스템 관리자에게 DDoS 공격의 실제적인 공격 근원지 IP 주소를 알려주는 기능을 제공한다. IP 역추적 기법은 크게 패킷을 중심으로 마킹 방법론을 사용한 기법, ICMP(Internet Control Message Protocol) 프로토콜과 같은 프로토콜 등에 대한 변형을 통해 근원지 패킷의 전달 경로 정보를 관리하는 기법 및 네트워크 망 구조 측면에서의 관리 프로토콜을 응용한 기법 등으로 구분된다. 그리고, 공격에 대한 대응 방식에 따라 전향적 역추적 기술과 대응적 역추적 기술로 구분된다. The IP traceback technique provides the target system administrator with the IP address of the actual attack source of the DDoS attack. IP traceback technique is mainly a packet-based marking methodology, a method of managing the forwarding path information of the source packet through modifications to protocols such as the Internet Control Message Protocol (ICMP) protocol, and management in terms of network structure It is divided into techniques using protocols. In addition, according to the response method to the attack, it is divided into a forward and backward tracking technology.
그러나, IP 역추적 기법은 현재의 다단계 공격 형태를 가지는 상황에서 근원지 IP 주소를 알아내는데 많은 문제점을 가진다. 또한, 역추적을 위해서는 라우터내에 많은 메모리를 가져야 하며, 라우터가 많은 량의 정보를 처리해야 하므로 라우터의 성능에 많은 부정적 영향을 초래한다. 그리고, 실제 트래픽을 차단하기 위해서 많은 시간이 경과하게 되는 단점이 있다.However, the IP traceback technique has a lot of problems in finding the source IP address in the situation of the current multi-level attack form. In addition, backtracking requires a lot of memory in the router, and since the router must process a large amount of information, it causes a lot of negative effects on the performance of the router. And, there is a disadvantage that a lot of time passes to block the actual traffic.
이처럼 기존의 DDoS 탐지 방식들은 DDoS 공격 여부를 확인하기 위해 많은 시간과 자원이 소요되며, 막대한 량의 공격 트래픽으로부터 공격대상서버를 보호하지 못하는 문제점이 있다. 따라서, DDoS 공격 혹은 비정상적인 트래픽 발생을 신속히 판단하고 그에 대처할 수 있는 방안이 절실히 요구된다.As such, the existing DDoS detection methods take a lot of time and resources to determine whether the DDoS attack, and there is a problem that can not protect the target server from a large amount of attack traffic. Therefore, there is an urgent need for a method to quickly determine and cope with DDoS attacks or abnormal traffic generation.
따라서 본 발명은 상기 문제점을 해결하기 위한 것으로 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS)의 신속한 탐지와 그에 따른 트래픽을 경감하는 방법 및 그 시스템을 제공하기 위한 것이다.Accordingly, an object of the present invention is to provide a method and system for quickly detecting a distributed denial of service attack (DDoS) using traffic statistics and reducing traffic accordingly.
전술한 기술 과제를 해결하기 위한, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법은,In order to solve the above technical problem, a distributed denial of service attack detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention,
a) 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 단계; b) 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 단계; c) 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 단계; 및 d) 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 단계를 포함한다.a) collecting first statistical information for each flow based on flow information generated according to the movement of traffic of a device connecting a network; b) grouping the first statistical information for each flow by flow and classifying the flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number; c) calculating a change rate of the second statistical information and determining that the change rate is a distributed denial of service attack when the change rate exceeds a preset threshold rate; And d) performing a rate limit function according to the determination to limit the amount of movement of the traffic according to a preset policy.
여기에, 상기 d) 단계는, 상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하는 단계를 더 포함한다.Here, the step d) may further include reporting the distributed denial of service attack event to a policy management server managing a network policy according to the determination.
한편, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 시스템은,On the other hand, the distributed denial of service attack detection and traffic reduction system using the statistical information for each flow according to an embodiment of the present invention,
네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 플로우 통계정보 수집부; 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 통계정보 가공부; 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 판단부; 및 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 제어부를 포함한다.A flow statistics information collecting unit for collecting first statistical information for each flow based on flow information generated according to traffic movement of a device connecting a network; A statistical information processing unit which aggregates the first statistical information for each flow and divides each flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number; A determination unit calculating a change rate of the second statistical information and determining that the change rate exceeds a preset threshold rate as a distributed denial of service attack; And a controller configured to limit the amount of movement of the traffic according to a preset policy by performing a rate limit function according to the determination.
여기에, 라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 라우팅 테이블에서 검색하여 상기 패킷을 해당 목적 노드로 전달하며, 상기 패킷을 복수의 튜플(tuple)로 구분되는 플로우 정보를 생성하는 패킷 포워딩 처리부; 및 상기 라우팅 테이블과 상기 제2 통계정보를 가지는 통계정보 테이블이 저장되는 데이터베이스를 더 포함한다.The packet forwarding processor retrieves a packet received at a line card interface of a router system from a routing table, delivers the packet to a corresponding node, and generates a packet of flow information divided into a plurality of tuples. ; And a database in which a statistical information table having the routing table and the second statistical information is stored.
전술한 구성에 의하여 본 발명에 따르면 네트워크 상의 개별 라우터에서 플로우별 통계정보를 이용하여 실시간으로 DDoS 의심 트래픽을 확인하고, 이를 네트워크를 관리하는 정책 관리 서버에 신속히 보고하여 정책 관리 서버에서 DDoS 발생에 빠른 대응을 가능하게 하는 효과가 있다.According to the present invention, according to the present invention, the DDoS suspicious traffic is checked in real time by using the statistical information for each flow in individual routers on the network, and it is quickly reported to the policy management server managing the network, so that the policy management server can quickly generate DDoS. This has the effect of enabling correspondence.
또한, 정책 서버가 없는 상황에서도 자체적인 다량의 유입 트래픽을 감소시키거나 차단하여 네트워크 내의 각종 장비가 지속적으로 서비스 가능하게 하는 효과를 기대할 수 있다.In addition, even in the absence of a policy server, it can be expected to reduce or block a large amount of inflow traffic of its own so that various equipment in the network can be continuously serviced.
도 1은 일반적인 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성도이다.
도 2는 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 시스템을 갖는 라우터를 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 방법을 나타낸 흐름도이다.1 is a network diagram illustrating an example of a general distributed denial of service attack (DDoS).
2 is a block diagram schematically illustrating a router having a DDoS detection and traffic reduction system using statistical information for each flow according to an embodiment of the present invention.
3 is a flowchart illustrating a DDoS detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.
이제 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 방법 및 그 시스템에 대하여 도면을 참조로 하여 상세하게 설명한다.Now, a distributed denial of service attack (DDoS) detection and traffic reduction method using the statistical information for each flow according to an embodiment of the present invention and a system thereof will be described in detail with reference to the accompanying drawings.
본 발명은 플로우 기반 라우터에서 플로우별 통계정보를 이용하여 단위 시간당 통계정보의 변화 비율을 이용하여 DDoS 공격에 대한 신속한 탐지를 수행한다. 그리고, DDoS 공격 탐지시 네트워크 자원의 고갈을 방지하고자 유입되는 트래픽의 감소를 위해서 네트워크 정책 서버(미도시)로 보고할 수 있으며, 빠른 대처를 위하여 유입 트래픽에 레이트 리미트(rate-limit) 기능을 설정하여 트래픽 량을 감소시키는 역할을 한다. The present invention performs a rapid detection of DDoS attack using the rate of change of statistical information per unit time using the statistical information for each flow in the flow-based router. When DDoS attack is detected, it can report to the network policy server (not shown) to reduce the inflow of traffic to prevent the depletion of network resources, and set the rate-limit function on the inflow traffic for quick response. To reduce traffic volume.
도 1의 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성을 참조하면, 공격 단말(100)은 악성 바이러스에 감염된 좀비 PC로 유선 혹은 무선 인터넷을 통해 연결되는 소스 노드들이다. 공격대상서버(500)는 소스 노드의 접속에 따른 다양한 서비스를 제공하는 사업자의 서버이다.Referring to a network configuration illustrating an example of a distributed denial of service attack (DDoS) of FIG. 1, the attack terminals 100 are source nodes connected to a zombie PC infected with a malicious virus through a wired or wireless Internet. The
여기에, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 시스템은 라우터(200)에 적용될 수 있다.Here, the distributed denial of service attack (DDoS) detection and traffic reduction system using statistical information for each flow according to an embodiment of the present invention may be applied to the
즉, 도 1의 라우터(200)는 본 발명의 실시 예에 따른 DDoS 탐지 및 트래픽 경감 시스템이 탑재되어 DDoS 공격발생시 신속히 공격 트래픽을 탐지하고, 네트워크 정책 서버로 보고한다. 또한, 탐지된 트래픽에 대하여 레이트 리미트(rate-limit) 기능을 통해 트래픽량을 감소시킴으로써 네트워크 내의 각종 장비들(예; 300, 400, 500)을 보호할 수 있다.That is, the
이하, 본 발명의 실시 예에서는 편의상 DDoS 탐지 및 트래픽 경감 시스템이 라우터(200)에 탑재된 것으로 설명 한다. 그러나, DDoS 탐지 및 트래픽 경감 시스템이 라우터(200)에 탑재 적용되는 것만으로 한정되지 않으며 별도의 독립된 장치로 구성하여 라우터뿐 아니라 트래픽 관리가 가능한 다른 네트워크 장치와 연동하거나 그 시스템에 적용될 수도 있다.Hereinafter, in the embodiment of the present invention, a DDoS detection and traffic reduction system is described as being mounted in the
한편, 도 2는 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 시스템을 갖는 라우터를 개략적으로 나타낸 블록도이다.On the other hand, Figure 2 is a block diagram schematically showing a router having a DDoS detection and traffic reduction system using the flow-specific statistical information according to an embodiment of the present invention.
첨부된 도 2를 참조하면, 본 발명의 실시 예에 따른 라우터(200)는 패킷 포워딩(Packet Forwarding) 처리부(210), 플로우 통계정보 수집부(220), 통계정보 가공부(230), 데이터베이스(240), DDoS 판단부(250) 및 제어부(260)를 포함한다.Referring to FIG. 2, the
패킷 포워딩 처리부(210)는 라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 데이터베이스(240)에 저장된 라우팅 테이블에서 검색(Look-up)하여 패킷을 해당 목적지로 전달하는 기능을 수행한다. 또한, 패킷 포워딩 처리부(210)는 패킷을 5가지 튜플(5-tuple)로 구분되는 플로우(Flow) 기반으로 처리(생성)한다. 그리고, 각 플로우 별로 첫 번째 패킷, 중간 n번째 패킷, 플로우 종료 패킷을 플로우 통계정보 수집부(220)로 전달하는 역할을 한다.The
여기서, 상기 플로우는 IP 패킷의 헤더 정보인 소스 주소(Source Address), 목적지 주소(Destination Address), 소스 포트(Source Port), 목적지 포트(Destination Port) 및 프로토콜 ID와 같은 5가지 튜플(5-tuple)에 근거하여 같은 정보를 갖는 패킷을 모아 구성한 것을 의미한다.Here, the flow includes five tuples (5-tuple) such as a source address, a destination address, a source port, a destination port, and a protocol ID, which are header information of an IP packet. Means that packets with the same information are collected and configured.
패킷 포워딩 처리부(210)는 상기 플로우를 사용목적에 따라 전술한 5가지 튜플이 모두 동일한 패킷들만 모아서 구성할 수 있고, 5개의 튜플 중 일부만이 동일한 패킷을 모아서 구성할 수도 있다. 예컨대, 소스 주소, 목적지 주소, 소스 포트, 목적지 포트 및 프로토콜 ID가 모두 동일한 패킷만을 모아서 플로우를 구성하거나, 소스 주소 및 목적지 주소가 동일한 패킷만을 모아서 플로우를 구성할 수도 있다. 또한, 사용목적에 따라서는 다른 항목을 더 추가하여 사용하거나 5개의 튜플 중 일부만을 사용하여 플로우를 구성할 수도 있다.The
플로우 통계정보 수집부(220)는 패킷 포워딩 처리부(210)로부터 각각의 패킷을 전달받아, 해당 플로우의 현재까지 처리한 바이트 수, 패킷 수, 차단된 패킷 수 등의 플로우별 통계정보(이하, 제1 통계정보라 명명함)를 수집한다.The flow statistics information collecting unit 220 receives each packet from the packet
통계정보 가공부(230)는 플로우 통계정보 수집부(220)에서 수집한 각 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 등의 집합 별로 각각 구분하여 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수를 포함하는 통계정보(이하, 제2 통계정보로 명명함)로 가공한다. 그리고, 통계정보 가공부(230)는 가공된 제2 통계정보를 데이터베이스(240)의 통계정보 테이블에 저장한다.The statistical
데이터베이스(240)는 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감을 위한 각종 데이터와 프로그램을 가지며, 그 동작에 따라 생성되는 데이터들을 저장한다.The
DDoS 판단부(250)는 일정 주기로 통계정보 테이블에 저장된 단위시간당 제2통계정보의 변화비율을 계산하고, 상기 변화비율이 미리 설정된 임계비율을 초과하여 변화하는 경우 DDoS 공격으로 판단하여 제어부(260)로 알린다. 즉, DDoS 판단부(250)는 일정한 시간마다 DDoS 판단을 위해 통계정보 테이블에서 제2 통계정보를 읽어 주기적으로 직전(이전) 주기와 현 주기 사이의 제2 통계정보 변화비율을 계산하고, 이를 기반으로 일정 수준이상으로 비율이 변화하면 DDoS 공격으로 판단한다. The
이 때, DDoS 판단부(250)는 상기 임계비율을 복수의 단계별로 설정할 수 있으며, 제2 통계정보의 변화비율이 기 설정된 단계별 임계비율을 초과하는 범위에 따라 비정상 트래픽, DDoS 공격 의심 및 DDoS 공격 등으로 판단할 수 있다. At this time, the
또한, DDoS 판단부(250)는 단위 시간당 지나간 패킷의 수(예:pps(Packet per Second))를 확인하여 하나의 소스 노드(PC) 등에서 발생할 수 있는 적절한 수준 이상이 패킷이 발생하면 이를 DDoS 공격으로 판단할 수도 있다. 여기서, 상기 적절한 수준 이상의 패킷은 정책에 따라 단위 시간당 하나의 소스 노드에 허용되는 패킷 발생 임계치일 수 있으며, 소스 주소 혹은 소스 포트의 단위시간 패킷 수를 바탕으로 확인할 수 있다.In addition, the
또한, DDoS 판단부(250)는 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 집합별로 정보를 가공함으로 네트워크상 라우터(200)의 위치에 따라 다양한 조합으로 DDoS 공격 여부를 판단할 수 있다. In addition, the
예를 들면, 도 1에서 라우터(200)의 경우는 소스 주소별로 플로우 정보를 가공하여 확인할 경우 DDoS 공격을 하는 좀비 PC를 쉽게 확인할 수 있다. 또한, 목적지 주소별로 플로우 정보를 가공하여 확인할 경우 DDoS 공격 대상인 서버를 확인할 수 있을 것이다. For example, in the case of the
제어부(260)는 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감을 위한 라우터내 각부의 동작을 제어하는 역할을 한다.The
제어부(260)는 DDoS 판단부(250)의 판단에 따른 DDoS 공격 발생 이벤트를 수신하면, 의심 트래픽 정보를 네트워크 정책을 관할하는 네트워크 정책 관리 서버로 보내어 망내에서의 이상 트래픽 발생을 알림으로써 더욱더 정교한 DDoS 공격 패턴을 확인할 수 있다.When the
특히, 제어부(260)는 네트워크 정책 관리 서버를 가지고 있지 않거나 정책 관리 서버를 갖더라도 DDoS 공격 및 이상 트래픽에 대한 자체적인 신속한 대응이 필요한 경우 라우터(200)내에서 해당 트래픽에 대하여 트래픽 경감을 위한 레이트 리미트(Rate-Limit) 기능을 수행하도록 제어하여 트래픽 이동량을 제한 적용 및 보고할 수 있다. 여기서, 상기 제한 적용은 다량의 트래픽을 감소시키거나 좀비 PC로 의심되는 소스 노드의 트래픽을 차단하는 기능을 모두 포함한다.In particular, even if the
이처럼, 본 발명의 실시 예에 따른 라우터(200)는 내부에서 수집된 실시간 정보를 주기적으로 확인하고 가공하여 DDoS 트래픽 여부를 탐지함으로 매우 신속한 이상 트래픽의 탐지가 가능한 장점이 있다. 그리고, 탐지한 트래픽 이상 발생에 대한 이벤트 정보를 외부의 네트워크 정책 관리 서버로 신속히 보고하거나, 더욱 더 빠른 대처를 위해서 라우터(200)에서 자체적으로 탐지된 이상 트래픽에 대하여 레이트 리미트 기능을 수행하여 트래픽을 제한 적용함으로써 DDoS 공격에 능동적으로 대처할 수 있는 장점이 있다. As such, the
이러한 본 발명의 실시 예에 따른 DDoS 탐지 및 트래픽 경감 시스템은 코어 네트워크을 포함한 네트워크상의 모든 라우터(200)에 적용 가능하며, 그럴 경우 개별 라우터(200)에서 공격 트래픽을 빠르게 차단하고, 이를 신속히 보고함으로써 네트워크 전체의 자원을 효율적으로 사용할 수 있는 효과가 있다.The DDoS detection and traffic reduction system according to an embodiment of the present invention is applicable to all
한편, 다음의 도 3을 통하여 지금까지 설명한 본 발명의 실시 예에 따른 라우터(200)가 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감을 수행하는 방법을 설명하도록 한다.Meanwhile, a method of performing DDoS detection and traffic reduction using the flow-specific statistical information by the
도 3은 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a DDoS detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention.
첨부된 도 3을 참조하면, 본 발명의 실시 예에 따른 시스템이 탑재된 라우터(200)의 패킷 포워딩 처리부(210)는 라우터(200)를 거쳐가는 트래픽을 감시하고, 패킷을 5가지 튜플(5-tuple)로 구분되는 플로우(Flow) 기반으로 처리하여 플로우 정보를 생성한다(S301).Referring to FIG. 3, the
라우터(200)는 생성된 플로우 정보를 기반으로 플로우 수, 바이트 수, 패킷 수 등의 플로우별 제1 통계정보를 수집한다(S302). 그리고, 수집한 각 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 집합 별로 각각 구분하고 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수를 포함하는 제2 통계정보로 가공하여 통계정보 테이블에 저장한다(S303).The
라우터(200)는 일정 주기로 통계정보 테이블에 저장된 단위시간당 제2 통계정보의 변화비율을 확인하고(S304), 상기 변화비율이 미리 설정된 임계비율을 초과하여 변화하는 경우 DDoS 공격으로 판단한다(S305).The
라우터(200)는 미리 설정된 정책에 따라 DDoS 공격 발생을 정책 관리 서버로의 보고하거나 레이트 리미트 기능의 수행여부를 판단한다(S306). 라우터(200)는 상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 DDoS 공격 발생 이벤트를 보고하거나(S307), 자체적으로 트래픽 경감을 위하여 레이트 리미트 기능을 수행한다(S308). 이 때, 경우에 따라서는 정책 관리 서버로 보고함과 동시에 자체적으로 트래픽 경감을 위하여 레이트 리미트 기능을 수행할 수도 있다.The
이와 같은 본 발명의 실시 예에 따르면 네트워크 상의 개별 라우터에서 플로우별 통계정보를 이용하여 실시간으로 DDoS 의심 트래픽을 확인하고, 이를 네트워크를 관리하는 정책 관리 서버에 신속히 보고하여 정책 관리 서버에서 DDoS 발생에 빠른 대응을 가능하게 하는 효과가 있다. According to the embodiment of the present invention, the DDoS suspicious traffic is checked in real time by using the statistical information for each flow in individual routers on the network, and quickly reported to the policy management server managing the network, so that the policy management server can quickly generate DDoS. This has the effect of enabling correspondence.
그리고, 정책 서버가 없는 상황에서도 자체적인 다량의 유입 트래픽을 감소시키거나 차단하여 네트워크 내의 각종 장비가 지속적으로 서비스 가능하게 하는 효과를 기대할 수 있다.In addition, even in the absence of a policy server, it can be expected to reduce or block a large amount of inflow traffic of its own to enable continuous service of various equipment in the network.
또한, 종래에는 DDoS 발생시 너무 느린 대응으로 웹 서버 및 서비스 서버가 정상적으로 동작하지 못하여 막대한 손실과 기업 이미지 실추를 초래할 수 있는 문제점이 있었다. 그러나 본 발명의 실시 예에 따르면 라우터(200) 단에서부터 다량의 공격 트래픽을 쉽게 인지하고, 이에 빠르게 대응을 함으로써 공격 대상 서버의 중단 없는 서비스 제공을 가능하게 하는 효과가 있다. In addition, in the related art, when the DDoS occurs, the web server and the service server may not operate normally due to too slow response, which may cause enormous loss and loss of corporate image. However, according to the exemplary embodiment of the present invention, a large amount of attack traffic is easily recognized from the
또한, 종래의 기술 중 푸시백 기법은 푸시백 메시지를 이전 라우터로 전송하는 부하가 있으나 본 발명의 실시 예에 따르면, 개별 라우터(200)가 DDoS 및 트래픽 이상여부를 각각 판단함으로 푸시백 메시지 전송과 같은 부하를 발생하지 않는 장점이 있다. In addition, the conventional pushback scheme has a load for transmitting a pushback message to the previous router, but according to an embodiment of the present invention, the
또한, 종래의 IP 역추적 기법은 많은 메모리와 프로세싱 능력이 필요한 것에 반하여 본 발명의 실시 예에 따르면 플로우별 통계정보만을 집합별로 관리함으로 상기 IP 역추적 기법보다 상대적으로 적은 양의 메모리가 필요하고 이에 따라 프로세싱 능력도 작게 요구되는 이점이 있다. In addition, while the conventional IP traceback technique requires a lot of memory and processing capability, according to an embodiment of the present invention, a relatively small amount of memory is required than the IP traceback scheme by managing only statistical information for each set by a set. Therefore, there is an advantage that the processing power is also required small.
또한, DDoS 공격 발생시의 핵심은 신속한 공격 판단과 그에 대한 대응인대 반해, 종래에는 DDoS 탐지 장비들이 DDoS 공격 여부를 확인하기에는 많은 시간이 소요되고 있으며, 막대한 량의 공격 트래픽으로 웹서버 및 서비스 서버등은 제 기능을 수행하지 못하는 문제점이 있었다. In addition, the core of the DDoS attack is the rapid attack judgment and countermeasures, while conventional DDoS detection equipment takes a lot of time to determine whether the DDoS attack, and the web server and service server, such as a large amount of attack traffic There was a problem of not functioning.
이러한 문제점을 해결하기 위하여 본 발명의 실시 예에 따르면 네트워크 상의 개별 라우터에서 신속한 DDoS 발생을 탐지하고, 그 판단에 따라 즉각적인 DDoS 발생 이벤트를 보고하거나 트래픽 경감을 수행함으로써 서버 다운과 같은 최악의 상황을 방지하는 효과를 기대할 수 있다.In order to solve this problem, according to an embodiment of the present invention, by detecting a rapid DDoS occurrence in each router on the network, and according to the determination to report an immediate DDoS occurrence event or to reduce the traffic to prevent the worst situation such as server down You can expect the effect.
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.The embodiments of the present invention are not limited to the above-described apparatuses and / or methods, but may be implemented through a program for realizing functions corresponding to the configuration of the embodiment of the present invention, a recording medium on which the program is recorded And such an embodiment can be easily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
Claims (10)
a) 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 단계;
b) 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 단계;
c) 상기 제2 통계정보의 변화비율을 계산하고, 상기 계산된 변화비율이 상기 단위 시간에 대하여 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 단계; 및
d) 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 단계
를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.In the distributed denial of service attack detection and traffic mitigation method using flow-specific statistical information,
a) collecting first statistical information for each flow based on flow information generated according to the movement of traffic of a device connecting a network;
b) grouping the first statistical information for each flow by flow and classifying the flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number;
c) calculating a rate of change of the second statistical information, and determining that the rate of change of the second statistical information is a distributed denial of service attack when the calculated rate of change exceeds the threshold rate set for the unit time; And
d) performing a rate limit function according to the determination to restrict and apply the amount of movement of the traffic according to a preset policy;
Distributed denial of service attack detection and traffic mitigation method comprising a.
상기 d) 단계는,
상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하는 단계를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The step d)
And reporting the distributed denial of service attack event to a policy management server managing a network policy according to the determination.
상기 플로우별 제1 통계정보는,
주기적으로 처리한 플로우 수, 바이트 수, 패킷 수 중 적어도 하나를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The first statistical information for each flow,
Distributed denial of service attack detection and traffic mitigation method comprising at least one of the number of flows, bytes, and packets processed periodically.
상기 b) 단계는,
상기 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 중 적어도 하나로 집합화하는 단계를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The step b)
And aggregating the first statistical information for each flow into at least one of a source address, a destination address, a source-destination address, and a protocol.
상기 c) 단계는,
단위 시간당 지나간 패킷의 수를 확인하여 하나의 소스 노드에서 발생할 수 있는 임계기준을 초과하는 패킷이 발생하면 상기 분산 서비스 거부 공격으로 판단하는 단계를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The step c)
And determining the number of packets that have passed per unit time and determining that the distributed denial of service attack occurs when a packet exceeding a threshold that can occur at one source node is determined as the distributed denial of service attack.
상기 d) 단계의 제한 적용은,
상기 트래픽 이동량을 경감시키거나 상기 분산 서비스 거부 공격으로 의심되는 소스 노드의 트래픽을 차단하는 것을 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
Applying the limitation of step d) above,
And reducing the traffic movement amount or blocking traffic of a source node suspected of the distributed denial of service attack.
상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 통계정보 가공부;
상기 제2 통계정보의 변화비율을 계산하고, 상기 계산된 변화비율이 상기 단위 시간에 대하여 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 판단부; 및
상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 제어부
를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.A flow statistics information collecting unit for collecting first statistical information for each flow based on flow information generated according to traffic movement of a device connecting a network;
A statistical information processing unit which aggregates the first statistical information for each flow and divides each flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number;
A determination unit configured to calculate a change rate of the second statistical information and determine that the distributed change denial of service attack occurs when the calculated change rate exceeds a threshold rate set for the unit time; And
The controller performs a rate limit function according to the determination to limit the amount of traffic movement according to a preset policy.
Distributed denial of service attack detection and traffic system comprising a.
라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 라우팅 테이블에서 검색하여 상기 패킷을 해당 목적 노드로 전달하며, 상기 패킷을 복수의 튜플(tuple)로 구분되는 플로우 정보를 생성하는 패킷 포워딩 처리부; 및
상기 라우팅 테이블과 상기 제2 통계정보를 가지는 통계정보 테이블이 저장되는 데이터베이스
를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
A packet forwarding processing unit which searches for a packet received at an interface of a line card of a router system in a routing table, transfers the packet to a corresponding destination node, and generates flow information divided into a plurality of tuples; And
A database storing a statistical information table having the routing table and the second statistical information
Distributed denial of service attack detection and traffic system further comprising.
상기 제어부는,
상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하고, 상기 트래픽 이동량을 경감시키거나 상기 분산 서비스 거부 공격으로 의심되는 소스 노드의 트래픽을 차단하는 것을 특징으로 하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
The control unit,
Report the distributed denial of service attack event to a policy management server managing network policy according to the determination, and reduce the traffic movement or block traffic of the source node suspected of the distributed denial of service attack. Distributed Denial of Service Attack Detection and Traffic Systems.
상기 판단부는,
상기 임계비율을 복수의 단계별로 설정하여 상기 제2 통계정보의 변화비율이 기 설정된 단계별 임계비율을 초과하는 범위에 따라 비정상 트래픽, 분산 서비스 거부 공격 의심 및 분산 서비스 거부 공격 중 어느 하나로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
The determination unit,
The threshold ratio may be set in a plurality of stages to determine one of an abnormal traffic, a distributed denial of service attack, and a distributed denial of service attack according to a range in which the change rate of the second statistical information exceeds a predetermined threshold ratio. Distributed denial of service attack detection and traffic systems.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/946,849 US20110138463A1 (en) | 2009-12-07 | 2010-11-15 | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20090120542 | 2009-12-07 | ||
KR1020090120542 | 2009-12-07 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110065273A KR20110065273A (en) | 2011-06-15 |
KR101352553B1 true KR101352553B1 (en) | 2014-01-15 |
Family
ID=44398574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100055496A KR101352553B1 (en) | 2009-12-07 | 2010-06-11 | Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101352553B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160081088A (en) * | 2014-12-30 | 2016-07-08 | 주식회사 시큐아이 | Policy managing method and apparatus applying the method |
US10805319B2 (en) | 2017-02-14 | 2020-10-13 | Electronics And Telecommunications Research Institute | Stepping-stone detection apparatus and method |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101380292B1 (en) * | 2011-04-08 | 2014-04-14 | 주식회사 케이티 | Method and System for Utility Saving Time-Division DDoS Detection using Link Switch |
KR101326804B1 (en) * | 2012-11-19 | 2013-11-11 | 서울대학교산학협력단 | Distributed denial of service detection method and system |
KR102055363B1 (en) * | 2017-12-06 | 2019-12-12 | 에스케이텔레콤 주식회사 | System for performing anomaly detection using traffic classification |
CN113992421B (en) * | 2021-11-03 | 2023-08-29 | 北京天融信网络安全技术有限公司 | Message processing method and device and electronic equipment |
CN114531273B (en) * | 2022-01-11 | 2024-05-14 | 北京理工大学 | Method for defending distributed denial of service attack of industrial network system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090232000A1 (en) | 2005-04-06 | 2009-09-17 | Alaxala Networks Corporation | NETWORK CONTROLLER AND CONTROL METHOD WITH FLOW ANALYSIS AND CONTROL FUNCTION (As Amended) |
-
2010
- 2010-06-11 KR KR1020100055496A patent/KR101352553B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090232000A1 (en) | 2005-04-06 | 2009-09-17 | Alaxala Networks Corporation | NETWORK CONTROLLER AND CONTROL METHOD WITH FLOW ANALYSIS AND CONTROL FUNCTION (As Amended) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160081088A (en) * | 2014-12-30 | 2016-07-08 | 주식회사 시큐아이 | Policy managing method and apparatus applying the method |
KR101655224B1 (en) | 2014-12-30 | 2016-09-22 | 주식회사 시큐아이 | Policy managing method and apparatus applying the method |
US10805319B2 (en) | 2017-02-14 | 2020-10-13 | Electronics And Telecommunications Research Institute | Stepping-stone detection apparatus and method |
Also Published As
Publication number | Publication date |
---|---|
KR20110065273A (en) | 2011-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
Shang et al. | FloodDefender: Protecting data and control plane resources under SDN-aimed DoS attacks | |
KR101352553B1 (en) | Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
US9167004B2 (en) | Methods and systems for detecting and mitigating a high-rate distributed denial of service (DDoS) attack | |
US20160080411A1 (en) | Hardware-logic based flow collector for distributed denial of service (ddos) attack mitigation | |
Hussein et al. | SDN security plane: An architecture for resilient security services | |
US10693890B2 (en) | Packet relay apparatus | |
US10986018B2 (en) | Reducing traffic overload in software defined network | |
JP4380710B2 (en) | Traffic anomaly detection system, traffic information observation device, and traffic information observation program | |
Varga et al. | Real-time security services for SDN-based datacenters | |
Hong et al. | Dynamic threshold for DDoS mitigation in SDN environment | |
Wan et al. | Engineering of a global defense infrastructure for DDoS attacks | |
Wu et al. | Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking | |
Noh et al. | Protection against flow table overflow attack in software defined networks | |
Mohammadi et al. | Practical extensions to countermeasure dos attacks in software defined networking | |
Wang et al. | An approach for protecting the openflow switch from the saturation attack | |
KR20030009887A (en) | A system and method for intercepting DoS attack | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
KR20060130892A (en) | Ddos detection and packet filtering scheme | |
JP2003289337A (en) | Communication network, router, and distributed service refusal attack detection and defense method | |
Patel et al. | Throughput analysis of AQM schemes under low-rate Denial of Service attacks | |
Hayashi et al. | Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function | |
Chen et al. | A two-tier coordinated defense scheme against DDoS attacks | |
Liu et al. | TAP: A Traffic-Aware Probabilistic Packet Marking for Collaborative DDoS Mitigation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |