KR101419861B1 - 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법 - Google Patents

가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법 Download PDF

Info

Publication number
KR101419861B1
KR101419861B1 KR1020130090446A KR20130090446A KR101419861B1 KR 101419861 B1 KR101419861 B1 KR 101419861B1 KR 1020130090446 A KR1020130090446 A KR 1020130090446A KR 20130090446 A KR20130090446 A KR 20130090446A KR 101419861 B1 KR101419861 B1 KR 101419861B1
Authority
KR
South Korea
Prior art keywords
session
blocking
packet
data
equal
Prior art date
Application number
KR1020130090446A
Other languages
English (en)
Inventor
최간호
한석재
김대현
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020130090446A priority Critical patent/KR101419861B1/ko
Application granted granted Critical
Publication of KR101419861B1 publication Critical patent/KR101419861B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 TAP(Test Access Point) 또는 인라인에 위치하여 외부 공격에 대해 방어하는 디도스 공격 방어 장치로, 네트워크상에 송수신되는 패킷들을 수집하는 패킷 수집부와, 상기 패킷 수집부에 의해 수집된 패킷들을 분석하여, 해당 패킷이 전송되는 세션의 생성 시간 및 마지막 패킷 갱신 시간을 포함하는 세션 데이터를 추출하는 패킷 데이터 파싱부와, 상기 세션 데이터를 상기 세션 관리를 위해 설정된 데이터와 비교한 결과값을 출력하는 세션 관리부와, 상기 세션 관리부로부터 출력된 결과값에 따라 특정 세션의 종료 여부를 판단하는 세션 종료 판단부와, 상기 세션 종료 판단부로부터 특정 세션의 차단 요청됨에 따라, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단하는 연결 차단부를 포함한다.

Description

가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법{Apparatus and Method for Managing Session and Protecting DDOS Attack Consuming Session Resource by Managing Session and Using Packet according to Refined Half-Close Order}
본 발명은 네트워크 시스템 방어 장치 및 방법에 관한 것으로, 특히 고속화된 네트워크 환경에서 TCP를 사용한 저속 공격 및 과다 서비스 요청시 리소스 고갈을 방지하는 디도스 공격 방어 장치 및 방법에 관한 것이다.
네트워크상에서 외부로부터 내부 시스템으로 유입되는 트래픽에는 네트워크를 위협하는 여러 공격들이 존재하게 된다. 따라서, 이러한 공격들을 차단하여 양호한 네트워크 망을 유지하기 위해 보안장비가 상기 내부 시스템에 설치된다.
또한, 이러한 공격 유형으로는 네트워크 대역폭(bandwidth)을 위협하는 Dos(Denial of Service), DDos(Distributed Denial of Service) 등이 대표적이고, 그 이외에도 다양한 해킹, 바이러스 공격 등이 있다.
Dos(Denial of Service) 공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 사이버 공격 방식의 하나로, 한 명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나, 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격방법이다.
DoS 공격의 한 형태인 DDoS 공격은, 분산 설치된 다수의 공격 프로그램이 서로 통합된 형태로 목적 네트워크/서버에 트래픽을 집중시키는 공격이다. DDoS공격에 의해 다중소스로부터 결합된 패킷들은 타겟 시스템과 인터넷 연결을 파괴하게 되고 공격의 지속시간 동안 공격 타겟을 인터넷으로부터 격리시키면서 서버나 서비스를 무력화시킨다. 이러한 유형의 공격을 패킷 플러딩 디도스 공격(Packet flooding DDoS attack)이라고 한다.
그런데, 네트워크 사용량 증가로 시스템의 성능이 향상됨에 따라, 시스템의 서비스를 방해하는 공격이 전통적인 많은 패킷 또는 대역폭을 소진시키는 형태의 방법에서 시스템의 버그나 설정 상의 문제점을 이용한 방법으로 발전하고 있다.
TCP를 사용하는 시스템은 TCP 프로토콜이 가지고 있는 연결 지향적인 특성으로 인하여 동시 접속자 수, 동시 세션 유지 시간 등으로 인한 문제점을 가지게 된다. 공격자는 이러한 프로토콜 특성을 이용하여 동시 접속자 숫자를 증가시키거나 세션의 풀을 소진시켜 서비스를 방해하는 공격을 시도하게 된다.
이러한 공격은 정상 사용자와 구분이 어렵고 또한 IPS나 방화벽 같은 인라인(inline) 탐지 장비로 인하여 공격을 차단하게 되더라도 피해 시스템은 차단된 세션의 연결이 종료될 때까지 대기하게 되어 서비스용 세션이 전부 소진되게 되는 2차적인 피해를 입는 경우도 발생하고 있다.
본 발명은 공격 또는 보안장비에 의한 탐지 및 방어에 따른 2차적인 피해를 줄이기 위한 TCP 세션을 이용한 디도스 공격 방어 장치 및 방법을 제공한다.
본 발명은 TAP(Test Access Point) 또는 인라인에 위치하여 디도스 공격을 방어하는 장치로, 네트워크상에 송수신되는 패킷들을 수집하는 패킷 수집부와, 상기 패킷 수집부에 의해 수집된 패킷들을 분석하여, 해당 패킷이 전송되는 세션의 생성 시간 및 마지막 패킷 갱신 시간을 포함하는 세션 데이터를 추출하는 패킷 데이터 파싱부와, 상기 세션 데이터를 상기 세션 관리를 위해 설정된 데이터와 비교한 결과값을 출력하는 세션 관리부와, 상기 세션 관리부로부터 출력된 결과값에 따라 특정 세션의 종료 여부를 판단하는 세션 종료 판단부와, 상기 세션 종료 판단부로부터 특정 세션의 차단 요청됨에 따라, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단하는 연결 차단부를 포함한다.
본 발명은 TAP(Test Access Point) 또는 인라인에 위치하여 디도스 공격을 방어하는 방법으로, 네트워크상에 송수신되는 패킷들을 수집하는 단계와, 상기 수집된 패킷들을 분석하여, 해당 패킷이 전송되는 세션의 생성 시간 및 마지막 패킷 갱신 시간을 포함하는 세션 데이터를 추출하는 단계와, 상기 세션 데이터를 상기 세션 관리를 위해 설정된 데이터와 비교하는 단계와, 상기 비교 결과에 따라, 특정 세션의 종료 여부를 판단하는 단계와, 상기 특정 세션의 종료해야 할 경우, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단하는 단계를 포함한다.
본 발명은 TCP의 연결지향적인 공격에 대하여 개별 시스템의 로그 파일을 분석하지 않고, 실시간적인 접속자 숫자 및 연결 상태 등을 모니터링하여 제공함으로써 망내 시스템 관리의 편의성을 제공하며 각기 다른 시스템과 서비스에 보안 설정 및 서비스 설정의 어려움을 해결할 수 있다. 또한, 각기 시스템의 설정 변경에 따른 시스템 재구동 같은 동작을 수행하지 않음으로 서비스의 연속성 및 안정성을 확보할 수 있다. 또한, 정상적인 사용자가 폭주하여 망에 트래픽이 몰리는 경우에도 실시간적인 모니터링을 통하여 망에 설정을 적용할 수 있으며 적용된 설정은 망내 서비스에 즉각적인 동시접속자 제어 및 세션을 제어함으로써, 서비스의 안정된 제공이 가능하게 된다. 또한, 다수의 시스템에서 서비스를 제공하는 네트워크 환경에서 안정적인 서비스 제공이 요구되는 경우에 핵심기술로 활용도가 높다.
도 1은 본 발명의 일 실시 예에 따른 디도스 공격 방어 장치가 포함되어 있는 네트워크 시스템의 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 디도스 공격 방어 장치의 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 호스트별 세션 관리부의 동작을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 세션별 유지시간 관리부의 동작을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시 에에 따른 호스트간 세션 관리부의 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 디도스 공격 방어 방법을 설명하기 위한 순서도이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시 예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시 예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시 예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 발명의 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시 예에 따른 디도스 공격 방어 장치가 포함되어 있는 네트워크 시스템의 구성도이다.
본 발명의 일 실시 예에 따라, 디도스 공격 방어 장치는 TCP 프로토콜에서 제공하는 Half-close 방법을 사용하여 서비스가 종료된 세션을 시스템에 반환할 수 있도록 지원한다. 또한, 이러한 디도스 공격 방어 장치는 네트워크에서 최소한의 설치 또는 설정 동작을 통하여 다수의 시스템을 통합 관리 및 제어한다.
이를 위해 도 1을 참조하면, 본 발명의 일 실시 예에 따른 디도스 공격 방어 장치는 게이트웨이에 위치하여 인라인처럼 동작하거나 탭의 위치에 존재하여 망의 트래픽을 수집하여 TCP 세션 정보를 수집 및 관리를 수행하게 된다. 그리고, TCP의 half-close를 이용하여 상기에서 수집된 세션정보를 통하여 세션 중간에 개입, 동일 망의 서버에 세션을 정상적으로 종료시킴으로써 시스템은 사용자가 설정한 일정시간이내에 자원을 반환받거나 과다한 동시 접속을 제한할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 디도스 공격 방어 장치의 구성도이다.
도 2를 참조하면, 디도스 공격 방어 장치(100)는 패킷 수집부(110), 패킷 데이터 파싱부(120), 세션 데이터 DB(130), 세션 관리부(140), 세션 관리 데이터 DB(150), 세션 종료 판단부(160) 및 연결 차단부(170)를 포함한다.
패킷 수집부(110)는 네트워크를 통해 전달되는 패킷들을 수집한다. 본 발명의 일 실시 예에 따라 인라인 혹은 탭의 위치에서 패킷 데이타를 수집한다.
패킷 데이터 파싱부(120)는 패킷 수집부(110)에 의해 수집된 패킷을 분석하여, 해당 패킷이 전송되는 TCP 세션 유지에 필요한 세션 데이터를 추출하여 세션 데이터 DB(130)에 저장한다. 여기서, 세션 데이터는 세션의 생성 시간 및 마지막 패킷이 갱신된 시간을 포함한다. 이에 대해서는 하기의 도 3 내지 도 5를 참조하여 상세히 설명하기로 한다.
세션 관리부(140)는 세션 데이터 DB(130)에 저장된 세션 데이터를 세션 관리를 위해 미리 설정된 데이터와 비교하여, 그 비교 결과를 출력한다. 세션 관리부(140)는 상세하게는 호스트별 세션 관리부(141), 세션별 유지시간 관리부(142) 및 호스트간 세션 관리부(143) 중 적어도 하나 이상을 포함하는데, 각 구성 요소의 동작에 대해서는 하기의 도 3 내지 도 5를 참조하여 상세히 설명하기로 한다.
세션 관리 데이터 DB(150)는 세션 관리를 위해 미리 설정된 데이터를 저장하는데, 호스트별 세션 관리를 위한 설정 데이터, 세션별 유지시간 관리를 위한 설정 데이터, 호스트간 세션 관리를 위한 설정 데이터 중 적어도 하나 이상을 포함한다. 이에 대해서는 하기의 도 3 내지 도 5를 참조하여 상세히 설명하기로 한다.
세션 종료 판단부(160)는 세션 관리부(140)로부터 출력되는 결과값을 기반으로 각 세션의 차단 여부를 판단한다. 연결 차단부(170)는 세션 종료 판단부(160)로부터 특정 세션의 차단 요청됨에 따라, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단한다. 그리고, 차단 결과에 따라 세션 데이타 DB(130)에서 세션 데이터를 삭제하거나, 갱신하여 해당 세션을 최신화한다.
그러면, 도 3 내지 도 5를 참조하여, 호스트별 세션 관리, 세션별 유지시간 관리 및 호스트간 세션 관리에 대해 상세히 살펴보기로 한다.
도 3은 본 발명의 일 실시 예에 따른 호스트별 세션 관리부의 동작을 설명하기 위한 도면이다.
호스트별 세션 관리부(141)는 특정 호스트로 생성된 세션의 총 합이 소정 임계치 이상일 경우, 상기 마지막 패킷 갱신 시간이 가장 오래된 세션을 차단 세션으로 선택하여 출력한다. 예컨대, server A호스트로 생성된 세션이 세션 1, 세션 2, 세션 3일 경우, 세션 데이터 DB(130)에는 도 3에 도시된 바와 같이, 각 세션의 세션 데이터인 세션의 생성 시간, 마지막 패킷의 업데이트 시간이 저장된다.
또한, 호스트별 세션 관리를 위해 세션 관리 데이터 DB(150)에는 server A 호스트에 생성된 세션의 양의 임계치가 설정되어 있다. 따라서, 호스트별 세션 관리부(141)는 세션 데이터 DB(130)를 분석하여 server A 호스트로 생성된 세션의 총합이 세션 관리 데이터 DB(150)에 설정된 임계치를 넘는 경우에 마지막 패킷 업데이트 시간이 가장 오래된 세션부터 하프 클로즈(half-close)를 수행 요청한다. 그런데, 마지막 패킷 업데이트 시간이 동일한 세션이 둘 이상일 경우, 생성시간이 오래된 세션부터 하프 클로즈(half-close)를 수행하도록 요청한다.
도 4는 본 발명의 일 실시 예에 따른 세션별 유지 관리부의 동작을 설명하기 위한 도면이다.
세션별 유지 관리부(142)는 세션의 생성 시간과 마지막 패킷 갱신 시간의 차이가 소정 임계치 이상일 경우, 해당 세션을 차단 세션으로 선택하여 출력한다. 예컨대, server A호스트로 생성된 세션이 세션 1, 세션 2, 세션 3일 경우, 세션 데이터 DB(130)에는 도 4에 도시된 바와 같이, 각 세션의 세션 데이터인 세션의 생성 시간, 마지막 패킷의 업데이트 시간이 저장된다.
또한, 세션별 유지 관리를 위해 세션 관리 데이터 DB(150)에는 세션 유지 시간의 임계치가 설정되어 있다. 따라서, 호스트별 세션 관리부(141)는 세션 데이터 DB(130)를 분석하여 server A 호스트로 생성된 세션의 유지 시간이 세션 관리 데이터 DB(150)에 설정된 임계치를 넘는 세션부터 하프 클로즈(half-close)를 수행 요청한다.
도 5는 본 발명의 일 실시 예에 따른 호스트간 세션 관리부의 동작을 설명하기 위한 도면이다.
호스트간 세션 관리부(143)는 호스트들간 동시 접속수가 소정 임계치 이상일 경우, 추가로 생성되는 세션을 차단 세션으로 선택하여 출력한다. 예컨대, server A호스트로 생성된 세션이 세션 1, 세션 2, 세션 3일 경우, 세션 데이터 DB(130)에는 도 3에 도시된 바와 같이, 각 세션의 세션 데이터인 세션의 생성 시간, 마지막 패킷의 업데이트 시간이 저장된다.
또한, 호스트간 세션 관리를 위해 세션 관리 데이터 DB(150)에는 호스트들 간의 동시 접속수의 임계치가 설정되어 있다. 따라서, 호스트간 세션 관리부(143)는 세션 데이터 DB(130)를 분석하여 server A 호스트로 동시 접속된 세션의 수가 세션 관리 데이터 DB(150)에 설정된 임계치를 넘는 경우에, 추가로 생성되는 세션을 차단 세션으로 선택하여, 하프 클로즈(half-close)를 수행 요청한다.
이로써, 각 호스트별 동시접속자와 서비스별 접속자 숫자를 파악할 수 있으며 각기 동일망에 존재하는 시스템의 로그에 의존하지 않고 실시간적으로 파악할 수 있다.
도 6은 본 발명의 일 실시 예에 따른 디도스 공격 방어 방법을 설명하기 위한 순서도이다.
도 6을 참조하면, 610 단계에서, 디도스 공격 방어 장치(100)는 네트워크를 통해 전달되는 패킷들을 수집한다. 본 발명의 일 실시 예에 따라 인라인 혹은 탭의 위치에서 패킷 데이타를 수집한다.
620 단계에서, 디도스 공격 방어 장치(100)는 상기 수집된 패킷을 분석하여, 해당 패킷이 전송되는 TCP 세션 유지에 필요한 세션 데이터를 추출한다. 여기서, 세션 데이터는 세션의 생성 시간 및 마지막 패킷이 갱신된 시간을 포함한다.
630 단계에서, 디도스 공격 방어 장치(100)는 상기 추출된 세션 데이터를 세션 관리를 위해 미리 설정된 데이터와 비교한다. 상세하게는 호스트별 세션 관리, 세션별 유지시간 관리 및 호스트간 세션 관리 중 적어도 하나 이상을 수행한다.
즉, 디도스 공격 방어 장치(100)는 특정 호스트로 생성된 세션의 총 합이 소정 임계치 이상일 경우, 상기 마지막 패킷 갱신 시간이 가장 오래된 세션을 차단 세션으로 선택하여 출력한다. 또한, 디도스 공격 방어 장치(100)는 세션의 생성 시간과 마지막 패킷 갱신 시간의 차이가 소정 임계치 이상일 경우, 해당 세션을 차단 세션으로 선택하여 출력한다. 또한, 디도스 공격 방어 장치(100)는 호스트들간 동시 접속수가 소정 임계치 이상일 경우, 추가로 생성되는 세션을 차단 세션으로 선택하여 출력한다.
640 단계에서, 디도스 공격 방어 장치(100)는 상기 비교 결과값을 기반으로 각 세션의 차단 여부를 판단한다.
640 단계의 판단 결과 특정 세션이 차단 요청될 경우, 디도스 공격 방어 장치(100)는 650 단계에서 하프 클로즈(half-close)를 수행하여 해당 세션을 차단한 후, 660 단계로 진행한다. 반면, 650 단계의 판단 결과 특정 세션이 차단 요청되지 않을 경우, 디도스 공격 방어 장치(100)는 660 단계로 진행한다.
660 단계에서 디도스 공격 방어 장치(100)는 세션 차단에 따라 세션 데이타 삭제하거나, 갱신하여 해당 세션을 최신화한다.
시스템 관리자는 모니터링된 자료를 근거로 서비스 거부공격 파악 및 시스템별 부하 상태를 개별 시스템의 로그파일 분석을 하지 않고 실시간적으로 파악할 수 있으며, 동시접속자 제어 및 연결시간 제한 등을 설정하여 각 시스템의 성능 튜닝 또는 보안 설정과 동일한 효과를 발휘할 수 있다.
TCP 연결을 기반으로 하는 공격 툴들은 전통적인 고속의 PPS(CPS)를 사용하거나 대용량의 BPS를 사용하지 않기 때문에 탐지 및 차단이 어려우며 정상적인 사용자와 구분이 어렵다는 문제점을 가지고 있다.
또한 근래의 서비스 거부 공격들은 특정한 시그니처들을 포함하고 있지 않는 경우가 많고 포함하는 경우에도 오용탐지의 가능성이 높기 때문에 시그니처 기반의 방법으로도 차단이 어렵다는 특징을 가지고 있다.
이러한 공격법에 대한 일반적인 대응법은 동시접속자 숫자 제어 또는 연결별 연결시간을 제한하고 있다. 하지만 이러한 방법은 시스템 그리고 해당 서비스별로 설정을 별도로 해야되며 시스템을 재시작해야되는 경우가 존재하기 때문에 운영중인 시스템에 적용이 어려움을 가지고 있다.
상기 시스템은 해당 시스템이 설치된 망에 전체 적용이 가능하며 시스템 특성과 서비스 특성을 타지 않고 서비스의 재시작 없이 운영할 수 있다는 장점을 가지고 있다.

Claims (10)

  1. TAP(Test Access Point) 또는 인라인에 위치하여 외부 공격에 대해 방어하는 디도스 공격 방어 장치에 있어서,
    네트워크상에 송수신되는 패킷들을 수집하는 패킷 수집부와,
    상기 패킷 수집부에 의해 수집된 패킷들을 분석하여, 해당 패킷이 전송되는 세션의 생성 시간 및 마지막 패킷 갱신 시간을 포함하는 세션 데이터를 추출하는 패킷 데이터 파싱부와,
    상기 세션 데이터를 상기 세션 관리를 위해 설정된 데이터와 비교한 결과값을 출력하는 세션 관리부와,
    상기 세션 관리부로부터 출력된 결과값에 따라 특정 세션의 종료 여부를 판단하는 세션 종료 판단부와,
    상기 세션 종료 판단부로부터 특정 세션의 차단 요청됨에 따라, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단하는 연결 차단부를 포함함을 특징으로 하는 디도스 공격 방어 장치.
  2. 제 1항에 있어서, 상기 세션 관리부는
    특정 호스트로 생성된 세션의 총 합이 소정 임계치 이상일 경우, 상기 마지막 패킷 갱신 시간이 가장 오래된 세션을 차단 세션으로 선택하여 출력함을 특징으로 하는 디도스 공격 방어 장치.
  3. 제 2항에 있어서, 상기 세션 관리부는
    상기 마지막 패킷 갱신 시간이 동일할 세션이 둘 이상일 경우, 상기 세션의 생성 시간이 가장 오래된 세션을 차단 세션으로 선택하여 출력함을 특징으로 하는 디도스 공격 방어 장치.
  4. 제 1항에 있어서, 상기 세션 관리부는
    세션의 생성 시간과 마지막 패킷 갱신 시간의 차이가 소정 임계치 이상일 경우, 해당 세션을 차단 세션으로 선택하여 출력함을 특징으로 하는 디도스 공격 방어 장치.
  5. 제 1항에 있어서, 상기 세션 관리부는
    호스트들간 동시 접속수가 소정 임계치 이상일 경우, 추가로 생성되는 세션을 차단 세션으로 선택하여 출력함을 특징으로 하는 디도스 공격 방어 장치.
  6. TAP(Test Access Point) 또는 인라인에 위치하여 외부 공격에 대해 방어하는 디도스 공격 방어 장치에서 외부 공격을 방어하기 위해 세션을 차단하는 방법에 있어서,
    네트워크상에 송수신되는 패킷들을 수집하는 단계와,
    상기 수집된 패킷들을 분석하여, 해당 패킷이 전송되는 세션의 생성 시간 및 마지막 패킷 갱신 시간을 포함하는 세션 데이터를 추출하는 단계와,
    상기 세션 데이터를 상기 세션 관리를 위해 설정된 데이터와 비교하는 단계와,
    상기 비교 결과에 따라, 특정 세션의 종료 여부를 판단하는 단계와,
    상기 특정 세션의 종료해야 할 경우, 하프 클로즈(half-close)를 수행하여 해당 세션을 차단하는 단계를 포함함을 특징으로 하는 디도스 공격 방어 방법.
  7. 제 6항에 있어서, 상기 비교하는 단계는
    특정 호스트로 생성된 세션의 총 합이 소정 임계치 이상일 경우, 상기 마지막 패킷 갱신 시간이 가장 오래된 세션을 차단 세션으로 선택함을 특징으로 하는 디도스 공격 방어 방법.
  8. 제 7항에 있어서, 상기 비교하는 단계는
    상기 마지막 패킷 갱신 시간이 동일할 세션이 둘 이상일 경우, 상기 세션의 생성 시간이 가장 오래된 세션을 차단 세션으로 선택함을 특징으로 하는 디도스 공격 방어 방법.
  9. 제 6항에 있어서, 상기 비교하는 단계는
    세션의 생성 시간과 마지막 패킷 갱신 시간의 차이가 소정 임계치 이상일 경우, 해당 세션을 차단 세션으로 선택함을 특징으로 하는 디도스 공격 방어 방법.
  10. 제 6항에 있어서, 상기 비교하는 단계는
    호스트들간 동시 접속수가 소정 임계치 이상일 경우, 추가로 생성되는 세션을 차단 세션으로 선택함을 특징으로 하는 디도스 공격 방어 방법.
KR1020130090446A 2013-07-30 2013-07-30 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법 KR101419861B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130090446A KR101419861B1 (ko) 2013-07-30 2013-07-30 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130090446A KR101419861B1 (ko) 2013-07-30 2013-07-30 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101419861B1 true KR101419861B1 (ko) 2014-07-16

Family

ID=51742260

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130090446A KR101419861B1 (ko) 2013-07-30 2013-07-30 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101419861B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019151552A1 (ko) * 2018-02-02 2019-08-08 (주)이지서티 빅 데이터 시스템에서 세션별 패킷 수집 기반 로그 생성 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1691529A1 (en) 2005-02-15 2006-08-16 AT&T Corp. Method for defending a network against DDoS attacks
US20070209068A1 (en) 2006-03-03 2007-09-06 New Jersey Institute Of Technology BEHAVIOR-BASED TRAFFIC DIFFERENTIATION (BTD) FOR DEFENDING AGAINST DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS
KR101061377B1 (ko) 2009-11-18 2011-09-02 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치
KR20130030086A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1691529A1 (en) 2005-02-15 2006-08-16 AT&T Corp. Method for defending a network against DDoS attacks
US20070209068A1 (en) 2006-03-03 2007-09-06 New Jersey Institute Of Technology BEHAVIOR-BASED TRAFFIC DIFFERENTIATION (BTD) FOR DEFENDING AGAINST DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS
KR101061377B1 (ko) 2009-11-18 2011-09-02 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치
KR20130030086A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019151552A1 (ko) * 2018-02-02 2019-08-08 (주)이지서티 빅 데이터 시스템에서 세션별 패킷 수집 기반 로그 생성 방법 및 장치

Similar Documents

Publication Publication Date Title
TWI294726B (ko)
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN106713216B (zh) 流量的处理方法、装置及系统
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20020107953A1 (en) Method and device for monitoring data traffic and preventing unauthorized access to a network
Gavaskar et al. Three counter defense mechanism for TCP SYN flooding attacks
WO2005112317A2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
JP2019134484A (ja) アクセス要求を規制するシステムおよび方法
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
CN112398844A (zh) 基于内外网实时引流数据的流量分析实现方法
KR20110037645A (ko) 분산 서비스 거부 방어 장치 및 그 방법
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
Bhandari Survey on DDoS attacks and its detection & defence approaches
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
KR20200109875A (ko) 유해 ip 판단 방법
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR20090048819A (ko) 분산서비스거부 공격 방어방법 및 방어시스템
KR101419861B1 (ko) 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법
US9426174B2 (en) Protecting computing assets from segmented HTTP attacks
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
Khirwadkar Defense against network attacks using game theory
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170707

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180704

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190709

Year of fee payment: 6