KR101380015B1 - Collaborative Protection Method and Apparatus for Distributed Denial of Service - Google Patents
Collaborative Protection Method and Apparatus for Distributed Denial of Service Download PDFInfo
- Publication number
- KR101380015B1 KR101380015B1 KR1020100078305A KR20100078305A KR101380015B1 KR 101380015 B1 KR101380015 B1 KR 101380015B1 KR 1020100078305 A KR1020100078305 A KR 1020100078305A KR 20100078305 A KR20100078305 A KR 20100078305A KR 101380015 B1 KR101380015 B1 KR 101380015B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- attack
- denial
- analysis result
- traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치가 제공된다. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계와, 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계와, 보안 장비로부터 검출된 데이터에 대한 분석결과를 수신하고 분석결과에 따라서 트래픽을 제어하는 제1동작또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작중 적어도 하나를 수행하는 단계를 포함한다.Provided are a cooperative defense method and apparatus for distributed service denial attack. The collaborative defense method for a distributed denial of service attack performed by a network device includes detecting data suspected of the distributed service denial of attack by monitoring traffic forwarded to a service server; And informing the security device that the detected data is suspected of a distributed service denial attack, and receiving a result of the analysis of the detected data from the security device and controlling traffic according to the result of the analysis. And performing at least one of a second operation of controlling traffic according to a predetermined rule before performing the operation.
Description
본 발명은 분산되어 있는 다수의 공격자들이 하나의 서비스 제공자에게 동시에 서비스 장애를 발생시키는 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 능동적이고 효율적인 방어를 지원하는 방어 체계에 관한 것이다.The present invention relates to a defense system that supports an active and effective defense against distributed denial of service (DDoS) attacks in which a plurality of distributed attackers simultaneously cause a service failure to one service provider.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-013-03, 과제명: All IPv6 기반 Fixed-Mobile Convergence 네트워킹 기술 개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Knowledge Economy and the Ministry of Information and Telecommunication Research and Development. [Task management number: 2007-S-013-03, Task name: All IPv6-based Fixed-Mobile Convergence Networking technology development].
분산서비스거부(DDoS: Distributed Denial of Service) 공격은 다수의 공격자들이 하나의 서비스 제공자를 공격하여 서비스 장애를 발생시키는 공격 패턴의 일종이다. DDoS 공격에 대하여, 기존에는 보안 장비가 모든 데이터에 대해 공격 패턴 분석, 공격 판단 및 공격 데이터 제어 등의 모든 방어 동작을 수행한다. 보안 장비는 서비스 제공자의 보안을 담당하는 장비이다. 라우터와 같은 네트워크 장비는 입력되는 모든 데이터를 보안 장비에게 전송한다.Distributed Denial of Service (DDoS) attacks are a type of attack pattern in which multiple attackers attack a service provider and cause a service failure. In the case of DDoS attacks, the security equipment performs all defense operations such as attack pattern analysis, attack determination, and attack data control on all data. Security equipment is the equipment responsible for the security of the service provider. Network equipment such as routers transmit all incoming data to security equipment.
이러한 방어 체계는 보안 장비가 모든 데이터에 대해 분석, 판단 및 제어 등의 방어 동작을 수행하므로 부하 증가를 발생시킨다. 부하증가는 방어 동작의 오류율이 증가할 뿐 아니라, 보안 장비를 통과하는 정상 데이터가 제공하는 서비스의 품질을 저하시킨다. 이는, 결과적으로 DDoS 공격이 성공하게 하는 결과를 초래한다.Such a defense system causes an increase in load because security devices perform defense actions such as analysis, judgment, and control on all data. Increasing load not only increases the error rate of defensive actions, but also reduces the quality of service provided by normal data passing through security equipment. This results in a successful DDoS attack.
따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 네트워크 장비와 보안 장비의 협업형 방어체계에 의해 외부로부터의 공격을 판단하고, 판단된 공격에 대응함으로써, 보안 장비의 부하를 최소화하고, 보다 효율적인 방어 체계를 구축할 수 있는, 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 을 제공하는 것이다.Accordingly, an object of the present invention for solving the above problems is to determine the attack from the outside by the collaborative defense system of the network equipment and the security equipment, by minimizing the load of the security equipment by responding to the determined attack In addition, the present invention provides a collaborative defense method and apparatus for denied distributed service attack that can establish a more effective defense system.
본 발명의 일 실시예에 따른, 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계; '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고, 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 단계를 포함할 수 있다. According to an embodiment of the present invention, a collaborative defense method for a distributed denial of service attack performed by a network device, the distributed service rejection attack through monitoring of traffic forwarded to a service server Detecting suspected data; Notifying the security device that the detected data is data suspected of the distributed service denial of attack; 'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' And performing at least one of the second operations'.
상기 검출하는 단계는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계; 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함할 수 있다. The detecting may include: checking a generation pattern of the input data based on flow information of the input data; Judging whether the occurrence pattern of the input data corresponds to an attack pattern registered in the network device; And if the occurrence pattern of the input data corresponds to an attack pattern registered in the network device, determining the input data as data suspected of the distributed service denial attack.
상기 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. The occurrence pattern of the input data may be determined based on at least one of the amount of data input per unit time, whether or not the data having the same size is repeatedly generated, or whether the data is repeatedly generated for a specific function.
상기 알려주는 단계는, 상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함할 수 있다. The informing may include indicating that the detected data is abnormal symptom data in a manner promised between the network device and a security device; And forwarding the data indicated by the abnormal symptom data to the security equipment.
상기 알려주는 단계는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및 상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함할 수 있다. The notifying may include providing flow information of the detected data, wherein the flow information includes at least one of a source address, a destination address, and a port number; And forwarding the detected data to the security equipment.
검출된 데이터에 대한 분석결과는 검출된 데이터의 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다. The analysis result of the detected data may include information on the attack pattern of the detected data and information on the defense operation to be performed by the network device.
상기 방어 동작에 대한 정보 및 상기 기설정된 룰은 각각, 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. The information on the defensive operation and the predetermined rule each include at least one of a bandwidth limit for the traffic, a dropping of the traffic, and a dropping probability for the traffic. can do.
상기 제1 동작은, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함할 수 있다. The first operation may include registering an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial attack; And blocking a distributed service denial attack of the traffic according to the defense against the traffic included in the analysis result.
상기 트래픽의 분산서비스거부 공격을 차단하는 단계는, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함할 수 있다. The blocking of the distributed service denial attack of the traffic may include registering a defensive operation for the traffic included in the analysis result; And transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network entry point device.
한편, 본 발명의 다른 실시예에 따른, 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계; 상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계; 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함할 수 있다. On the other hand, in a collaborative defense method for a distributed denial of service attack performed by a security device according to another embodiment of the present invention, a network device that monitors traffic forwarded to a service server Receiving data from; Checking whether the data is data suspected of the distributed service denial attack based on the flow information of the data provided from the network device or the marking information displayed on the data; If the data is suspected of being a distributed service denial attack, precisely analyzing the data to determine whether the distributed service denial attack is performed; And transmitting the precise analysis result of the data to the network device.
상기 데이터에 대한 정밀 분석결과는, 상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.The result of the detailed analysis of the data may include information about an attack pattern on the data and information about a defense operation to be performed by the network device.
한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치는, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및 '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 제어부를 포함할 수 있다. Meanwhile, according to another embodiment of the present invention, a network device for collaborative defense against a distributed denial of service attack may be suspected of the distributed service denial attack through monitoring of traffic forwarded to a service server. A data monitoring unit detecting data to be read; A communication unit for notifying a security device that the detected data is data suspected of the distributed service rejection attack; And 'a first operation of receiving an analysis result of the detected data from the security device and controlling the traffic according to the analysis result', or 'controlling the traffic according to a preset rule before performing the first operation'. And a controller for performing at least one of the second operations.
상기 데이터 모니터링부는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부를 포함할 수 있다. The data monitoring unit checks the occurrence pattern of the input data based on flow information of the input data, and determines whether the identified occurrence pattern corresponds to an attack pattern registered in the network device. A pattern determination unit; And a suspicious data determination unit configured to determine the input data as data suspected of the distributed service denial attack when the occurrence pattern of the input data corresponds to an attack pattern registered in the network device.
상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;를 더 포함하며, 상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)할 수 있다.And an identification display unit indicating that the detected data is abnormal symptom data in a manner promised between the network device and the security equipment, wherein the communication unit forwards the data indicated by the abnormal symptom data to the security equipment. can do.
상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달할 수 있다. The communication unit may transmit the flow information of the detected data, the flow information including at least one of a source address, a destination address, and a port number, and the detected data to the security device.
상기 제어부는, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행할 수 있다. The controller registers an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial of attack, and rejects the distributed service of the traffic according to a defense against the traffic included in the analysis result. By blocking an attack, the first operation can be performed.
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부를 더 포함할 수 있다.The apparatus may further include a defensive operation register configured to register a defensive operation for the traffic included in the analysis result.
상기 제어부는, 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하도록 상기 네트워크 장치에게 요청할 수 있다. The control unit may request the network device to transmit the information on the defensive operation to the network control system so as to block the distributed service denial attack of the traffic at the network entry point device.
한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 보안 장비는, 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 데이터 확인부; 및 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 판단부; 및 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 상기 네트워크 장치로부터 상기 데이터를 수신하며, 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 통신부를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, the security equipment for the collaborative defense against distributed denial of service attacks, the flow information of the data provided from the network device or the marking information displayed on the data A data checking unit for checking whether the data is data suspected of the distributed service denial attack; And a determination unit determining whether the distributed service denial of attack is by analyzing the data precisely when the data is suspected of the distributed denial of service attack. And a communication unit configured to receive the data from the network device that monitors the traffic forwarded to the service server and to transmit a precise analysis result of the data to the network device.
본 발명의 실시예에 따르면, 네트워크 장치는 이상징후 데이터를 검출하여 보안장비에게 전달하고, 보안장비는 네트워크 장치에서 검출된 이상징후 데이터에 대해 정밀 분석하여 공격 패턴을 인식함으로써, 보안장비의 부하를 감소시킬 수 있다. 또한, 보안 장비에서 검출된 공격패턴을 네트워크 장치에 설정함으로써, 네트워크 장치는 본래 기능을 유지하면서 1차적으로 공격데이터를 차단할 수 있다. According to an embodiment of the present invention, the network device detects the abnormal symptom data and transmits it to the security equipment, and the security equipment precisely analyzes the abnormal symptom data detected by the network apparatus to recognize the attack pattern, thereby reducing the load of the security equipment. Can be reduced. In addition, by setting the attack pattern detected by the security equipment to the network device, the network device can primarily block the attack data while maintaining the original function.
또한, 본 발명에 따르면, 보안장비와 네트워크장비와의 협업을 통해 능동적으로 분산서비스거부 공격에 대응할 수 있다.In addition, according to the present invention, it is possible to actively cope with a distributed service denial attack through collaboration with security equipment and network equipment.
또한, 협업형 방어 체계에 의해, 보안 장비의 부담이 감소됨으로써 공격에 대한 오탐색률을 감소시키고, 보다 신속하게 공격에 대응함으로, 능동적인 방어체계를 구축할 수 있다.In addition, the collaborative defense system reduces the burden of security equipment to reduce the false positive rate of attack, and respond to the attack more quickly, it is possible to establish an active defense system.
도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치를 도시한 블록도이다.
도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다.
도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비를 도시한 블록도이다.
도 5는 본 발명의 다른 실시 예에 따른 DDoS 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.1 is a diagram illustrating a network system for collaborative defense against Distributed Denial of Service (DDoS) attacks according to an embodiment of the present invention.
2 is a block diagram illustrating a network device according to an embodiment of the present invention.
3 is a diagram illustrating an example of performing marking to identify suspected data in detected data.
4 is a block diagram illustrating security equipment for collaborative defense against DDoS attacks in accordance with one embodiment of the present invention.
5 is a diagram illustrating a part of a network system for collaborative defense against a DDoS attack according to another embodiment of the present invention.
6 is a flowchart illustrating a method of setting an attack pattern and a rule for defense, which is performed by a network device according to an embodiment of the present invention.
7 and 8 are flowcharts illustrating a collaborative defense method for a DDoS attack, which is performed by a network device according to an embodiment of the present invention.
9 is a flowchart illustrating a collaborative defense method for a DDoS attack, which is performed by a security device according to an embodiment of the present invention.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.1 is a diagram illustrating a network system for collaborative defense against Distributed Denial of Service (DDoS) attacks according to an embodiment of the present invention.
도 1을 참조하면, 네트워크 시스템은 네트워크 관제 시스템(100), 네트워크 장치(200), 보안 장비(300) 및 서비스 서버(400)를 포함할 수 있다.Referring to FIG. 1, a network system may include a
네트워크 관제 시스템(100)은 네트워크 장치(200)를 관리 및 제어하는 서버이다.The
네트워크 장치(200)는 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 보안 장비(300)로 포워딩할 수 있으며, 라우터를 예로 들 수 있다. 또한, 네트워크 장치(200)는 보안 장비(300)와의 협력을 기반으로 DDoS 공격을 1차적으로 방어할 수 있다. DDoS 공격은 다수의 공격자들이 분산 배치하여 동시에 서비스 장애를 발생시키는 공격이다. 다수의 공격자들은 도 1에 도시된 외부 기기들(10, 20, 30) 중 적어도 하나로부터 발생할 수 있다.The
보안 장비(300)는 서비스 서버(400)의 보안을 담당하는 장치로서, 네트워크 장치(200)와의 협력을 기반으로 DDoS 공격을 2차적으로 방어할 수 있다. 예를 들어, 보안 장비(300)는 네트워크 장치(200)로부터 플로우(flow) 정보가 제공된 데이터 또는 패킷에 마킹이 추가된 데이터를 정밀 분석하여 공격패턴을 검출할 수 있다. 공격을 위한 데이터로 판단되면, 보안 장비(300)는 네트워크 장치(200)에게 방어 동작을 하도록 요청할 수 있다. 보안 장비(300)의 예로는 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 또는 방화벽 등이 있다.The
서비스 서버(400)는 네트워크를 통해 연결된 다수의 사용자들에게 서비스를 제공하는 서비스 제공자이다.The
도 2는 본 발명의 일 실시예에 따른 네트워크 장치(200)를 도시한 블록도이다.2 is a block diagram illustrating a
도 2를 참조하면, 네트워크 장치(200)는 제1통신부(210), 공격 패턴 등록부(220), 방어 동작 등록부(230), 데이터 모니터링부(240), 식별 표시부(250) 및 제1제어부(260)를 포함할 수 있다.Referring to FIG. 2, the
제1통신부(210)는 다수의 외부 기기들(10, 20, 30), 네트워크 관제 시스템(100) 및 보안 장비(300)와 통신한다. 제1통신부(210)는 유선 또는 무선 방식으로 통신할 수 있다. 다수의 외부 기기들(10, 20, 30)은 서비스 서버(400)로부터 서비스를 제공받기 위한 단말기이거나 또는 서비스 서버(400)를 공격하기 위한 좀비 단말기일 수 있다. The
예를 들어, 제1통신부(210)는 다수의 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 데이터 모니터링부(240)로 전달할 수 있다. 또한, 제1통신부(210)는 데이터 모니터링부(240)에서 검출된 데이터가 DDoS 공격으로 의심되는 의심데이터임을 보안 장비(300)로 알려줄 수 있다. 제1통신부(210)는 검출된 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신할 수 있다.For example, the
공격 패턴 등록부(220)에는 관리자에 의해 설정되는 공격 패턴이 등록될 수 있다. 일 예로, 공격 패턴은 동일한 사이즈를 갖는 데이터가 지속적으로 반복되는 볼륨 공격과, ICMP(Internet Control Message Protocol) 및 HTTP(Hypertext Transfer Protocol) GET과 같이 반복적으로 발생하기 어려운 데이터가 반복되는 공격이 있으며, 이는 일 예일 뿐 이에 한정되지 않는다. 또한, 공격 패턴 등록부(220)에는 보안 장비(300)에 의해 분석된 공격 패턴이 등록될 수 있다.The attack pattern register 220 may register an attack pattern set by an administrator. For example, an attack pattern includes a volume attack in which data having the same size is continuously repeated, and an attack in which data that is difficult to occur repeatedly, such as Internet Control Message Protocol (ICMP) and Hypertext Transfer Protocol (HTTP) GET, is repeated. This is only an example and is not limited thereto. In addition, an attack pattern analyzed by the
방어 동작 등록부(230)에는 외부 기기들(10, 20, 30)로부터 공격으로 의심되는 데이터가 검출되는 경우, 후술할 제2동작에 사용할 룰이 기설정된다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. 또한, 방어 동작 등록부(230)에는 분석결과에 포함된 트래픽에 대한 방어 동작을 등록할 수 있다. 분석결과에 포함된 방어 동작은 후술할 제1동작에 적용되는 방어 방식이다.When the data suspected of an attack is detected from the
새로운 트래픽으로부터 공격으로 의심되는 데이터가 검출되면, 기설정된 룰 및 등록된 방어 동작은 제2동작을 이용하여 공격 데이터를 방어할 때 사용될 수 있다. 또한, 룰 또는 방어 동작은 공격 패턴 별로 설정되거나 등록될 수 있다.If data suspected of an attack is detected from the new traffic, the predetermined rule and the registered defense action may be used when defending the attack data using the second action. In addition, the rule or defense action may be set or registered for each attack pattern.
데이터 모니터링부(240)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 통해 DDoS 공격으로 의심되는 데이터를 검출할 수 있다. 이를 위하여, 데이터 모니터링부(240)는 패턴 판단부(241) 및 의심데이터 결정부(243)를 포함할 수 있다.The
패턴 판단부(241)는 외부 기기들(10, 20, 30)로부터 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인하고, 확인된 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단할 수 있다. The
입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. The generation pattern of the input data may be determined based on at least one of the amount of data input per unit time, whether the data having the same size is repeated, or whether the data is repeatedly generated for a specific function.
의심데이터 결정부(243)는 입력된 데이터의 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 이로써, 의심데이터가 검출된다.The
식별 표시부(250)는 네트워크 장치(200)와 보안 장비(300) 간에 약속된 방식에 따라서, 검출된 데이터가 의심데이터, 즉, 이상 징후 데이터임을 표시할 수 있다. 식별 표시부(250)는 네트워크 장치(200)에 식별표시모드가 설정되어 있는 경우 해당 동작을 수행할 수 있다. The
도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다. 도 3을 참조하면, 검출된 데이터는 데이터와 IP 헤더를 포함한다. 식별 표시부(250)는 검출된 데이터가 의심데이터임을 표시하기 위하여, 데이터의 패킷에 식별 헤더를 추가할 수 있다. 또는, 식별 표시부(250)는 식별 헤더의 추가대신, 의심데이터임을 표시하는 식별자를 검출된 데이터에 마킹할 수 있다.3 is a diagram illustrating an example of performing marking to identify suspected data in detected data. Referring to FIG. 3, the detected data includes data and an IP header. The
검출된 의심데이터는 하기 두 방식 중 적어도 하나에 의해 보안 장비(300)에게 통지될 수 있다. 이는, 보안 장비(300)가 보다 상세히 분석해야 하는 데이터를 쉽게 식별할 수 있도록 하기 위함이다. The detected suspicious data may be notified to the
먼저, 제1제어부(260)는 데이터 모니터링부(240)에서 의심데이터가 검출되면, 식별표시모드가 설정되어 있는 경우, 식별 표시부(250)를 제어하여 의심데이터임을 표시하고, 표시된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다. First, when suspicious data is detected by the
또는, 제1제어부(260)는 식별표시모드가 오프되어 있으면, 검출된 의심데이터의 플로우(flow) 정보와 검출된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다. 소스 어드레스는 외부 기기(10)의 어드레스, 목적지 어드레스는 서비스 서버(400)의 어드레스일 수 있다.Alternatively, when the identification display mode is turned off, the
상술한 방식에 의해, 제1통신부(210)는, 이상 징후 데이터로 표시된 의심데이터또는 의심데이터의 플로우 정보를 보안 장비(300)로 전달(forwarding)할 수 있다. 또한, 제1통신부(210)는 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신하여 제1제어부(260)로 전달한다.By the above-described method, the
제1제어부(260)는 보안 장비(300)로부터 제공된 의심데이터에 대한 분석결과에 따라서 트래픽을 제어하는 제1동작, 또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작 중 적어도 하나를 수행할 수 있다.The
제1동작을 수행하는 경우에 대해 먼저 설명한다.The case of performing the first operation will be described first.
보안 장비(300)로부터 제공되는 의심데이터에 대한 분석결과는 검출된 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 포함된 방어 동작에 대한 정보는 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다.The analysis result of the suspicious data provided from the
제1제어부(260)는 분석결과에 포함된 공격 패턴이 DDoS 공격의 공격 패턴인 경우, 분석결과에 포함된 트래픽에 대한 방어 동작에 따라서 트래픽의 DDoS 공격을 차단할 수 있다. 그리고, 제1제어부(260)는 분석결과에 포함된 공격 패턴을 공격 패턴 등록부(220)에 등록하고, 분석결과에 포함된 트래픽에 대한 방어 동작을 방어 동작 등록부(230)에 등록할 수 있다.When the attack pattern included in the analysis result is the attack pattern of the DDoS attack, the
제2동작을 수행하는 경우에 대해 설명하면 다음과 같다. 제1제어부(260)는 의심데이터가 검출되면, 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여 트래픽을 제어할 수 있다. 즉, 제1제어부(260)는 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여, 의심데이터에 의한 공격을 방어할 수 있다. A case of performing the second operation is as follows. When suspicious data is detected, the
제1제어부(260)가 제2동작을 수행하는 동안, 보안 장비(300)로부터 분석 결과가 수신되면, 제1제어부(260)는 분석 결과에 포함된 방어 동작에 따라서 의심데이터에 의한 공격을 방어할 수 있다.When the analysis result is received from the
도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비(300)를 도시한 블록도이다.4 is a block diagram illustrating a
도 4에 도시된 보안 장비(300)는 네트워크 장치(200)로부터 검출된 의심데이터를 수신하며, 의심데이터를 분석한 결과를 네트워크 장치(200)에게 전달할 수 있다. 이를 위하여, 보안 장비(300)는 제2통신부(310), 데이터 확인부(320), 판단부(330) 및 제2제어부(340)를 포함할 수 있다. The
제2통신부(310)는 네트워크 장치(200)로부터 데이터를 수신하며, 데이터에 대한 정밀 분석결과를 네트워크 장치(200)로 전송할 수 있다. 네트워크 장치(200)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 수행하는 장치이다. The
데이터 확인부(320)는 네트워크 장치(200)로부터 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 DDoS 공격으로 의심되는 의심데이터인지 여부를 확인할 수 있다. 예를 들어, 수신된 데이터의 패킷에 도 3에 도시된 바와 같은 식별 헤더가 추가되어 있으면, 데이터 확인부(320)는 네트워크 장치(200)로부터 제공된 데이터를 의심데이터로 판단할 수 있다.The
판단부(330)는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터이면, 의심데이터를 정밀분석하여 DDoS 공격인지 여부를 판단하고, 공격 패턴을 추출할 수 있다. 기존에는 수신된 데이터의 모든 플로우 별로 기저장된 시그니처(signature)를 확인하여 정밀분석을 수행하였다. 그러나, 판단부(330)는 의심데이터에 대해서만 시그니처를 확인하여 정밀분석을 수행할 수 있다. If the received data is suspicious data suspected of being a DDoS attack, the
제2제어부(340)는 의심데이터의 공격 패턴에 대항할 방어 동작에 대한 정보를 정밀분석결과에 포함시킬 수 있다. 따라서, 정밀 분석결과는 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 제2제어부(340)는 정밀 분석결과를 네트워크 장치(200)에게 전송하도록 제2통신부(310)를 제어한다.The
또한, 판단부(330)에서 수신된 데이터가 의심데이터가 아닌 것으로 판단되면, 제2제어부(340)는 네트워크 장치(200)에게 의심데이터임을 표시하는 동작을 멈추게 하고, 데이터를 전달하도록 요청할 수 있다. 이는, 이상징후 트래픽으로 예상된 트래픽이 정상적인 서비스로 판단되었기 때문이다.In addition, if it is determined that the data received by the
보안 장비(300)는 데이터 채널 또는 관리 채널을 이용하여 네트워크 장치(200)에게 분석결과를 전송할 수 있다. 데이터 채널을 이용하는 경우, 네트워크 장치(200)는 전송되는 분석결과를 공격패턴으로 인식할 수 있다. 따라서, 이를 미연에 방지하기 위하여, 보안 장비(300)는 분석결과는 허용된 데이터임을 기설정하도록 네트워크 장치(200)에게 요청할 수 있다.The
도 5는 본 발명의 다른 실시 예에 따른 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.FIG. 5 is a diagram illustrating a part of a network system for collaborative defense against a distributed denial of service attack according to another embodiment of the present invention.
도 5를 참조하면, 네트워크 시스템은 도 1에 도시된 보안 장비(300) 및 서비스 서버(400)와, 네트워크 관제 시스템(510), 제1네트워크 장치(520) 및 제2네트워크 장치(530)를 더 포함할 수 있다.Referring to FIG. 5, the network system may include the
외부 기기들(10, 20, 30) 중 적어도 하나가 서비스 서버(400)로 공격을 수행하면, 제1네트워크 장치(520)는 제2네트워크 장치(530)로 데이터를 전송한다. 제2네트워크 장치(530)는 전송되는 데이터의 트래픽을 모니터링하여, DDoS 공격으로 의심되는 데이터, 즉, 의심데이터를 검출한다. 제2네트워크 장치(530)는 검출된 의심데이터를 보안 장비(300)와 미리 약속된 방식으로 표시하고, 의심데이터를 보안 장비(300)로 전달한다.When at least one of the
보안 장비(300)는 의심데이터를 정밀 분석하여 공격 패턴을 판단하고, 방어 동작에 대한 정보를 포함하는 분석 결과를 제2네트워크 장치(530)에게 전송한다. 이 때, 보안 장비(300)는 네트워크 인입단 장치에서 트래픽의 DDoS 공격을 차단하도록, 제2네트워크 장치(530)에게 요청한다. 이로써, 제2네트워크 장치(530)는 수신된 분석 결과에 포함된 방어 동작에 대한 정보를 네트워크 관제 시스템(510)으로 전송하며, 네트워크 관제 시스템(510)은 방어 동작에 대한 정보를 이용하여 공격을 차단하도록 제1네트워크 장치(520)를 제어할 수 있다. The
도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a method of setting an attack pattern and a rule for defense, which is performed by a network device according to an embodiment of the present invention.
도 6의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.The method of FIG. 6 may be performed by the
610단계에서, 네트워크 장치는 관리자에 의해 입력되는 공격 패턴 및 허용 패턴을 등록할 수 있다. 공격 패턴은 외부 기기들로부터 입력되는 데이터의 공격 패턴이며, 허용 패턴은 입력되는 데이터가 공격 데이터가 아님을 판단하기 위한 패턴이다.In
620단계에서, 네트워크 장치는 외부 기기들로부터 입력되는 공격으로 의심되는 데이터를 방어할 때 사용할 수 있는 룰을 설정할 수 있다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. In
도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.7 and 8 are flowcharts illustrating a collaborative defense method for a distributed denial of service attack performed by a network device according to an embodiment of the present invention.
도 7 및 도 8의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.The method of FIGS. 7 and 8 may be performed by the
705단계에서, 네트워크 장치는 외부 기기들로부터 서비스 서버로 포워딩되는 데이터의 트래픽을 모니터링하고, 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인할 수 있다.In
710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴에 해당하는지 판단할 수 있다. In
715단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴이면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. In
720단계에서, 식별표시모드가 네트워크 장치에 설정되어 있으면, 725단계에서, 네트워크 장치는 이상 징후 데이터임을 의미하는 식별자를 검출된 데이터에 표시할 수 있다. 예를 들어, 네트워크 장치는 헤더를 추가하거나 마킹을 이용할 수 있다.If the identification display mode is set in the network device in
730단계에서, 네트워크 장치는 식별자가 표시된 의심데이터를 보안 장비에게 전송할 수 있다.In
반면, 식별표시모드가 설정되어 있지 않으면, 735단계에서, 네트워크 장치는 의심데이터 및 의심데이터의 플로우 정보를 보안 장비에게 전송할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다.On the other hand, if the identification display mode is not set, in
740단계에서, 네트워크 장치는 네트워크 장치에 기설정된 룰이 존재하면, 745단계에서, 기설정된 룰에 따라 공격을 방어할 수 있다. 즉, 네트워크 장치는 기설정된 룰을 이용하여 트래픽을 제어할 수 있다. If a predetermined rule exists in the network device in
750단계에서, 745단계를 수행하는 중 보안 장비로부터 분석결과를 수신하면, 755단계에서, 네트워크 장치는 기설정된 룰과 분석결과에 포함된 방어 동작에 대한 정보가 동일한지 판단한다.In
동일하면, 네트워크 장치는 745단계를 유지한다.If the same, the network device maintains
동일하지 않으면, 네트워크 장치는 후술할 765단계를 수행한다.If not the same, the network device performs
반면, 760단계에서, 네트워크 장치는 보안 장비로부터 분석 결과를 수신하고, 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.In
765단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.In
한편, 710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있지 않으면, 810단계를 수행한다.In
도 8을 참조하면, 810단계에서, 네트워크 장치는 입력된 데이터를 보안 장비로 전송한다.Referring to FIG. 8, in
820단계에서, 네트워크 장치는 보안 장비로부터 데이터에 대한 분석 결과를 수신한다.In
830단계에서, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터이면, 840단계에서, 네트워크 장치는 분석 결과에 포함된 허용 패턴을 네트워크 장치 내에 등록할 수 있다.In
850단계에서, 네트워크 장치는 입력되는 데이터를 지속적으로 보안 장비에게 전송한다.In
반면, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터가 아니면, 860단계에서, 네트워크 장치는 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.In contrast, if the inputted data is not the allowable data as a result of confirming the analysis result, the network device may register the attack pattern included in the analysis result in the network device in
870단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.In
도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.9 is a flowchart illustrating a collaborative defense method for a distributed denial of service attack performed by a security device according to an embodiment of the present invention.
도 9의 방법은 도 1 또는 도 5를 참조하여 설명한 보안 장비(300)에 의해 수행될 수 있다.The method of FIG. 9 may be performed by the
910단계에서, 보안 장비는 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신한다.In
920단계에서, 보안 장비는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터인지 확인할 수 있다. 구체적으로, 보안 장비는 910단계에서 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 의심데이터인지 여부를 확인할 수 있다.In
930단계에서, 보안 장비는 데이터가 DDoS 공격으로 의심되면, 즉, 의심데이터로 확인되면, 데이터를 정밀분석하여 DDoS 공격인지 여부를 판단할 수 있다. 데이터에 대한 정밀 분석결과는, 데이터에 대한 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.In
940단계에서, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 950단계에서, 보안 장비는 공격 패턴 및 방어 동작을 포함하는 분석 결과를 네트워크 장치에게 전송한다.In
반면, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 960단계에서, 보안 장비는 허용 패턴을 포함하는 분석 결과를 네트워크 장치에게 전송한다.On the contrary, if the suspicious data is confirmed as the data having the attack pattern in
한편, 920단계에서 의심데이터가 아닌 것으로 확인되면, 970단계에서, 데이터가 공격 패턴을 가지는지 여부를 확인하기 위해 데이터를 분석한다. On the other hand, if it is determined in
분석 결과에 따라, 보안 장비는, 940단계 내지 960단계를 수행한다. According to the analysis result, the security device performs
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. The methods according to embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.
200: 네트워크 장치 210: 제1통신부
220: 공격 패턴 등록부 230: 방어 동작 등록부
240: 데이터 모니터링부 250: 식별 표시부
260: 제1제어부200: network device 210: first communication unit
220: attack pattern register 230: defense operation register
240: data monitoring unit 250: identification display unit
260: first control unit
Claims (19)
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 검출된 데이터에 대한 분석결과는 상기 검출된 데이터의 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는 분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The analysis result of the detected data includes the information on the attack pattern of the detected data and the information on the defense operation to be performed by the network device collaborative defense method for a denial of service attack.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 검출하는 단계는,
입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계;
상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및
상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Wherein the detecting comprises:
Confirming a generation pattern of the input data based on flow information of the input data;
Judging whether the occurrence pattern of the input data corresponds to an attack pattern registered in the network device; And
And determining the input data as data suspected of the distributed service denial attack if the occurrence pattern of the input data corresponds to an attack pattern registered in the network device.
Collaborative defense against distributed service denial attacks.
상기 입력된 데이터의 발생 패턴은,
단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정되는,
분산서비스거부 공격에 대한 협업형 방어 방법.3. The method of claim 2,
The occurrence pattern of the input data is,
It is determined based on at least one of the amount of data input per unit time, whether the data having the same size is repeated, whether the data for a specific function is repeated,
Collaborative defense against distributed service denial attacks.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 알려주는 단계는,
상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및
이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Informing the above step,
Indicating that the detected data is abnormal symptom data in a manner promised between the network device and a security device; And
Forwarding the data indicated by the abnormal symptom data to the security equipment,
Collaborative defense against distributed service denial attacks.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 알려주는 단계는,
상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및
상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Informing the above step,
Providing the security equipment with flow information of the detected data, the flow information comprising at least one of a source address, a destination address, and a port number; And
Delivering the detected data to the security equipment;
Collaborative defense against distributed service denial attacks.
상기 방어 동작에 대한 정보는 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.The method of claim 1,
The information on the defensive operation includes at least one of a bandwidth limit for the traffic, a complete dropping of the traffic, and a dropping probability for the traffic.
Collaborative defense against distributed service denial attacks.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 제1 동작은,
상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The first operation is,
Registering an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial attack; And
Blocking the distributed service denial attack of the traffic according to the defense against the traffic included in the analysis result;
Collaborative defense against distributed service denial attacks.
상기 트래픽의 분산서비스거부 공격을 차단하는 단계는,
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및
네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.9. The method of claim 8,
Blocking the distributed service denial attack of the traffic,
Registering a defense action for the traffic included in the analysis result; And
Transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network incoming end device;
Collaborative defense against distributed service denial attacks.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 기 설정된 룰은
상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The preset rule is
At least one of a bandwidth rate limit for the traffic, a complete dropping of the traffic, a dropping probability for the traffic,
Collaborative defense against distributed service denial attacks.
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계;
상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계;
상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및
상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In a collaborative defense method against distributed denial of service attacks performed by security equipment,
Receiving data from a network device that monitors traffic forwarded to the service server;
Checking whether the data is data suspected of the distributed service denial attack based on the flow information of the data provided from the network device or the marking information displayed on the data;
If the data is suspected of being a distributed service denial attack, precisely analyzing the data to determine whether the distributed service denial attack is performed; And
Transmitting the detailed analysis result of the data to the network device.
Collaborative defense against distributed service denial attacks.
상기 데이터에 대한 정밀 분석결과는,
상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.12. The method of claim 11,
Precision analysis of the data,
Including information on the attack pattern for the data and the defense action to be performed by the network device,
Collaborative defense against distributed service denial attacks.
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 검출된 데이터에 대한 분석결과는 상기 검출된 데이터의 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The analysis result of the detected data includes the information on the attack pattern of the detected data and information on the defense operation to be performed by the network device for a collaborative defense against a Distributed Denial of Service attack Network devices.
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 데이터 모니터링부는,
입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및
상기 입력된 데이터의 발생 패턴이 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부
를 포함하는, 분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The data monitoring unit,
A pattern determination unit which checks a generation pattern of the input data based on flow information of the input data, and determines whether the identified occurrence pattern corresponds to an attack pattern registered in a network device; And
A suspicious data determination unit that determines the input data as data suspected of a distributed service denial attack when the occurrence pattern of the input data corresponds to an attack pattern registered in a network device;
A network device for collaborative defense against distributed service denial attacks, including.
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;
를 더 포함하며,
상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
An identification display unit for indicating that the detected data is abnormal symptom data in a manner promised between a network device and a security device;
Further comprising:
The communication unit forwards the data indicated by the abnormal symptom data to a security device.
Network device for collaborative defense against distributed service denial attacks.
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The communication unit, the flow information of the detected data, the flow information includes at least one of a source address, a destination address, a port number, and delivers the detected data to the security equipment,
Network device for collaborative defense against distributed service denial attacks.
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 제어부는,
상기 분석결과가 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
Wherein,
If the analysis result is an attack pattern of a distributed service rejection attack, the attack pattern included in the analysis result is registered, and the distributed service rejection attack of the traffic is blocked according to the defense against the traffic included in the analysis result, Performing the first operation,
Network device for collaborative defense against distributed service denial attacks.
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부
를 더 포함하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.18. The method of claim 17,
Defense action register for registering the defense action for the traffic included in the analysis result
≪ / RTI >
Network device for collaborative defense against distributed service denial attacks.
상기 제어부는,
네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.18. The method of claim 17,
Wherein,
Transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network incoming end device;
Network device for collaborative defense against distributed service denial attacks.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/882,557 US20110072515A1 (en) | 2009-09-22 | 2010-09-15 | Method and apparatus for collaboratively protecting against distributed denial of service attack |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20090089575 | 2009-09-22 | ||
KR1020090089575 | 2009-09-22 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110033018A KR20110033018A (en) | 2011-03-30 |
KR101380015B1 true KR101380015B1 (en) | 2014-04-14 |
Family
ID=43937672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100078305A KR101380015B1 (en) | 2009-09-22 | 2010-08-13 | Collaborative Protection Method and Apparatus for Distributed Denial of Service |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101380015B1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101282297B1 (en) * | 2012-03-20 | 2013-07-10 | 박상현 | The apparatus and method of unity security with transaction pattern analysis and monitoring in network |
KR20140071776A (en) * | 2012-12-04 | 2014-06-12 | 한국전자통신연구원 | Method and system for detecting invasion on wireless lan |
KR101468601B1 (en) * | 2014-03-13 | 2014-12-03 | 한국전자통신연구원 | Web server/web application server security management apparatus and method |
KR101626293B1 (en) * | 2015-04-13 | 2016-06-01 | 한국전자통신연구원 | Access control list generation and inspection apparatus, and method |
KR102098064B1 (en) * | 2015-11-16 | 2020-04-07 | 주식회사 마크애니 | Method, Apparatus and System for Security Monitoring Based On Log Analysis |
CN113992421B (en) * | 2021-11-03 | 2023-08-29 | 北京天融信网络安全技术有限公司 | Message processing method and device and electronic equipment |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050066049A (en) * | 2003-12-26 | 2005-06-30 | 한국전자통신연구원 | Apparatus for protecting dos and method thereof |
JP2006023934A (en) * | 2004-07-07 | 2006-01-26 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for protecting against denial-of-service attack |
KR20080067549A (en) * | 2007-01-16 | 2008-07-21 | 유넷시스템주식회사 | System and method for detecting realtimely host in internal network causing spoofed distributed denial of service |
KR100908404B1 (en) | 2008-09-04 | 2009-07-20 | (주)이스트소프트 | System and method for protecting from distributed denial of service |
-
2010
- 2010-08-13 KR KR1020100078305A patent/KR101380015B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050066049A (en) * | 2003-12-26 | 2005-06-30 | 한국전자통신연구원 | Apparatus for protecting dos and method thereof |
JP2006023934A (en) * | 2004-07-07 | 2006-01-26 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for protecting against denial-of-service attack |
KR20080067549A (en) * | 2007-01-16 | 2008-07-21 | 유넷시스템주식회사 | System and method for detecting realtimely host in internal network causing spoofed distributed denial of service |
KR100908404B1 (en) | 2008-09-04 | 2009-07-20 | (주)이스트소프트 | System and method for protecting from distributed denial of service |
Also Published As
Publication number | Publication date |
---|---|
KR20110033018A (en) | 2011-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20110072515A1 (en) | Method and apparatus for collaboratively protecting against distributed denial of service attack | |
US10187422B2 (en) | Mitigation of computer network attacks | |
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
KR101231975B1 (en) | Method of defending a spoofing attack using a blocking server | |
KR101424490B1 (en) | Reverse access detecting system and method based on latency | |
KR101380015B1 (en) | Collaborative Protection Method and Apparatus for Distributed Denial of Service | |
KR101219796B1 (en) | Apparatus and Method for protecting DDoS | |
KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
JP2006243878A (en) | Unauthorized access detection system | |
JP2006350561A (en) | Attack detection device | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
CN113411296B (en) | Situation awareness virtual link defense method, device and system | |
CN112491911B (en) | DNS distributed denial of service defense method, device, equipment and storage medium | |
KR101230919B1 (en) | Distributed denial of service attack auto protection system and method | |
KR101231966B1 (en) | Server obstacle protecting system and method | |
JP2004030287A (en) | Bi-directional network intrusion detection system and bi-directional intrusion detection program | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
JP2008011008A (en) | Unauthorized access prevention system | |
KR101375840B1 (en) | Malicious code intrusion preventing system and method thereof | |
KR20100057723A (en) | Network management apparatus and method thereof, contents providing server for managing network | |
KR100862321B1 (en) | Method and apparatus for detecting and blocking network attack without attack signature | |
US11824831B2 (en) | Hole punching abuse | |
Jansky et al. | Hunting sip authentication attacks efficiently | |
JP2005130190A (en) | Defense system for attack packet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170321 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |