KR101381606B1 - Content centric network node and method of detecting denial of service therein - Google Patents

Content centric network node and method of detecting denial of service therein Download PDF

Info

Publication number
KR101381606B1
KR101381606B1 KR1020130060328A KR20130060328A KR101381606B1 KR 101381606 B1 KR101381606 B1 KR 101381606B1 KR 1020130060328 A KR1020130060328 A KR 1020130060328A KR 20130060328 A KR20130060328 A KR 20130060328A KR 101381606 B1 KR101381606 B1 KR 101381606B1
Authority
KR
South Korea
Prior art keywords
content
interest
time
round trip
trip time
Prior art date
Application number
KR1020130060328A
Other languages
Korean (ko)
Inventor
노병희
최승오
김광수
김성민
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020130060328A priority Critical patent/KR101381606B1/en
Application granted granted Critical
Publication of KR101381606B1 publication Critical patent/KR101381606B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A content centric network node and a method for detecting denial of service of the node are provided. A content concentric network node according to an embodiment of the present invention includes: a network congestion index calculation unit to detect the occurrence of service denial by comparing input or output information of interest and data with the threshold value which is a criteria for determining whether the service denial due to interest flooding is occurred or not and recalculating a return time using the exponential weighted moving average after setting a time between an interest is transmitted to the content concentric network and the corresponding data reaches as a network congestion indicator; and a threshold value correction unit to correct the threshold value using a timeout time which is a time limit which an interest transmitted to the content concentric network node is stored in the content concentric network node, the recalculated return time and weighting factor set by a user. [Reference numerals] (10) Network congestion index calculation unit; (11) Threshold value correction unit; (12) Attack detection unit; (16) First face; (17) Second face; (18) Third face; (19) N^th face

Description

콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법{CONTENT CENTRIC NETWORK NODE AND METHOD OF DETECTING DENIAL OF SERVICE THEREIN} CONTENT CENTRIC NETWORK NODE AND METHOD OF DETECTING DENIAL OF SERVICE THEREIN}

본 발명은 콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법에 관한 것으로, 더욱 자세하게는 Interest 패킷(이하 Interest라 함) 및 Data 패킷(이하 Data라 함)의 유출입비율 값과 Interest 플러딩(flooding)의 발생으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생 판단 시 정상적인 Interest의 급증에 따른 네트워크 혼잡을 반영하여 상기 임계치를 보정해서 서비스 거부공격 발생을 판단함으로써 정상적인 Interest의 증가가 Interest 플러딩 공격으로 오인되는 것을 방지하기 위한 기술에 관한 것이다.The present invention relates to a content-centric network node and a method for detecting a denial of service attack of the node. More specifically, the flow rate and interest flood values of Interest packets (hereinafter referred to as Interest) and Data packets (hereinafter referred to as Data) are described. Increase of normal interest by judging occurrence of denial of service attack by comparing the threshold that is the criterion of occurrence of denial of service attack due to the occurrence of denial of service attack and correcting the threshold to reflect the network congestion due to the surge of normal interest. The present invention relates to a technique for preventing a mistake in a Interest flooding attack.

콘텐츠 중심 네트워킹은 사용자가 콘텐츠를 호스트 주소를 기반으로 요청하는 기존 인터넷과는 달리 콘텐츠 그 자체의 이름을 기반으로 요청하는 새로운 통신 아키텍처 기술로써 각광받고 있다. Content-oriented networking is attracting attention as a new communication architecture technology that requires users to request content based on the name of the content itself, unlike the existing Internet, which requests content based on the host address.

이러한 콘텐츠 중심 패러다임으로의 변화는 기존 인터넷의 종단 간 연결성이 사라지게 되고 콘텐츠는 위치 독립적 특성을 갖게 되었다. 콘텐츠 중심 네트워킹은 이를 적극 활용하여 네트워크 캐시 접목을 통한 신속한 콘텐츠 분배 및 분산과 종단 간 연결 채널 보호가 아닌 콘텐츠 자체의 보안에 중점을 두고 있다.The change to the content - centric paradigm disappears the end - to - end connectivity of the existing Internet and the contents become position - independent. Content-centric networking is actively leveraging it to focus on securing the content itself, not rapid content distribution and distribution and end-to-end connection channel protection through network caching.

콘텐츠 중심 네트워킹은 콘텐츠 요청을 위한 Interest 패킷(이하 Interest라 함)과 요청된 콘텐츠를 포함하는 Data 패킷(이하에서 Data라 함)으로 통신한다.The content-oriented networking communicates with a Interest packet (hereinafter referred to as Interest) for requesting a content and a Data packet (hereinafter referred to as Data) including the requested content.

도 1은 Interest 및 Data에 대한 형식을 나타낸다. 도 1의 (a)에 도시된 Interest는 사용자가 요청하는 도메인 주소와 콘텐츠 이름이 결합된 Content name, 요청속성으로 포함한 Selector, 무작위 값인 Nonce로 구성되어 있다. 도 1의 (b)에 도시된 Data는 요청으로 수신한 Interest의 Content Name과 똑같은 영역과 콘텐츠 자체의 보안을 위한 Signature 및 Signed Info, 콘텐츠 파일을 실어 보내기 위한 Data 영역으로 나누어져 있다.Figure 1 shows the format for Interest and Data. The Interest shown in FIG. 1 (a) is composed of a content name combined with a domain address and a content name requested by a user, a Selector including a request attribute, and a nonce, which is a random value. Data shown in (b) of FIG. 1 is divided into the same area as the content name of the interest received in the request, the Signature and Signed Info for security of the content itself, and the data area for transmitting the content file.

이와 같이 콘텐츠 중심 네트워크 노드, 예를 들어 라우터는 기존 인터넷과는 상이한 패킷 형태를 처리하기 위해 세 가지 요소로 이루어진 포워딩 엔진을 포함하고 있다. As such, content-centric network nodes, such as routers, include a forwarding engine consisting of three components to handle different packet types than the traditional Internet.

첫째, CS(Content Store)는 네트워크 단에 있는 캐시로써 Data의 콘텐츠 저장을 담당한다. 이렇게 저장된 콘텐츠는 추후 이와 같은 이름의 콘텐츠 요청에 해당하는 Interest가 도착할 경우 저장된 콘텐츠를 바로 Data에 담아 전송하게 된다. 따라서, 굳이 Interest가 콘텐츠 배포자에게 다다르지 않더라도 만약 중간 라우터의 CS에 해당 콘텐츠가 저장되어 있다면 콘텐츠의 신속한 전달이 가능하다. 하지만 CS의 캐시 크기는 유한하기 때문에 새 Data가 도착 시 저장할 공간이 부족하다면 LRU 또는 LFU와 같은 캐시 교체 정책에 따라 처리된다. First, the CS (Content Store) is a cache at the network level and is responsible for storing the contents of the data. When the interest corresponding to the request for the content of the same name arrives, the stored contents are stored in the data and transmitted immediately. Therefore, even if the interest is not completely different to the content distributor, the content can be delivered quickly if the content is stored in the CS of the intermediate router. However, since the cache size of CS is finite, new data is handled according to cache replacement policy such as LRU or LFU if there is insufficient space to store on arrival.

둘째, PIT(Pending Interest Table)는 Interest가 전파되며 자신의 전파된 경로 상에 흔적을 남기는 breadcrumb 방식의 역경로(Reverse Path)를 위한 일종의 유한한 저장소이다. 이를 위해 Interest와 그 Interest가 도착한 페이스(Face) 즉 페이스(interface) 정보를 잠시 동안 저장하게 하고, 이에 해당하는 Data가 도착 시 저장된 Interest의 유입 페이스(incoming face)를 확인하여 해당 페이스(face)로 Data를 전송한 뒤 저장되어 있던 Interest를 지우게 된다. 만약 같은 콘텐츠 요청에 해당하는 Interest가 이미 저장되어 있다면 도착한 페이스 번호만 저장된 Interest에 추가하는 Interest 집적(Aggregation) 기능을 수행한다. 또한 PIT는 Nonce를 활용하여 Interest가 전파되면서 생성되는 역경로(Reverse Path)의 루핑 방지 기능도 제공한다.Second, the PIT (Pending Interest Table) is a kind of finite repository for the breadcrumb reverse path, where the interest is propagated and leaves a trace on its propagated path. To do this, it stores the face (interface) information of interest and the interest arriving for a while, confirms the incoming face of Interest stored at the time of the corresponding data, After transferring the data, the stored interest is erased. If Interest corresponding to the same content request is already stored, Interest Aggregation is performed to add only the arrived face number to the stored Interest. The PIT also provides anti-roofing function of Reverse Path which is generated by using Nonce to propagate Interest.

마지막으로, FIB(Forwarding Information Base)는 페이스를 등록시켜주는 작업을 담당한다. Interest가 도착 시 등록된 페이스 리스트를 참조하여 어느 페이스로 전달되어야 하는지 알 수 있게 해준다. 만약 여러 페이스가 Interest에 해당된다면, Interest는 복사되어 해당된 모든 페이스에 전달된다. Finally, the Forwarding Information Base (FIB) is responsible for registering paces. Interest allows you to know at what pace you should be forwarded by referring to the registered face list on arrival. If multiple paces correspond to Interest, Interest is copied and delivered to all corresponding paces.

도 2는 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Interest가 처리되는 과정을 나타낸다. ① 우선 Interest가 페이스(Face)를 통해 도착하면 CS에 Interest의 콘텐츠 이름과 같은 것이 있는지 검색하게 된다. ② 만약 일치하는 콘텐츠가 있다면 해당 콘텐츠를 Data에 실어 Interest가 왔던 경로로 전송하게 된다. ②’그렇지 않다면, Interest를 PIT에 저장한 후 ③콘텐츠 이름과 FIB의 리스트가 롱기스트 프리픽스(Longest-prefix) 매칭이 되는 페이스로 Interest를 전송하게 된다.Figure 2 illustrates the process of Interest in a content-centric networking (CCN) forwarding engine. ① First, when an interest arrives through a face, CS is searched for the same content name as Interest. ② If there is a matching content, the content is put in Data and sent to the path where Interest has come. ② If not, store Interest in PIT and send Interest at the face where the content name and list of FIB are longest-prefix matching.

도 3은 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Data가 처리되는 과정을 나타낸다.3 illustrates a process of processing data in a content-centric networking (CCN) forwarding engine.

①Data가 페이스(Face)를 통해 도착하면 Data의 중복저장을 피하기 위해 CS에 같은 콘텐츠가 있는지 검색하여 없을 경우만 저장한다. ②그 후, 이 Data의 콘텐츠 이름과 일치하는 저장된 Interest가 PIT에 있는지 확인하여 존재하면 해당되는 페이스(Face)로 전달된 후 그 Interest는 삭제된다. ②’만약 존재하지 않는다면, 요청되지 않은 Data가 도착한 것이므로 이는 비정상으로 간주하여 폐기하게 된다.① When the data arrives through the face, it searches the CS for the same content to avoid redundant storage of data, and stores it only when there is no content. ② After that, it confirms whether or not there is a stored interest in the PIT that matches the content name of this data, and if it exists, it is transferred to the corresponding face and the Interest is deleted. ② 'If it does not exist, unrequested data has arrived, so it is regarded as abnormal and discarded.

그러나, 콘텐츠 중심 네트워킹에서 콘텐츠 요청인 Interest가 처리되는 과정의 구조적인 취약점으로 인해서 Interest Flooding 공격이 발생할 수 있다.However, interest flooding attacks can occur due to structural weaknesses in the processing of content request, Interest, in content-oriented networking.

즉 PIT 저장소의 크기가 유한하다는 점과 저장된 Interest의 경우 해당 Data가 도착하기 전까지 잔존하며 CCNx 프로젝트(www.ccnx.org에 개시되어 있음)에서 제공되는 오픈 소스를 분석하여 보면 Interest 저장을 위한 메모리 할당 실패 시 이러한 대책이 강구되어 있지 않는다.In other words, if the size of the PIT repository is finite and the stored interest remains until the data arrives and the open source provided by the CCNx project (disclosed in www.ccnx.org) is analyzed, a memory allocation These measures are not taken in case of failure.

공격자는 이러한 취약점을 악용하여 서로 다른 콘텐츠 이름을 포함하는 대량의 Interest를 짧은 시간 동안 전송함으로써 Interest flooding 공격을 할 수 있다. An attacker could exploit this vulnerability to send an interesting flooding attack by sending a large amount of Interest containing different content names for a short time.

이렇게 Interest flooding 공격이 진행되는 동안 Interest에 대한 검증 절차의 부재로 인해 Interest를 콘텐츠가 저장된 콘텐츠 서버까지 전달해주는 중간 라우터들의 PIT는 공격자의 Interest로 급격히 채워져 공간 부족 현상을 겪게 된다. 결국 이미 캐시된 콘텐츠에 대한 요청을 제외하고 정상적인 Interest가 도착하여도 이를 저장할 공간이 없이 폐기된다. 즉 서비스를 정상적으로 제공할 수 없는 서비스 거부 공격(Denial of Service) 상황이 벌어지게 된다. During the Interest flooding attack, due to the absence of the verification process for Interest, the PITs of intermediate routers that deliver Interest to the content server where the contents are stored are rapidly filled with the Attacker's Interest, resulting in a shortage of space. Eventually, except for a request for content that is already cached, even if normal interest arrives, there is no space for storing it. That is, a denial of service situation occurs in which a service cannot be normally provided.

이러한 Interest flooding으로 인한 서비스 거부공격을 탐지하기 위한 기술이 제안되고 있다. 즉 단위시간마다 콘텐츠 중심 네트워크 노드, 예를 들어 라우터에서의 Interest 및 Data의 유출입 비율 값, 예를 들어 Interest 수신 개수 및 Data 발신 개수의 비율 값과 Interest 플러딩의 발생으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교함으로써 서비스 거부공격의 발생이 판단되고 있다. A technique for detecting a denial of service attack due to such interest flooding has been proposed. In other words, the value of the flow rate of interest and data in a content-centric network node, such as a router, per unit time, for example, the value of the number of interest received and the number of data sent, and the criteria of occurrence of denial of service attacks due to interest flooding. The denial of service attack is judged by comparing the in threshold.

하지만 콘텐츠 중심 네트워크에서 정상적인 Interest 증가로 인한 네트워크 혼잡 발생 시 콘텐츠 중심 네트워크에서 라우터들 간 링크의 대역폭이 고갈되어 Interest에 해당하는 Data를 전달받는데 걸리는 지연시간이 증가하게 되어, 마치 서비스 거부공격과 발생한 것 같은 양상을 보이게 된다. However, when network congestion occurs due to normal interest increase in the content-oriented network, the bandwidth of links between routers is depleted in the content-oriented network, which increases the delay time for receiving data corresponding to the interest, resulting in a denial of service attack. You will see the same pattern.

이로 인해서 Interest 및 Data의 유출입비율 값과 Interest 플러딩의 발생으로 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생 판단하는 종래 기술은 정상적인 콘텐츠 요청인 Interest의 급증에 따른 네트워크 혼잡 발생의 경우를 Interest 플러딩으로 인한 서비스 거부공격으로 오인하는 문제점을 발생시킨다.As a result, the prior art of determining a denial of service attack by comparing the flow rate ratio of Interest and Data with the threshold value, which is a criterion of occurrence of denial of service attack due to the occurrence of Interest flooding, is related to the occurrence of network congestion caused by the surge of interest, which is a normal content request. It causes a problem of mistaken case as denial of service attack due to Interest flooding.

본 발명과 관련된 선행문헌으로는 대한민국 공개특허 제10-2013-0039652호(공개일: 2013년 04월 22일)가 있다.A prior art related to the present invention is Korean Patent Publication No. 10-2013-0039652 (published on Apr. 22, 2013).

Interest 및 Data의 유출입비율 값과 Interest 플러딩의 발생으로 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생 판단 시 정상적인 Interest의 급증에 따른 네트워크 혼잡을 반영하여 상기 임계치를 보정해서 서비스 거부공격 발생을 판단함으로써 정상적인 Interest의 증가가 Interest 플러딩 공격으로 오인되는 것을 방지하는 콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법이 제안된다.
Denial of service by correcting the threshold by reflecting network congestion caused by the surge of normal interest when determining the occurrence of denial of service attack by comparing the value of the flow rate of interest and data with the threshold value that is the criterion of occurrence of denial of service attack due to the occurrence of interest flooding A content-centric network node and a denial of service attack detection method of the node are proposed to prevent an increase in normal interest from being mistaken for an Interest flooding attack by determining an attack occurrence.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
The problems to be solved by the present invention are not limited to the above-mentioned problems, and other problems that are not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 일 양상에 따른 Interest 및 Data의 유출입정보와 Interest 플러딩(flooding)으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생을 탐지하는 콘텐츠 중심 네트워크 노드는, 콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 하고 상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산하는 네트워크 혼잡지표 계산부; 와 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정하는 임계치 보정부를 포함한다.The content-centric network node that detects the occurrence of the denial of service attack by comparing the flow rate information of Interest and Data according to an aspect of the present invention with a threshold that is a criterion of occurrence of the denial of service attack due to Interest flooding is a content-centric network. A network congestion index calculation unit configured to set the time from when the interest is transmitted to the corresponding data to the round trip time as a network congestion index and recalculate the round trip time by an exponential weighted moving average; And a threshold correction unit configured to correct the threshold using a timeout time, a timeout time limit for storing interest transmitted to the content centric network in the content centric network node, the recalculated round trip time, and a weight set by a user. .

상기 재계산된 왕복시간은 식

Figure 112013047252637-pat00001
(Zn은 n 시점에서 계산된 상기 왕복시간을 지수가중이동평균하여 재계산한 값(상기 재계산된 왕복시간), λ는 가중치(0≤λ≤1), Ln은 상기 왕복시간, Zn -1은 n-1 시점에서 계산된 왕복시간을 지수가중이동평균하여 재계산한 값)을 이용하여 구해질 수 있다.The recalculated round trip time is
Figure 112013047252637-pat00001
(Z n is a value calculated by exponentially weighted moving average of the round trip time calculated at time point n (the recalculated round trip time), λ is a weight (0 ≦ λ ≦ 1), and L n is the round trip time, Z n -1 can be obtained using the recalculation of the round trip time calculated at n-1 by exponentially weighted moving average.

상기 왕복시간은, Interest가 상기 콘텐츠 중심 네트워크에 저장된 시간이 상기 타임아웃시간이 초과하여 Interest가 폐기된 경우 및 Interest가 콘텐츠 중심 네트워크로 전송될 페이스(face)가 상기 콘텐츠 중심 네트워크 노드에 저장되어 있지 않아 Interest가 폐기된 경우 중 어느 하나인 경우에 '0'일 수 있다.The round trip time is a time when interest is stored in the content-centric network when the interest is discarded because the time-out time exceeds the timeout time, and a face to which Interest is transmitted to the content-centric network is not stored in the content-centric network node. Therefore, it may be '0' in the case of any one of interest discarded.

상기 보정된 임계치는 식

Figure 112013047252637-pat00002
c는 상기 보정된 임계치, θ는 상기 임계치, Zn은 상기 재계산된 왕복시간, δ는 상기 타임아웃시간, σ는 사용자가 설정한 가중치)를 이용하여 구해질 수 있다.The corrected threshold is
Figure 112013047252637-pat00002
c is the corrected threshold value, θ is the threshold value, Z n is the recalculated round trip time, δ is the timeout time, σ is a weight set by the user).

상기 임계치의 보정 주기는 상기 서비스 거부공격의 탐지주기보다 작거나 같을 수 있다.The correction period of the threshold may be less than or equal to the detection period of the denial of service attack.

상기 콘텐츠 중심 네트워크 노드는 상기 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스(Interface)들을 구비하며, 상기 네트워크 혼잡지표 계산부는 상기 다수의 페이스들 별로 왕복시간을 지수가중이동평균하여 재계산하며, 상기 임계치 보정부는 상기 다수의 페이스들 별로, 해당 페이스를 통해 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 보관되는 시간인 타임아웃시간, 해당 페이스에서의 왕복시간을 지수가중이동평균하여 재계산한 값 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정할 수 있다.The content-centric network node has a plurality of interfaces (Interfaces) for transmitting and receiving Interest and Data through communication with the content-centric network, the network congestion index calculation unit is the exponential weighted moving average of the round trip time for each of the plurality of faces The threshold value correction unit calculates a timeout time and a round trip time at a corresponding pace for each of the plurality of faces, the time that interest transmitted to the content centric network is stored in the content centric network node. The threshold value may be corrected by using a recalculated value by an exponential weighted moving average and a weight set by a user.

본 발명의 다른 양상에 따르면, Interest 및 Data의 유출입정보와 Interest 플러딩으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생을 탐지하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법으로, 콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 설정하는 단계; 상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산하는 단계; 및 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정하는 단계를 포함한다.According to another aspect of the present invention, a denial of service attack detection method of a content-centric network node that detects the occurrence of a denial of service attack by comparing the flow of information of interest and data with a threshold that is a criterion of occurrence of denial of service attacks due to Interest flooding. Setting a time from when the Interest is transmitted to the content centric network until the corresponding data is reached as a round trip time which is a network congestion index; Recalculating the round trip time by an exponential weighted moving average; And calibrating the threshold value using a timeout time which is a limit time when interest transmitted to the content centric network is stored in the content centric network node, the recalculated round trip time, and a weight set by the user.

본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드 및 그 노드의 서비스 거부공격 탐지방법에 따르면, Interest 및 Data의 유출입비율 값과 Interest 플러딩의 발생으로 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생 판단 시 정상적인 Interest의 급증에 따른 네트워크 혼잡을 반영하여 상기 임계치를 보정해서 서비스 거부공격 발생을 판단함으로써 정상적인 Interest의 증가가 Interest 플러딩 공격으로 오인되는 것을 방지할 수 있다.According to the content-centric network node and the denial of service attack detection method of the node according to an embodiment of the present invention, the denial of service by comparing the flow rate ratio value of Interest and Data with the threshold that is the determination criteria of the denial of service attack due to Interest flooding When determining the occurrence of an attack, the threshold is reflected by determining the denial of service attack by reflecting the network congestion caused by the surge of normal interest, thereby preventing a normal increase in interest from being mistaken as an Interest flooding attack.

도 1은 Interest 및 Data에 대한 형식을 나타낸 도면이다.
도 2는 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Interest가 처리되는 과정을 나타낸 도면이다.
도 3은 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Data가 처리되는 과정을 나타낸 도면이다.
도 4는 콘텐츠 중심 네트워크에서 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드의 위치를 예시한 도면이다.
도 5는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드의 구성을 나타낸 도면이다.
도 6은 FIB(Fowarding Informaiton Base)를 예시한 도면이다.
도 7은 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법에 대한 흐름도이다.1 is a diagram showing formats for Interest and Data.
2 is a diagram illustrating a process of processing interest in a content-centric networking (CCN) forwarding engine.
3 is a diagram illustrating a process of processing data in a content-centric networking (CCN) forwarding engine.
4 is a diagram illustrating a location of a content centric network node according to an embodiment of the present invention in a content centric network.
5 is a diagram showing the configuration of a content-centric network node according to an embodiment of the present invention.
6 is a diagram illustrating a Forwarding Informaiton Base (FIB).
7 is a flowchart illustrating a denial of service attack detection method of a content-centric network node according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.  Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.  Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art, and the following embodiments may be modified in various other forms, The present invention is not limited to the following embodiments. Rather, these embodiments are provided so that this disclosure will be more thorough and complete, and will fully convey the concept of the invention to those skilled in the art.

본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 경우 "포함한다(comprise)" 및/또는"포함하는(comprising)"은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및/또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다. 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다.  The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. As used herein, the singular forms "a", "an," and "the" include plural forms unless the context clearly dictates otherwise. Also, " comprise "and / or" comprising "when used herein should be interpreted as specifying the presence of stated shapes, numbers, steps, operations, elements, elements, and / And does not exclude the presence or addition of one or more other features, integers, operations, elements, elements, and / or groups. As used herein, the term "and / or" includes any and all combinations of one or more of the listed items.

본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역 및/또는 부위들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들 및/또는 부위들은 이들 용어에 의해 한정되어서는 안됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역 또는 부위를 다른 부재, 영역 또는 부위와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역 또는 부위는 본 발명의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역 또는 부위를 지칭할 수 있다.Although the terms first, second, etc. are used herein to describe various elements, regions and / or regions, it should be understood that these elements, components, regions, layers and / Do. These terms do not imply any particular order, top, bottom, or top row, and are used only to distinguish one member, region, or region from another member, region, or region. Thus, the first member, region or region described below may refer to a second member, region or region without departing from the teachings of the present invention.

이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다. 도면들에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 발명의 실시예는 본 명세서에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면 제조상 초래되는 형상의 변화를 포함하여야 한다.
Hereinafter, embodiments of the present invention will be described with reference to the drawings schematically showing embodiments of the present invention. In the figures, for example, variations in the shape shown may be expected, depending on manufacturing techniques and / or tolerances. Accordingly, embodiments of the present invention should not be construed as limited to any particular shape of the regions illustrated herein, including, for example, variations in shape resulting from manufacturing.

도 4는 콘텐츠 중심 네트워크에서 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드의 위치를 예시한 도면이고, 도 5는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드의 구성을 나타낸 도면이다.4 is a diagram illustrating a location of a content centric network node according to an embodiment of the present invention in a content centric network, and FIG. 5 is a diagram illustrating a configuration of a content centric network node according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드는 Interest 플러딩 공격 대상인 단말기(2)들이 속한 내부 네트워크와 속하지 않은 외부 네트워크의 경계 라우터인 CCN 방어 라우터(1)일 수 있다. 그러나 이에 한정되지 않고 다른 라우터들 즉 콘텐츠 중심 네트워크를 구성하는 라우터들일 수 있다. 하지만 경계 라우터인 CCN 방어 라우터(1)에 서비스 거부공격을 탐지할 수 있는 기능을 추가하면 콘텐츠 중심 네트워크의 구성 비용 및 서비스 거부공격의 사전 차단 측면에 등에서 효율적일 수 있다.Referring to FIG. 4, the content-centric network node according to an embodiment of the present invention may be a CCN defense router 1, which is a boundary router between an internal network to which terminals 2 of interest flooding attacks belong and an external network that does not belong. However, the present invention is not limited thereto, and may be other routers, that is, routers constituting a content-centric network. However, adding the ability to detect denial of service attacks to the CCN defense router 1, which is a boundary router, can be effective in terms of configuration cost of the content-centric network and proactive blocking of denial of service attacks.

이러한 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드(1)는 도 5에 도시된 바와 같이, 네트워크 혼잡지표 계산부(10), 임계치 보정부(11), 공격 탐지부(12) 및 다수의 페이스들(16, 17, 18, 19)을 포함한다. As shown in FIG. 5, the content-centric network node 1 according to the embodiment of the present invention includes a network congestion index calculator 10, a threshold correction unit 11, an attack detector 12, and a plurality of faces. Ones 16, 17, 18, 19.

공격 탐지부(12)는 Interest 및 Data의 유출입정보와 Interest 플러딩(flooding)으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생을 탐지한다. The attack detection unit 12 detects the occurrence of the denial of service attack by comparing the flow rate information of Interest and Data with a threshold that is a criterion of occurrence of the denial of service attack due to Interest flooding.

이때 Interest 및 Data 유출입정보는 상기 콘텐츠 중심 네트워크 노드(1)에 수신되는 Interest 개수 및 상기 콘텐츠 중심 네트워크 노드(1)로부터 발신되는 Data 개수의 비율일 수 있다. 그러나 이에 한정되지는 않는다. At this time, the interest and data flow-in and out information may be a ratio of the number of Interests received by the content-centric network node 1 and the number of Datas transmitted from the content-centric network node 1. However, it is not limited thereto.

그리고 상기 콘텐츠 중심 네트워크 노드(1)에 Interest가 수신되는 페이스와 상기 페이스에 수신된 Interest에 해당하는 Data가 발신되는 페이스는 동일하며, 상기 콘텐츠 중심 네트워크 노드(1)에는 다수의 페이스들(16, 17, 18, 19)이 구비되어 있으므로 공격 탐지부(12)는 다수의 페이스들(16, 17, 18, 19) 별로 서비스 거부공격의 발생을 탐지할 수 있다. 이에 따라 네트워크 혼잡지표 계산부(10) 및 임계치 보정부(11)도 각각의 동작을 다수의 페이스들(16, 17, 18, 19) 별로 수행할 수 있다. The pace at which interest is received by the content-centric network node 1 and the pace at which data corresponding to the interest received at the pace are transmitted are the same, and the pace-based network 16 has a plurality of faces 16; Since 17, 18, and 19 are provided, the attack detection unit 12 may detect the occurrence of a denial of service attack for each of the plurality of faces 16, 17, 18, and 19. Accordingly, the network congestion index calculation unit 10 and the threshold correction unit 11 may also perform each operation for each of the plurality of faces 16, 17, 18, and 19.

상기 페이스(face)는 콘텐츠 중심 네트워크에서 인터페이스(Interface) 대신에 사용된다. 그 이유는 인터페이스와는 달리 호스트 상에서 응용프로그램 프로세스와의 정보를 주고받는 통로를 지칭하고 있기 때문이다. The face is used in place of an interface in a content centric network. The reason is that unlike the interface, it refers to the passage of information to and from the application process on the host.

이것은 콘텐츠 중심 네트워킹(Content Centric Networking)의 제안자가 언급한 원문 "We use the term face rather than interface because packets are not only forwarded over hardware network interfaces but also exchanged directly with application processes within a machine(네트워크 상으로 패킷을 포워딩하며 장치 내에서 응용프로그램 프로세스와도 직접적으로 연결되어 패킷이 교환되는 곳)"에 나타나 있다.This is the original text mentioned by the proponent of Content Centric Networking. "We use the term face rather than interface because packets are not only forwarded over hardware network interfaces but also exchanged directly with application processes within a machine. Forwarded and directly connected to the application process within the device, where packets are exchanged).

네트워크 혼잡지표 계산부(10)는 콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 하고 상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산한다. 이렇게 지수가중이동평균을 적용하는 이유는 과거 자료보다 최신 자료에 가중치를 두기 위해서이다. 이때 네트워크 혼잡지표 계산부(10)는 아래의 수학식 1을 이용하여 상기 재계산된 왕복시간(Zn)을 구할 수 있다.The network congestion index calculation unit 10 sets the time from the transmission of interest to the content-centric network until the corresponding data is reached as the round trip time, which is the network congestion index, and the round trip time is the exponential weighted moving average. Recalculate The reason for applying the exponentially weighted moving average is to weight the latest data rather than the historical data. In this case, the network congestion index calculation unit 10 may obtain the recalculated round trip time Z n using Equation 1 below.

Figure 112013047252637-pat00003
Figure 112013047252637-pat00003

이때, Zn은 n 시점에서 계산된 상기 왕복시간을 지수가중이동평균하여 재계산한 값 즉 상기 재계산된 왕복시간이며, λ는 가중치(0≤λ≤1)이며, Ln은 상기 왕복시간이며, Zn -1은 n-1 시점에서 계산된 왕복시간을 지수가중이동평균하여 재계산한 값을 나타낸다. In this case, Z n is a value that is recalculated by exponentially weighted moving average calculated at n time point, that is, the recalculated round trip time, λ is a weight (0 ≦ λ ≦ 1), and L n is the round trip time Z n -1 represents a recalculation of the round trip time calculated at n-1 by exponentially weighted moving average.

상기 수학식 1에서 네트워크 혼잡지표인 왕복시간 Ln을 구할 수 없는 경우가 발생한다. 이러한 경우 왕복시간 Ln은 '0'으로 정의한다. In Equation 1, a round trip time L n , which is a network congestion index, cannot be obtained. In this case, the round trip time L n is defined as '0'.

이렇게 왕복시간을 구할 수 없는 경우는 다음과 같은 상황에서 발생한다.This round trip time cannot be obtained in the following situations.

첫째, Interest가 상기 콘텐츠 중심 네트워크 노드(1)에 수신된 경우 콘텐츠 중심 네트워크 노드(1)의 PIT(Pending Interest Table)(도시하지 않음)에 저장되는데 Interest가 저장되는 시간이 PIT에 Interest가 저장되는 한계시간인 타임아웃시간을 초과하여 폐기된 경우로서, 이는 존재하지 않은 콘텐츠의 요청(Interest)으로 애초에 Data가 도달할 수 없는 상황과 존재하는 콘텐츠를 요청(Interest)했지만 네트워크가 매우 혼잡하여 타임아웃시간 내에 Data가 도달하지 못한 경우에 발생한다.First, when Interest is received in the content centric network node 1, the Interest is stored in a PIT (Pending Interest Table) (not shown) of the content centric network node 1. It is discarded beyond the timeout timeout, which is the request of nonexistent content. In this situation, the data cannot be reached and the existing content is requested. However, the network is very congested. Occurs when data cannot be reached in time.

둘째, Interest가 콘텐츠 중심 네트워크로 전송될 페이스(face)가 상기 콘텐츠 중심 네트워크 노드(1)의 FIB((Forwarding Information Base)에 저장되어 있지 않아 Interest가 폐기된 경우이다. 이때 FIB는 도 6에 예시된 바와 같이 Interest가 콘텐츠 중심 네트워크로 전송될 페이스 정보(Outgoing Face(s))가 Interest의 프리픽스에 포함된 콘텐츠 보유 노드의 이름을 매핑하고 있다. 예를 들어 콘텐츠 보유 노드의 이름이 '/ajou.ac.kr/user1/인 경우 이를 포함한 Interet가 콘텐츠 중심 네트워크 노드로 전송될 콘텐츠 중심 네트워크 노드(1)의 페이스(Outgoing Face(s))는 1번 페이스로 매핑되어 있다. Second, the case in which interest is discarded because a face to which Interest is transmitted to the content-centric network is not stored in the forwarding information base (FIB) of the content-centric network node 1. In this case, the FIB is illustrated in FIG. As shown, the face information (Outgoing Face (s)) in which Interest is to be transmitted to the content-centric network maps the name of the content holding node included in the prefix of Interest, for example, the name of the content holding node is' / ajou. In the case of ac.kr/user1/, the face (Outgoing Face (s)) of the content-centric network node 1 to which the interet including this is transmitted to the content-centric network node is mapped to the first face.

네트워크 혼잡지표 계산부(10)는 상기 재계산된 왕복시간을 도 6에 도시된 FIB의 지수가중이동평균 영역(EWMA of Latency)에 저장할 수 있다. 즉 상기 재계산된 왕복시간이 1번 페이스에 대한 것이라면 1번 페이스와 매핑되는 지수가중이동평균 영역(EWMA of Latency)에 저장된다. 이에 따라 FIB를 확장하여 페이스들 별로 재계산된 왕복시간을 저장하므로 몌모리 공간의 낭비를 줄일 수 있고 지수가중이동평균을 이용하여 계산된 왕복시간에 대한 관리를 효율적으로 할 수 있게 된다.The network congestion index calculation unit 10 may store the recalculated round trip time in the exponentially weighted moving average region (EWMA of Latency) of the FIB illustrated in FIG. 6. That is, if the recalculated round trip time is for phase 1, it is stored in an exponentially weighted moving average region (EWMA of Latency) mapped to phase 1. As a result, the FIB is extended to store the round trip time recalculated for each phase, thereby reducing waste of space, and efficiently managing round trip time calculated using an exponential weighted moving average.

임계치 보정부(11)는 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정한다. 이때 임계치 보정부(11)는 아래의 수학식 2를 이용하여 상기 임계치를 보정할 수 있다.The threshold correction unit 11 corrects the threshold value by using a timeout time which is a limit time for the interest transmitted to the content centric network to be stored in the content centric network node, the recalculated round trip time, and a weight set by the user. do. In this case, the threshold corrector 11 may correct the threshold using Equation 2 below.

Figure 112013047252637-pat00004
Figure 112013047252637-pat00004

이때, θc는 상기 보정된 임계치이며, θ는 상기 임계치이며, Zn은 상기 재계산된 왕복시간이며, δ는 상기 타임아웃시간이며, σ는 사용자가 설정한 가중치를 나타낸다.
Θ c is the corrected threshold, θ is the threshold, Z n is the recalculated round trip time, δ is the timeout time, and σ represents a weight set by the user.

이러한 상기 수학식 2를 통한 임계치의 보정은 네트워크 혼잡을 반영하므로 적어도 서비스 거부공격의 탐지가 이루어지기 전에 이루어져야 할 필요가 있다. 즉 상기 임계치의 보정 주기는 상기 서비스 거부공격의 탐지주기보다 작거나 같을 수 있다. Since the correction of the threshold through Equation 2 reflects network congestion, it needs to be made at least before detection of a denial of service attack. That is, the correction period of the threshold may be less than or equal to the detection period of the denial of service attack.

이러한 본 발명의 실시예에 따른 콘텐츠 중심 네트워크 노드(1)에 의해서 수행되는 서비스 거부공격 탐지방법에 대한 흐름도가 도 7에 도시되어 있다.7 is a flowchart illustrating a denial of service attack detection method performed by the content-centric network node 1 according to an embodiment of the present invention.

도 7을 참조하면 콘텐츠 중심 네트워크 노드(1)는 콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 설정한다(S10). 이때 상술한 바와 같이 Interest가 상기 콘텐츠 중심 네트워크에 저장된 시간이 상기 타임아웃시간이 초과하여 Interest가 폐기된 경우 및 Interest가 콘텐츠 중심 네트워크로 전송될 페이스(face)가 상기 콘텐츠 중심 네트워크 노드에 저장되어 있지 않아 Interest가 폐기된 경우는 상기 왕복시간을 '0'으로 할 수 있다.Referring to FIG. 7, the content-centric network node 1 sets the time from when interest is transmitted to the content-centric network until the corresponding data is reached as a round trip time which is a network congestion index (S10). In this case, as described above, when interest is discarded because the time stored in the content centric network exceeds the timeout time, and a face for transmitting interest to the content centric network is not stored in the content centric network node. If the interest is discarded, the round trip time may be set to '0'.

이후 콘텐츠 중심 네트워크 노드(1)는 상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산한다(S20). 이때 콘텐츠 중심 네트워크 노드(1)는 상기 수학식 1을 이용하여 상기 왕복시간을 지수가중이동평균하여 재계산할 수 있다. Thereafter, the content-centric network node 1 recalculates the round trip time by using an exponential weighted moving average (S20). In this case, the content-oriented network node 1 may recalculate the round trip time by exponentially weighted moving average using Equation (1).

콘텐츠 중심 네트워크 노드(1)는 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정한다(S30). 이때 콘텐츠 중심 네트워크 노드(1)는 상기 수학식 2를 이용하여 상기 임계치를 네트워크 혼잡을 반영하여 보정할 수 있다. 이러한 상기 단계 S10 내지 단계 S30을 통한 임계치의 보정은 네트워크 혼잡을 반영하므로 적어도 서비스 거부공격의 탐지가 이루어지기 전에 이루어져야 할 필요가 있다. 즉 상기 임계치의 보정 주기는 상기 서비스 거부공격의 탐지주기보다 작거나 같을 수 있다. The content-centric network node 1 uses the timeout time, the recalculated round-trip time, and the weight set by the user, which is a limit time when Interest transmitted to the content-centric network is stored in the content-centric network node. Correct (S30). In this case, the content-centric network node 1 may correct the threshold value by reflecting network congestion using Equation 2. Since the correction of the threshold through the above steps S10 to S30 reflects network congestion, it needs to be made at least before detection of a denial of service attack. That is, the correction period of the threshold may be less than or equal to the detection period of the denial of service attack.

이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다. The present invention has been described above with reference to the embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. Therefore, the scope of the present invention is not limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims and equivalents thereof.

10 : 네트워크 혼잡지표 계산부
11 : 임계치 보정부
12 : 공격 탐지부10: network congestion index calculation unit
11: threshold correction unit
12: attack detection unit

Claims (12)

Interest 및 Data의 유출입정보와 Interest 플러딩(flooding)으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생을 탐지하는 콘텐츠 중심 네트워크 노드에 있어서,
콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 하고 상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산하는 네트워크 혼잡지표 계산부; 와
상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정하는 임계치 보정부를 포함하는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드.In the content-oriented network node that detects the occurrence of the denial of service attack by comparing the flow of information of interest and data with the threshold which is a criterion for determining the denial of service attack due to the interest flooding,
Network congestion index calculation unit that calculates the time from the transmission of interest to the content-oriented network until the data is reached as the round trip time, the network congestion index, and recalculates the round trip time by the exponential weighted moving average. ; Wow
And a threshold correction unit configured to correct the threshold value using a timeout time which is a limit time stored in the content centric network node, the recalculated round trip time, and a weight set by a user. Characterized by content-centric network nodes. 청구항 1에 있어서,
상기 재계산된 왕복시간은
Figure 112013047252637-pat00005
(Zn은 n 시점에서 계산된 상기 왕복시간을 지수가중이동평균하여 재계산한 값(상기 재계산된 왕복시간), λ는 가중치(0≤λ≤1), Ln은 상기 왕복시간, Zn -1은 n-1 시점에서 계산된 왕복시간을 지수가중이동평균하여 재계산한 값)을 이용하여 구해지는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드. The method according to claim 1,
The recalculated round trip time is
expression
Figure 112013047252637-pat00005
(Z n is a value calculated by exponentially weighted moving average of the round trip time calculated at time point n (the recalculated round trip time), λ is a weight (0 ≦ λ ≦ 1), and L n is the round trip time, Z n -1 is obtained by using the exponentially weighted moving average of the round trip time calculated at n-1). 청구항 1에 있어서,
상기 왕복시간은,
Interest가 상기 콘텐츠 중심 네트워크에 저장된 시간이 상기 타임아웃시간이 초과하여 Interest가 폐기된 경우 및 Interest가 콘텐츠 중심 네트워크로 전송될 페이스(face)가 상기 콘텐츠 중심 네트워크 노드에 저장되어 있지 않아 Interest가 폐기된 경우 중 어느 하나인 경우에 '0'인 것을 특징으로 하는 콘텐츠 중심 네트워크 노드. The method according to claim 1,
The round trip time is,
When Interest is discarded because the time that Interest is stored in the content centric network exceeds the timeout time, and when the Interest is transmitted to the content centric network, the interest is discarded because the content is not stored in the content centric network node. Content-centric network node, characterized in that '0' in any of the cases. 청구항 1에 있어서,
상기 보정된 임계치는
Figure 112013047252637-pat00006
c는 상기 보정된 임계치, θ는 상기 임계치, Zn은 상기 재계산된 왕복시간, δ는 상기 타임아웃시간, σ는 사용자가 설정한 가중치)를 이용하여 구해지는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드.The method according to claim 1,
The corrected threshold is
expression
Figure 112013047252637-pat00006
c is the corrected threshold, θ is the threshold, Z n is the recalculated round trip time, δ is the timeout time, σ is a weight set by the user) Network node. 청구항 1에 있어서,
상기 임계치의 보정 주기는 상기 서비스 거부공격의 탐지주기보다 작거나 같은 것을 특징으로 하는 콘텐츠 중심 네트워크 노드.The method according to claim 1,
And the correction period of the threshold is less than or equal to the detection period of the denial of service attack. 청구항 1에 있어서,
상기 콘텐츠 중심 네트워크 노드는
상기 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스(Interface)들을 구비하며,
상기 네트워크 혼잡지표 계산부는 상기 다수의 페이스들 별로 왕복시간을 지수가중이동평균하여 재계산하며,
상기 임계치 보정부는 상기 다수의 페이스들 별로, 해당 페이스를 통해 상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 보관되는 시간인 타임아웃시간, 해당 페이스에서의 왕복시간을 지수가중이동평균하여 재계산한 값 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정하는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드.The method according to claim 1,
The content centric network node
And a plurality of interfaces for transmitting and receiving Interest and Data through communication with the contents center network,
The network congestion index calculation unit recalculates the round trip time by the exponential weighted moving average for each of the plurality of faces,
The threshold corrector performs an exponential weighted moving average of a time-out time and a round-trip time at a corresponding face for each of the plurality of faces, the time that interest transmitted to the content-centric network is stored in the content-centric network node through the face. And correcting the threshold value using the recalculated value and the weight set by the user. Interest 및 Data의 유출입정보와 Interest 플러딩으로 인한 서비스 거부공격의 발생판단기준인 임계치를 비교하여 서비스 거부공격의 발생을 탐지하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법에 있어서,
콘텐츠 중심 네트워크로 Interest가 전송된 후 해당 Data가 도달될 때까지의 시간을 네트워크 혼잡 지표인 왕복시간으로 설정하는 단계;
상기 왕복시간을 지수가중이동평균(Exponential Weighted Moving Average)하여 재계산하는 단계; 및
상기 콘텐츠 중심 네트워크로 전송된 Interest가 상기 콘텐츠 중심 네트워크 노드에 저장되는 한계시간인 타임아웃시간, 상기 재계산된 왕복시간 및 사용자가 설정한 가중치를 이용하여 상기 임계치를 보정하는 단계를 포함하는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법.In the method of detecting a denial of service attack of a content-centric network node that detects the occurrence of a denial of service attack by comparing the flow of information of interest and data with a threshold that is a criterion for determining a denial of service attack due to interest flooding,
Setting a time from when the Interest is transmitted to the content centric network until the corresponding data is reached as a round trip time which is a network congestion index;
Recalculating the round trip time by an exponential weighted moving average; And
And correcting the threshold value using a timeout time which is a limit time when interest transmitted to the content centric network is stored in the content centric network node, the recalculated round trip time, and a weight set by the user. Denial of service attack detection method of content-centric network nodes. 청구항 7에 있어서,
상기 재계산된 왕복시간은
Figure 112013047252637-pat00007
(Zn은 n 시점에서 계산된 상기 왕복시간을 지수가중이동평균하여 재계산한 값(상기 재계산된 왕복시간), λ는 가중치(0≤λ≤1), Ln은 상기 왕복시간, Zn -1은 n-1 시점에서 계산된 왕복시간을 지수가중이동평균하여 재계산한 값)을 이용하여 구해지는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법. The method of claim 7,
The recalculated round trip time is
expression
Figure 112013047252637-pat00007
(Z n is a value calculated by exponentially weighted moving average of the round trip time calculated at time point n (the recalculated round trip time), λ is a weight (0 ≦ λ ≦ 1), and L n is the round trip time, Z n -1 is obtained by using the exponentially weighted average of the round trip time calculated at n-1) and calculating the denial of service attack of the content-centric network node. 청구항 7에 있어서,
상기 왕복시간은,
Interest가 상기 콘텐츠 중심 네트워크에 저장된 시간이 상기 타임아웃시간이 초과하여 Interest가 폐기된 경우 및 Interest가 콘텐츠 중심 네트워크로 전송될 페이스(face)가 상기 콘텐츠 중심 네트워크 노드에 저장되어 있지 않아 Interest가 폐기된 경우 중 어느 하나인 경우에 '0'인 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법. The method of claim 7,
The round trip time is,
When Interest is discarded because the time that Interest is stored in the content centric network exceeds the timeout time, and when the Interest is transmitted to the content centric network, the interest is discarded because the content is not stored in the content centric network node. Denial of service attack detection method of the content-centric network node, characterized in that the case of any one of the cases. 청구항 7에 있어서,
상기 보정된 임계치는
Figure 112013047252637-pat00008
c는 상기 보정된 임계치, θ는 상기 임계치, Zn은 상기 재계산된 왕복시간, δ는 상기 타임아웃시간, σ는 사용자가 설정한 가중치)를 이용하여 구해지는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법.The method of claim 7,
The corrected threshold is
expression
Figure 112013047252637-pat00008
c is the corrected threshold, θ is the threshold, Z n is the recalculated round trip time, δ is the timeout time, σ is a weight set by the user) Method of detecting denial of service attack of network node. 청구항 7에 있어서,
상기 임계치의 보정 주기는 상기 서비스 거부공격의 탐지주기보다 작거나 같은 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법.The method of claim 7,
And the correction period of the threshold is less than or equal to the detection period of the denial of service attack. 청구항 7에 있어서,
상기 콘텐츠 중심 네트워크 노드는
상기 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스(Interface)들을 구비하며,
상기 다수의 페이스들 별로 각기 상기 왕복시간을 설정하는 단계, 상기 왕복시간을 재계산하는 단계 및 상기 임계치를 보정하는 단계가 수행되는 것을 특징으로 하는 콘텐츠 중심 네트워크 노드의 서비스 거부공격 탐지방법.The method of claim 7,
The content centric network node
And a plurality of interfaces for transmitting and receiving Interest and Data through communication with the contents center network,
And determining the round trip time for each of the plurality of phases, recalculating the round trip time, and correcting the threshold value.
KR1020130060328A 2013-05-28 2013-05-28 Content centric network node and method of detecting denial of service therein KR101381606B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130060328A KR101381606B1 (en) 2013-05-28 2013-05-28 Content centric network node and method of detecting denial of service therein

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130060328A KR101381606B1 (en) 2013-05-28 2013-05-28 Content centric network node and method of detecting denial of service therein

Publications (1)

Publication Number Publication Date
KR101381606B1 true KR101381606B1 (en) 2014-04-14

Family

ID=50656601

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130060328A KR101381606B1 (en) 2013-05-28 2013-05-28 Content centric network node and method of detecting denial of service therein

Country Status (1)

Country Link
KR (1) KR101381606B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100733830B1 (en) 2005-06-09 2007-07-02 충남대학교산학협력단 DDoS Detection and Packet Filtering Scheme
KR100803029B1 (en) 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection
KR20110080971A (en) * 2010-01-07 2011-07-13 (주)이지엠소프트 Method and system for preventing denial of service attacks
KR101209214B1 (en) 2008-12-09 2012-12-06 한국전자통신연구원 Denial of Service Prevention Method and Apparatus based on Session State Tracking

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100733830B1 (en) 2005-06-09 2007-07-02 충남대학교산학협력단 DDoS Detection and Packet Filtering Scheme
KR100803029B1 (en) 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection
KR101209214B1 (en) 2008-12-09 2012-12-06 한국전자통신연구원 Denial of Service Prevention Method and Apparatus based on Session State Tracking
KR20110080971A (en) * 2010-01-07 2011-07-13 (주)이지엠소프트 Method and system for preventing denial of service attacks

Similar Documents

Publication Publication Date Title
US10200402B2 (en) Mitigating network attacks
US10200300B2 (en) Maintaining named data networking (NDN) flow balance with highly variable data object sizes
US9742795B1 (en) Mitigating network attacks
US9794281B1 (en) Identifying sources of network attacks
Yi et al. A case for stateful forwarding plane
EP3516833B1 (en) Methods, systems, and computer readable media for discarding messages during a congestion event
WO2018113594A1 (en) Method and device for defending dns attack and storage medium
KR101506849B1 (en) A generalized dual-mode data forwarding plane for information-centric network
EP2615802B1 (en) Communication apparatus and method of content router to control traffic transmission rate in content-centric network (CCN), and content router
US8824474B2 (en) Packet routing in a network
US20070245417A1 (en) Malicious Attack Detection System and An Associated Method of Use
CN103916389A (en) Method for preventing HttpFlood attack and firewall
KR101409758B1 (en) Apparatus and method of detecting denial of service in content centric network
US10320688B2 (en) Aggregating flows by endpoint category
EP3618355B1 (en) Systems and methods for operating a networking device
CN102325079B (en) Message transmission method and egress router
Suresh et al. Feasible DDoS attack source traceback scheme by deterministic multiple packet marking mechanism
CN112737940A (en) Data transmission method and device
TW202008749A (en) Domain name filtering method
JP2017526293A (en) Improved network utilization in policy-based networks
KR101381606B1 (en) Content centric network node and method of detecting denial of service therein
US10659497B2 (en) Originator-based network restraint system for identity-oriented networks
US9578125B2 (en) Systems, devices, and methods for protecting access privacy of cached content
US20140136647A1 (en) Router and operating method thereof
KR102046612B1 (en) The system for defending dns amplification attacks in software-defined networks and the method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 7