KR101380015B1 - Collaborative Protection Method and Apparatus for Distributed Denial of Service - Google Patents

Collaborative Protection Method and Apparatus for Distributed Denial of Service Download PDF

Info

Publication number
KR101380015B1
KR101380015B1 KR1020100078305A KR20100078305A KR101380015B1 KR 101380015 B1 KR101380015 B1 KR 101380015B1 KR 1020100078305 A KR1020100078305 A KR 1020100078305A KR 20100078305 A KR20100078305 A KR 20100078305A KR 101380015 B1 KR101380015 B1 KR 101380015B1
Authority
KR
South Korea
Prior art keywords
data
attack
denial
analysis result
traffic
Prior art date
Application number
KR1020100078305A
Other languages
Korean (ko)
Other versions
KR20110033018A (en
Inventor
박평구
이태호
이순석
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/882,557 priority Critical patent/US20110072515A1/en
Publication of KR20110033018A publication Critical patent/KR20110033018A/en
Application granted granted Critical
Publication of KR101380015B1 publication Critical patent/KR101380015B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치가 제공된다. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계와, 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계와, 보안 장비로부터 검출된 데이터에 대한 분석결과를 수신하고 분석결과에 따라서 트래픽을 제어하는 제1동작또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작중 적어도 하나를 수행하는 단계를 포함한다.Provided are a cooperative defense method and apparatus for distributed service denial attack. The collaborative defense method for a distributed denial of service attack performed by a network device includes detecting data suspected of the distributed service denial of attack by monitoring traffic forwarded to a service server; And informing the security device that the detected data is suspected of a distributed service denial attack, and receiving a result of the analysis of the detected data from the security device and controlling traffic according to the result of the analysis. And performing at least one of a second operation of controlling traffic according to a predetermined rule before performing the operation.

Description

분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치{Collaborative Protection Method and Apparatus for Distributed Denial of Service}Collaborative Defense Method and Apparatus for Distributed Denial of Service Attack {Collaborative Protection Method and Apparatus for Distributed Denial of Service}

본 발명은 분산되어 있는 다수의 공격자들이 하나의 서비스 제공자에게 동시에 서비스 장애를 발생시키는 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 능동적이고 효율적인 방어를 지원하는 방어 체계에 관한 것이다.The present invention relates to a defense system that supports an active and effective defense against distributed denial of service (DDoS) attacks in which a plurality of distributed attackers simultaneously cause a service failure to one service provider.

본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-013-03, 과제명: All IPv6 기반 Fixed-Mobile Convergence 네트워킹 기술 개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Knowledge Economy and the Ministry of Information and Telecommunication Research and Development. [Task management number: 2007-S-013-03, Task name: All IPv6-based Fixed-Mobile Convergence Networking technology development].

분산서비스거부(DDoS: Distributed Denial of Service) 공격은 다수의 공격자들이 하나의 서비스 제공자를 공격하여 서비스 장애를 발생시키는 공격 패턴의 일종이다. DDoS 공격에 대하여, 기존에는 보안 장비가 모든 데이터에 대해 공격 패턴 분석, 공격 판단 및 공격 데이터 제어 등의 모든 방어 동작을 수행한다. 보안 장비는 서비스 제공자의 보안을 담당하는 장비이다. 라우터와 같은 네트워크 장비는 입력되는 모든 데이터를 보안 장비에게 전송한다.Distributed Denial of Service (DDoS) attacks are a type of attack pattern in which multiple attackers attack a service provider and cause a service failure. In the case of DDoS attacks, the security equipment performs all defense operations such as attack pattern analysis, attack determination, and attack data control on all data. Security equipment is the equipment responsible for the security of the service provider. Network equipment such as routers transmit all incoming data to security equipment.

이러한 방어 체계는 보안 장비가 모든 데이터에 대해 분석, 판단 및 제어 등의 방어 동작을 수행하므로 부하 증가를 발생시킨다. 부하증가는 방어 동작의 오류율이 증가할 뿐 아니라, 보안 장비를 통과하는 정상 데이터가 제공하는 서비스의 품질을 저하시킨다. 이는, 결과적으로 DDoS 공격이 성공하게 하는 결과를 초래한다.Such a defense system causes an increase in load because security devices perform defense actions such as analysis, judgment, and control on all data. Increasing load not only increases the error rate of defensive actions, but also reduces the quality of service provided by normal data passing through security equipment. This results in a successful DDoS attack.

따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 네트워크 장비와 보안 장비의 협업형 방어체계에 의해 외부로부터의 공격을 판단하고, 판단된 공격에 대응함으로써, 보안 장비의 부하를 최소화하고, 보다 효율적인 방어 체계를 구축할 수 있는, 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 을 제공하는 것이다.Accordingly, an object of the present invention for solving the above problems is to determine the attack from the outside by the collaborative defense system of the network equipment and the security equipment, by minimizing the load of the security equipment by responding to the determined attack In addition, the present invention provides a collaborative defense method and apparatus for denied distributed service attack that can establish a more effective defense system.

본 발명의 일 실시예에 따른, 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계; '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고, 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 단계를 포함할 수 있다. According to an embodiment of the present invention, a collaborative defense method for a distributed denial of service attack performed by a network device, the distributed service rejection attack through monitoring of traffic forwarded to a service server Detecting suspected data; Notifying the security device that the detected data is data suspected of the distributed service denial of attack; 'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' And performing at least one of the second operations'.

상기 검출하는 단계는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계; 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함할 수 있다. The detecting may include: checking a generation pattern of the input data based on flow information of the input data; Judging whether the occurrence pattern of the input data corresponds to an attack pattern registered in the network device; And if the occurrence pattern of the input data corresponds to an attack pattern registered in the network device, determining the input data as data suspected of the distributed service denial attack.

상기 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. The occurrence pattern of the input data may be determined based on at least one of the amount of data input per unit time, whether or not the data having the same size is repeatedly generated, or whether the data is repeatedly generated for a specific function.

상기 알려주는 단계는, 상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함할 수 있다. The informing may include indicating that the detected data is abnormal symptom data in a manner promised between the network device and a security device; And forwarding the data indicated by the abnormal symptom data to the security equipment.

상기 알려주는 단계는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및 상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함할 수 있다. The notifying may include providing flow information of the detected data, wherein the flow information includes at least one of a source address, a destination address, and a port number; And forwarding the detected data to the security equipment.

검출된 데이터에 대한 분석결과는 검출된 데이터의 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다. The analysis result of the detected data may include information on the attack pattern of the detected data and information on the defense operation to be performed by the network device.

상기 방어 동작에 대한 정보 및 상기 기설정된 룰은 각각, 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. The information on the defensive operation and the predetermined rule each include at least one of a bandwidth limit for the traffic, a dropping of the traffic, and a dropping probability for the traffic. can do.

상기 제1 동작은, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함할 수 있다. The first operation may include registering an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial attack; And blocking a distributed service denial attack of the traffic according to the defense against the traffic included in the analysis result.

상기 트래픽의 분산서비스거부 공격을 차단하는 단계는, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함할 수 있다. The blocking of the distributed service denial attack of the traffic may include registering a defensive operation for the traffic included in the analysis result; And transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network entry point device.

한편, 본 발명의 다른 실시예에 따른, 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계; 상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계; 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함할 수 있다. On the other hand, in a collaborative defense method for a distributed denial of service attack performed by a security device according to another embodiment of the present invention, a network device that monitors traffic forwarded to a service server Receiving data from; Checking whether the data is data suspected of the distributed service denial attack based on the flow information of the data provided from the network device or the marking information displayed on the data; If the data is suspected of being a distributed service denial attack, precisely analyzing the data to determine whether the distributed service denial attack is performed; And transmitting the precise analysis result of the data to the network device.

상기 데이터에 대한 정밀 분석결과는, 상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.The result of the detailed analysis of the data may include information about an attack pattern on the data and information about a defense operation to be performed by the network device.

한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치는, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및 '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 제어부를 포함할 수 있다. Meanwhile, according to another embodiment of the present invention, a network device for collaborative defense against a distributed denial of service attack may be suspected of the distributed service denial attack through monitoring of traffic forwarded to a service server. A data monitoring unit detecting data to be read; A communication unit for notifying a security device that the detected data is data suspected of the distributed service rejection attack; And 'a first operation of receiving an analysis result of the detected data from the security device and controlling the traffic according to the analysis result', or 'controlling the traffic according to a preset rule before performing the first operation'. And a controller for performing at least one of the second operations.

상기 데이터 모니터링부는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부를 포함할 수 있다. The data monitoring unit checks the occurrence pattern of the input data based on flow information of the input data, and determines whether the identified occurrence pattern corresponds to an attack pattern registered in the network device. A pattern determination unit; And a suspicious data determination unit configured to determine the input data as data suspected of the distributed service denial attack when the occurrence pattern of the input data corresponds to an attack pattern registered in the network device.

상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;를 더 포함하며, 상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)할 수 있다.And an identification display unit indicating that the detected data is abnormal symptom data in a manner promised between the network device and the security equipment, wherein the communication unit forwards the data indicated by the abnormal symptom data to the security equipment. can do.

상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달할 수 있다.  The communication unit may transmit the flow information of the detected data, the flow information including at least one of a source address, a destination address, and a port number, and the detected data to the security device.

상기 제어부는, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행할 수 있다. The controller registers an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial of attack, and rejects the distributed service of the traffic according to a defense against the traffic included in the analysis result. By blocking an attack, the first operation can be performed.

상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부를 더 포함할 수 있다.The apparatus may further include a defensive operation register configured to register a defensive operation for the traffic included in the analysis result.

상기 제어부는, 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하도록 상기 네트워크 장치에게 요청할 수 있다. The control unit may request the network device to transmit the information on the defensive operation to the network control system so as to block the distributed service denial attack of the traffic at the network entry point device.

한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 보안 장비는, 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 데이터 확인부; 및 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 판단부; 및 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 상기 네트워크 장치로부터 상기 데이터를 수신하며, 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 통신부를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, the security equipment for the collaborative defense against distributed denial of service attacks, the flow information of the data provided from the network device or the marking information displayed on the data A data checking unit for checking whether the data is data suspected of the distributed service denial attack; And a determination unit determining whether the distributed service denial of attack is by analyzing the data precisely when the data is suspected of the distributed denial of service attack. And a communication unit configured to receive the data from the network device that monitors the traffic forwarded to the service server and to transmit a precise analysis result of the data to the network device.

본 발명의 실시예에 따르면, 네트워크 장치는 이상징후 데이터를 검출하여 보안장비에게 전달하고, 보안장비는 네트워크 장치에서 검출된 이상징후 데이터에 대해 정밀 분석하여 공격 패턴을 인식함으로써, 보안장비의 부하를 감소시킬 수 있다. 또한, 보안 장비에서 검출된 공격패턴을 네트워크 장치에 설정함으로써, 네트워크 장치는 본래 기능을 유지하면서 1차적으로 공격데이터를 차단할 수 있다. According to an embodiment of the present invention, the network device detects the abnormal symptom data and transmits it to the security equipment, and the security equipment precisely analyzes the abnormal symptom data detected by the network apparatus to recognize the attack pattern, thereby reducing the load of the security equipment. Can be reduced. In addition, by setting the attack pattern detected by the security equipment to the network device, the network device can primarily block the attack data while maintaining the original function.

또한, 본 발명에 따르면, 보안장비와 네트워크장비와의 협업을 통해 능동적으로 분산서비스거부 공격에 대응할 수 있다.In addition, according to the present invention, it is possible to actively cope with a distributed service denial attack through collaboration with security equipment and network equipment.

또한, 협업형 방어 체계에 의해, 보안 장비의 부담이 감소됨으로써 공격에 대한 오탐색률을 감소시키고, 보다 신속하게 공격에 대응함으로, 능동적인 방어체계를 구축할 수 있다.In addition, the collaborative defense system reduces the burden of security equipment to reduce the false positive rate of attack, and respond to the attack more quickly, it is possible to establish an active defense system.

도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치를 도시한 블록도이다.
도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다.
도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비를 도시한 블록도이다.
도 5는 본 발명의 다른 실시 예에 따른 DDoS 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.1 is a diagram illustrating a network system for collaborative defense against Distributed Denial of Service (DDoS) attacks according to an embodiment of the present invention.
2 is a block diagram illustrating a network device according to an embodiment of the present invention.
3 is a diagram illustrating an example of performing marking to identify suspected data in detected data.
4 is a block diagram illustrating security equipment for collaborative defense against DDoS attacks in accordance with one embodiment of the present invention.
5 is a diagram illustrating a part of a network system for collaborative defense against a DDoS attack according to another embodiment of the present invention.
6 is a flowchart illustrating a method of setting an attack pattern and a rule for defense, which is performed by a network device according to an embodiment of the present invention.
7 and 8 are flowcharts illustrating a collaborative defense method for a DDoS attack, which is performed by a network device according to an embodiment of the present invention.
9 is a flowchart illustrating a collaborative defense method for a DDoS attack, which is performed by a security device according to an embodiment of the present invention.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.1 is a diagram illustrating a network system for collaborative defense against Distributed Denial of Service (DDoS) attacks according to an embodiment of the present invention.

도 1을 참조하면, 네트워크 시스템은 네트워크 관제 시스템(100), 네트워크 장치(200), 보안 장비(300) 및 서비스 서버(400)를 포함할 수 있다.Referring to FIG. 1, a network system may include a network control system 100, a network device 200, a security device 300, and a service server 400.

네트워크 관제 시스템(100)은 네트워크 장치(200)를 관리 및 제어하는 서버이다.The network control system 100 is a server that manages and controls the network device 200.

네트워크 장치(200)는 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 보안 장비(300)로 포워딩할 수 있으며, 라우터를 예로 들 수 있다. 또한, 네트워크 장치(200)는 보안 장비(300)와의 협력을 기반으로 DDoS 공격을 1차적으로 방어할 수 있다. DDoS 공격은 다수의 공격자들이 분산 배치하여 동시에 서비스 장애를 발생시키는 공격이다. 다수의 공격자들은 도 1에 도시된 외부 기기들(10, 20, 30) 중 적어도 하나로부터 발생할 수 있다.The network device 200 may forward data input from the external devices 10, 20, and 30 to the security device 300, for example, a router. In addition, the network device 200 may primarily defend a DDoS attack based on cooperation with the security device 300. DDoS attacks are attacks in which multiple attackers are distributed and simultaneously cause service interruption. Multiple attackers may originate from at least one of the external devices 10, 20, 30 shown in FIG. 1.

보안 장비(300)는 서비스 서버(400)의 보안을 담당하는 장치로서, 네트워크 장치(200)와의 협력을 기반으로 DDoS 공격을 2차적으로 방어할 수 있다. 예를 들어, 보안 장비(300)는 네트워크 장치(200)로부터 플로우(flow) 정보가 제공된 데이터 또는 패킷에 마킹이 추가된 데이터를 정밀 분석하여 공격패턴을 검출할 수 있다. 공격을 위한 데이터로 판단되면, 보안 장비(300)는 네트워크 장치(200)에게 방어 동작을 하도록 요청할 수 있다. 보안 장비(300)의 예로는 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 또는 방화벽 등이 있다.The security device 300 is a device that is responsible for the security of the service server 400, and may secondarily defend a DDoS attack based on cooperation with the network device 200. For example, the security device 300 may detect an attack pattern by precisely analyzing data provided with flow information from the network device 200 or data in which a marking is added to a packet. If it is determined that the data for the attack, the security device 300 may request the network device 200 to perform a defensive operation. Examples of the security equipment 300 include an intrusion detection system (IDS), an intrusion prevention system (IPS), or a firewall.

서비스 서버(400)는 네트워크를 통해 연결된 다수의 사용자들에게 서비스를 제공하는 서비스 제공자이다.The service server 400 is a service provider that provides a service to a plurality of users connected through a network.

도 2는 본 발명의 일 실시예에 따른 네트워크 장치(200)를 도시한 블록도이다.2 is a block diagram illustrating a network device 200 according to an embodiment of the present invention.

도 2를 참조하면, 네트워크 장치(200)는 제1통신부(210), 공격 패턴 등록부(220), 방어 동작 등록부(230), 데이터 모니터링부(240), 식별 표시부(250) 및 제1제어부(260)를 포함할 수 있다.Referring to FIG. 2, the network device 200 may include a first communication unit 210, an attack pattern registration unit 220, a defense operation registration unit 230, a data monitoring unit 240, an identification display unit 250, and a first control unit ( 260).

제1통신부(210)는 다수의 외부 기기들(10, 20, 30), 네트워크 관제 시스템(100) 및 보안 장비(300)와 통신한다. 제1통신부(210)는 유선 또는 무선 방식으로 통신할 수 있다. 다수의 외부 기기들(10, 20, 30)은 서비스 서버(400)로부터 서비스를 제공받기 위한 단말기이거나 또는 서비스 서버(400)를 공격하기 위한 좀비 단말기일 수 있다. The first communication unit 210 communicates with a plurality of external devices 10, 20, 30, the network control system 100, and the security equipment 300. The first communication unit 210 may communicate in a wired or wireless manner. The plurality of external devices 10, 20, 30 may be terminals for receiving a service from the service server 400 or zombie terminals for attacking the service server 400.

예를 들어, 제1통신부(210)는 다수의 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 데이터 모니터링부(240)로 전달할 수 있다. 또한, 제1통신부(210)는 데이터 모니터링부(240)에서 검출된 데이터가 DDoS 공격으로 의심되는 의심데이터임을 보안 장비(300)로 알려줄 수 있다. 제1통신부(210)는 검출된 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신할 수 있다.For example, the first communication unit 210 may transfer data input from the plurality of external devices 10, 20, 30 to the data monitoring unit 240. In addition, the first communication unit 210 may inform the security device 300 that the data detected by the data monitoring unit 240 is suspect data suspected of a DDoS attack. The first communication unit 210 may receive an analysis result of the detected suspicious data from the security device 300.

공격 패턴 등록부(220)에는 관리자에 의해 설정되는 공격 패턴이 등록될 수 있다. 일 예로, 공격 패턴은 동일한 사이즈를 갖는 데이터가 지속적으로 반복되는 볼륨 공격과, ICMP(Internet Control Message Protocol) 및 HTTP(Hypertext Transfer Protocol) GET과 같이 반복적으로 발생하기 어려운 데이터가 반복되는 공격이 있으며, 이는 일 예일 뿐 이에 한정되지 않는다. 또한, 공격 패턴 등록부(220)에는 보안 장비(300)에 의해 분석된 공격 패턴이 등록될 수 있다.The attack pattern register 220 may register an attack pattern set by an administrator. For example, an attack pattern includes a volume attack in which data having the same size is continuously repeated, and an attack in which data that is difficult to occur repeatedly, such as Internet Control Message Protocol (ICMP) and Hypertext Transfer Protocol (HTTP) GET, is repeated. This is only an example and is not limited thereto. In addition, an attack pattern analyzed by the security device 300 may be registered in the attack pattern register 220.

방어 동작 등록부(230)에는 외부 기기들(10, 20, 30)로부터 공격으로 의심되는 데이터가 검출되는 경우, 후술할 제2동작에 사용할 룰이 기설정된다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. 또한, 방어 동작 등록부(230)에는 분석결과에 포함된 트래픽에 대한 방어 동작을 등록할 수 있다. 분석결과에 포함된 방어 동작은 후술할 제1동작에 적용되는 방어 방식이다.When the data suspected of an attack is detected from the external devices 10, 20, and 30, the defense operation registration unit 230 presets a rule to be used for the second operation to be described later. The preset rule may include at least one of a bandwidth limit for traffic, a complete dropping of traffic, and a dropping probability for traffic. In addition, the defense action register 230 may register the defense action for traffic included in the analysis result. The defense operation included in the analysis result is a defense method applied to the first operation to be described later.

새로운 트래픽으로부터 공격으로 의심되는 데이터가 검출되면, 기설정된 룰 및 등록된 방어 동작은 제2동작을 이용하여 공격 데이터를 방어할 때 사용될 수 있다. 또한, 룰 또는 방어 동작은 공격 패턴 별로 설정되거나 등록될 수 있다.If data suspected of an attack is detected from the new traffic, the predetermined rule and the registered defense action may be used when defending the attack data using the second action. In addition, the rule or defense action may be set or registered for each attack pattern.

데이터 모니터링부(240)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 통해 DDoS 공격으로 의심되는 데이터를 검출할 수 있다. 이를 위하여, 데이터 모니터링부(240)는 패턴 판단부(241) 및 의심데이터 결정부(243)를 포함할 수 있다.The data monitoring unit 240 may detect data suspected of a DDoS attack through monitoring the traffic forwarded to the service server 400. To this end, the data monitoring unit 240 may include a pattern determination unit 241 and the suspicious data determination unit 243.

패턴 판단부(241)는 외부 기기들(10, 20, 30)로부터 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인하고, 확인된 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단할 수 있다. The pattern determination unit 241 checks the occurrence pattern of the input data based on the flow information of the data input from the external devices 10, 20, 30, and the confirmed occurrence pattern is the attack pattern registration unit ( It may be determined whether it corresponds to the attack pattern registered at 220.

입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. The generation pattern of the input data may be determined based on at least one of the amount of data input per unit time, whether the data having the same size is repeated, or whether the data is repeatedly generated for a specific function.

의심데이터 결정부(243)는 입력된 데이터의 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 이로써, 의심데이터가 검출된다.The suspicious data determiner 243 may determine the input data as suspicious data suspected of a DDoS attack when the occurrence pattern of the input data corresponds to the attack pattern registered in the attack pattern register 220. Thus, suspicious data is detected.

식별 표시부(250)는 네트워크 장치(200)와 보안 장비(300) 간에 약속된 방식에 따라서, 검출된 데이터가 의심데이터, 즉, 이상 징후 데이터임을 표시할 수 있다. 식별 표시부(250)는 네트워크 장치(200)에 식별표시모드가 설정되어 있는 경우 해당 동작을 수행할 수 있다. The identification display unit 250 may indicate that the detected data is suspicious data, that is, abnormal symptom data, according to a method promised between the network device 200 and the security device 300. The identification display unit 250 may perform a corresponding operation when the identification display mode is set in the network device 200.

도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다. 도 3을 참조하면, 검출된 데이터는 데이터와 IP 헤더를 포함한다. 식별 표시부(250)는 검출된 데이터가 의심데이터임을 표시하기 위하여, 데이터의 패킷에 식별 헤더를 추가할 수 있다. 또는, 식별 표시부(250)는 식별 헤더의 추가대신, 의심데이터임을 표시하는 식별자를 검출된 데이터에 마킹할 수 있다.3 is a diagram illustrating an example of performing marking to identify suspected data in detected data. Referring to FIG. 3, the detected data includes data and an IP header. The identification display unit 250 may add an identification header to the packet of data to indicate that the detected data is suspect data. Alternatively, the identification display unit 250 may mark the detected data with an identifier indicating that it is suspect data instead of adding the identification header.

검출된 의심데이터는 하기 두 방식 중 적어도 하나에 의해 보안 장비(300)에게 통지될 수 있다. 이는, 보안 장비(300)가 보다 상세히 분석해야 하는 데이터를 쉽게 식별할 수 있도록 하기 위함이다. The detected suspicious data may be notified to the security equipment 300 in at least one of two ways. This is to allow the security device 300 to easily identify the data to be analyzed in more detail.

먼저, 제1제어부(260)는 데이터 모니터링부(240)에서 의심데이터가 검출되면, 식별표시모드가 설정되어 있는 경우, 식별 표시부(250)를 제어하여 의심데이터임을 표시하고, 표시된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다. First, when suspicious data is detected by the data monitoring unit 240, when the identification display mode is set, the first controller 260 controls the identification display unit 250 to indicate that the suspect data is displayed and secures the displayed suspect data. The first communication unit 210 may be controlled to transmit the equipment 300.

또는, 제1제어부(260)는 식별표시모드가 오프되어 있으면, 검출된 의심데이터의 플로우(flow) 정보와 검출된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다. 소스 어드레스는 외부 기기(10)의 어드레스, 목적지 어드레스는 서비스 서버(400)의 어드레스일 수 있다.Alternatively, when the identification display mode is turned off, the first controller 260 may control the first communication unit 210 to transfer the flow information of the detected suspicious data and the detected suspicious data to the security device 300. Can be. The flow information may include at least one of a source address, a destination address, and a port number of the suspicious data. The source address may be an address of the external device 10 and the destination address may be an address of the service server 400.

상술한 방식에 의해, 제1통신부(210)는, 이상 징후 데이터로 표시된 의심데이터또는 의심데이터의 플로우 정보를 보안 장비(300)로 전달(forwarding)할 수 있다. 또한, 제1통신부(210)는 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신하여 제1제어부(260)로 전달한다.By the above-described method, the first communication unit 210 may forward the suspect data or the flow information of the suspect data indicated by the abnormal symptom data to the security device 300. In addition, the first communication unit 210 receives the analysis result for the suspicious data from the security equipment 300 and transmits to the first control unit 260.

제1제어부(260)는 보안 장비(300)로부터 제공된 의심데이터에 대한 분석결과에 따라서 트래픽을 제어하는 제1동작, 또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작 중 적어도 하나를 수행할 수 있다.The first control unit 260 controls the traffic according to the analysis result of the suspicious data provided from the security device 300, or the second operation of controlling the traffic according to a predetermined rule before performing the first operation. At least one of the following may be performed.

제1동작을 수행하는 경우에 대해 먼저 설명한다.The case of performing the first operation will be described first.

보안 장비(300)로부터 제공되는 의심데이터에 대한 분석결과는 검출된 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 포함된 방어 동작에 대한 정보는 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다.The analysis result of the suspicious data provided from the security device 300 may include information on the attack pattern of the detected suspicious data and information on the defensive operation to be performed by the network device 200. The information on the defensive operation included may include at least one of bandwidth limit for traffic, complete dropping of traffic, and dropping probability for traffic.

제1제어부(260)는 분석결과에 포함된 공격 패턴이 DDoS 공격의 공격 패턴인 경우, 분석결과에 포함된 트래픽에 대한 방어 동작에 따라서 트래픽의 DDoS 공격을 차단할 수 있다. 그리고, 제1제어부(260)는 분석결과에 포함된 공격 패턴을 공격 패턴 등록부(220)에 등록하고, 분석결과에 포함된 트래픽에 대한 방어 동작을 방어 동작 등록부(230)에 등록할 수 있다.When the attack pattern included in the analysis result is the attack pattern of the DDoS attack, the first control unit 260 may block the DDoS attack of the traffic according to the defensive operation for the traffic included in the analysis result. In addition, the first controller 260 may register the attack pattern included in the analysis result in the attack pattern registration unit 220, and register the defense operation for traffic included in the analysis result in the defense operation registration unit 230.

제2동작을 수행하는 경우에 대해 설명하면 다음과 같다. 제1제어부(260)는 의심데이터가 검출되면, 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여 트래픽을 제어할 수 있다. 즉, 제1제어부(260)는 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여, 의심데이터에 의한 공격을 방어할 수 있다. A case of performing the second operation is as follows. When suspicious data is detected, the first controller 260 may control traffic by using at least one of rules preset in the defense operation register 230. That is, the first controller 260 may defend the attack by the suspicious data by using at least one of the rules preset in the defense operation register 230.

제1제어부(260)가 제2동작을 수행하는 동안, 보안 장비(300)로부터 분석 결과가 수신되면, 제1제어부(260)는 분석 결과에 포함된 방어 동작에 따라서 의심데이터에 의한 공격을 방어할 수 있다.When the analysis result is received from the security device 300 while the first control unit 260 performs the second operation, the first control unit 260 defends the attack by the suspicious data according to the defense operation included in the analysis result. can do.

도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비(300)를 도시한 블록도이다.4 is a block diagram illustrating a security device 300 for collaborative defense against a DDoS attack in accordance with one embodiment of the present invention.

도 4에 도시된 보안 장비(300)는 네트워크 장치(200)로부터 검출된 의심데이터를 수신하며, 의심데이터를 분석한 결과를 네트워크 장치(200)에게 전달할 수 있다. 이를 위하여, 보안 장비(300)는 제2통신부(310), 데이터 확인부(320), 판단부(330) 및 제2제어부(340)를 포함할 수 있다. The security device 300 illustrated in FIG. 4 may receive the detected suspicious data from the network device 200, and may transmit a result of analyzing the suspicious data to the network device 200. To this end, the security equipment 300 may include a second communication unit 310, a data checking unit 320, a determination unit 330, and a second control unit 340.

제2통신부(310)는 네트워크 장치(200)로부터 데이터를 수신하며, 데이터에 대한 정밀 분석결과를 네트워크 장치(200)로 전송할 수 있다. 네트워크 장치(200)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 수행하는 장치이다. The second communication unit 310 may receive data from the network device 200 and transmit a precise analysis result of the data to the network device 200. The network device 200 is a device that monitors traffic forwarded to the service server 400.

데이터 확인부(320)는 네트워크 장치(200)로부터 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 DDoS 공격으로 의심되는 의심데이터인지 여부를 확인할 수 있다. 예를 들어, 수신된 데이터의 패킷에 도 3에 도시된 바와 같은 식별 헤더가 추가되어 있으면, 데이터 확인부(320)는 네트워크 장치(200)로부터 제공된 데이터를 의심데이터로 판단할 수 있다.The data checking unit 320 may check whether the data is suspect data suspected of a DDoS attack, based on the flow information of the data received from the network device 200 or the marking information displayed on the data. For example, if the identification header as shown in FIG. 3 is added to the packet of the received data, the data checking unit 320 may determine the data provided from the network device 200 as suspect data.

판단부(330)는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터이면, 의심데이터를 정밀분석하여 DDoS 공격인지 여부를 판단하고, 공격 패턴을 추출할 수 있다. 기존에는 수신된 데이터의 모든 플로우 별로 기저장된 시그니처(signature)를 확인하여 정밀분석을 수행하였다. 그러나, 판단부(330)는 의심데이터에 대해서만 시그니처를 확인하여 정밀분석을 수행할 수 있다. If the received data is suspicious data suspected of being a DDoS attack, the determination unit 330 may accurately analyze the suspicious data to determine whether it is a DDoS attack, and extract an attack pattern. In the past, precision analysis was performed by checking signatures stored for each flow of received data. However, the determination unit 330 may check the signature only on the suspicious data and perform precise analysis.

제2제어부(340)는 의심데이터의 공격 패턴에 대항할 방어 동작에 대한 정보를 정밀분석결과에 포함시킬 수 있다. 따라서, 정밀 분석결과는 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 제2제어부(340)는 정밀 분석결과를 네트워크 장치(200)에게 전송하도록 제2통신부(310)를 제어한다.The second control unit 340 may include information on the defense operation against the attack pattern of the suspicious data in the precise analysis result. Therefore, the detailed analysis result may include information about the attack pattern of the suspicious data and information about the defense operation to be performed by the network device 200. The second controller 340 controls the second communication unit 310 to transmit the precise analysis result to the network device 200.

또한, 판단부(330)에서 수신된 데이터가 의심데이터가 아닌 것으로 판단되면, 제2제어부(340)는 네트워크 장치(200)에게 의심데이터임을 표시하는 동작을 멈추게 하고, 데이터를 전달하도록 요청할 수 있다. 이는, 이상징후 트래픽으로 예상된 트래픽이 정상적인 서비스로 판단되었기 때문이다.In addition, if it is determined that the data received by the determination unit 330 is not suspicious data, the second control unit 340 may stop the operation of indicating that the network device 200 indicates suspicious data and request to transmit the data. . This is because the traffic expected to be an abnormal symptom traffic was determined to be a normal service.

보안 장비(300)는 데이터 채널 또는 관리 채널을 이용하여 네트워크 장치(200)에게 분석결과를 전송할 수 있다. 데이터 채널을 이용하는 경우, 네트워크 장치(200)는 전송되는 분석결과를 공격패턴으로 인식할 수 있다. 따라서, 이를 미연에 방지하기 위하여, 보안 장비(300)는 분석결과는 허용된 데이터임을 기설정하도록 네트워크 장치(200)에게 요청할 수 있다.The security device 300 may transmit the analysis result to the network device 200 using a data channel or a management channel. When using the data channel, the network device 200 may recognize the analysis result transmitted as the attack pattern. Therefore, in order to prevent this, the security device 300 may request the network device 200 to preset that the analysis result is allowed data.

도 5는 본 발명의 다른 실시 예에 따른 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.FIG. 5 is a diagram illustrating a part of a network system for collaborative defense against a distributed denial of service attack according to another embodiment of the present invention.

도 5를 참조하면, 네트워크 시스템은 도 1에 도시된 보안 장비(300) 및 서비스 서버(400)와, 네트워크 관제 시스템(510), 제1네트워크 장치(520) 및 제2네트워크 장치(530)를 더 포함할 수 있다.Referring to FIG. 5, the network system may include the security device 300 and the service server 400 illustrated in FIG. 1, the network control system 510, the first network device 520, and the second network device 530. It may further include.

외부 기기들(10, 20, 30) 중 적어도 하나가 서비스 서버(400)로 공격을 수행하면, 제1네트워크 장치(520)는 제2네트워크 장치(530)로 데이터를 전송한다. 제2네트워크 장치(530)는 전송되는 데이터의 트래픽을 모니터링하여, DDoS 공격으로 의심되는 데이터, 즉, 의심데이터를 검출한다. 제2네트워크 장치(530)는 검출된 의심데이터를 보안 장비(300)와 미리 약속된 방식으로 표시하고, 의심데이터를 보안 장비(300)로 전달한다.When at least one of the external devices 10, 20, 30 performs an attack on the service server 400, the first network device 520 transmits data to the second network device 530. The second network device 530 monitors traffic of the transmitted data and detects data suspected of a DDoS attack, that is, suspect data. The second network device 530 displays the detected suspicious data in a predetermined manner with the security device 300, and transmits the suspicious data to the security device 300.

보안 장비(300)는 의심데이터를 정밀 분석하여 공격 패턴을 판단하고, 방어 동작에 대한 정보를 포함하는 분석 결과를 제2네트워크 장치(530)에게 전송한다. 이 때, 보안 장비(300)는 네트워크 인입단 장치에서 트래픽의 DDoS 공격을 차단하도록, 제2네트워크 장치(530)에게 요청한다. 이로써, 제2네트워크 장치(530)는 수신된 분석 결과에 포함된 방어 동작에 대한 정보를 네트워크 관제 시스템(510)으로 전송하며, 네트워크 관제 시스템(510)은 방어 동작에 대한 정보를 이용하여 공격을 차단하도록 제1네트워크 장치(520)를 제어할 수 있다. The security device 300 precisely analyzes the suspicious data to determine the attack pattern, and transmits an analysis result including the information on the defense operation to the second network device 530. At this time, the security device 300 requests the second network device 530 to block a DDoS attack of traffic at the network entry point device. As a result, the second network device 530 transmits information on the defensive operation included in the received analysis result to the network control system 510, and the network control system 510 uses the information on the defensive operation to perform an attack. The first network device 520 may be controlled to block.

도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a method of setting an attack pattern and a rule for defense, which is performed by a network device according to an embodiment of the present invention.

도 6의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.The method of FIG. 6 may be performed by the network devices 200 and 530 described with reference to FIG. 1 or 5.

610단계에서, 네트워크 장치는 관리자에 의해 입력되는 공격 패턴 및 허용 패턴을 등록할 수 있다. 공격 패턴은 외부 기기들로부터 입력되는 데이터의 공격 패턴이며, 허용 패턴은 입력되는 데이터가 공격 데이터가 아님을 판단하기 위한 패턴이다.In operation 610, the network device may register an attack pattern and a permission pattern input by an administrator. The attack pattern is an attack pattern of data input from external devices, and the allow pattern is a pattern for determining that the input data is not attack data.

620단계에서, 네트워크 장치는 외부 기기들로부터 입력되는 공격으로 의심되는 데이터를 방어할 때 사용할 수 있는 룰을 설정할 수 있다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. In operation 620, the network device may set a rule that may be used to defend data suspected of an attack input from external devices. The preset rule may include at least one of a bandwidth limit for traffic, a complete dropping of traffic, and a dropping probability for traffic.

도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.7 and 8 are flowcharts illustrating a collaborative defense method for a distributed denial of service attack performed by a network device according to an embodiment of the present invention.

도 7 및 도 8의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.The method of FIGS. 7 and 8 may be performed by the network devices 200 and 530 described with reference to FIG. 1 or 5.

705단계에서, 네트워크 장치는 외부 기기들로부터 서비스 서버로 포워딩되는 데이터의 트래픽을 모니터링하고, 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인할 수 있다.In operation 705, the network device may monitor traffic of data forwarded from the external devices to the service server and check a generation pattern of the input data based on the flow information of the input data.

710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴에 해당하는지 판단할 수 있다. In operation 710, the network device may determine whether the identified occurrence pattern corresponds to an attack pattern registered in the attack pattern register.

715단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴이면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다. In operation 715, if the confirmed occurrence pattern is an attack pattern registered in the attack pattern register, the network device may determine the input data as suspect data suspected of a DDoS attack. The generation pattern of the input data may be determined based on at least one of the amount of data input per unit time, whether the data having the same size is repeated, or whether the data is repeatedly generated for a specific function.

720단계에서, 식별표시모드가 네트워크 장치에 설정되어 있으면, 725단계에서, 네트워크 장치는 이상 징후 데이터임을 의미하는 식별자를 검출된 데이터에 표시할 수 있다. 예를 들어, 네트워크 장치는 헤더를 추가하거나 마킹을 이용할 수 있다.If the identification display mode is set in the network device in operation 720, in operation 725, the network device may display an identifier indicating the abnormality indication data on the detected data. For example, the network device may add a header or use marking.

730단계에서, 네트워크 장치는 식별자가 표시된 의심데이터를 보안 장비에게 전송할 수 있다.In operation 730, the network device may transmit suspicious data marked with an identifier to the security device.

반면, 식별표시모드가 설정되어 있지 않으면, 735단계에서, 네트워크 장치는 의심데이터 및 의심데이터의 플로우 정보를 보안 장비에게 전송할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다.On the other hand, if the identification display mode is not set, in step 735, the network device may transmit the suspicious data and the flow information of the suspicious data to the security equipment. The flow information may include at least one of a source address, a destination address, and a port number of the suspicious data.

740단계에서, 네트워크 장치는 네트워크 장치에 기설정된 룰이 존재하면, 745단계에서, 기설정된 룰에 따라 공격을 방어할 수 있다. 즉, 네트워크 장치는 기설정된 룰을 이용하여 트래픽을 제어할 수 있다. If a predetermined rule exists in the network device in operation 740, the network device may defend against the attack according to the predetermined rule in operation 745. That is, the network device may control traffic using a predetermined rule.

750단계에서, 745단계를 수행하는 중 보안 장비로부터 분석결과를 수신하면, 755단계에서, 네트워크 장치는 기설정된 룰과 분석결과에 포함된 방어 동작에 대한 정보가 동일한지 판단한다.In operation 750, when the analysis result is received from the security device while performing operation 745, in operation 755, the network device determines whether the predetermined rule and the information on the defensive operation included in the analysis result are the same.

동일하면, 네트워크 장치는 745단계를 유지한다.If the same, the network device maintains step 745.

동일하지 않으면, 네트워크 장치는 후술할 765단계를 수행한다.If not the same, the network device performs step 765, which will be described later.

반면, 760단계에서, 네트워크 장치는 보안 장비로부터 분석 결과를 수신하고, 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.In operation 760, the network device may receive an analysis result from the security device and register the attack pattern included in the analysis result in the network device.

765단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.In operation 765, the network device may defend against an attack by traffic using a defense action included in the analysis result, and register the defense action in the network device.

한편, 710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있지 않으면, 810단계를 수행한다.In operation 710, if the identified occurrence pattern is not registered in the attack pattern register, the network device performs operation 810.

도 8을 참조하면, 810단계에서, 네트워크 장치는 입력된 데이터를 보안 장비로 전송한다.Referring to FIG. 8, in step 810, the network device transmits input data to a security device.

820단계에서, 네트워크 장치는 보안 장비로부터 데이터에 대한 분석 결과를 수신한다.In operation 820, the network device receives a result of analyzing the data from the security device.

830단계에서, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터이면, 840단계에서, 네트워크 장치는 분석 결과에 포함된 허용 패턴을 네트워크 장치 내에 등록할 수 있다.In operation 830, if the inputted data is allowed data as a result of confirming the analysis result, in operation 840, the network device may register the permission pattern included in the analysis result in the network device.

850단계에서, 네트워크 장치는 입력되는 데이터를 지속적으로 보안 장비에게 전송한다.In operation 850, the network device continuously transmits the input data to the security device.

반면, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터가 아니면, 860단계에서, 네트워크 장치는 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.In contrast, if the inputted data is not the allowable data as a result of confirming the analysis result, the network device may register the attack pattern included in the analysis result in the network device in step 860.

870단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.In operation 870, the network device may defend against an attack by traffic using a defense operation included in the analysis result, and register the defense operation in the network device.

도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.9 is a flowchart illustrating a collaborative defense method for a distributed denial of service attack performed by a security device according to an embodiment of the present invention.

도 9의 방법은 도 1 또는 도 5를 참조하여 설명한 보안 장비(300)에 의해 수행될 수 있다.The method of FIG. 9 may be performed by the security equipment 300 described with reference to FIG. 1 or 5.

910단계에서, 보안 장비는 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신한다.In operation 910, the security device receives data from a network device that monitors traffic forwarded to the service server.

920단계에서, 보안 장비는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터인지 확인할 수 있다. 구체적으로, 보안 장비는 910단계에서 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 의심데이터인지 여부를 확인할 수 있다.In operation 920, the security device may check whether the received data is suspect data suspected of a DDoS attack. In detail, the security device may determine whether the data is suspicious data based on the flow information of the data received in operation 910 or the marking information displayed on the data.

930단계에서, 보안 장비는 데이터가 DDoS 공격으로 의심되면, 즉, 의심데이터로 확인되면, 데이터를 정밀분석하여 DDoS 공격인지 여부를 판단할 수 있다. 데이터에 대한 정밀 분석결과는, 데이터에 대한 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.In operation 930, if the data is suspected of being a DDoS attack, that is, the data is confirmed as suspicious data, the security device may precisely analyze the data to determine whether it is a DDoS attack. The result of the detailed analysis of the data may include information about an attack pattern on the data and information about defense actions to be performed by the network device.

940단계에서, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 950단계에서, 보안 장비는 공격 패턴 및 방어 동작을 포함하는 분석 결과를 네트워크 장치에게 전송한다.In operation 940, when the suspicious data is identified as the data having the attack pattern in operation 930, the security device transmits an analysis result including the attack pattern and the defensive operation to the network device in operation 950.

반면, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 960단계에서, 보안 장비는 허용 패턴을 포함하는 분석 결과를 네트워크 장치에게 전송한다.On the contrary, if the suspicious data is confirmed as the data having the attack pattern in step 930, in step 960, the security device transmits the analysis result including the allowance pattern to the network device.

한편, 920단계에서 의심데이터가 아닌 것으로 확인되면, 970단계에서, 데이터가 공격 패턴을 가지는지 여부를 확인하기 위해 데이터를 분석한다. On the other hand, if it is determined in step 920 that the suspect data is not, in step 970, the data is analyzed to confirm whether the data has an attack pattern.

분석 결과에 따라, 보안 장비는, 940단계 내지 960단계를 수행한다. According to the analysis result, the security device performs steps 940 to 960.

본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. The methods according to embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

200: 네트워크 장치 210: 제1통신부
220: 공격 패턴 등록부 230: 방어 동작 등록부
240: 데이터 모니터링부 250: 식별 표시부
260: 제1제어부200: network device 210: first communication unit
220: attack pattern register 230: defense operation register
240: data monitoring unit 250: identification display unit
260: first control unit

Claims (19)

네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 검출된 데이터에 대한 분석결과는 상기 검출된 데이터의 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는 분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The analysis result of the detected data includes the information on the attack pattern of the detected data and the information on the defense operation to be performed by the network device collaborative defense method for a denial of service attack. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 검출하는 단계는,
입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계;
상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및
상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Wherein the detecting comprises:
Confirming a generation pattern of the input data based on flow information of the input data;
Judging whether the occurrence pattern of the input data corresponds to an attack pattern registered in the network device; And
And determining the input data as data suspected of the distributed service denial attack if the occurrence pattern of the input data corresponds to an attack pattern registered in the network device.
Collaborative defense against distributed service denial attacks. 제2항에 있어서,
상기 입력된 데이터의 발생 패턴은,
단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정되는,
분산서비스거부 공격에 대한 협업형 방어 방법.3. The method of claim 2,
The occurrence pattern of the input data is,
It is determined based on at least one of the amount of data input per unit time, whether the data having the same size is repeated, whether the data for a specific function is repeated,
Collaborative defense against distributed service denial attacks. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 알려주는 단계는,
상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및
이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Informing the above step,
Indicating that the detected data is abnormal symptom data in a manner promised between the network device and a security device; And
Forwarding the data indicated by the abnormal symptom data to the security equipment,
Collaborative defense against distributed service denial attacks. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 알려주는 단계는,
상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및
상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
Informing the above step,
Providing the security equipment with flow information of the detected data, the flow information comprising at least one of a source address, a destination address, and a port number; And
Delivering the detected data to the security equipment;
Collaborative defense against distributed service denial attacks. 삭제delete 제1항에 있어서,
상기 방어 동작에 대한 정보는 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.The method of claim 1,
The information on the defensive operation includes at least one of a bandwidth limit for the traffic, a complete dropping of the traffic, and a dropping probability for the traffic.
Collaborative defense against distributed service denial attacks. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 제1 동작은,
상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The first operation is,
Registering an attack pattern included in the analysis result when the analysis result is an attack pattern of the distributed service denial attack; And
Blocking the distributed service denial attack of the traffic according to the defense against the traffic included in the analysis result;
Collaborative defense against distributed service denial attacks. 제8항에 있어서,
상기 트래픽의 분산서비스거부 공격을 차단하는 단계는,
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및
네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.9. The method of claim 8,
Blocking the distributed service denial attack of the traffic,
Registering a defense action for the traffic included in the analysis result; And
Transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network incoming end device;
Collaborative defense against distributed service denial attacks. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 단계
를 포함하고,
상기 기 설정된 룰은
상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In the collaborative defense method against Distributed Denial of Service attack performed by a network device,
Detecting data suspected of the distributed denial of service attack by monitoring traffic forwarded to a service server;
Notifying the security device that the detected data is data suspected of the distributed service denial of attack;
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Performing at least one of 'second operation'
Lt; / RTI >
The preset rule is
At least one of a bandwidth rate limit for the traffic, a complete dropping of the traffic, a dropping probability for the traffic,
Collaborative defense against distributed service denial attacks. 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계;
상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계;
상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및
상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.In a collaborative defense method against distributed denial of service attacks performed by security equipment,
Receiving data from a network device that monitors traffic forwarded to the service server;
Checking whether the data is data suspected of the distributed service denial attack based on the flow information of the data provided from the network device or the marking information displayed on the data;
If the data is suspected of being a distributed service denial attack, precisely analyzing the data to determine whether the distributed service denial attack is performed; And
Transmitting the detailed analysis result of the data to the network device.
Collaborative defense against distributed service denial attacks. 제11항에 있어서,
상기 데이터에 대한 정밀 분석결과는,
상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는,
분산서비스거부 공격에 대한 협업형 방어 방법.12. The method of claim 11,
Precision analysis of the data,
Including information on the attack pattern for the data and the defense action to be performed by the network device,
Collaborative defense against distributed service denial attacks. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 검출된 데이터에 대한 분석결과는 상기 검출된 데이터의 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The analysis result of the detected data includes the information on the attack pattern of the detected data and information on the defense operation to be performed by the network device for a collaborative defense against a Distributed Denial of Service attack Network devices. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 데이터 모니터링부는,
입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및
상기 입력된 데이터의 발생 패턴이 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부
를 포함하는, 분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The data monitoring unit,
A pattern determination unit which checks a generation pattern of the input data based on flow information of the input data, and determines whether the identified occurrence pattern corresponds to an attack pattern registered in a network device; And
A suspicious data determination unit that determines the input data as data suspected of a distributed service denial attack when the occurrence pattern of the input data corresponds to an attack pattern registered in a network device;
A network device for collaborative defense against distributed service denial attacks, including. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;
를 더 포함하며,
상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
An identification display unit for indicating that the detected data is abnormal symptom data in a manner promised between a network device and a security device;
Further comprising:
The communication unit forwards the data indicated by the abnormal symptom data to a security device.
Network device for collaborative defense against distributed service denial attacks. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
The communication unit, the flow information of the detected data, the flow information includes at least one of a source address, a destination address, a port number, and delivers the detected data to the security equipment,
Network device for collaborative defense against distributed service denial attacks. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
상기 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
‘상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작’ 또는, ‘상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작’ 중 적어도 하나를 수행하는 제어부
를 포함하고,
상기 제어부는,
상기 분석결과가 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.A data monitoring unit which detects data suspected of a distributed service denial attack by monitoring traffic forwarded to the service server;
A communication unit for notifying a security device that the detected data is data suspected of a distributed service denial attack; And
'First operation of receiving the analysis result of the detected data from the security equipment and controlling the traffic according to the analysis result', or 'controlling the traffic according to a predetermined rule before performing the first operation' Control unit performing at least one of the 'second operation'
Lt; / RTI >
Wherein,
If the analysis result is an attack pattern of a distributed service rejection attack, the attack pattern included in the analysis result is registered, and the distributed service rejection attack of the traffic is blocked according to the defense against the traffic included in the analysis result, Performing the first operation,
Network device for collaborative defense against distributed service denial attacks. 제17항에 있어서,
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부
를 더 포함하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.18. The method of claim 17,
Defense action register for registering the defense action for the traffic included in the analysis result
≪ / RTI >
Network device for collaborative defense against distributed service denial attacks. 제17항에 있어서,
상기 제어부는,
네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는,
분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.18. The method of claim 17,
Wherein,
Transmitting information on the defensive operation to a network control system so as to block a distributed service denial attack of the traffic at a network incoming end device;
Network device for collaborative defense against distributed service denial attacks.
KR1020100078305A 2009-09-22 2010-08-13 Collaborative Protection Method and Apparatus for Distributed Denial of Service KR101380015B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/882,557 US20110072515A1 (en) 2009-09-22 2010-09-15 Method and apparatus for collaboratively protecting against distributed denial of service attack

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20090089575 2009-09-22
KR1020090089575 2009-09-22

Publications (2)

Publication Number Publication Date
KR20110033018A KR20110033018A (en) 2011-03-30
KR101380015B1 true KR101380015B1 (en) 2014-04-14

Family

ID=43937672

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100078305A KR101380015B1 (en) 2009-09-22 2010-08-13 Collaborative Protection Method and Apparatus for Distributed Denial of Service

Country Status (1)

Country Link
KR (1) KR101380015B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282297B1 (en) * 2012-03-20 2013-07-10 박상현 The apparatus and method of unity security with transaction pattern analysis and monitoring in network
KR20140071776A (en) * 2012-12-04 2014-06-12 한국전자통신연구원 Method and system for detecting invasion on wireless lan
KR101468601B1 (en) * 2014-03-13 2014-12-03 한국전자통신연구원 Web server/web application server security management apparatus and method
KR101626293B1 (en) * 2015-04-13 2016-06-01 한국전자통신연구원 Access control list generation and inspection apparatus, and method
KR102098064B1 (en) * 2015-11-16 2020-04-07 주식회사 마크애니 Method, Apparatus and System for Security Monitoring Based On Log Analysis
CN113992421B (en) * 2021-11-03 2023-08-29 北京天融信网络安全技术有限公司 Message processing method and device and electronic equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
JP2006023934A (en) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> Method and system for protecting against denial-of-service attack
KR20080067549A (en) * 2007-01-16 2008-07-21 유넷시스템주식회사 System and method for detecting realtimely host in internal network causing spoofed distributed denial of service
KR100908404B1 (en) 2008-09-04 2009-07-20 (주)이스트소프트 System and method for protecting from distributed denial of service

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
JP2006023934A (en) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> Method and system for protecting against denial-of-service attack
KR20080067549A (en) * 2007-01-16 2008-07-21 유넷시스템주식회사 System and method for detecting realtimely host in internal network causing spoofed distributed denial of service
KR100908404B1 (en) 2008-09-04 2009-07-20 (주)이스트소프트 System and method for protecting from distributed denial of service

Also Published As

Publication number Publication date
KR20110033018A (en) 2011-03-30

Similar Documents

Publication Publication Date Title
US20110072515A1 (en) Method and apparatus for collaboratively protecting against distributed denial of service attack
US10187422B2 (en) Mitigation of computer network attacks
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
KR101231975B1 (en) Method of defending a spoofing attack using a blocking server
KR101424490B1 (en) Reverse access detecting system and method based on latency
KR101380015B1 (en) Collaborative Protection Method and Apparatus for Distributed Denial of Service
KR101219796B1 (en) Apparatus and Method for protecting DDoS
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
JP2006243878A (en) Unauthorized access detection system
JP2006350561A (en) Attack detection device
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
CN113411296B (en) Situation awareness virtual link defense method, device and system
CN112491911B (en) DNS distributed denial of service defense method, device, equipment and storage medium
KR101230919B1 (en) Distributed denial of service attack auto protection system and method
KR101231966B1 (en) Server obstacle protecting system and method
JP2004030287A (en) Bi-directional network intrusion detection system and bi-directional intrusion detection program
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
JP2008011008A (en) Unauthorized access prevention system
KR101375840B1 (en) Malicious code intrusion preventing system and method thereof
KR20100057723A (en) Network management apparatus and method thereof, contents providing server for managing network
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
US11824831B2 (en) Hole punching abuse
Jansky et al. Hunting sip authentication attacks efficiently
JP2005130190A (en) Defense system for attack packet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170321

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee