KR101420301B1 - DDoS 공격 검출 방법 및 장치 - Google Patents

DDoS 공격 검출 방법 및 장치 Download PDF

Info

Publication number
KR101420301B1
KR101420301B1 KR1020120098144A KR20120098144A KR101420301B1 KR 101420301 B1 KR101420301 B1 KR 101420301B1 KR 1020120098144 A KR1020120098144 A KR 1020120098144A KR 20120098144 A KR20120098144 A KR 20120098144A KR 101420301 B1 KR101420301 B1 KR 101420301B1
Authority
KR
South Korea
Prior art keywords
packet
payload
data packet
transmission
record
Prior art date
Application number
KR1020120098144A
Other languages
English (en)
Other versions
KR20140031616A (ko
Inventor
이현준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120098144A priority Critical patent/KR101420301B1/ko
Publication of KR20140031616A publication Critical patent/KR20140031616A/ko
Application granted granted Critical
Publication of KR101420301B1 publication Critical patent/KR101420301B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

분산 서비스 거부(Distributed Denial of Service, DDoS) 공격 검출 방법 및 장치가 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드와 패킷 전송 기록에 포함된 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하는 단계 ― 상기 패킷 전송 기록은 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함함 ― ; 상기 검색하는 단계에서 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 상기 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키는 단계; 상기 증가된 전송빈도와 소정의 임계값을 비교하는 단계; 및 상기 비교하는 단계에서 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하는 경우, 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계를 포함할 수 있다. 본 발명은 DDoS 공격 시 다수의 데이터 패킷에 걸쳐 동일한 페이로드가 반복된다는 점을 이용함으로써, 정상 패킷에 의한 트래픽과 DDoS 공격에 의한 비정상 패킷에 의한 트래픽을 구분하여 DDoS 탐지의 신뢰성을 향상시키고, DDoS 공격을 조기에 검출할 수 있다.

Description

DDoS 공격 검출 방법 및 장치{METHOD AND APPARATUS FOR DETECTING DDOS ATTACK}
본 발명은 네트워크 보안 기술에 관한 것으로서, 더 구체적으로는 DDoS 공격을 검출하기 위한 방법 및 장치에 관한 것이다.
도 1은 복수의 서버 및 복수의 사용자 단말을 포함하는 내부 네트워크, 상기 내부 네트워크를 보호하기 위한 방화벽 및 인터넷을 포함하는 네트워크 환경을 도시한다. 상기 방화벽은 네트워크 간의 허가받지 않은 접근을 방지하기 위한 것으로서, 실질적으로 외부 네트워크로부터 내부 네트워크를 보호하기 위한 것이다. 즉, 도시되는 바와 같이 인터넷을 통해, 내부 서버들 및 내부 사용자들을 포함하는, 내부 네트워크로 전송 또는 수신되는 데이터 패킷들은 방화벽을 통과해야 하는데, 상기 방화벽은 이러한 데이터 패킷들의 헤더에 대한 상태 조사(stateful inspection)를 통해 오직 적절하다고 판단되는 패킷에 대해서만 방화벽 통과를 허용한다. 도 1에서는 방화벽이 도시되지만, 방화벽 이외의 다양한 보안 장치들(예를 들어, 침입 탐지 시스템(IDS), 침입 차단 시스템(IPS), UTM 등)이 이용될 수 있다.
한편, 특정 네트워크를 공격하기 위한 공격 방법 중 하나로서 분산 서비스 거부(distributed denial of service, DDoS) 공격이 이용되고 있다. DDoS 공격은 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부(denial of service, DoS) 공격을 하는 것을 의미한다. 여기서 DoS 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격으로서, 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 소모시키는 공격 등이 DoS 공격의 범위에 포함될 수 있다. 이러한 DDoS 공격은 다양한 양상을 보이지만, 네트워크의 전체 대역폭에 근접하는 대량의 트래픽을 공격 대상 네트워크에 전송하여 네트워크을 마비시키는 것이 일반적인 공격의 양상이다.
이러한 DDoS 공격을 탐지 및/또는 차단하기 위해 보안 장치들은 DDoS 공격이 발생하는 순간에, 어떠한 종류의 DDoS 공격이 탐지되었으며 발생 건수는 얼마인지 등에 대해 파악한 후, DDoS 공격과 관련되는 트래픽을 차단하는 등 DDoS 공격에 대해 대응하게 되는데, DDoS 공격이 대량의 트래픽을 전송함으로써 이루어진다는 점에서, 보안 장치들은 일반적으로 트래픽이 소정의 임계치를 초과하는지를 지속적으로 모니터링함으로써, DDoS 공격을 검출할 수할 수 있다.
그러나, 이러한 방법은 정상 패킷의 전송에 의한 트래픽 초과와 DDoS 공격에 의한 트래픽 초과를 구분하기 힘들기 때문에, 오탐률이 상대적으로 높으며, 또한, 트래픽의 양이 위험수준에 도달한 후에야 DDoS 공격이라는 점을 알 수 있기 때문에, DDoS 공격에 신속하게 대응하기 힘들었다. 따라서 DDoS 공격을 조기에 검출하여, 신속하게 대응하게 대응하기 위한 기술이 요구된다.
본 발명은 상기 문제점을 이용하기 위한 것으로서, DDoS 공격을 탐지할 수 있는 개선된 기술을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따라, DDoS 공격 검출 방법이 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드와 패킷 전송 기록에 포함된 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하는 단계 ― 상기 패킷 전송 기록은 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함함 ― ; 상기 검색하는 단계에서 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 상기 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키는 단계; 상기 증가된 전송빈도와 소정의 임계값을 비교하는 단계; 및 상기 비교하는 단계에서 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하는 경우, 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 따라 DDoS 공격 검출 장치가 개시된다. 상기 장치는 데이터 패킷을 수신하기 위한 수신부; 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 패킷 전송 기록을 저장하기 위한 데이터베이스; 상기 수신부에 의해 수신된 데이터 패킷의 페이로드와 상기 데이터베이스 내의 상기 패킷 전송 기록에 포함된 상기 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하기 위한 검색부; 상기 검색부의 검색 결과, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 상기 데이터 패킷에 대한 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키기 위한 카운터; 상기 카운터에 의해 증가된 전송빈도와 소정의 임계값을 비교하기 위한 비교부; 및 상기 비교부의 비교 결과, 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하는 경우, 상기 데이터 패킷을 비정상 패킷으로 판단하기 위한 판단부를 포함할 수 있다.
이와 같이 본 발명은 DDoS 공격 시 다수의 데이터 패킷에 걸쳐 동일한 페이로드가 반복된다는 점을 이용함으로써, 정상 패킷에 의한 트래픽과 DDoS 공격에 의한 비정상 패킷에 의한 트래픽을 구분하여 DDoS 탐지의 신뢰성을 향상시키고, DDoS 공격을 조기에 검출할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 예시적인 네트워크 환경을 도시한다.
도 2는 데이터 패킷의 예시적인 구조를 도시한다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 검출 방법을 도시한다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 검출 장치를 도시한다.
이하, 본 발명에 따른 실시예들을 첨부된 도면들을 참조하여 설명한다. 한편, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 실시예들을 설명할 것이나, 본 발명의 기술적 사상은 이에 한정되거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있다.
도 2는 도 1 과 같은 네트워크 환경에서 전송되는 데이터 패킷의 예시적인 구조를 도시한다. 도시되는 바와 같이, 데이터 패킷은 MAC 헤더, IP 헤더, TCP 헤더, HTTP 헤더, 페이로드를 포함할 수 있다. 여기서 페이로드는 데이터 패킷의 컨텐츠, 즉 실질적인 내용 부분을 의미한다.
DDoS 공격 툴(tool)에 의한 공격 시, 동일한 좀비 PC 프로그램들은 마스터 공격 프로그램으로부터 동일한 데이터를 보내라는 명령을 수신 받아서 동일한 데이터를 생성하여 특정 서버의 취약한 부분을 집중공격을 하는 특성이 있다. 즉, DDoS 공격을 위해 동일한 페이로드를 갖는 다수의 데이터 패킷이 발생하게 된다. 이와 같이, DDoS 공격에 의해 다수의 데이터 패킷에 걸쳐 동일한 페이로드가 반복된다는 점을 이용함으로서 본 발명은 전체적인 트래픽의 양이 위험수준에 도달하기 전이라도, DDoS 공격을 조기에 검출할 수 있으며, 특히, 정상 패킷에 의한 트래픽과 DDoS 공격에 의한 비정상 패킷에 의한 트래픽을 구분함으로써 DDoS 탐지의 신뢰성을 향상시킬 수 있다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 검출 방법(300)을 도시한다. 상기 방법(300)은 본 발명이 적용되는 실시예에 따라 다양한 보안 장치(예를 들어, 방화벽, 침입 탐지 시스템(IDS), 침입 차단 시스템(IPS), anti-DDoS, UTM 등)에 의해 이용되거나, 상기 보안 장치와 별개의 장치에 의해 이용될 수 있다.
먼저, 단계(310)에서, 적어도 하나의 데이터 패킷을 수신할 수 있다. 상기 데이터 패킷은 보안 장치를 통과하는 데이터 패킷을 의미한다. 따라서 상기 데이터 패킷은 외부 네트워크(예를 들어, 인터넷)로부터 수신되는 데이터 패킷뿐만 아니라, 내부 네트워크로부터 외부 네트워크로 전송되는 데이터 패킷을 포함할 수 있다.
데이터 패킷의 페이로드와 패킷 전송 기록에 포함된 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 전송 기록이 존재하는지 여부를 검색할 수 있다(단계(320)). 여기서 패킷 전송 기록은 종래에 수신된 데이터 패킷에 포함된 페이로드의 전송 이력을 의미하는 것으로서, 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함할 수 있다. 본 발명에 따른 DDoS 공격 검출 방법은 동일한 페이로드를 가진 다수의 데이터 패킷을 검출하기 위한 것으로서, 단계(320)를 통해 단계(310)에서 수신된 데이터 패킷의 페이로드와 동일한 페이로드가 수신된 적이 있는지를 판단할 수 있다. 또한, 단계(320)는 전송빈도가 높은 페이로드의 패킷 전송 기록에서부터 전송빈도가 낮은 페이로드의 패킷 전송 기록 순으로 수행될 수 있다.
예를 들어, 페이로드를 식별하기 위한 정보는 패킷의 페이로드 자체를 포함할 수 있다. 즉, 단계(320)에서는 수신된 데이터 패킷의 페이로드와 패킷 전송 기록 내의 페이로드를 직접적으로 비교함으로써, 수신된 데이터 패킷의 페이로드와 동일한 페이로드가 수신된 적이 있는지를 검색할 수 있다.
다른 예시에서, 페이로드를 식별하기 위한 정보는 패킷의 페이로드의 압축값을 포함할 수 있다. 여기서 압축은 정보의 저장이나 전송을 위해 데이터의 양을 줄이는 것으로서, 페이로드를 식별하기 위한 정보를 저장하기 위한 공간은 제한되어 있으므로, 페이로드를 압축한 결과를 저장함으로써, 저장 공간을 효율적으로 이용할 수 있다. 다양한 압축 알고리즘이 공지되어 있으며, 이러한 압축 알고리즘이 본 발명에서 데이터 패킷의 페이로드의 압축을 위해 이용될 수 있다.
다른 예시에서, 페이로드를 식별하기 위한 정보는 패킷의 해시(hash) 값을 포함할 수 있다. 해시 함수는 임의의 데이터로부터 일종의 짧은 "전자 지문"을 만들어 내는 방법을 말하는데, 상기 해시 함수는 데이터를 자르고 치환하거나 위치를 바꾸는 등의 방법을 사용해 결과를 만들어 내며, 이러한 결과를 해시 값이라 한다. 두 개의 해시 값을 비교했을 때, 두 해시 값이 서로 상이하면, 원래의 데이터가 상이하다는 것을 의미한다는 점을 이용해서, 단계(310)에서 수신된 데이터 패킷의 페이로드와 동일한 페이로드가 수신된 적이 있는지를 검색할 수 있다. 다만, 동일한 해시 값을 가진다고 해서, 원래의 데이터가 동일하다는 것을 의미하지는 않지만, 데이터의 길이가 길수록 데이터가 동일할 확률이 증가한다. 실제 페이로드의 데이터 길이를 고려할 때, 해시 값을 이용한 결과에는 실질적으로 오차가 존재하지 않을 것이다.
단계(320)의 검색 결과, 데이터 패킷의 페이로드와 동일한 페이로드의 패킷 전송 기록이 존재하는 경우, 상기 패킷 전송 기록 내의 페이로드의 전송빈도를 증가시킬 수 있다(단계(330)). 수신된 데이터 패킷에 관한 정보를 패킷 전송 기록에 반영하기 위함이다. 도 3에서 단계(330)은 단계(320) 및 단계(340) 사이에서 수행되는 것으로 기재되어 있으나, 본 발명이 적용되는 실시예에 따라 단계(340) 이후에 수행될 수도 있다.
그 후, 단계(330)를 통해 페이로드의 증가된 전송빈도와 소정의 임계값을 비교할 수 있다(단계(340)). 여기서 소정의 임계값은 특정 페이로드의 반복적인 수신이 DDoS 공격에 의한 것임을 의미하는 것으로서, 따라서 단계(340)의 비교 결과, 증가된 전송빈도가 소정의 임계값을 초과하면, 데이터 패킷을 DDoS 공격에 의한 비정상 패킷으로 판단할 수 있다(단계(350)). 반대로, 증가된 전송빈도가 소정의 임계값을 초과하지 않으면, 데이터 패킷을 정상 패킷으로 판단할 수 있다(단계(360)).
단계(320)로 돌아가서, 패킷 전송 기록의 검색 결과, 패킷 전송 기록이 존재하지 않는 경우, 단계(310)를 통해 수신된 데이터 패킷을 정상 패킷으로 판단할 수 있다(단계(370)). 즉, 수신된 데이터 패킷의 페이로드와 동일한 페이로드가 이전에 수신된 적이 없는 신규 패킷에 해당하므로, 상기 데이터 패킷은 적어도 아직까지는 DDoS 공격에 이용되는 데이터 패킷이 아닌 정상 패킷으로 판단할 수 있다.
계속해서, 수신된 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 상기 데이터 패킷에 대한 패킷 상태 전송 기록을 저장할 수 있다(단계(380)). 수신된 패킷이 신규 패킷으로서 현 단계에서는 DDoS 공격에 이용되지 않는 정상적인 패킷으로 판단되었다 하더라도, 이후 수신된 패킷과 동일한 내용의 페이로드를 갖는 패킷이 대량 수신됨으로써 DDoS 공격이 이루어질 수 있기 때문에, 지속적으로 수신되는 데이터 패킷의 전송 기록을 관리함으로써 이후의 DDoS 공격 여부를 판단하기 위함이다. 도 3에서 단계(380)은 단계(370) 이후에 수행되는 것으로 도시되어 있으나, 본 발명이 적용되는 실시예에 따라 단계(370) 이전에 수행될 수 있다.
일 실시예에서, 패킷 전송 기록을 저장하기 위한 저장 공간(예를 들어, 메모리)의 크기에 일정한 제한을 존재하기 때문에, 단계(380)는 저장 공간을 효율적으로 관리하도록 수행될 수 있다.
예를 들어, 패킷 전송 기록의 저장은 선입선출(first-in first-out) 방식으로 수행될 수 있다. 여기서 선입선출 방식은 가장 먼저 발생하거나 도착한 데이터를 가장 먼저 처리하는 방식을 말한다. 따라서 저장 공간이 부족한 경우, 패킷 전송 기록의 저장은 가장 오래된 패킷 전송 기록(즉, 가장 먼저 저장 또는 갱신된 패킷 전송 기록)을 삭제하고, 신규 패킷 전송 기록을 저장하는 방식으로 수행될 수 있다.
다른 예시에서, 패킷 전송 기록의 저장은 전송빈도에 기초하여 수행될 수 있다. 즉, 저장 공간이 부족한 경우, 패킷 전송 기록의 저장은 신규한 패킷 전송 기록이 전송빈도가 가장 작은 페이로드에 대한 이미 저장된 패킷 전송 기록 중 전송빈도가 가장 작은 페이로드에 대한 패킷 전송 기록을 대체하는 방식으로 수행될 수 있다. 여기서, 상기 패킷 전송 기록을 대체하는 방식은 전송빈도가 가장 작은 페이로드에 대한 복수의 패킷 전송 기록이 존재하는 경우, 선입선출 방식으로 수행될 수 있다.
다른 예시에서, 패킷 전송 기록은 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 패킷 전송 기록 내의 전송빈도에 관한 정보가 소정의 값만큼 감소할 수 있으며, 감소된 전송빈도에 관한 정보가 임계값(예를 들어, 0의 값) 또는 임계값 이하가 되면 패킷 전송 기록이 삭제될 수 있다. 또한, 패킷 전송 기록은 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 패킷 전송 기록이 삭제될 수도 있다.
상기 언급된 저장 방식 외에도, 제한된 저장 공간을 효율적으로 관리하기 위해 상기 기술된 저장 방식 이외의 다양한 저장 방식이 이용될 수 있으며, 이는 당해 기술 분야에서 통상의 지식을 가진 자에게 자명한 범위에 속할 것이다.
도 4는 본 발명의 일 실시예에 따른 DDoS 공격 검출 장치(400)를 도시한다. 장치(400)는 DDoS 공격 검출 방법(300)을 수행하기 위한 예시적인 실시예에 해당하며, 상기 실시예는 상기 방법을 수행하기 위한 이러한 모든 변형들 또는 수정들을 포함하는 것으로 의도된다.
장치(400)는 데이터 패킷을 수신하기 위한 수신부(410); 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 패킷 전송 기록을 저장하기 위한 데이터베이스(420); 수신부(410)에 의해 수신된 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하기 위한 검색부(430); 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 데이터 패킷에 대한 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키기 위한 카운터(440); 카운터(440)에 의해 증가된 전송빈도와 소정의 임계값을 비교하기 위한 비교부(450); 및 비교부(450)의 비교 결과 또는 검색부(430)의 검색 결과에 따라 데이터 패킷을 정상 패킷 또는 비정상 패킷으로 판단하기 위한 판단부(460)를 포함할 수 있다.
수신부(410)가 데이터 패킷을 수신하면, 검색부(430)는 수신부(410)에 의해 수신된 데이터 패킷의 페이로드와 데이터베이스(420) 내의 패킷 전송 기록에 포함된 페이로드를 식별하기 위한 정보를 비교할 수 있다. 검색부(430)는 상기 비교를 통해 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색할 수 있다. 여기서, 페이로드를 식별하기 위한 정보는 패킷의 페이로드, 페이로드의 압축값 및 페이로드의 해시값 중 적어도 하나를 포함할 수 있다 일 실시예에서, 검색부(430)는 전송빈도가 높은 페이로드의 패킷 전송 기록에서부터 전송빈도가 낮은 페이로드의 패킷 전송 기록 순으로 검색을 수행할 수 있다.
검색부(430)의 검색 결과, 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 카운터(440)는 데이터 패킷에 대한 패킷 전송 기록 내의 페이로드의 전송빈도를 증가시킬 수 있다. 그리고나서, 비교부(450)는 카운터(440)에 의해 증가된 전송빈도와 소정의 임계값을 비교할 수 있다.
여기서 소정의 임계값은 특정 페이로드의 반복적인 수신이 DDoS 공격에 의한 것임을 의미하는 것으로서, 따라서 비교부(450)의 비교 결과, 증가된 전송빈도가 소정의 임계값을 초과하면, 판단부(460)는 데이터 패킷을 DDoS 공격에 의한 비정상 패킷으로 판단할 수 있다. 반대로, 증가된 전송빈도가 소정의 임계값을 초과하지 않으면, 판단부(460)는 데이터 패킷을 정상 패킷으로 판단할 수 있다.
한편, 검색부(430)의 검색 결과 데이터 패킷에 대한 데이터 패킷에 대한 패킷 전송 기록이 존재하지 않는 경우, 판단부(460)는 데이터 패킷을 정상 패킷으로 판단할 수 있다. 정상 패킷이라 하더라도, 지속적인 DDoS 공격 여부를 모니터링하기 위해, 데이터베이스(420)에는 데이터 패킷의 페이로드를 식별하기 위한 정보 및 페이로드의 전송빈도에 관한 정보를 포함하는 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 저장될 수 있다.
일 실시예에서, 데이터베이스(420)의 저장 공간의 크기에 일정한 제한을 존재하기 때문에, 데이터베이스(420)의 저장 공간이 효율적으로 관리될 수 있다.
예를 들어, 패킷 전송 기록의 저장은 선입선출(first-in first-out) 방식으로 수행될 수 있다. 여기서 선입선출 방식은 가장 먼저 발생하거나 도착한 데이터를 가장 먼저 처리하는 방식을 말한다. 따라서 저장 공간이 부족한 경우, 패킷 전송 기록의 저장은 가장 오래된 패킷 전송 기록(즉, 가장 먼저 저장 또는 갱신된 패킷 전송 기록)을 삭제하고, 신규 패킷 전송 기록을 저장하는 방식으로 수행될 수 있다.
다른 예시에서, 패킷 전송 기록의 저장은 전송빈도에 기초하여 수행될 수 있다. 즉, 저장 공간이 부족한 경우, 패킷 전송 기록의 저장은 신규한 패킷 전송 기록이 전송빈도가 가장 작은 페이로드에 대한 이미 저장된 패킷 전송 기록 중 전송빈도가 가장 작은 페이로드에 대한 패킷 전송 기록을 대체하는 방식으로 수행될 수 있다. 여기서, 상기 패킷 전송 기록을 대체하는 방식은 전송빈도가 가장 작은 페이로드에 대한 복수의 패킷 전송 기록이 존재하는 경우, 선입선출 방식으로 수행될 수 있다.
다른 예시에서, 패킷 전송 기록은 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 패킷 전송 기록 내의 전송빈도에 관한 정보가 소정의 값만큼 감소할 수 있으며, 감소된 전송빈도에 관한 정보가 임계값(예를 들어, 0의 값) 또는 임계값 이하가 되면 패킷 전송 기록이 삭제될 수 있다. 또한, 패킷 전송 기록은 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 패킷 전송 기록이 삭제될 수도 있다.
상기 언급된 저장 방식 외에도, 제한된 저장 공간을 효율적으로 관리하기 위해 상기 기술된 저장 방식 이외의 다양한 저장 방식이 이용될 수 있으며, 이는 당해 기술 분야에서 통상의 지식을 가진 자에게 자명한 범위에 속할 것이다.
이와 같이 본 발명은 DDoS 공격 시 다수의 데이터 패킷에 걸쳐 동일한 페이로드가 반복된다는 점을 이용함으로써, 정상 패킷에 의한 트래픽과 DDoS 공격에 의한 비정상 패킷에 의한 트래픽을 구분하여 DDoS 탐지의 신뢰성을 향상시키고, DDoS 공격을 조기에 검출할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (14)

  1. 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격 검출 방법으로서,
    데이터 패킷을 수신하는 단계;
    상기 데이터 패킷의 페이로드와 패킷 전송 기록에 포함된 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하는 단계 ― 상기 패킷 전송 기록은 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함함 ― ;
    상기 검색하는 단계에서 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 상기 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키는 단계;
    상기 증가된 전송빈도와 소정의 임계값을 비교하는 단계; 및
    상기 비교하는 단계에서 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하는 경우, 상기 데이터 패킷을 비정상 패킷으로 판단하는 단계
    를 포함하고,
    상기 검색하는 단계는 상기 전송빈도가 높은 페이로드의 패킷 전송 기록에서부터 상기 전송빈도가 낮은 페이로드의 패킷 전송 기록 순으로 수행되며,
    상기 비교하는 단계에서,
    상기 증가된 전송빈도가 상기 소정의 임계값을 초과하지 않거나, 상기 검색하는 단계에서 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하지 않는 경우, 상기 데이터 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는,
    DDoS 공격 검출 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 검색하는 단계에서 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하지 않는 경우, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록을 저장하는 단계를 더 포함하는,
    DDoS 공격 검출 방법.
  4. 제 3 항에 있어서,
    상기 패킷 전송 기록을 저장하는 단계는,
    상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록을 저장할 수 있는 저장 공간이 부족한 경우, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 상기 저장 공간에 저장된 패킷 전송 기록 중 전송빈도가 가장 작은 페이로드에 대한 패킷 전송 기록을 대체하는 방식으로 수행되는,
    DDoS 공격 검출 방법.
  5. 제 1 항에 있어서,
    상기 패킷 전송 기록은 상기 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 상기 패킷 전송 기록에 포함된 페이로드의 전송빈도가 감소하는,
    DDoS 공격 검출 방법.
  6. 제 1 항에 있어서,
    상기 패킷 전송 기록은 상기 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 삭제되는,
    DDoS 공격 검출 방법.
  7. 삭제
  8. 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격 검출 장치로서,
    데이터 패킷을 수신하기 위한 수신부;
    페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 패킷 전송 기록을 저장하기 위한 데이터베이스;
    상기 수신부에 의해 수신된 데이터 패킷의 페이로드와 상기 데이터베이스 내의 상기 패킷 전송 기록에 포함된 상기 페이로드를 식별하기 위한 정보를 비교함으로써, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는지 여부를 검색하기 위한 검색부;
    상기 검색부의 검색 결과, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 존재하는 경우, 상기 데이터 패킷에 대한 패킷 전송 기록 내의 상기 페이로드의 전송빈도를 증가시키기 위한 카운터;
    상기 카운터에 의해 증가된 전송빈도와 소정의 임계값을 비교하기 위한 비교부; 및
    상기 비교부의 비교 결과, 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하는 경우, 상기 데이터 패킷을 비정상 패킷으로 판단하기 위한 판단부
    를 포함하고,
    상기 검색부는 상기 전송빈도가 높은 페이로드의 패킷 전송 기록에서부터 상기 전송빈도가 낮은 페이로드의 패킷 전송 기록 순으로 검색을 수행하며,
    상기 검색부의 검색 결과 상기 데이터 패킷에 대한 데이터 패킷에 대한 패킷 전송 기록이 존재하지 않거나, 상기 비교부의 비교 결과 상기 증가된 전송빈도가 상기 소정의 임계값을 초과하지 않는 경우, 상기 판단부는 상기 데이터 패킷을 정상 패킷으로 판단하는,
    DDoS 공격 검출 장치.
  9. 삭제
  10. 제 8 항에 있어서,
    상기 검색부의 검색 결과, 상기 데이터 패킷에 대한 패킷 전송 기록이 존재하지 않는 경우, 상기 데이터베이스에는 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드의 전송빈도에 관한 정보를 포함하는 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록이 저장되는,
    DDoS 공격 검출 장치.
  11. 제 10 항에 있어서,
    상기 데이터베이스에 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록을 저장할 수 있는 저장 공간이 부족한 경우, 상기 데이터 패킷의 페이로드에 대한 패킷 전송 기록은 상기 데이터베이스에 저장된 패킷 전송 기록 중 전송빈도가 가장 작은 페이로드에 대한 패킷 전송 기록을 대체하는 방식으로 저장되는,
    DDoS 공격 검출 장치.
  12. 제 8 항에 있어서,
    상기 데이터베이스에서 상기 패킷 전송 기록은 상기 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 상기 패킷 전송 기록에 포함된 페이로드의 전송빈도가 감소하는,
    DDoS 공격 검출 장치.
  13. 제 8 항에 있어서,
    상기 데이터베이스에서 상기 패킷 전송 기록은 상기 패킷 전송 기록의 마지막 기록 시점으로부터 소정의 기간이 경과하면 삭제되는,
    DDoS 공격 검출 장치.
  14. 삭제
KR1020120098144A 2012-09-05 2012-09-05 DDoS 공격 검출 방법 및 장치 KR101420301B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120098144A KR101420301B1 (ko) 2012-09-05 2012-09-05 DDoS 공격 검출 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120098144A KR101420301B1 (ko) 2012-09-05 2012-09-05 DDoS 공격 검출 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140031616A KR20140031616A (ko) 2014-03-13
KR101420301B1 true KR101420301B1 (ko) 2014-07-17

Family

ID=50643601

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120098144A KR101420301B1 (ko) 2012-09-05 2012-09-05 DDoS 공격 검출 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101420301B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180052324A (ko) 2016-11-10 2018-05-18 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US10447715B2 (en) 2016-03-02 2019-10-15 Electronics And Telecommunications Research Institute Apparatus and method of detecting distributed reflection denial of service attack based on flow information

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086060B (zh) * 2022-06-30 2023-11-07 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060034581A (ko) * 2004-10-19 2006-04-24 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR20060062298A (ko) * 2004-12-03 2006-06-12 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060034581A (ko) * 2004-10-19 2006-04-24 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR20060062298A (ko) * 2004-12-03 2006-06-12 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10447715B2 (en) 2016-03-02 2019-10-15 Electronics And Telecommunications Research Institute Apparatus and method of detecting distributed reflection denial of service attack based on flow information
KR20180052324A (ko) 2016-11-10 2018-05-18 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US10693908B2 (en) 2016-11-10 2020-06-23 Electronics And Telecommunications Research Institute Apparatus and method for detecting distributed reflection denial of service attack

Also Published As

Publication number Publication date
KR20140031616A (ko) 2014-03-13

Similar Documents

Publication Publication Date Title
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
CN109660539B (zh) 失陷设备识别方法、装置、电子设备及存储介质
CN111010409B (zh) 加密攻击网络流量检测方法
US20190034631A1 (en) System and method for malware detection
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
WO2014119669A1 (ja) ログ分析装置、情報処理方法及びプログラム
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20160248788A1 (en) Monitoring apparatus and method
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
EP1654608A1 (en) Method and system for detecting unauthorised use of a communication network
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
CN110798427A (zh) 一种网络安全防御中的异常检测方法、装置及设备
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
KR101420301B1 (ko) DDoS 공격 검출 방법 및 장치
KR20140044970A (ko) 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
KR20200109875A (ko) 유해 ip 판단 방법
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
US11271959B2 (en) Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
CN115208622A (zh) 一种DDoS攻击的检测方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant