KR101400127B1 - 비정상 데이터 패킷 검출 방법 및 장치 - Google Patents

비정상 데이터 패킷 검출 방법 및 장치 Download PDF

Info

Publication number
KR101400127B1
KR101400127B1 KR1020120098146A KR20120098146A KR101400127B1 KR 101400127 B1 KR101400127 B1 KR 101400127B1 KR 1020120098146 A KR1020120098146 A KR 1020120098146A KR 20120098146 A KR20120098146 A KR 20120098146A KR 101400127 B1 KR101400127 B1 KR 101400127B1
Authority
KR
South Korea
Prior art keywords
packet
repetition rate
payloads
divided
transmission frequency
Prior art date
Application number
KR1020120098146A
Other languages
English (en)
Other versions
KR20140031618A (ko
Inventor
이현준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120098146A priority Critical patent/KR101400127B1/ko
Publication of KR20140031618A publication Critical patent/KR20140031618A/ko
Application granted granted Critical
Publication of KR101400127B1 publication Critical patent/KR101400127B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따라 비정상 데이터 패킷 검출 방법 및 장치가 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드를 분할크기에 따라 분할하는 단계; 상기 분할된 페이로드 간의 반복비율을 계산하는 단계; 상기 반복비율과 임계값을 비교하는 단계; 및 상기 반복비율이 상기 임계값을 초과하면 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계를 포함하며, 상기 반복비율은 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 결정될 수 있다.
본 발명은 DDoS 공격에 이용되는 패킷의 페이로드에 일정한 패턴의 반복이 나타난다는 점을 이용 이용함으로써, 정상 패킷에 의한 트래픽과 비정상 패킷에 의한 트래픽을 구분하여 DDoS 공격을 조기에 검출함과 동시에 공격 탐지의 신뢰성을 향상시킬 수 있다.

Description

비정상 데이터 패킷 검출 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ABNORMAL DATA PACKET}
본 발명은 네트워크 보안 기술에 관한 것으로서, 더 구체적으로는 시스템을 공격하는데 이용되는 비정상 패킷을 검출하기 위한 방법 및 장치에 관한 것이다.
도 1은 복수의 서버 및 복수의 사용자 단말을 포함하는 내부 네트워크, 상기 내부 네트워크를 보호하기 위한 방화벽 및 인터넷을 포함하는 네트워크 환경을 도시한다. 상기 방화벽은 네트워크 간의 허가받지 않은 접근을 방지하기 위한 것으로서, 실질적으로 외부 네트워크로부터 내부 네트워크를 보호하기 위한 것이다. 즉, 도시되는 바와 같이 인터넷을 통해, 내부 서버들 및 내부 사용자들을 포함하는, 내부 네트워크로 전송 또는 수신되는 데이터 패킷들은 방화벽을 통과해야 하는데, 상기 방화벽은 이러한 데이터 패킷들의 헤더에 대한 상태 조사(stateful inspection)를 통해 오직 적절하다고 판단되는 패킷에 대해서만 방화벽 통과를 허용한다. 도 1에서는 방화벽이 도시되지만, 방화벽 이외의 다양한 보안 장치들(예를 들어, 침입 탐지 시스템(IDS), 침입 차단 시스템(IPS), UTM 등)이 이용될 수 있다.
한편, 특정 네트워크를 공격하기 위한 공격 방법 중 하나로서 분산 서비스 거부(distributed denial of service, DDoS) 공격이 이용되고 있다. DDoS 공격은 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부(denial of service, DoS) 공격을 하는 것을 의미한다. 여기서 DoS 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격으로서, 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 소모시키는 공격 등이 DoS 공격의 범위에 포함될 수 있다. 이러한 DDoS 공격은 다양한 양상을 보이지만, 네트워크의 전체 대역폭에 근접하는 대량의 트래픽을 공격 대상 네트워크에 전송하여 네트워크을 마비시키는 것이 일반적인 공격의 양상이다.
이러한 DDoS 공격을 탐지 및/또는 차단하기 위해 보안 장치들은 DDoS 공격이 발생하는 순간에, 어떠한 종류의 DDoS 공격이 탐지되었으며 발생 건수는 얼마인지 등에 대해 파악한 후, DDoS 공격과 관련되는 트래픽을 차단하는 등 DDoS 공격에 대해 대응하게 되는데, DDoS 공격이 대량의 트래픽을 전송함으로써 이루어진다는 점에서, 보안 장치들은 일반적으로 트래픽이 소정의 임계치를 초과하는지를 지속적으로 모니터링함으로써, DDoS 공격을 검출할 수할 수 있다.
그러나 이러한 방법은 정상 패킷의 전송에 의한 트래픽 초과와 DDoS 공격에 의한 트래픽 초과를 구분하기 힘들기 때문에, 오탐률이 상대적으로 높으며, 또한, 트래픽의 양이 위험수준에 도달한 후에야 DDoS 공격이라는 점을 알 수 있기 때문에, DDoS 공격에 신속하게 대응하기 힘들었다. 따라서 DDoS 공격을 조기에 검출하여, 신속하게 대응하게 대응하기 위한 기술이 요구된다.
본 발명은 상기 문제점을 이용하기 위한 것으로서, 시스템을 공격하는데 이용되는 비정상 패킷을 탐지할 수 있는 개선된 기술을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따라 비정상 데이터 패킷 검출 방법이 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드를 분할크기에 따라 분할하는 단계; 상기 분할된 페이로드 간의 반복비율을 계산하는 단계; 상기 반복비율과 임계값을 비교하는 단계; 및 상기 반복비율이 상기 임계값을 초과하면 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계를 포함하며, 상기 반복비율은 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 결정될 수 있다.
상기 방법은 상기 반복비율이 상기 임계값을 초과하면 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시키는 단계; 상기 증가된 전송빈도와 제 2 임계값을 비교하는 단계; 및 상기 증가된 전송빈도가 상기 제 2 임계값을 초과하면, 상기 데이터 패킷에 의한 공격이 발생하였다고 판단하는 단계를 더 포함할 수 있다.
본 발명의 일 실시예에 따라 비정상 데이터 패킷 검출 장치가 개시된다. 상기 장치는 데이터 패킷을 수신하기 위한 수신부; 상기 수신부에 의해 수신된 상기 데이터 패킷의 페이로드를 분할크기에 따라 분할하기 위한 페이로드 분할부; 상기 페이로드 분할부에 의해 분할된 페이로드 간의 반복비율을 계산하기 위한 반복비율 계산부; 상기 반복비율 계산부에 의해 계산된 상기 반복비율과 임계값을 비교하기 위한 패킷상태 비교부; 및 상기 패킷상태 비교부의 비교결과, 상기 반복비율이 상기 임계값을 초과하면 상기 데이터 패킷을 비정상 패킷으로 판단하기 위한 패킷상태 판단부를 포함하고, 상기 반복비율 계산부는 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 상기 반복비율을 계산할 수 있다.
상기 장치는 비정상 패킷의 전송빈도에 관한 정보를 포함하는 패킷 검사 기록을 저장하기 위한 데이터베이스; 상기 패킷상태 비교부의 비교결과 상기 반복비율이 상기 임계값을 초과하면, 상기 데이터베이스 내의 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시키기 위한 카운터; 상기 카운터에 의해 증가된 전송빈도와 제 2 임계값을 비교하기 위한 공격상태 비교부; 및 상기 공격상태 비교부의 비교결과, 상기 증가된 전송빈도가 상기 제 2 임계값을 초과하면, 상기 데이터 패킷에 의한 공격이 발생하였다고 판단하기 위한 공격상태 판단부를 더 포함할 수 있다.
본 발명은 DDoS 공격에 이용되는 패킷의 페이로드에 일정한 패턴의 반복이 나타난다는 점을 이용 이용함으로써, 정상 패킷에 의한 트래픽과 비정상 패킷에 의한 트래픽을 구분하여 DDoS 공격을 조기에 검출함과 동시에 공격 탐지의 신뢰성을 향상시킬 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 예시적인 네트워크 환경을 도시한다.
도 2는 데이터 패킷의 예시적인 구조를 도시한다.
도 3은 본 발명의 일 실시예에 따른 비정상 데이터 패킷 검출 방법을 도시한다.
도 4는 도 2에 도시된 비정상 데이터 패킷 검출 방법의 다른 실시예를 도시한다.
도 5는 본 발명의 일 실시예에 따른 비정상 데이터 패킷 검출 장치를 도시한다.
이하, 본 발명에 따른 실시예들을 첨부된 도면들을 참조하여 설명한다. 한편, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 실시예들을 설명할 것이나, 본 발명의 기술적 사상은 이에 한정되거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있다.
도 2는 도 1 과 같은 네트워크 환경에서 전송되는 데이터 패킷의 예시적인 구조를 도시한다. 도시되는 바와 같이, 데이터 패킷은 MAC 헤더, IP 헤더, TCP 헤더, HTTP 헤더, 페이로드를 포함할 수 있다. 여기서 페이로드는 데이터 패킷의 컨텐츠, 즉 실질적인 내용 부분을 의미한다.
DDoS 공격 툴(tool)에 의한 공격 시, 동일한 좀비 PC 프로그램들은 마스터 공격 프로그램으로부터 임의의 데이터를 보내라는 명령을 수신 받아서 임의의 데이터를 생성하여 특정 서버의 취약한 부분을 집중공격을 하는 특성이 있다. 특히, DDoS 공격 중 대량의 패킷을 유발하는 플러딩(flooding) 계열의 공격에 이용되는 패킷은 동일한 패턴의 반복으로 구성되는 것이 대부분이다. Flooding 계열 공격은 그 속성상 대량의 패킷을 전송하여 공격 목표를 서비스 불능 상태로 만드는데 목적이 있기 때문에 대량의 패킷 생성에만 신경을 쓰며 패킷이 가지고 있는 페이로드의 내용에는 신경을 쓰지 않기 때문이다. 예를 들어, 플러딩 공격에 이용되는 페킷의 페이로드를 확인해보면 "3c3c3c3c3c3c3c….." 와 같은 형태로 일정한 패턴의 반복으로 구성될 수 있다.
이와 같이, 플러딩 공격에 이용되는 패킷의 페이로드에 일정한 패턴의 반복이 나타난다는 점을 이용함으로써, 본 발명은 전체적인 트래픽의 양이 위험수준에 도달하기 전이라도, DDoS 공격을 조기에 검출할 수 있으며, 특히, 정상 패킷에 의한 트래픽과 DDoS 공격에 의한 비정상 패킷에 의한 트래픽을 구분함으로써 DDoS 탐지의 신뢰성을 향상시킬 수 있다. 본 발명은 페이로드를 구성하는 부분들의 비정상적인 반복으로부터 비정상 패킷을 검출하는 것으로서, 본 발명이 적용되는 다양한 실시예에 따라 DDoS 공격뿐만 아니라 다른 네트워크 공격방법에 대해서도 본 발명이 적용될 수 있다.
도 3은 본 발명의 일 실시예에 따른 비정상 데이터 패킷 검출 방법(300)을 도시한다. 상기 방법(300)은 본 발명이 적용되는 실시예에 따라 다양한 보안 장치(예를 들어, 방화벽, 침입 탐지 시스템(IDS), 침입 차단 시스템(IPS), anti-DDoS, UTM 등)에 의해 이용되거나, 상기 보안 장치와 별개의 장치에 의해 이용될 수 있다.
먼저, 단계(310)에서, 적어도 하나의 데이터 패킷을 수신할 수 있다. 상기 데이터 패킷은 보안 장치를 통과하는 데이터 패킷을 의미한다. 따라서 상기 데이터 패킷은 외부 네트워크(예를 들어, 인터넷)로부터 수신되는 데이터 패킷뿐만 아니라, 내부 네트워크로부터 외부 네트워크로 전송되는 데이터 패킷을 포함할 수 있다.
계속해서, 데이터 패킷의 페이로드를 분할크기(partition size) 에 따라 분할할 수 있다(단계(320)). 여기서 분할크기는 페이로드를 분할하는 기준이 되는 크기로서, 분할된 페이로드 각각은 분할크기와 동일한 크기를 가지게 된다. 분할크기는 본 발명이 적용되는 실시예에 따라 다양하게 설정될 수 있다.
단계(330)에서, 분할된 페이로드 간의 반복비율을 계산할 수 있다. 여기서 반복비율은 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 결정될 수 있다. 예를 들어, "a1a1a1a1dda1a1a1a1efa1dd"의 페이로드를 2 바이트의 크기로 분할하는 경우, 분할된 페이로드에는 "a1"이 9개, "dd"가 2개, "ef"가 1개 존재하기 때문에, 반복비율은 9/(9+2+1)=9/12=0.75 가 된다.
일 실시예에서, 반복비율은 (분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)에 대해 (분할된 페이로드 중 제 2 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)를 부가함으로써 결정될 수 있다. 예를 들어, "a1a1a1a1dda1babababababa"의 페이로드를 2 바이트의 크기로 분할하는 경우, 분할된 페이로드에는 "a1"이 5개, "dd"가 1개, "ba"가 6개 존재하기 때문에, 반복비율은 6/(6+5+1)+5/(6+5+1)=11/12가 된다. 공격 툴에 따라 페이로드 내에는 다양한 패턴의 반복이 존재할 수 있으며, 이러한 다양한 공격 패턴의 변형을 모두 고려하기 위함이다.
일 실시예에서, 단계(330)는 분할된 페이로드 중 적어도 일부에 대해 수행될 수 있다. 즉, 복수 개의 분할된 페이로드 중 소정의 개수의 페이로드를 임의로 추출한 후, 추출된 페이로드에 대해서만 반복비율을 계산할 수 있다. 비정상 데이터 패킷의 경우, 상당히 높은 값의 반복비율을 갖게 되기 때문에, 분할된 페이로드 전체에 대한 반복비율을 구할 필요 없이, 분할된 페이로드 중 일부에 대해서만 반복비율을 계산하기 위함이다. 예를 들어, "a1"이 9개, "dd"가 2개 존재하는 분할된 페이로드 중 일부 페이로드, 즉 4개의 "a1"과 1개의 "dd"가 추출되었을 때, 반복비율은 4/5=0.9가 될 수 있다. 일부 페이로드를 추출하기 위한 기술은 본 발명이 적용되는 실시예에 따라 당해 기술분야에서 적용되는 다양한 기술 및 기법이 이용될 수 있다.
계속해서, 단계(330)를 통해 결정된 반복비율과 임계값을 비교할 수 있다(단계(340)). 여기서 임계값은 반복비율과 관련하여 데이터 패킷이 정상 패킷에 해당하는지 또는 비정상 패킷에 해당하는지를 판단하기 위한 기준값을 의미한다.
따라서 단계(340)의 비교결과, 반복비율이 임계값을 초과하면 데이터 패킷을 비정상 패킷으로 판단할 수 있다(단계(360)). 반대로, 반복비율이 임계값을 초과하지 않으면, 데이터 패킷을 정상 패킷으로 판단할 수 있다(단계(350)).
일 실시예에서, 반복비율이 임계값을 초과하지 않더라도, 데이터 패킷을 정상 패킷으로 판단하기(단계(350)) 전에, 단계(320)에서 페이로드를 분할하는 크기를 변경한 후, 변경된 크기에 따라 단계(320) 내지 단계(340)를 다시 수행함으로써, 데이터 패킷의 정상 여부를 재판단할 수 있다. 즉, 동일한 페이로드에 대해서라도 반복비율은 페이로드에 적용되는 분할크기에 따라 상이한 값이 나올 수 있으므로, 분할크기를 변경함으로써 데이터 패킷의 정상 여부를 다시 판단하여, 패킷 검사의 신뢰성을 높이기 위함이다. 반복의 횟수는 본 발명이 적용되는 실시예에 따라 다양하게 설정될 수 있다.
도 4는 도 2에 도시된 비정상 데이터 패킷 검출 방법의 다른 실시예를 도시한다. 방법(400)은 도 3의 방법(300)에 부가하여 이루어지는 것으로서, 단계(350)에서 수신된 데이터 패킷이 비정상 패킷으로 판단된 이후에 수행될 수 있다.
먼저, 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시킬 수 있다(단계(410)). 여기서 패킷 검사 기록은 종래에 수신된 데이터 패킷에 포함된 페이로드에 대한 검사 이력을 의미하는 것으로서, 비정상 패킷으로 판단된 패킷의 전송빈도에 관한 정보를 포함할 수 있다. 예를 들어, 플러딩 공격의 경우, 다량의 데이터 패킷을 유발시킨다는 점을 이용하여, 패킷 검사 기록을 통해 비정상 패킷으로 판단된 패킷의 전송빈도를 계수함으로써, 비정상 패킷의 전송이 이와 같은 공격에 의한 것인지를 판단하여 패킷 검사의 신뢰성을 향상시키기 위함이다. 또한, 패킷 검사 기록은 비정상 패킷으로 판단된 데이터 패킷의 출발지 IP 주소에 관한 정보를 더 포함할 수 있으며, 이 경우, 패킷의 전송빈도는 상기 IP 주소 각각에 대해 계수될 수 있다.
패킷 검사 기록은 패킷 검사 기록의 전송빈도는 마지막 기록 시점으로부터 소정의 기간이 경과하면 삭제될 수 있다. 또한, 패킷 검사 기록은 패킷 검사 기록의 전송빈도는 마지막 기록 시점으로부터 소정의 기간이 경과하면 소정의 값만큼 감소할 수 있으며, 감소된 전송빈도에 관한 정보가 특정한 값(예를 들어, 0의 값)이 되면 패킷 검사 기록이 삭제될 수 있다.
단계(410)에서 전송빈도가 증가되면, 증가된 전송빈도와 제 2 임계값을 비교할 수 있다(단계(420)). 여기서 제 2 임계값은 비정상으로 판단된 패킷의 전송이 DDoS 공격에 의한 것인지 여부를 판단하기 위한 기준값을 의미한다. 따라서 단계(420)의 비교 결과, 증가된 전송빈도가 상기 제 2 임계값을 초과하면, 데이터 패킷에 의한 공격이 발생하였다고 판단할 수 있다(단계(430)). 반대로, 증가된 전송빈도가 상기 제 2 임계값을 초과하지 않으면, 데이터 패킷에 의한 공격은 아직 발생하지 않았다고 판단할 수 있다(단계(440)).
일 실시예에서, 단계(430)에서 공격이 발생하였다고 판단되는 경우, 패킷 검사 기록을 참조하여, 상기 제 2 임계값을 초과한 전송빈도를 갖는 비정상 패킷의 출발지 IP 주소로부터 수신되는 데이터 패킷을 차단할 수 있다.
도 5은 본 발명의 일 실시예에 따른 비정상 데이터 패킷 검출 장치(500)를 도시한다. 장치(600)는 도 3의 방법(300) 또는 도 4의 방법(400)을 수행하기 위한 예시적인 실시예에 해당하며, 상기 실시예는 상기 방법을 수행하기 위한 이러한 모든 변형들 또는 수정들을 포함하는 것으로 의도된다.
장치(500)는 데이터 패킷을 수신하기 위한 수신부(510); 데이터 패킷의 페이로드를 분할크기에 따라 분할하기 위한 페이로드 분할부(520); 분할된 페이로드 간의 반복비율을 계산하기 위한 반복비율 계산부(530); 반복비율과 임계값을 비교하기 위한 패킷상태 비교부(540); 데이터 패킷이 정상 패킷인지 비정상 패킷인지 판단하기 위한 패킷상태 판단부(550); 패킷 검사 기록을 저장하기 위한 데이터베이스(560); 비정상 패킷의 전송빈도를 계수하기 위한 카운터(570); 전송빈도와 제 2 임계값을 비교하기 위한 공격상태 비교부(580); 및 공격의 발생여부를 판단하기 위한 공격상태 판단부(590)를 포함할 수 있다.
먼저, 수신부(510)가 데이터 패킷을 수신하면, 페이로드 분할부(520)는 수신부(510)에 의해 수신된 데이터 패킷의 페이로드를 분할크기에 따라 분할할 수 있다.
계속해서, 반복비율 계산부(530)는 페이로드 분할부(520)에 의해 분할된 분할된 페이로드 간의 반복비율을 계산할 수 있다. 일 실시예에서, 반복비율 계산부(530)는 (분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)에 의해 반복비율을 계산할 수 있다. 다른 실시예에서, 반복비율 계산부(530)는 (분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)에 대해 (분할된 페이로드 중 제 2 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)를 부가함으로써 상기 반복비율을 계산할 수 있다. 또한, 일 실시예에서, 반복비율 계산부(530)는 분할된 페이로드 중 적어도 일부에 대한 반복비율을 계산할 수 있다.
패킷상태 비교부(540)가 반복비율 계산부(530)에 의해 계산된 반복비율과 임계값을 비교할 수 있다. 패킷상태 판단부(550)는 패킷상태 비교부(540)의 비교결과, 반복비율이 임계값을 초과하면 데이터 패킷을 비정상 패킷으로 판단하고, 반복비율이 임계값을 초과하지 않으면 데이터 패킷을 정상 패킷으로 판단할 수 있다.
일 실시예에서, 패킷상태 비교부(540)의 비교결과, 반복비율이 상기 임계값을 초과하지 않으면, 페이로드 분할부(520)는 분할크기를 변경할 수 있다. 즉, 페이로드 분할부(520), 반복비율 계산부(530), 패킷상태 비교부(540) 및 패킷상태 판단부(550)는 변경된 분할크기에 따라 재동작할 수 있다.
일 실시예에서, 패킷상태 비교부(540)의 비교결과 반복비율이 임계값을 초과하면, 카운터(560)는 데이터베이스 내의 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시킬 수 있다. 여기서 데이터베이스(570)는 비정상 패킷의 전송빈도에 관한 정보를 포함하는 패킷 검사 기록을 저장할 수 있다. 공격상태 비교부(580)가 카운터(560)에 의해 증가된 전송빈도와 제 2 임계값을 비교하면, 공격상태 판단부(590)는 이러한 비교결과에 따라 공격발생 여부를 판단할 수 있다. 즉, 공격상태 비교부(580)의 비교결과, 증가된 전송빈도가 제 2 임계값을 초과하면, 데이터 패킷에 의한 공격이 발생하였다고 판단하고, 증가된 전송빈도가 제 2 임계값을 초과하지 않으면, 데이터 패킷에 의한 공격이 발생하지 않았다고 판단할 수 있다.
일 실시예에서, 공격상태 판단부(590)에 의해 데이터 패킷에 의한 공격이 발생하였다고 판단되는 경우, 데이터베이스(570)에 저장된 패킷 검사 기록을 참조하여, 제 2 임계값을 초과한 전송빈도를 갖는 비정상 패킷의 출발지 IP 주소로부터 수신되는 데이터 패킷을 차단하기 위한 패킷 차단부(도시되지 않음)를 더 포함할 수 있다. 여기서 데이터베이스(570)에 저장된 패킷 검사 기록은 비정상 패킷으로 판단된 데이터 패킷의 출발지 IP 주소에 관한 정보를 더 포함할 수 있다.
일 실시예에서, 카운터(560)는 패킷 검사 기록에 포함된 전송빈도의 마지막 기록 시점으로부터 소정의 기간이 경과하면 상기 전송빈도를 감소시킬 수 있다.
이와 같이 본 발명은 DDoS 공격에 이용되는 패킷의 페이로드에 일정한 패턴의 반복이 나타난다는 점을 이용 이용함으로써, 정상 패킷에 의한 트래픽과 비정상 패킷에 의한 트래픽을 구분하여 DDoS 공격을 조기에 검출함과 동시에 공격 탐지의 신뢰성을 향상시킬 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (14)

  1. 비정상 데이터 패킷 검출 방법으로서,
    데이터 패킷을 수신하는 단계;
    상기 데이터 패킷의 페이로드를 분할크기에 따라 분할하는 단계;
    상기 분할된 페이로드 간의 반복비율을 계산하는 단계;
    상기 반복비율과 임계값을 비교하는 단계; 및
    상기 반복비율이 상기 임계값을 초과하는 경우 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계를 포함하며,
    상기 반복비율은 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 결정되는,
    비정상 데이터 패킷 검출 방법.
  2. 제 1 항에 있어서,
    상기 반복비율이 상기 임계값을 초과하지 않으면, 상기 분할크기를 변경하는 단계를 더 포함하고,
    상기 분할하는 단계 내지 상기 비정상 패킷으로 판단하는 단계는 상기 변경된 분할크기에 따라 재수행되는,
    비정상 데이터 패킷 검출 방법.
  3. 제 1 항에 있어서,
    상기 분할된 페이로드 간의 반복비율을 계산하는 단계는 상기 분할된 페이로드 중 적어도 일부에 대해 수행되는,
    비정상 데이터 패킷 검출 방법.
  4. 제 1 항에 있어서,
    상기 반복비율은 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)에 대해 (상기 분할된 페이로드 중 제 2 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)를 부가함으로써 결정되는,
    비정상 데이터 패킷 검출 방법.
  5. 제 1 항에 있어서,
    상기 반복비율이 상기 임계값을 초과하는 경우 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시키는 단계;
    상기 증가된 전송빈도와 제 2 임계값을 비교하는 단계; 및
    상기 증가된 전송빈도가 상기 제 2 임계값을 초과하는 경우, 상기 데이터 패킷에 의한 공격이 발생하였다고 판단하는 단계를 더 포함하는,
    비정상 데이터 패킷 검출 방법.
  6. 제 5 항에 있어서,
    상기 패킷 검사 기록에 포함된 전송빈도는 상기 전송빈도의 마지막 기록 시점으로부터 소정의 기간이 경과하면 감소되는,
    비정상 데이터 패킷 검출 방법.
  7. 제 5 항에 있어서,
    상기 데이터 패킷에 의한 공격이 발생하였다고 판단되는 경우, 상기 패킷 검사 기록을 참조하여, 상기 제 2 임계값을 초과한 전송빈도를 갖는 비정상 패킷의 출발지 IP 주소로부터 수신되는 데이터 패킷을 차단하는 단계를 더 포함하고,
    상기 패킷 검사 기록은 비정상 패킷으로 판단된 데이터 패킷의 출발지 IP 주소에 관한 정보를 더 포함하는,
    비정상 데이터 패킷 검출 방법.
  8. 비정상 데이터 패킷 검출 장치로서,
    데이터 패킷을 수신하기 위한 수신부;
    상기 수신부에 의해 수신된 상기 데이터 패킷의 페이로드를 분할크기에 따라 분할하기 위한 페이로드 분할부;
    상기 페이로드 분할부에 의해 분할된 페이로드 간의 반복비율을 계산하기 위한 반복비율 계산부;
    상기 반복비율 계산부에 의해 계산된 상기 반복비율과 임계값을 비교하기 위한 패킷상태 비교부; 및
    상기 패킷상태 비교부의 비교결과, 상기 반복비율이 상기 임계값을 초과하는 경우 상기 데이터 패킷을 비정상 패킷으로 판단하기 위한 패킷상태 판단부를 포함하고,
    상기 반복비율 계산부는 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (상기 분할된 페이로드의 개수)에 의해 상기 반복비율을 계산하는,
    비정상 데이터 패킷 검출 장치.
  9. 제 8 항에 있어서,
    상기 패킷상태 비교부의 비교결과, 상기 반복비율이 상기 임계값을 초과하지 않으면, 상기 페이로드 분할부는 상기 분할크기를 변경하고,
    상기 변경된 분할크기에 따라 상기 페이로드 분할부, 상기 반복비율 계산부, 상기 패킷상태 비교부 및 상기 패킷상태 판단부가 재동작하는,
    비정상 데이터 패킷 검출 장치.
  10. 제 8 항에 있어서,
    상기 반복비율 계산부는 상기 분할된 페이로드 중 적어도 일부에 대한 반복비율을 계산하는,
    비정상 데이터 패킷 검출 장치.
  11. 제 8 항에 있어서,
    상기 반복비율 계산부는 (상기 분할된 페이로드 중 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)에 대해 (상기 분할된 페이로드 중 제 2 동일한 내용을 갖는 분할된 페이로드의 최대 개수) / (분할된 페이로드의 개수)를 부가함으로써 상기 반복비율을 계산하는,
    비정상 데이터 패킷 검출 장치.
  12. 제 8 항에 있어서,
    비정상 패킷의 전송빈도에 관한 정보를 포함하는 패킷 검사 기록을 저장하기 위한 데이터베이스;
    상기 패킷상태 비교부의 비교결과 상기 반복비율이 상기 임계값을 초과하는 경우, 상기 데이터베이스 내의 패킷 검사 기록에 포함된 비정상 패킷의 전송빈도를 증가시키기 위한 카운터;
    상기 카운터에 의해 증가된 전송빈도와 제 2 임계값을 비교하기 위한 공격상태 비교부; 및
    상기 공격상태 비교부의 비교결과, 상기 증가된 전송빈도가 상기 제 2 임계값을 초과하는 경우, 상기 데이터 패킷에 의한 공격이 발생하였다고 판단하기 위한 공격상태 판단부를 더 포함하는,
    비정상 데이터 패킷 검출 장치.
  13. 제 12 항에 있어서,
    상기 카운터는 상기 패킷 검사 기록에 포함된 전송빈도의 마지막 기록 시점으로부터 소정의 기간이 경과하면 상기 전송빈도를 감소시키는,
    비정상 데이터 패킷 검출 장치.
  14. 제 12 항에 있어서,
    상기 공격상태 판단부에 의해 상기 데이터 패킷에 의한 공격이 발생하였다고 판단되는 경우, 상기 데이터베이스에 저장된 상기 패킷 검사 기록을 참조하여, 상기 제 2 임계값을 초과한 전송빈도를 갖는 비정상 패킷의 출발지 IP 주소로부터 수신되는 데이터 패킷을 차단하기 위한 패킷 차단부를 더 포함하고,
    상기 데이터베이스에 저장된 상기 패킷 검사 기록은 비정상 패킷으로 판단된 데이터 패킷의 출발지 IP 주소에 관한 정보를 더 포함하는,
    비정상 데이터 패킷 검출 장치.
KR1020120098146A 2012-09-05 2012-09-05 비정상 데이터 패킷 검출 방법 및 장치 KR101400127B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120098146A KR101400127B1 (ko) 2012-09-05 2012-09-05 비정상 데이터 패킷 검출 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120098146A KR101400127B1 (ko) 2012-09-05 2012-09-05 비정상 데이터 패킷 검출 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140031618A KR20140031618A (ko) 2014-03-13
KR101400127B1 true KR101400127B1 (ko) 2014-05-28

Family

ID=50643603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120098146A KR101400127B1 (ko) 2012-09-05 2012-09-05 비정상 데이터 패킷 검출 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101400127B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101686472B1 (ko) 2015-07-08 2016-12-14 국민대학교산학협력단 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095265B (zh) * 2021-11-24 2024-04-05 中国南方电网有限责任公司超高压输电公司昆明局 Icmp隐蔽隧道检测方法、装置及计算机设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060005719A (ko) * 2004-07-14 2006-01-18 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
KR20060034581A (ko) * 2004-10-19 2006-04-24 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060005719A (ko) * 2004-07-14 2006-01-18 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
KR20060034581A (ko) * 2004-10-19 2006-04-24 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101686472B1 (ko) 2015-07-08 2016-12-14 국민대학교산학협력단 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법

Also Published As

Publication number Publication date
KR20140031618A (ko) 2014-03-13

Similar Documents

Publication Publication Date Title
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
US20150341389A1 (en) Log analyzing device, information processing method, and program
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
JP2006352669A (ja) 攻撃検知・防御システム
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
KR20200109875A (ko) 유해 ip 판단 방법
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
Satrya et al. The detection of DDOS flooding attack using hybrid analysis in IPv6 networks
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
KR101420301B1 (ko) DDoS 공격 검출 방법 및 장치
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
KR101415272B1 (ko) 비정상 트래픽 감지 방법 및 장치
KR101701310B1 (ko) DDoS 공격 탐지 장치 및 방법
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치
KR101236129B1 (ko) 비정상 트래픽 제어 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 6