KR101380292B1 - 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템 - Google Patents

링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101380292B1
KR101380292B1 KR1020110032792A KR20110032792A KR101380292B1 KR 101380292 B1 KR101380292 B1 KR 101380292B1 KR 1020110032792 A KR1020110032792 A KR 1020110032792A KR 20110032792 A KR20110032792 A KR 20110032792A KR 101380292 B1 KR101380292 B1 KR 101380292B1
Authority
KR
South Korea
Prior art keywords
traffic
link
ddos
information
flow
Prior art date
Application number
KR1020110032792A
Other languages
English (en)
Other versions
KR20120114935A (ko
Inventor
김종환
김봉기
정현호
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020110032792A priority Critical patent/KR101380292B1/ko
Publication of KR20120114935A publication Critical patent/KR20120114935A/ko
Application granted granted Critical
Publication of KR101380292B1 publication Critical patent/KR101380292B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 하나의 분석서버가 여러 개의 링크에 대해 시간을 분할하여 순차적으로 순환하면서 분석하면서도 DDoS(Distribute Denial of Service: 분산 서비스 거부) 공격을 원할히 탐지하고 감시하여, 인터넷 백본과 같은 고속 링크에서 흐르는 DDoS 트래픽에 경제적이고 효과적으로 대처할 수 있는 링크절체 기반의 DDoS 탐지 방법 및 시스템에 관한 것이다.

Description

링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템{Method and System for Utility Saving Time-Division DDoS Detection using Link Switch}
본 발명은 DDoS 탐지 방법 및 시스템에 관한 것으로서, 특히, 하나의 분석서버가 여러 개의 링크에 대해 시간을 분할하여 순차적으로 순환하면서 분석하면서도 DDoS(Distribute Denial of Service: 분산 서비스 거부) 공격을 원할히 탐지하고 감시하여, 인터넷 백본과 같은 고속 링크에서 흐르는 DDoS 트래픽에 경제적이고 효과적으로 대처할 수 있는 링크절체 기반의 DDoS 탐지 방법 및 시스템에 관한 것이다.
DDoS(Distribute Denial of Service: 분산 서비스 거부) 공격이란 여러 대의 컴퓨터들이 하나의 서버에 집중적인 트래픽을 보내어 해당 목적지 서버의 기능을 마비시키는 공격을 말한다. 2006년 초반부터 2009년 8월까지 이루어진 국내 사이트에 대한 DDoS 공격 가운데 약 38%가 금품이 목적인 협박용이고, 설문조사 결과 홈페이지를 운영하는 업체의 9.8%가 DDoS공격을 받았다고 응답했다고 KISA(한국인터넷진흥원)가 발표했다. 2009년 7.7 사이버 대란의 경우 공공/금융/언론 등 23개 기관이 공격을 당했고, 감염 PC가 7만8천대에 달했다. 이러한 공격을 방어하고 대응력을 향상하여 기업망 및 ISP(Internet Secure Payment) 서비스망의 서비스를 보호하고, 공격을 조기에 탐지하여 피해를 최소화하기 위해, ISP 내의 백본 노드들간의 링크나 기업으로의 유입 링크를 대상으로 DDoS 탐지 시스템을 구축하여야 한다.
DDoS를 일으키는 방법은 크게 두 가지가 있다. 첫번째 방법은 공격서버로 의미없는 쓰레기 패킷을 매우 많은 양을 보낼 경우(예를 들어 서버의 링크가 1Gbps인데, 공격량을 2Gbps로 보내는 경우), 서버쪽으로 향하는 정상적인 패킷들이 링크 혼잡에 의해 손실이 발생하기 때문에, 서비스가 마비된다. 이러한 공격 패킷의 경우 트래픽 라우팅에 필요한 L3/L4 계층에 해당하는 IP 주소와 TCP/UDP 프로토콜 정보만이 중요하기 때문에, L5에서 L7 계층에 해당하는 패킷 페이로드(payload)는 쓰레기 값을 채우는 경우가 많다. 이러한 공격을 통상 L3/L4 플러딩(Flooding) 공격이라고 한다. 두번째 방법은, 공격 패킷의 페이로드에 특정 요청 메시지를 담아서 매우 많이 보냄으로써, 서버의 성능이 모든 메시지를 처리 못하도록 하여 서버의 기능을 마비시키는 방법이 있다. 이 방법은 L7 DDoS 공격이라고 한다. 두번째 방법은 패킷의 페이로드까지 가공하여 공격해야 하므로, 공격 하기도 더 어렵고, 이것을 감지하는 방법도 모든 패킷의 페이로드를 분석해야 하므로 더 어렵다. 일반적으로는 첫번째 공격이 매우 빈번하며, 탐지하는 방법도 L3/L4정보를 담아주는 플로우(Source IP, Destination IP, Source Port, Destination Port, Protocol 이 동일한 트래픽 흐름)를 수집하여 탐지가 가능하다.
일반적으로 플로우 수집 기반 DDoS 탐지 시스템이라면, 링크별(또는 회선별)로 하나씩 트래픽을 수집하여 플로우 정보를 생성하고, 이를 분석하여 DDoS 공격이 있는지를 판단한다. 즉, 네트워크 상의 노드간 모든 링크에 대하여 해당 각각의 트래픽을 모두 분석하여 수집하는 방법이 지금까지의 전형적인 방법이었다. 그러나, 이러한 기존의 탐지 방법은 링크당 독립적으로 전담 분석 서버를 하나씩 두어야 함으로 투자비가 과도하게 소요되는 문제점이 있다. 대부분의 기존 DDoS 탐지 시스템은 링크별로 서버에 전용 트래픽 수집, 분석 및 탐지 모듈을 구비하여 공격 탐지를 수행하므로, 시스템의 경제적 투자비뿐만 아니라 시스템의 성능 부하에도 매우 큰 부담이 되어 왔다. 부담을 줄이기 위해 링크에서 패킷을 수집할 때, 패킷 샘플링을 적용하는 방식도 제안된 바 있으나, 이와 같은 방식에 있어서도 서버에 구성된 모듈들의 부하를 약간 줄일 뿐 링크별로 독립된 전담 분석 서버를 두어야 하는 문제를 여전히 해결하지는 못한다.
따라서, 본 발명은 상술한 문제점을 해결하기 위한 것으로서, 본 발명의 목적은, 하나의 분석서버가 여러 개의 링크에 대해 시간을 분할하여 순차적으로 순환하면서 분석하면서도 DDoS 공격을 원할히 탐지하고 감시하여, 네트워크 상의 노드들 간의 고속 링크에서 흐르는 DDoS 트래픽에 경제적이고 효과적으로 대처할 수 있는 링크절체 기반의 DDoS 탐지 방법 및 시스템을 제공하는 데 있다.
먼저, 본 발명의 특징을 요약하면, 상기와 같은 본 발명의 목적을 달성하기 위한 본 발명의 일면에 따른 DDoS 탐지 방법은, (A) 네트워크 상에서 복수의 노드들의 두 개의 노드 사이마다의 각 링크에 각각의 TAP(Test Access Port)을 설치하고, N(자연수)개의 입력포트들과 1개의 출력포트를 포함하는 절체기의 상기 입력포트들에 상기 각각의 TAP의 출력을 연결하고, 상기 절체기를 시간 분할 제어하여 상기 각각의 TAP이 복사하여 출력하는 해당 링크의 트래픽을 분할 시간씩 순차적으로 상기 출력포트를 통해 출력하는 단계; 및 (B) 상기 출력포트로 출력되는 트래픽에 대한 플로우 정보를 분석하여 상기 분할 시간 동안의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하는 단계를 포함한다.
(A) 단계에서, 상기 절체기는 동적으로 설정을 변경하기 위한 제어 신호에 따라 시간 분할 출력 방식을 중단하고 상기 입력포트들 중 어느 하나에 연결된 TAP에서의 트래픽을 상기 출력포트를 통해 출력할 수도 있다.
상기 플로우 정보는 각 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류 포함)별 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 포함한다.
상기 분할 시간은 30초 내지 2분 내에서 선택되어 60초 등으로 미리 설정될 수 있다.
(B) 단계에서, 상기 플로우 정보의 IP 주소로 판단한 각 링크의 플로우별로 상기 분할 시간 동안의 트래픽량을 합산한 통계 정보에 기초하여 각 플로우에 대한 DDoS 공격 여부를 판단한다.
여기서, 해당 링크의 ID, 플로우별 플로우 정보, 및 합산 트래픽량이 포함된 상기 통계 정보와 상기 DDoS 공격 여부에 대한 판단 결과를 저장 수단에 저장하며 운영자의 단말로 전송하여 디스플레이되도록 할 수 있다.
상기 DDoS 공격인 것으로 판단된 플로우에 대하여 로우(raw) 패킷 수집 명령을 발생하여 상기 출력포트에서 출력되는 트래픽에서 해당 로우 패킷을 저장 수단에 저장할 수 있다.
상기 해당 로우 패킷과 함께 해당 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류 포함) 및 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 상기 저장 수단에 저장할 수 있다.
그리고, 본 발명의 다른 일면에 따른, DDoS 탐지 시스템은, 네트워크 상에서 복수의 노드들의 두 개의 노드 사이마다의 각 링크에 설치되고 해당 링크의 트래픽을 복사하여 출력하는 TAP(Test Access Port); N(자연수)개의 입력포트들과 1개의 출력포트를 포함하고, 시간 분할 제어 신호에 따라 상기 입력포트들에 연결된 상기 각각의 TAP의 출력을 순차 선택하여 해당 링크의 트래픽을 분할 시간씩 순차적으로 상기 출력포트를 통해 출력하는 절체기; 및 상기 출력포트로 출력되는 트래픽에 대한 플로우 정보를 분석하여 상기 분할 시간 동안의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하는 분석 서버를 포함한다.
본 발명에 따른 링크절체 기반의 DDoS 탐지 방법 및 시스템에 따르면, 절체기의 시분할 절체에 따라 여러 개의 링크(또는 회선)을 넷플로우 생성기 및 수집 분석부 등을 구비한 하나의 분석 서버가 시간을 분할하여 순차적으로 링크별로 트래픽 수집, 플로우 분석 통계를 수행하여 DDoS 공격을 원할히 탐지하고 감시하므로, 링크 수용능력을 대폭적으로 늘릴 수 있고, 이에 따라 링크별로 별도의 시스템이 구축되는 기존의 시스템 이상의 성능을 유지하면서도 구축 비용을 대폭 줄이고 탐지 링크수는 몇 배 이상을 수용할 수 있는 경제적이고 효과적인 DDoS 탐지 시스템을 제공할 수 있다.
또한, 링크에 TAP 장치를 부착하여 트래픽을 수집하는 방식을 사용하므로 ISP 네트워크환경에서 실제 운용되고 있는 매우 중요한 상업적 네트워크 운용장비들에게 주는 영향을 최소화하면서 경제적이고 효과적으로 DDoS 탐지 성능을 향상시킬 수 있다.
도 1은 본 발명의 일실시예에 따른 DDoS 탐지 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 절체기를 설명하기 위한 도면이다.
도 3은 도 1의 절체기의 동작을 설명하기 위한 흐름도이다.
도 4는 본 발명의 일실시예에 따른 DDoS 탐지 시스템의 동작을 설명하기 위한 흐름도이다.
이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다.
도 1은 본 발명의 일실시예에 따른 DDoS 탐지 시스템(100)을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 DDoS 탐지 시스템(100)은, 네트워크 상에서 복수의 노드들의 두 개의 노드 사이마다의 각 링크에 설치된 TAP(Test Access Port), 절체기(110), 및 분석 서버(120)를 포함한다. 분석 서버(120)는 넷플로우 생성기(121), 로우(raw)패킷 수집부(122), 수집 분석부(123), 중앙 관제부(124), 및 데이터베이스(125)를 포함한다.
여기서 복수의 노드들은 인터넷(유무선 포함) 등을 포함하는 네트워크 상에서 IP(internet protocol) 트래픽을 주고 받는 라우터, 스위치, 컴퓨터 등과 같은 네트워크 운용장비들일 수 있다. TAP은 이와 같은 노드 간에 주고 받는 기존의 트래픽을 바이패스시키면서 해당 링크의 트래픽을 복사하여 별도의 포트로 출력하기 위하여 두 노드 사이마다의 각 링크에 설치된다. TAP은 노드간 통신 회선에 설치될 수 있으며, 예를 들어, 고속 링크를 위한 광물리 회선에 광TAP이 설치될 수도 있다.
절체기(110)는 N(자연수)개의 입력포트들과 1개의 출력포트를 포함하고, 입력포트들에는 위와 같이 각 링크에 설치된 TAP의 출력이 연결된다. 도 2와 같이 절체기(110)는 소정 제어 장치의 시간 분할 제어 신호에 따라 주기적 스위칭을 통해 입력포트들에 연결된 각각의 TAP의 출력을 순차 선택하여 해당 링크의 트래픽을 분할 시간씩(예를 들어, 60초) 순차적으로 출력포트를 통해 분석 서버(120)의 넷플로우 생성기(121)로 출력할 수 있다.
도 3과 같이, 절체기(110)가 순차 절체를 통해 현재 절체된 링크의 트래픽을 분석 서버(120)의 넷플로우 생성기(121)로 전달하는 동안(S10), 소정 제어 장치는 타이머를 이용해 분할 시간(예를 들어, 60초)을 체크하여 절체 주기가 되면(S11), 공격 탐지에 대한 중단 명령이 없는 한(S12), 제어 신호를 발생해 절체기(110)가 스위칭을 통해 입력포트들에 연결된 TAP 중 다른 TAP의 출력을 선택하여 해당 링크의 트래픽을 다음 주기의 분할 시간 동안(예를 들어, 60초) 출력포트를 통해 분석 서버(120)의 넷플로우 생성기(121)로 출력하도록 제어할 수 있다.
분석 서버(120)는 절체기(110)의 출력포트로 출력되는 트래픽에 대한 플로우 정보를 분석하여 해당 분할 시간 동안(예를 들어, 60초)의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하게 된다. 여기서, 분할 시간은 60초인 것으로 예로 들어 설명하지만, 30초 내지 2분 내에서 선택되어 미리 설정될 수 있으며, 경우에 따라 DDoS 공격 여부를 판단하기에 적합한 다른 시간이 설정될 수도 있다.
절체기(110)가 위와 같이 순차 절체를 수행할 수도 있지만, 경우에 따라서는 운용자는 언제든지 동적으로 절체기(110)의 동작에 대한 설정을 변경할 수 있다. 예를 들어, 절체기(110)의 입력포트들에는 N개의 링크에 대한 TAP이 연결되어 있다 하더라도 제어장치에 의해 그 중 임의의 M(<=N)개만을 선택하여 순서대로 절체하도록 설정할 수도 있다. 또한, 상황에 따라 어느 한 TAP만 선택하여 특정 링크를 지속해서 탐지할 수도 있고, 평시엔 중요 시설만 보고 있다가 공격의 징후가 발생되면 해당 링크로 순간적으로 절체하여 그 링크를 탐지할 수도 있다. 예를 들어, 절체기(110)는 동적으로 설정을 변경하기 위한 제어장치의 제어 신호에 따라 위와 같은 N개 또는 M개의 TAP에 대한 시간 분할 출력 방식을 중단하고 입력포트들 중 어느 하나에 연결된 TAP에서의 트래픽을 출력포트를 통해 출력할 수 있다.
본 발명의 일실시예에 따른 DDoS 탐지 시스템(100)에서는, 절체기(110)에 다수의 TAP을 연결해 링크 수용능력을 대폭적으로 늘렸으며, 분석 서버(120)가 시간을 분할하여 순차적으로 링크별로 트래픽 수집, 플로우 분석 통계를 수행하여 DDoS 공격을 원할히 탐지하고 감시하도록 하였고, 이에 따라 링크별로 별도의 시스템이 구축되는 기존의 시스템 이상의 성능을 유지하면서도 구축 비용을 대폭 줄이고 탐지 링크수는 몇 배 이상을 수용하여 경제적이고 효과적으로 DDoS 공격을 탐지하도록 하였다. 이와 같은 본 발명의 방식은 링크에 TAP을 부착하여 트래픽을 수집하는 방식을 사용하므로 ISP 네트워크환경에서 실제 운용되고 있는 매우 중요한 상업적 네트워크 운용장비들에게 주는 영향을 최소화하면서 경제적이고 효과적으로 DDoS 탐지 성능을 향상시킬 수 있게 된다.
이하, 도 4의 흐름도를 참조하여 일실시예에 따른 DDoS 탐지 시스템(100)의 동작을 좀더 자세히 설명한다.
절체기(110)가 출력포트로 해당 링크의 트래픽을 주기적으로 출력하는 동안, 이에 대하여 분석 서버(120)는 절체기(110)로부터 트래픽을 전달받아 그에 대한 플로우 정보를 분석하여 해당 링크에 대해 각 분할 시간 동안(예를 들어, 60초)의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하게 된다.
먼저, 분석 서버(120)의 넷플로우 생성기(121)는, 절체기(110)로부터 수신되는 트래픽을 분석하여 플로우 정보를 생성하고 생성한 플로우 정보를 수집 분석부(123)로 전송한다(S20). 여기서, 플로우 정보는 L3/L4 계층의 정보를 요약한 형태로서, 각 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류(TCP, UDP, ICMP 등) 포함)별 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 포함하며, 넷플로우 생성기(121)는 트래픽에서 각 5-Tuple 정보를 참조해 각 플로우의 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 추출하여, 각 5-Tuple 정보의 트래픽 정보를 포함한 플로우 정보를 수집 분석부(123)로 전송할 수 있다. 플로우 정보는 인터넷 국제 표준인 Netflow V5 포맷 형태일 수 있다. 여기서 포트 번호는 같은 IP 주소에 대해 소켓을 구분하는 목적으로 사용되는 정보로서 소스 단말인 클라이언트의 어플리케이션 사용 형태(웹페이지, 게임, 동영상 등)에 따라 사용된 메모리의 논리적 포트를 구분하기 위해 부여된 정보이다. 또한, 프로토콜 종류 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), ICMP(Internet Control Message Protocol) 등은 인터넷에서 사용되는 프로토콜이다.
한편, 넷플로우 생성기(121)로부터 플로우 정보를 수신한 수집 분석부(123)는, 플로우 정보를 수집하여 통계 정보를 생성한다(S30~S33).
절체기(110)의 순차 절체에 따라 플로우 정보는 시간에 따라 변화한다. 따라서 수집 분석부(123)는 넷플로우 생성기(121)로부터 수신한 플로우 정보의 소스 IP주소 또는 목적지 IP 주소를 분석하여, 해당 플로우가 어떤 회선(또는 링크)에서 흐른 것인지를 판단하여, 회선(또는 링크) ID를 확인한다(S30). 예를 들어, A회선에는 1.1.1.0~1.1.1.255, B회선에는 2.2.2.0~2.2.2.255, C회선에는 3.3.3.0~3.3.3.255, D회선에는 4.4.4.0~4.4.4.255와 같이 IP 주소가 할당된 경우에, 수신한 플로우 정보의 소스 IP주소 또는 목적지 IP 주소가 1.1.1.X 일 경우엔 A회선이라고 판단될 수 있다. 도 2와 같이 TAP1,2,3,4 각각이, 위와 같은 A, B, C, D회선의 각 링크에 하나씩 연결될 수 있다. 이때 DDoS 공격을 당하는 것을 탐지하는 것에 목적이 있다면 TAP들이 RX(수신) 트래픽, 즉, 위와 같은 회선들이 목적지 IP 주소에 대하여 커버하는 트래픽을 수집하도록 해당 링크들(회선들)에 설치될 수 있으며, DDoS 공격을 시작하는 소스를 탐지하고자 한다면 TX(송신) 트래픽, 즉, 위와 같은 회선들이 소스 IP 주소에 대하여 커버하는 트래픽을 수집하도록 해당 링크들(회선들)에 설치될 수 있다.
이와 같이 수집 분석부(123)가 플로우 정보의 IP 주소로 회선(또는 링크) ID를 판단한 후, 각 링크(회선)의 플로우별로 트래픽량을 합산해 나가며(S31), 절체기(110)의 절체 주기인 분할 시간 동안(예를 들어, 60초)(S32), 각 링크 ID에 대하여 플로우별로 트래픽량을 합산한 통계 정보를 생성한다(S33). 여기서, 플로우별, 즉, 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류(TCP, UDP, ICMP 등) 포함)별로 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)의 각 패킷수에 대한 바이트량(데이터사이즈)를 합산한 정보인 트래픽량이 통계 정보에 포함되며, 위와 같은 합산 트래픽량 이외에도 관리와 후속 처리를 위하여 통계 정보에는 링크 ID와 위와 같은 플로우 정보(5-Tuple 정보와 트래픽 정보)가 포함될 수 있다. 여기서, 1분 통계 정보를 생성하는 이유는 현재의 트래픽의 바이트량(bps), 패킷수(pps) 흐름이 과도하게 많은 DDoS 공격 흐름인지를 판단하는데 있어, 1분이 너무 짧아 통계의 변동성이 너무 높지도 않고, 너무 길어서 DDoS공격 탐지가 늦어지지도 않은 적당한 길이이기 때문이다. 이 통계 생성 주기 값은 상황에 따라 운영자에 의해 수정되어 설정될 수 있다.
수집 분석부(123)는 위와 같은 통계 정보를 중앙 관제부(124)로 전송하며, 이에 따라 중앙 관제부(124)는 수신한 통계 정보에 기초하여 각 플로우에 대한(5-Tuple 정보별) DDoS 공격 여부를 판단할 수 있다(S40). 예를 들어, 목적지 IP 주소로 향하는(또는 소스 IP 주소로 수신되는) 트래픽량(bps)이 통계 정보에 포함된 합산 트래픽량으로 참조한 결과 임계치(예를 들어, 1Gbps)를 초과하면 중앙 관제부(124)는 DDoS 공격이 있는 것으로 판단할 수 있고, 그렇지 않으면 DDoS 공격이 없는 것으로 판단할 수 있다.
중앙 관제부(124)는 위와 같은 통계 정보(링크 ID, 플로우별 플로우 정보, 합산 트래픽량)와 함께 DDoS 공격 여부에 대한 판단 결과(DDoS 공격임 또는 아님에 대한 정보)를 탐지 정보로서 데이터베이스(125)에 저장하며, 운영자가 단말로 전송하여 디스플레이되도록 할 수 있다(S42). 또한, 데이터베이스(125)에 저장된 정보는 운영자가 단말을 통해 접속하여 조회함으로써 과거의 탐지 정보까지도 언제든지 해당 단말에 디스플레이될 수도 있다.
특히, 중앙 관제부(124)는 DDoS 공격 여부에 대한 판단 결과가 DDoS 공격인 것으로 판단된 해당 플로우에 대하여는 로우(raw) 패킷 수집 명령을 발생하고(S50), 이에 따라 넷플로우 생성기(121)는 절체기(110)의 출력포트에서 출력되는 트래픽에서 해당 로우 패킷을 로우(raw)패킷 수집부(122)에 저장한다(S51, S52). 이는 추후 상세 분석을 위한 것으로서, 절체기(110)의 링크 절체를 이용하기 때문에 공격이 일어나더라도 해당 링크를 지속 탐지 하지 않고 시간이 지나면 주기적으로 다른 링크로 절체가 되므로, 공격이 일어났을 때 정확한 분석을 할 시간이 부족하고 데이터도 한정되기 마련이다. 따라서 공격이 일어난 시점에 좀 더 분석의 정확도를 높이기 위해 DDoS 공격이 있는 트래픽만을 필터링하여 따로 로우(raw)패킷 수집부(122)에 저장하여 추후에 상세 분석에 이용될 수 있도록 한 것이다. 로우(raw)패킷 수집부(122)에 저장되는 정보는 DDoS 공격이 있는 해당 플로우의 해당 로우 패킷(데이터)와 함께 해당 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류 포함) 및 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)가 포함될 수 있다.
이와 같이 본 발명의 일실시예에 따른 DDoS 탐지 시스템(100)에서는, 절체기(110)에 다수의 TAP을 연결해 링크 수용능력을 대폭적으로 늘렸으며, 분석 서버(120)가 시간을 분할하여 순차적으로 링크별로 트래픽을 수집하여, 플로우 분석 통계를 수행하여 DDoS 공격을 원할히 탐지하고 감시하도록 하였다. 이에 따라 링크별로 별도의 시스템이 구축되는 기존의 시스템 이상의 성능을 유지하면서도 구축 비용을 대폭 줄이고 탐지 링크수는 몇 배 이상을 수용하여 경제적이고 효과적으로 DDoS 공격을 탐지하도록 하였다. 이와 같은 본 발명의 방식은 링크에 TAP을 부착하여 트래픽을 수집하는 방식을 사용하므로 ISP 네트워크환경에서 실제 운용되고 있는 매우 중요한 상업적 네트워크 운용장비들에게 주는 영향을 최소화하면서 경제적이고 효과적으로 DDoS 탐지 성능을 향상시킬 수 있게 된다.
이와 같은 본 발명의 일실시예에 따른 DDoS 탐지 시스템(100)의 구성은, 하나의 링크에서 패킷 샘플링을 통해 서버에 구성된 모듈들의 부하를 약간 줄이도록 하지만 링크별로 독립된 전담 분석 서버를 두어야 하는 한계가 있는 기존의 시스템이나, 다수의 회선을 스위치에 연결하고 스위치로부터 수신되는 모든 트래픽을 센서에서 분석하지만 센서의 성능을 그만큼 높여주어야 하는 한계가 있는 기존의 시스템과는 차별화되며, 이와 같은 기존 시스템들에 비하여 본 발명에서는 링크별로 별도의 시스템이 구축되지 않아도 구축 비용을 대폭 줄이고 탐지 링크수는 몇 배 이상을 수용하여도 기존의 시스템 이상으로 DDoS 탐지 성능을 유지하여 경제적이고 효과적으로 시스템 운용이 가능하게 하였다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
절체기(110)
분석 서버(120)
넷플로우 생성기(121)
로우(raw)패킷 수집부(122)
수집 분석부(123)
중앙 관제부(124)
데이터베이스(125)

Claims (9)

  1. (A) 네트워크 상에서 복수의 노드들의 두 개의 노드 사이마다의 각 링크에 각각의 TAP(Test Access Port)을 설치하고, N(자연수)개의 입력포트들과 1개의 출력포트를 포함하는 절체기의 상기 입력포트들에 상기 각각의 TAP의 출력을 연결하고, 상기 절체기를 시간 분할 제어하여 상기 각각의 TAP이 복사하여 상기 입력포트들에 출력되는 해당 링크의 트래픽을 분할 시간씩 순차적으로 상기 출력포트를 통해 출력하는 단계; 및
    (B) 상기 출력포트로 출력되는 트래픽에 대한 플로우 정보를 분석하여 상기 분할 시간 동안의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하는 단계
    를 포함하고,
    상기 (B) 단계에서, 상기 플로우 정보의 IP 주소로 판단한 각 링크의 플로우별로 상기 분할 시간 동안의 트래픽량을 합산한 통계 정보에 기초하여 각 플로우에 대한 DDoS 공격 여부를 판단하는 것을 특징으로 하는 DDoS 탐지 방법.
  2. 제1항에 있어서,
    (A) 단계에서, 상기 절체기는 동적으로 설정을 변경하기 위한 제어 신호에 따라 시간 분할 출력 방식을 중단하고 상기 입력포트들 중 어느 하나에 연결된 TAP에서의 트래픽을 상기 출력포트를 통해 출력하는 것을 특징으로 하는 DDoS 탐지 방법.
  3. 제1항에 있어서,
    상기 플로우 정보는 각 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류 포함)별 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 포함하는 것을 특징으로 하는 DDoS 탐지 방법.
  4. 제1항에 있어서,
    상기 분할 시간은 30초 내지 2분 내에서 선택되어 미리 설정된 것을 특징으로 하는 DDoS 탐지 방법.
  5. 삭제
  6. 제1항에 있어서,
    해당 링크의 ID, 플로우별 플로우 정보, 및 합산 트래픽량이 포함된 상기 통계 정보와 상기 DDoS 공격 여부에 대한 판단 결과를 저장 수단에 저장하며 운영자의 단말로 전송하여 디스플레이되도록 하는 것을 특징으로 하는 DDoS 탐지 방법.
  7. 제1항에 있어서,
    상기 DDoS 공격인 것으로 판단된 플로우에 대하여 로우(raw) 패킷 수집 명령을 발생하여 상기 출력포트에서 출력되는 트래픽에서 해당 로우 패킷을 저장 수단에 저장하는 것을 특징으로 하는 DDoS 탐지 방법.
  8. 제7항에 있어서,
    상기 해당 로우 패킷과 함께 해당 5-Tuple 정보(소스 IP 주소, 목적지 IP 주소, 소스 포트번호, 목적지 포트번호, 프로토콜 종류 포함) 및 트래픽 정보(시작시간, 종료 시간, 패킷수, 바이트량 포함)를 상기 저장 수단에 저장하는 것을 특징으로 하는 DDoS 탐지 방법.
  9. 네트워크 상에서 복수의 노드들의 두 개의 노드 사이마다의 각 링크에 설치되고 해당 링크의 트래픽을 복사하여 출력하는 복수의 TAP(Test Access Port);
    N(자연수)개의 입력포트들과 1개의 출력포트를 포함하고, 시간 분할 제어 신호에 따라 상기 입력포트들에 연결된 상기 각각의 TAP의 출력을 순차 선택하여 해당 링크의 트래픽을 분할 시간씩 순차적으로 상기 출력포트를 통해 출력하는 절체기; 및
    상기 출력포트로 출력되는 트래픽에 대한 플로우 정보를 분석하여 상기 분할 시간 동안의 트래픽량이 임계치를 초과하는 지 여부를 판단하여 DDoS 공격 여부를 탐지하는 분석 서버
    를 포함하고,
    상기 분석 서버는 상기 플로우 정보의 IP 주소로 판단한 각 링크의 플로우별로 상기 분할 시간 동안의 트래픽량을 합산한 통계 정보에 기초하여 각 플로우에 대한 DDoS 공격 여부를 판단하는 것을 특징으로 하는 DDoS 탐지 시스템.
KR1020110032792A 2011-04-08 2011-04-08 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템 KR101380292B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110032792A KR101380292B1 (ko) 2011-04-08 2011-04-08 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110032792A KR101380292B1 (ko) 2011-04-08 2011-04-08 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20120114935A KR20120114935A (ko) 2012-10-17
KR101380292B1 true KR101380292B1 (ko) 2014-04-14

Family

ID=47283975

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110032792A KR101380292B1 (ko) 2011-04-08 2011-04-08 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101380292B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913970A (zh) * 2021-11-04 2023-04-04 贵州电网有限责任公司 一种基于软件定义网络的监控流量集中管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100445549B1 (ko) 2004-03-02 2004-08-25 (주)알피에이네트웍스 능동형 tap 장치
KR20060067077A (ko) * 2004-12-14 2006-06-19 한국전자통신연구원 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법
KR100882809B1 (ko) * 2006-08-31 2009-02-10 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법
KR20110065273A (ko) * 2009-12-07 2011-06-15 한국전자통신연구원 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100445549B1 (ko) 2004-03-02 2004-08-25 (주)알피에이네트웍스 능동형 tap 장치
KR20060067077A (ko) * 2004-12-14 2006-06-19 한국전자통신연구원 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법
KR100882809B1 (ko) * 2006-08-31 2009-02-10 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법
KR20110065273A (ko) * 2009-12-07 2011-06-15 한국전자통신연구원 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템

Also Published As

Publication number Publication date
KR20120114935A (ko) 2012-10-17

Similar Documents

Publication Publication Date Title
CN108063765B (zh) 适于解决网络安全的sdn系统
US10397260B2 (en) Network system
US7752307B2 (en) Technique of analyzing an information system state
CN101026505B (zh) 用于监控通信网络中的恶意流量的方法和装置
CN101399711B (zh) 网络监视装置以及网络监视方法
US7623466B2 (en) Symmetric connection detection
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US8958318B1 (en) Event-based capture of packets from a network flow
Shirali-Shahreza et al. Efficient implementation of security applications in openflow controller with flexam
EP3735762B1 (en) In-band telemetry with limited extra bytes
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
CN103444132A (zh) 网络系统及其交换方法
CN108028828B (zh) 一种分布式拒绝服务DDoS攻击检测方法及相关设备
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
WO2012147909A1 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
CN103997439B (zh) 一种流量监测方法、装置和系统
JP2011035932A (ja) ネットワーク制御装置およびその制御方法
CN107948157A (zh) 一种报文处理方法及装置
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP4244355B2 (ja) 通過パケット監視装置および方法
KR20130022506A (ko) 실시간 대용량 트래픽 분석 분산시스템 및 분산시스템에서 트래픽을 실시간으로 분석하는 방법
KR101380292B1 (ko) 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 6