KR101370244B1 - 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치 - Google Patents

응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치 Download PDF

Info

Publication number
KR101370244B1
KR101370244B1 KR1020120114607A KR20120114607A KR101370244B1 KR 101370244 B1 KR101370244 B1 KR 101370244B1 KR 1020120114607 A KR1020120114607 A KR 1020120114607A KR 20120114607 A KR20120114607 A KR 20120114607A KR 101370244 B1 KR101370244 B1 KR 101370244B1
Authority
KR
South Korea
Prior art keywords
client
link address
ddos attack
reliability
web page
Prior art date
Application number
KR1020120114607A
Other languages
English (en)
Inventor
김기성
김태균
이상재
김세헌
이수빈
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020120114607A priority Critical patent/KR101370244B1/ko
Application granted granted Critical
Publication of KR101370244B1 publication Critical patent/KR101370244B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 응용 계층 디도스 공격으로 진화한 분산 서비스 거부 공격(DDoS)을 탐지하고 차단할 수 있는 방법 및 그 장치에 관한 것이다.
응용 계층 디도스 공격을 탐지 및 차단하는 방법에 있어서, 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계; 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계; 및 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 단계를 포함하는 응용 계층 디도스 공격 탐지 및 차단 방법이 제공된다.

Description

응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치{METHOD OF DETECTING AND BLOCKING APPLICATION LAYER DDOS ATTACK AND DEVICE OF THE SAME}
본 발명은 응용 계층 디도스 공격으로 진화한 분산 서비스 거부 공격(DDoS)을 탐지하고 차단할 수 있는 방법에 관한 것이다.
디도스 공격이란 한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속함으로써 비정상적으로 트래픽을 늘려 해당 사이트의 서버를 마비시키는 해킹 방법이다. 트래픽이 많이 발생할 때 서버가 분산하는 기능이 있는데 이를 무력화시킨다는 뜻에서 '분산 서비스 거부 공격(Distributed Denial of Service, 디도스)'이라고 부른다.
디도스 공격이란 특정 웹사이트에 한꺼번에 수많은 컴퓨터가 접속함으로써 해당 사이트의 서버 및 주변 네트워크를 마비시켜 해당 사이트가 정상적인 서비스를 제공하지 못하도록 하는 방법이다. 한 컴퓨터에서 특정 웹사이트로 대량의 트래픽을 전송하여 그 서버를 마비시켰던 서비스 거부 공격(Denial of Service, 도스) 공격에서, 분산된 위치의 수많은 컴퓨터가 동원되는 양식으로 진화하였다고 하여 디도스라고 부른다.
일반적으로 개인 컴퓨터들이 디도스 공격에 동원되는데, 대부분 사용자가 열어본 이메일이나 파일 등을 타고 들어온 악성코드에 의하여 감염된 컴퓨터, 좀비 PC이다. 감염된 컴퓨터의 사용자는 악성코드에 감염된 사실을 전혀 인식하지 못한 채로 웹 서핑 등 일상적인 용도로 컴퓨터를 사용하게 되고, 악성코드에 감염된 컴퓨터는 주인이 시키지 않았는데 멀리 있는 공격명령 서버의 명령에 따라 특정 사이트를 초당 수백∼수천 번씩 방문하며 범행을 저지른다.
디도스 공격에는 주로 악성 코드에 감염된 정상 사용자의 개인 컴퓨터가 동원된다. 공격자가 제작한 악성 코드는 웹, 이메일, 공유 소프트웨어 등의 경로로 유포되며, 이를 통해 수많은 정상 사용자의 컴퓨터가 악성 코드에 의해 감염되어 좀비 PC가 된다. 감염된 컴퓨터의 사용자는 악성코드에 감염된 사실을 전혀 인식하지 못한 채로 웹 서핑 등 일상적인 용도로 컴퓨터를 사용하게 되고, 악성코드에 감염된 컴퓨터는 주인이 시키지 않았는데 멀리 있는 공격자의 공격명령 서버의 명령에 따라 특정 사이트를 초당 수백 번 내지 수천 번씩 방문하며 범행을 저지른다.
이러한 디도스 공격은 응용 계층 공격으로 진화하고 있다. 이전에는 대용량의 트래픽이 들어와 서버에 부하를 주기 때문에 이를 디도스 공격으로 판단했지만, 요즘은 특정 응용 계층에 대해 소규모의 공격이 들어오는 경우가 있기 때문에 디도스 공격 여부를 판단하기 어렵다. 기존 디도스 장비들은 네트워크의 취약성을 체크하거나 통계적 이상치 기준으로 만들고 있지만, 디도스 공격자가 다양한 공격 시나리오를 바탕으로 응용 계층을 공격할 경우, 공격 탐지(Flash Crowd와 구분의 어려움) 및 이를 차단하는데 어려움이 있는 것이다.
디도스 공격은 네트워크 계층 공격과 응용계층 공격으로 나뉠 수 있다. 네트워크 계층 디도스 공격은 수많은 좀비 PC로부터 네트워크 취약성을 이용하여 다량의 트래픽을 발생시켜 타겟 서버로의 경로에 있는 네트워크를 마비시켜 정상적인 사용자의 접속을 막는 공격이다. 반면, 응용계층 디도스 공격은 좀비 PC들이 단순히 의미 없는 트래픽을 타겟 서버로 보내는 것이 아니라, 실제 해당 사이트의 사용자들과 비슷한 트래픽을 전송함으로써 실제 해당 서버의 과부하를 일으켜, 서비스를 방해하는 공격이다.
과거의 디도스 공격은 주로 네트워크 계층 디도스 공격을 기반으로 동작하였다. 따라서, 대다수의 디도스 장비들은 네트워크의 취약성을 체크하거나 네트워크 트래픽에 대한 통계적 이상치를 기준으로 공격을 탐지하였다. 반면, 응용계층 디도스 공격은 보다 최근에 등장한 공격기법으로 기존 디도스 장비들의 탐지 메커니즘으로는 탐지 및 대응이 어렵다. 응용계층 디도스 공격을 탐지하기 위해 다양한 학제적 연구들이 등장하고 있지만, 디도스 공격자가 다양한 공격 시나리오를 바탕으로 공격을 시행할 경우, 탐지할 수 있는 방법이 현재까지 부족한 실정이다.
본 발명은 기존 디도스 장비들로는 응용 계층 디도스 공격을 탐지하고 차단하는데 어려움이 있음에 착안하여 새로운 디도스 공격 탐지 및 차단 방법을 제안하고자 한다.
공격자가 다양한 공격 시나리오를 바탕으로 응용 계층을 공격하는 경우, 현재 IP 기반 네트워크가 각 클라이언트에게 동일한 주소를 통해 접근하도록 하기 때문이라 판단하여, 각 클라이언트마다 서로 다른 주소로 동일한 웹 페이지에 접근하도록 하는 디도스 공격 탐지 및 차단 방법을 제안하고자 한다.
응용 계층 디도스 공격을 탐지 및 차단하는 방법에 있어서, 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계; 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계; 및 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 단계를 포함하는 응용 계층 디도스 공격 탐지 및 차단 방법이 제공된다.
일측에 있어서, 응용 계층 디도스 공격 탐지 및 차단 방법은 디도스 공격 프로그램은 난독화된 웹 페이지로부터 정보를 추출할 수 없다는 가정하에 실시되며, 웹 페이지의 서버 과부하를 인지하였을 때 실시된다.
또 다른 측면에 있어서, 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계는 웹 페이지에 접속하는 클라이언트마다 각각 다른 링크 주소를 전송한다.
또 다른 측면에 있어서, 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계는 서버사이드 스크립트를 이용하여 링크 주소를 변경하고, 변경된 링크 주소에 대해 디도스 공격 매체가 해석 가능한 경우, 변경된 링크 주소를 난독화하여 클라이언트에게 전송한다.
또 다른 측면에 있어서, 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계는 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소인지 아닌지를 기준으로 판단한다.
또 다른 측면에 있어서, 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소라면 신뢰도는 플러스 점수가 가산되고, 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소라면 신뢰도는 마이너스 점수가 가산된다.
또 다른 측면에 있어서, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 단계는 신뢰도의 초기값은 기준치보다 높게 설정하며, 신뢰도가 설정 가능한 기준치 이하로 낮아지면 클라이언트의 웹 페이지 접근을 차단한다.
또 다른 측면에 있어서, 응용 계층 디도스 공격 탐지 및 차단 방법의 실시 시간은 서버의 부하 상태에 따라 조절한다.
서버와 메모리, 그리고 메모리에 저장되어 있는 프로그램을 실행하는 프로세서를 포함하며, 상기 프로그램은 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하고, 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하며, 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 명령어를 포함하는 응용 계층 디도스 공격 탐지 및 차단 장치가 제공된다.
일측에 있어서, 응용 계층 디도스 공격 탐지 및 차단 장치는 디도스 공격 프로그램은 난독화된 웹 페이지로부터 정보를 추출할 수 없다는 가정하에 실시되며, 서버의 과부하를 인지하였을 때 실시된다.
본 발명을 통해, 변경된 링크 주소를 알지 못하거나 난독화를 해석하지 못하는 좀비 PC를 탐지해낼 수 있으며, 기존 통계적인 방법의 탐지 시간 측면에서 크게 단축할 수 있다.
또한, 기존의 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)에 의존했던 시스템에 비해 정상 사용자에게 부담을 주지 않는 방법을 제안할 수 있다.
도 1은 본 발명의 일실시예에 있어서, 디도스 공격이 이루어지는 환경의 일례를 나타낸 도면이다.
도 2는 본 발명의 일실시예에 있어서, 기존의 디도스 공격과 응용 계층 디도스 공격을 비교한 것이다.
도 3은 본 발명의 일실시예에 있어서, 응용 계층 디도스 공격 탐지 및 차단 방법의 실시를 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 있어서, 클라이언트의 접속 링크 주소를 변경하는 방법을 도시한 것이다.
도 5는 본 발명의 일실시예에 있어서, 응용 계층 디도스 공격 탐지 및 차단 장치의 내부 구성을 도시한 블록도이다.
이하, 첨부된 도면을 참조하여 응용 계층 디도스 공격 탐지 및 차단 방법과 그 장치에 대하여 자세히 설명한다.
디도스(DDoS, Distributed Denial of Service)란 서버나 네트워크 대역이 감당할 수 없는 많은 양의 트래픽을 순간적으로 일으켜 서버를 마비시키게 되고, 이에 따라 일반 사용자의 접속 및 사용이 차단되는 것을 말한다.
이러한 디도스 공격이 이루어지는 환경이 도 1에 도시되어 있다. 크래킹을 명령하는 마스터 PC(110)와 서버가 마비될 정도의 많은 좀비 PC(120)가 필요하다. 마스터 PC(110)는 수많은 PC에 악성코드를 전파함으로써 원격 조종하고 디도스 공격 명령을 수행할 수 있는 좀비 PC(120)로 만들 수 있으며, 좀비 PC(120)로 하여금 특정 서버(130)에 디도스 공격을 감행하여 과부하를 일으켜 정상 사용자(140)의 서버(130) 이용과 접속을 막도록 한다.
이러한 디도스 공격은 점점 다양한 유형으로 나타나고 있는데, 그 중 하나가 응용 계층 디도스 공격이다. 도 2는 기존 디도스 공격과 응용 계층 디도스 공격의 스케일과 특징을 비교한 것이다. 도 2에 도시된 바와 같이, 응용 계층 디도스 공격은 기존 디도스 공격보다 적은 규모로 실시되지만 다양한 전송률로 실행될 수 있기 때문에 공격자가 다양한 공격 시나리오를 바탕으로 응용 계층 공격을 시도할 경우엔 공격을 탐지하거나 차단하는데 어려움이 발생할 수 있다.
이러한 디도스 공격은 점점 다양한 유형으로 나타나고 있는데, 그 중 하나가 응용 계층 디도스 공격이다. 도 2는 기존 디도스 공격과 응용 계층 디도스 공격의 스케일과 특징을 비교한 것이다. 도 2에 도시된 바와 같이, 응용 계층 디도스 공격은 네트워크 계층 디도스 공격보다 적은 수의 트래픽 규모로도 공격이 가능하며, IP스푸핑 등의 네트워크 계층에서의 이상 행위를 하지 않기 때문에 공격자가 다양한 공격 시나리오를 바탕으로 응용 계층 공격을 시도할 경우엔 공격을 탐지하거나 차단하는데 어려움이 발생할 수 있다.
본 발명의 실시예에 있어서 도 3은 응용 계층 디도스 공격 탐지 및 차단 방법을 실시하는 흐름도를 도시한 것이다.
본 발명에서 제안하는 응용 계층 디도스 공격 탐지 및 차단 방법은 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계(111~113); 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계(120~122); 및 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 단계(130~131)를 포함하는 응용 계층 디도스 공격 탐지 및 차단 방법이 제공될 수 있다.
응용 계층 디도스 공격의 특성에 따라 현재의 IP 기반 네트워크가 각 클라이언트에게 동일한 주소를 통해 접근하도록 하기 때문이라 판단하여, 각 클라이언트 마다 서로 다른 주소로 동일한 웹 페이지에 접속하게 함으로써 본 발명의 적용이 가능하다. 즉, 응용 계층 디도스 공격 탐지 및 차단 방법은 디도스 공격 프로그램이 변경되고 난독화된 웹 페이지 링크 주소로부터 정보를 추출할 수 없다는 가정하에 실시된다.
또한, 본 발명은 단계(110)와 같이 웹 페이지의 서버 과부하를 인지하였을 때, 디도스 공격을 받은 것으로 인지하여 본 발명이 실시될 수 있다.
디도스 공격 상황이 인지되면, 웹 페이지 내의 링크 주소를 변경하고, 난독화하며, 변경되고 난독화된 링크 주소를 클라이언트에게 전송하는 단계가 세 가지 단계로 나뉘어 순서대로 실시될 수 있다.
먼저, 전송하는 웹 페이지 내의 링크 주소를 변경하는데, 이때 각 클라이언트의 정보를 이용할 수 있다. 단계(111)로 설명되는데, 일례로 도 4에 도시된 바와 같이, 웹 페이지의 링크 주소(410)를 변경하여 링크 주소(420)와 같이 만들 때, 클라이언트의 정보(430), 예를 들어 IP 정보 등을 바탕으로 링크 주소를 변경할 수 있다. 예를 들어, IP 주소 뒷자리가 164인 클라이언트의 정보를 이용하여 Index.html 내의 웹 링크 people.html을 people164.html으로 변경할 수 있다. 클라이언트의 정보(430)는 각 클라이언트마다 다르기 때문에 웹 페이지에 접속하는 클라이언트에게 각각 다른 링크 주소를 할당하고 전송할 수 있다. 즉, 각 클라이언트에 유일한 값을 할당함으로써, 공격자가 이차 공격 명령을 내릴 수 있는 가능성을 막는다. 링크 주소를 변경할 때는 PHP, JSP, ASP 등의 서버사이드 스크립트를 이용하여 상기 링크 주소를 변경할 수 있다.
단계(111)에서 변경된 링크 주소에 대해 디도스 공격 매체가 링크 파싱 등의 방법을 통해 해석 가능한 경우, 변경된 링크 주소를 난독화하는 단계(112)를 실행하여 클라이언트에게 전송할 수 있다. 따라서, 단계(112)는 선택적으로 실행될 수 있으며, Java Script 등의 방법론을 통해 난독화 기능을 수행할 수 있다.
단계(111)와 단계(112)를, 혹은 단계(111)를 거쳐 변경된 링크 주소를 클라이언트에게 전송하고, 다음 접속을 대기할 수 있다(113). 클라이언트의 다음 접속을 인지하였을 때, 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 변경된 링크 주소를 비교하여 신뢰도를 판단할 수 있다(120).
클라이언트의 신뢰도는 클라이언트가 접근하는 링크 주소가 이전 웹 페이지 전송 시 변경되고 난독화된 링크 주소인지 아닌지를 기준으로 판단할 수 있다. 클라이언트에게 전송한 링크 주소가 아닌 보통 상태(디도스 공격을 인지하지 않아 링크 주소를 변경하지 않은 상태)에서 접속할 수 있는 원래의 링크 주소로 접속한 것으로 인지 된다면 클라이언트의 신뢰도에 마이너스 점수가 가산되고(121), 클라이언트에게 전송한 링크 주소로 접속했다면 클라이언트의 신뢰도에 플러스 점수가 가산될 수 있다(122). 이때, 클라이언트가 변경된 링크 주소로 접속하지 않는다 하여 바로 차단하지 않는 이유는 멀티 브라우저(Multi Browser)를 이용하여 접속하거나 즐겨 찾기를 통해 접속하는 등의 디도스 공격자가 아닌 정상 클라이언트에 해당할 수 도 있기 때문이다.
클라이언트가 접속할 때는 단계(111)와 단계(112)로 변경된 방식의 역 프로세스를 통해 큰 부하 없이 가능한데, 도 4의 일례와 같이 변경된 링크 주소 people164.html에 해당 클라이언트의 IP 뒷자리인 164를 제하고 people.html을 다시 추출함으로써 가능하다.
클라이언트의 신뢰도를 계속적으로 평가함에 있어서, 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정할 수 있다(130). 신뢰도의 초기값은 기준치보다 높게 설정하며, 신뢰도가 계속적으로 마이너스 점수가 가산되어 이 기준치 이하로 낮아지면 클라이언트의 웹 페이지 접근을 차단한다. 여기서, 신뢰도의 초기 값과 신뢰도에 플러스되거나 마이너스되는 점수는 서버의 담당 사용자에 의해 설정될 수 있다.
이러한 응용 계층 디도스 공격 탐지 및 차단 방법은 한 번에 완료되지는 않으며, 본 방법의 실시 시간은 서버의 부하 상태에 따라 조절이 가능하다. 클라이언트가 변경된 웹 페이지 링크 주소로 접속하던지 원래의 웹 페이지 링크 주소로 접속하던지 상관없이 디도스 공격 상황이 계속 지속되고 있다고 판단하면, 해당 발명의 프로세스와 동일한 과정을 거치며, 이 시간 동안 디도스 공격자로 판단된 클라이언트의 웹 페이지 접근을 계속적으로 차단할 수 있다.
도 5와 같이, 서버(510)와 메모리(520), 그리고 메모리(520)에 저장되어 있는 프로그램을 실행하는 프로세서(530)를 포함하는 구성을 가지는 장치로서, 상기 프로그램은 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하고, 클라이언트가 접근하는 링크 주소와 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하며, 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정하는 명령어를 포함하는 응용 계층 디도스 공격 탐지 및 차단 장치(500)가 제공될 수 있다.
이러한 응용 계층 디도스 공격 탐지 및 차단 장치(500)는 앞서 설명한 응용 계층 디도스 공격 탐지 및 차단 방법을 실행하는 장치가 될 수 있으며, 각 단계는 장치 메모리(520)에 저장되어 있는 프로그램으로서 프로세서(530)에 의해 실행될 수 있다.
상기 장치(500)는 디도스 공격 프로그램은 난독화된 웹 페이지로부터 정보를 추출할 수 없다는 가정하에 실시되며, 서버(510)의 과부하를 인지하였을 때 실시될 수 있는데, 서버의 과부하가 인지되면 디도스 공격을 받은 것으로 간주하여 장치(500)가 실시되는 것이다.
클라이언트에게 전송하는 링크 주소는 웹 페이지에 접속하는 클라이언트마다 각각 다른 링크 주소를 전송하는데, 이때 클라이언트의 IP 주소 등의 각 클라이언트마다 다른 정보를 이용하여 링크 주소를 변경할 수 있다. 링크 주소는 PHP, JSP, ASP 등의 서버사이드 스크립트를 이용하여 변경되고, 변경된 링크 주소에 대해 디도스 공격 매체가 해석 가능한 경우에, 변경된 링크 주소가 난독화되어 클라이언트에게 전송될 수 있다. 다시 말하면, 변경된 링크 주소가 난독화되는 것은 선택적으로 이루어질 수 있는데, 이때 난독화는 Java Script 등의 방법을 이용하여 수행될 수 있다.
클라이언트에게 변경된 링크 주소를 전송하고, 이후 클라이언트의 접속이 감지될 때, 장치(500)는 접속한 클라이언트의 신뢰도를 판단하여 웹 페이지의 접속을 허용하거나 차단할 수 있다. 신뢰도는 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소인지 아닌지를 기준으로 판단할 수 있는데, 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소라면 클라이언트의 신뢰도에 플러스 점수가 가산되고, 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소라면 클라이언트의 신뢰도에 마이너스 점수가 가산되어 수치적으로 판단할 수 있다.
각 클라이언트의 신뢰도는 장치(500)에 기준치를 설정하여 신뢰도와 기준치를 비교하여 클라이언트의 웹 페이지 접근 차단 여부를 결정할 수 있다. 먼저 초기의 신뢰도는 기준치보다 높게 설정하며, 신뢰도가 설정 가능한 기준치 이하로 낮아지면 클라이언트의 웹 페이지 접근을 차단할 수 있다. 클라이언트가 변경된 링크 주소로 접속하지 않는다 해서 바로 차단하지 않는 것은 디도스 공격자가 아닌 정상 클라이언트일 가능성에 대해 배제하지 않는 것이다.
이러한 응용 계층 디도스 공격 탐지 및 차단 장치(500)의 실시 시간은 서버(510)의 부하 상태에 따라 조절될 수 있다. 즉, 디도스 공격이 계속적으로 이루어지고 있다고 인지되면, 본 장치(500)는 계속적으로 실시되어 디도스 공격자로 판단되는 클라이언트의 웹 페이지 접근을 차단할 수 있다.
이와 같이 본 발명의 실시예에 있어서, 응용 계층에 디도스 공격을 탐지하고 차단하는 방법과 그 장치에 있어서, 접근하는 클라이언트의 정보를 이용하여 변경된 링크 주소를 생산하여 전송함으로써, 디도스 공격을 차단하고 클라이언트로 하여금 정상적인 서버의 사용이 가능하도록 할 수 있다.
실시예에 따른 응용 계층 디도스 공격 탐지 및 차단 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic media), CD-ROM, DVD와 같은 광기록 매체(Optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(Magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등한 것들에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
500: 디도스 공격 탐지 및 차단 장치.
510: 서버
520: 메모리
530: 프로세서

Claims (16)

  1. 응용 계층 디도스 공격을 탐지 및 차단하는 방법에 있어서,
    웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계;
    상기 클라이언트가 접근하는 링크 주소와 상기 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계; 및
    상기 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고, 상기 신뢰도와 상기 기준치를 비교하여 상기 클라이언트의 상기 웹 페이지 접근 차단 여부를 결정하는 단계
    를 포함하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  2. 제1항에 있어서,
    상기 응용 계층 디도스 공격 탐지 및 차단 방법은
    디도스 공격 프로그램은 난독화된 웹 페이지로부터 정보를 추출할 수 없다는 가정하에 실시되며,
    상기 웹 페이지의 서버 과부하를 인지하였을 때 실시되는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  3. 제1항에 있어서,
    상기 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계는
    상기 웹 페이지에 접속하는 클라이언트마다 각각 다른 링크 주소를 전송하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  4. 제1항에 있어서,
    상기 웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하는 단계는
    서버사이드 스크립트를 이용하여 상기 링크 주소를 변경하고,
    상기 변경된 링크 주소에 대해 디도스 공격 매체가 해석 가능한 경우, 상기 변경된 링크 주소를 난독화하여 상기 클라이언트에게 전송하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  5. 제1항에 있어서,
    상기 클라이언트가 접근하는 링크 주소와 상기 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하는 단계는
    상기 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소인지 아닌지를 기준으로 판단하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  6. 제5항에 있어서,
    상기 클라이언트가 접근하는 링크 주소가 상기 변경되고 난독화된 링크 주소라면 상기 신뢰도는 플러스 점수가 가산되고,
    상기 클라이언트가 접근하는 링크 주소가 상기 변경되고 난독화된 링크 주소가 아니라면 상기 신뢰도는 마이너스 점수가 가산되는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  7. 제1항에 있어서,
    상기 신뢰도와 상기 기준치를 비교하여 상기 클라이언트의 상기 웹 페이지 접근 차단 여부를 결정하는 단계는
    상기 신뢰도의 초기값은 상기 기준치보다 높게 설정하며, 상기 신뢰도가 설정 가능한 기준치 이하로 낮아지면 상기 클라이언트의 상기 웹 페이지 접근을 차단하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  8. 제7항에 있어서,
    상기 응용 계층 디도스 공격 탐지 및 차단 방법의 실시 시간은 서버의 부하 상태에 따라 조절하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 방법.
  9. 서버;
    메모리; 및
    상기 메모리에 저장되어 있는 프로그램을 실행하는 프로세서를 포함하고,
    상기 프로그램은
    웹 페이지 내의 링크 주소를 변경하고 난독화하여 클라이언트에게 전송하고,
    상기 클라이언트가 접근하는 링크 주소와 상기 클라이언트에게 전송한 링크 주소를 비교하여 신뢰도를 판단하며,
    상기 웹 페이지의 접근 차단의 기준이 되는 기준치를 설정하고,
    상기 신뢰도와 상기 기준치를 비교하여 상기 클라이언트의 상기 웹 페이지 접근 차단 여부를 결정하는 명령어를 포함하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  10. 제9항에 있어서,
    상기 응용 계층 디도스 공격 탐지 및 차단 장치는
    디도스 공격 프로그램은 난독화된 웹 페이지로부터 정보를 추출할 수 없다는 가정하에 실시되며,
    상기 서버의 과부하를 인지하였을 때 실시되는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  11. 제9항에 있어서,
    상기 클라이언트에게 전송하는 링크 주소는 상기 웹 페이지에 접속하는 클라이언트마다 각각 다른 링크 주소를 전송하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  12. 제9항에 있어서,
    상기 링크 주소는 서버사이드 스크립트를 이용하여 변경되고,
    상기 변경된 링크 주소에 대해 디도스 공격 매체가 해석 가능한 경우, 상기 변경된 링크 주소가 난독화되어 상기 클라이언트에게 전송되는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  13. 제9항에 있어서,
    상기 신뢰도는 상기 클라이언트가 접근하는 링크 주소가 변경되고 난독화된 링크 주소인지 아닌지를 기준으로 판단하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  14. 제13항에 있어서,
    상기 신뢰도는
    상기 클라이언트가 접근하는 링크 주소가 상기 변경되고 난독화된 링크 주소라면 플러스 점수가 가산되고,
    상기 클라이언트가 접근하는 링크 주소가 상기 변경되고 난독화된 링크 주소가 아니라면 마이너스 점수가 가산되는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  15. 제9항에 있어서,
    상기 신뢰도의 초기값은 상기 기준치보다 높게 설정하며,
    상기 신뢰도와 상기 기준치를 비교하여 상기 클라이언트의 상기 웹 페이지 접근 차단 여부를 결정하는 명령어는,
    상기 신뢰도가 설정 가능한 기준치 이하로 낮아지면 상기 클라이언트의 상기 웹 페이지 접근을 차단하는 명령어인 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
  16. 제9항에 있어서,
    상기 응용 계층 디도스 공격 탐지 및 차단 장치의 실시 시간은 상기 서버의 부하 상태에 따라 조절하는 것
    을 특징으로 하는 응용 계층 디도스 공격 탐지 및 차단 장치.
KR1020120114607A 2012-10-16 2012-10-16 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치 KR101370244B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120114607A KR101370244B1 (ko) 2012-10-16 2012-10-16 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120114607A KR101370244B1 (ko) 2012-10-16 2012-10-16 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치

Publications (1)

Publication Number Publication Date
KR101370244B1 true KR101370244B1 (ko) 2014-03-06

Family

ID=50647539

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120114607A KR101370244B1 (ko) 2012-10-16 2012-10-16 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치

Country Status (1)

Country Link
KR (1) KR101370244B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050018950A (ko) * 2002-07-29 2005-02-28 인터내셔널 비지네스 머신즈 코포레이션 분산된 서비스 거부 공격에 대한 컨텐츠 분산 네트워크의회복력을 향상시키는 방법 및 장치
KR20110085384A (ko) * 2010-01-20 2011-07-27 지니네트웍스(주) 서비스거부공격/분산서비스거부공격 발생 시 비상용 웹사이트 접속 유도 방법
KR20120017357A (ko) * 2010-08-18 2012-02-28 주식회사 파이오링크 서비스 거부 공격을 방어하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050018950A (ko) * 2002-07-29 2005-02-28 인터내셔널 비지네스 머신즈 코포레이션 분산된 서비스 거부 공격에 대한 컨텐츠 분산 네트워크의회복력을 향상시키는 방법 및 장치
KR20110085384A (ko) * 2010-01-20 2011-07-27 지니네트웍스(주) 서비스거부공격/분산서비스거부공격 발생 시 비상용 웹사이트 접속 유도 방법
KR20120017357A (ko) * 2010-08-18 2012-02-28 주식회사 파이오링크 서비스 거부 공격을 방어하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체

Similar Documents

Publication Publication Date Title
CN107211016B (zh) 会话安全划分和应用程序剖析器
US9848016B2 (en) Identifying malicious devices within a computer network
US9817969B2 (en) Device for detecting cyber attack based on event analysis and method thereof
US11212281B2 (en) Attacker detection via fingerprinting cookie mechanism
CN107465648B (zh) 异常设备的识别方法及装置
US20170302699A1 (en) Limiting the efficacy of a denial of service attack by increasing client resource demands
US9282116B1 (en) System and method for preventing DOS attacks utilizing invalid transaction statistics
US8191137B2 (en) System and method for identification and blocking of malicious use of servers
US8332946B1 (en) Method and system for protecting endpoints
JP6290659B2 (ja) アクセス管理方法およびアクセス管理システム
US20130332109A1 (en) Methods and systems for statistical aberrant behavior detection of time-series data
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
WO2022088633A1 (zh) 横向渗透防护方法、装置、设备及存储介质
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
JP4739962B2 (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN112671736B (zh) 一种攻击流量确定方法、装置、设备及存储介质
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
CN115398430A (zh) 恶意入侵检测方法、装置、系统、计算设备、介质和程序
KR101370244B1 (ko) 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
KR101445817B1 (ko) 서비스 이용 제어 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170125

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee