KR101587845B1 - 디도스 공격을 탐지하는 방법 및 장치 - Google Patents

디도스 공격을 탐지하는 방법 및 장치 Download PDF

Info

Publication number
KR101587845B1
KR101587845B1 KR1020140129150A KR20140129150A KR101587845B1 KR 101587845 B1 KR101587845 B1 KR 101587845B1 KR 1020140129150 A KR1020140129150 A KR 1020140129150A KR 20140129150 A KR20140129150 A KR 20140129150A KR 101587845 B1 KR101587845 B1 KR 101587845B1
Authority
KR
South Korea
Prior art keywords
content
acf
cfs
abnormal
traffic
Prior art date
Application number
KR1020140129150A
Other languages
English (en)
Inventor
최재형
김남욱
양동권
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020140129150A priority Critical patent/KR101587845B1/ko
Application granted granted Critical
Publication of KR101587845B1 publication Critical patent/KR101587845B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Abstract

수신되는 트래픽을 컨텐츠 식별자에 기초하여 분할하여 하나 이상의 CF를 생성하는 단계, 하나 이상의 CF 중에서 목적지 IP가 동일한 CF들로 구성되는 ACF를 생성하는 단계, ACF에 대하여 기저장된 정상 패턴 값 및 외부로부터 수신된 컨텐츠 프로파일에 기초하여 서비스 이상 징후가 존재하는지 여부를 판단하는 단계, ACF에 대하여 서비스 이상 징후가 발견된 경우 ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출하는 단계를 포함하는 디도스 공격 방법이 개시된다.

Description

디도스 공격을 탐지하는 방법 및 장치{METHOD FOR DETECTING DISTRIBUTED DENIAL OF SERVICES ATTACK APPARATUS THERETO}
본 발명은 디도스 공격을 탐지하는 방법 및 그 장치에 관한 기술이다.
디도스(DDoS, Distributed Denial of Services), 즉 분산형 서비스 거부 공격은 서버가 처리할 수 있는 용량을 초과하는 데이터나 트래픽을 한꺼번에 전송하여 단시간 내에 서버에 과부하를 일으켜 다운시키는 네트워크 상의 행위이다. 이러한 디도스 공격의 일환으로 탐지 기만형 디도스 공격이 있으며, 이는 소량의 비정상 트래픽을 이용하여 회선 대역폭 또는 서버 자원의 처리 용량을 소진시키는 공격을 수행함으로써, 전통적인 디도스 공격 탐지 방법에 의한 탐지를 회피하는 형태의 보안 위협을 의미한다.
한편, 이와 같이 발전된 형태의 디도스 공격을 감지하기 위한 방법으로서 DPI(Deep Packet Inspection) 알고리즘 또한 제안되었다. DPI 알고리즘은 고속으로 유입되는 데이터 패킷의 패킷 헤더와 데이터를 분석하여, 컨텐츠의 속성을 실시간으로 분석할 수 있는 시스템을 의미한다.
본 발명은 상기한 바와 같은 일반적인 기술의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 DPI 기능이 포함된 디바이스에서 디도스 공격을 효율적으로 탐지하고 차단하는 데에 있다.
본 발명의 또 다른 목적은 컨텐츠 별로 고유한 트래픽 특성과 플로우 특성을 분석하여, 실제 서비스의 품질에 영향을 줄 수 있는 컨텐츠를 선택적으로 탐지 및 제어하는 데에 있다.
본 발명의 또 다른 목적은 대용량 트래픽을 효율적으로 모니터링하면서도 서비스 품질을 정밀하게 제어함으로써 서비스 안정성을 보장하는 데에 있다.
본 발명에서 이루고자 하는 기술적 목적들은 이상에서 언급한 사항들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 이하 설명할 본 발명의 실시 예들로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 고려될 수 있다.
상기 기술적 과제를 해결하기 위한 디도스 공격 탐지 방법은, 수신되는 트래픽을 컨텐츠 식별자에 기초하여 분할하여 하나 이상의 컨텐츠 플로우(Contents Flow, CF)를 생성하는 단계, 하나 이상의 CF 중에서 목적지 IP가 동일한 CF들로 구성되는 합산 컨텐츠 플로우(Aggregated Contents Flow, ACF)를 생성하는 단계, ACF에 대하여 기저장된 정상 패턴 값 및 외부로부터 수신된 컨텐츠 프로파일에 기초하여 서비스 이상 징후가 존재하는지 여부를 판단하는 단계 및 ACF에 대하여 서비스 이상 징후가 발견된 경우, ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출하는 단계를 포함한다.
CF를 특정하는 CF 식별 정보는 CF 식별자, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 프로토콜, 컨텐츠 식별자(Contents IDentifier, CID), CID 생성 시각, 장비 구분자, 인터페이스 구분자, CF 바이트 수, CF 패킷 수 및 CF 세션 수 중 적어도 하나를 포함할 수 있다.
ACF를 특정하는 ACF 식별 정보는 ACF 식별자, 목적지 IP, CID, CF 식별자 배열, 총 바이트 수 및 총 패킷 수 중 적어도 하나를 포함할 수 있다.
디도스 공격 탐지 방법은 ACF에 대하여 서비스 이상 징후가 발견되지 않은 경우, ACF에 대한 ACF 식별 정보를 저장하는 단계를 더 포함하고, 기저장된 정상 패턴 값은 ACF에 대하여 기저장된 ACF 식별 정보로부터 추출될 수 있다.
컨텐츠 프로파일은 시스템 용량과 사용자 수에 기반하여 결정되는 트래픽 특성 정보 및 컨텐츠 특성 정보 중 적어도 하나를 포함할 수 있다.
트래픽 특성 정보는 초당 컨텐츠 요청 횟수 및 평균 응답 시간을 포함하며, 컨텐츠 특성 정보는 컨텐츠 시그니쳐, 컨텐츠 요청 절차를 포함할 수 있다.
검출하는 단계는 DPI(Deep Packet Inspection) 알고리즘에 기초하여 비정상 컨텐츠를 검출할 수 있다.
디도스 공격 탐지 방법은 ACF에 포함된 CF 중에서 검출된 비정상 컨텐츠만을 차단하는 단계를 더 포함할 수 있다.
CF를 생성하는 단계는 트래픽에 대한 DPI 알고리즘을 통해 컨텐츠 식별자를 추출하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 디도스 공격 탐지 장치는 외부로부터 트래픽을 수신하는 트래픽 수신부, 트래픽을 컨텐츠 식별자에 기초하여 분할하여 하나 이상의 컨텐츠 플로우(Contents Flow, CF)를 생성하고 하나 이상의 CF 중에서 목적지 IP가 동일한 CF들로 구성되는 합산 컨텐츠 플로우(Aggregated Contents Flow, ACF)를 생성하는 CF 생성부 및 ACF에 대하여 기저장된 정상 패턴 값 및 외부로부터 수신된 컨텐츠 프로파일에 기초하여 서비스 이상 징후가 존재하는지 여부를 판단하는 비정상 컨텐츠 검출부를 포함하고, 비정상 컨텐츠 검출부는 ACF에 대하여 서비스 이상 징후가 발견된 경우 ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출한다.
본 발명의 실시 예들에 따르면 다음과 같은 효과를 기대할 수 있다.
첫째로, 외부로부터의 디도스 공격을 탐지하고 차단할 수 있어, 사용자에게 안정적인 서비스 제공이 가능하다.
둘째로, 서비스 품질에 영향을 줄 수 있는 컨텐츠만을 제어함으로써, 효율적인 트래픽 관리가 가능하다.
셋째로, 대용량 트래픽을 모니터링하기 위한 시스템 부하를 줄이면서도 서비스 품질을 효과적으로 제어할 수 있게 된다.
본 발명의 실시 예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 이하의 본 발명의 실시 예들에 대한 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다. 즉, 본 발명을 실시함에 따른 의도하지 않은 효과들 역시 본 발명의 실시 예들로부터 당해 기술분야의 통상의 지식을 가진 자에 의해 도출될 수 있다.
이하에 첨부되는 도면들은 본 발명에 관한 이해를 돕기 위한 것으로 상세한 설명과 함께 본 발명에 대한 실시 예들을 제공한다. 다만, 본 발명의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시 예로 구성될 수 있다. 각 도면에서의 참조 번호(reference numerals)들은 구조적 구성요소(structural elements)를 의미한다.
도 1은 본 발명과 관련된 디도스 공격의 탐지 과정을 설명하는 도면이다.
도 2는 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 장치의 구성을 도시하는 블록도이다.
도 3은 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 방법을 도시하는 흐름도이다.
도 4는 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 방법을 도시하는 흐름도이다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
이하의 실시 예들은 본 발명의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시 예를 구성할 수도 있다. 본 발명의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다.
도면에 대한 설명에서 본 발명의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당업자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 “포함(comprising 또는 including)”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, “일(a 또는 an)”, “하나(one)”, “그(the)” 및 유사 관련어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 특허청구범위의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
명세서 전체에서, 어떤 부분이 다른 부분과 “연결”되어 있다고 할 때, 이는 “직접적으로 연결”되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 “전기적으로 연결”되어 있는 경우도 포함한다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.
또한, 본 발명의 실시 예들에서 사용되는 특정 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
도 1은 본 발명과 관련된 디도스 공격의 탐지 과정을 설명하는 도면이다.
일반적인 디도스 공격을 탐지하는 서버(100)는, 유입되는 트래픽 통계량(TCP 트래픽, SYN 패킷 수, 세션 수 등)을 기준으로 과다한 트래픽이 서버(100)에 집중되는 경우를 보안 위협으로 판단한다(110). 즉, 서버(100)는 과다하게 집중되는 트래픽을 탐지하고 트래픽을 제어하여, 디도스 공격에 대해 대응한다.
서버(100)는 디도스 공격을 탐지하기 위하여 각 세션 별로 프로토콜이 정상적인 통신 절차를 수행하는지 판단하며, 상세한 전수 검사를 통해 프로토콜의 절차상 이상 징후를 판단할 수도 있다(120). 또는, 서버(100)는 악성 코드에 대한 사전 정보(시그니처)를 구축함으로써, 이를 기반으로 악의적인 성향의 공격 패킷을 탐지할 수도 있다.
한편, 디도스 공격을 탐지하는 과정이 시스템에 미치는 부하를 감소시키기 위하여, 서버(100)는 통계량 기준 탐지와 DPI 분석 알고리즘 등을 단계적으로 적용하는 방식 등을 적용하고 있다. 그러나, 이러한 과정은 실제 서비스에 영향을 줄 수 있는 탐지 기만형 디도스 공격에 대한 미탐지 비율이 높아 문제가 된다.
또한, 서버(100)는 자신이 제공하는 컨텐츠의 고유한 특성을 디도스 공격 탐지 과정에 반영할 수가 없어, 단순한 트래픽 증가, 비정상 세션 및/또는 프로토콜 오류에 대해서도 잘못된 탐지를 수행하는 경우가 빈번하다. 나아가, TCP 80, UDP, SIP 등 프로토콜 마다 통계량을 산출하거나 탐지를 수행하므로, 실제 디도스 공격이 탐지된 경우에도 공격 대상이 되는 서버의 컨텐츠 특성에 최적화된 트래픽 제어를 수행하지 못하는 문제가 있다.
도 2는 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 장치의 구성을 도시하는 블록도이다. 디도스 공격 탐지 장치(200)는 도시된 바와 같이 트래픽 수신부(210), CF 생성부(220), 비정상 컨텐츠 검출부(230), 컨텐츠 제어부(240), 통계 관리부(250), 컨텐츠 프로파일 관리부(260) 및 제어부(270)를 포함한다. 한편, 도 2에 도시된 구성들은 단순한 예시에 불과하며, 디도스 공격 탐지 장치(200)는 도시된 구성보다 적거나 많은 구성으로 구현될 수 있다. 한편, 도시된 구성들은 시스템 버스(280)에 의해 연결될 수 있다.
디도스 공격 탐지 장치(200)는 다른 디바이스, 이동 단말 등으로부터 전송되는 트래픽을 수신한다. 디도스 공격 탐지 장치(200)는 수신된 트래픽을 분석함으로써 디도스 공격을 위한 패킷이나 데이터가 존재하는지 판단하며, 비정상적인 징후가 발견되는 경우 해당 패킷 또는 데이터를 차단하여 디도스 공격에 대응한다. 한편, 일 실시 예에 의한 디도스 공격 탐지 장치(200)는 DPI 기능 및 QoS 기능을 포함한다. DPI 기능은 상술한 DPI 알고리즘에 따라 패킷을 분석하는 기능이고, QoS 기능은 사용자 또는 어플리케이션의 중요도에 따라 서비스 수준을 차등화하여 관리하는 기능을 의미한다.
이하에서는, 도 2의 디도스 공격 탐지 장치(200)에 포함된 구성들 각각에 대해 구체적으로 설명한다.
트래픽 수신부(210)는 디도스 공격 탐지 장치(200)로 유입되는 트래픽을 수신한다. 트래픽 수신부(210)는 네트워크 망으로부터 유선 또는 무선으로 트래픽을 수신할 수 있다. 트래픽 수신부(210)가 수신하는 트래픽은 소정의 서버나 디바이스를 목적지로 하여 디도스 공격 탐지 장치(200)로 전송될 수 있다.
CF 생성부(220)는 트래픽 수신부(210)가 수신한 트래픽을 플로우 단위로 구분하여, 컨텐츠 플로우(Contents Flow, CF)와 합산 컨텐츠 플로우(Aggregated Contents Flow, ACF)를 생성한다. 플로우는 연속된 복수의 패킷으로 정의될 수 있으며, 수신되는 트래픽에 포함된 패킷들이 플로우를 형성한다. 플로우는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 프로토콜이 동일한 복수의 데이터 패킷들을 집합을 의미할 수 있다.
한편, CF는 컨텐츠 식별자(Contents IDentifier, CID)가 동일한 플로우들을 의미한다. CF 생성부(220)는 수신된 플로우에 대한 DPI 컨텐츠 분석 과정을 거쳐 CID 정보를 추출할 수 있으며, CID 정보가 동일한 플로우들을 CF로 생성할 수 있다. 각각의 CF는 CF 식별 정보에 의해 특정되며, CF 식별 정보는 CF 식별자, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 프로토콜, CID, CID 생성 시각, 장비 구분자, 인터페이스 구분자, CF 바이트 수, CF 패킷 수 및 CF 세션 수 중 적어도 하나를 포함하여 구성될 수 있다.
CF 생성부(220)는 하나 이상의 CF로 구성되는 ACF 또한 생성한다. ACF는 CF 들 중에서 목적지 IP, 즉 특정 서버 또는 디바이스의 IP가 동일한 CF들을 의미한다. 각각의 ACF는 ACF 식별 정보에 의해 특정되며, ACF 식별 정보는 ACF 식별자, 목적지 IP, CID, CF 식별자 배열, 총 바이트 수 및 총 패킷 수 중 적어도 하나를 포함하여 구성될 수 있다.
비정상 컨텐츠 검출부(230)는 CF 생성부(220)가 생성한 ACF에 대하여 서비스 이상 징후가 존재하는지 판단한다. 즉, 비정상 컨텐츠 검출부(230)는 ACF를 분석함으로써 디도스 공격의 여지가 있는 데이터 패킷을 포함하는지 확인한다. 비정상 컨텐츠 검출부(230)의 구체적인 서비스 이상 징후의 판단 과정을 설명하기에 앞서, 통계 관리부(250)와 컨텐츠 프로파일 관리부(260)를 먼저 설명한다.
통계 관리부(250)는 CF와 ACF의 식별 정보를 저장한다. 즉, 통계 관리부(250)는 CF와 ACF의 식별 정보를 누적하여 저장하고 관리함으로써, 트래픽 패턴에 대한 통계를 수집할 수 있다. 통계 관리부(250)는 CF와 ACF의 식별 정보로부터 통계 값을 주기적으로 계산함으로써, 서버나 컨텐츠 별로 정상(디도스 공격이 아닌) 트래픽이 가져야할 수치나 값의 임계 범위를 설정할 수 있다. 통계 관리부(250)는 이러한 임계 범위를 주기적으로 업데이트함으로써, 임계 범위의 정확도를 향상시킬 수 있다. 이와 같은 학습 과정에 의한 임계 범위는 새롭게 수신되는 CF 및 ACF에 대한 서비스 이상 징후를 판단하는 과정에 활용된다.
컨텐츠 프로파일 관리부(260)는 외부로부터 또는 시스템 관리자의 입력에 의한 컨텐츠 프로파일(Contents Profile, CP)을 수신하고 관리한다. 컨텐츠 프로파일은 시스템 용량과 사용자 수에 기반하여 결정되는 트래픽 특성 정보 및 컨텐츠 마다 결정되는 컨텐츠 특성 정보를 포함한다.
트래픽 특성 정보를 먼저 설명하면, 트래픽 특성 정보는 서버 시스템 용량과 총 가입자 수에 기반하여 정상적인 서비스 상황을 가정하여 계산된 데이터들을 의미한다. 예를 들어, 트래픽 특성 정보는 초당 컨텐츠 요청 횟수, 평균 응답 시간 등에 대한 정보를 포함할 수 있다. 컨텐츠 특성 정보는 컨텐츠의 악성 코드에 대한 사전 정보인 컨텐츠 시그니쳐, 컨텐츠 요청 절차 등에 대한 정보를 포함할 수 있다.
컨텐츠 프로파일 관리부는 상술한 바와 같은 트래픽 특성 정보와 컨텐츠 특성 정보 중 적어도 하나를 포함하는 컨텐츠 프로파일을 외부 서버, 디바이스 등으로부터 수신하여 관리할 수 있으며, 시스템 관리자의 입력에 따라 컨텐츠 프로파일을 결정하고 관리할 수도 있다.
한편, 앞서 언급하였던 비정상 컨텐츠 검출부(230)가 ACF의 이상 징후를 판단하는 과정을 이어서 구체적으로 설명한다. 비정상 컨텐츠 검출부(230)는 상술한 통계 관리부(250) 및 컨텐츠 프로파일 관리부(260)가 획득한 정보를 이용하여 ACF의 이상 여부를 판단할 수 있다.
구체적으로, 비정상 컨텐츠 검출부(230)는 통계 관리부(250)가 관리하는 정보로부터 이상 징후 판단 대상인 ACF에 대한 임계 범위의 정보를 추출할 수 있다. 즉, 비정상 컨텐츠 검출부(230)는 통계 관리부(250)에 ACF에 대하여 기저장된 정상 패턴(트래픽 패턴) 값을 획득하고, 해당 정상 패턴 값을 ACF와 비교하여 서비스 이상 징후의 존재 여부를 판단할 수 있다. 다르게 설명하면, 비정상 컨텐츠 검출부(230)는 트래픽 패턴에 대하여 학습된 임계 범위의 값들을 활용하여 ACF의 이상 여부를 진단할 수 있다.
또한, 비정상 컨텐츠 검출부(230)는 컨텐츠 프로파일 관리부(260)가 관리하는 정보를 이용하여, ACF에 대한 서비스 이상 징후 판단 여부에 대한 또 다른 기준을 설정할 수 있다. 즉, 비정상 컨텐츠 검출부(230)는 컨텐츠 프로파일 관리부(260)로부터 트래픽 특성 정보와 컨텐츠 특성 정보를 획득하고, 획득한 정보를 이용하여 서비스 이상 징후 존재의 판단 대상인 ACF를 진단할 수 있다.
다시 말해서, 비정상 컨텐츠 검출부(230)는 ACF의 이상 여부를 판단하는 과정에서 기저장된 학습 결과를 활용하거나, 외부로부터 결정된 기준 값을 활용하거나, 둘 모두를 활용할 수 있다.
컨텐츠 제어부(240)는 ACF의 이상 여부 판단 결과에 따라, 비정상 CF 및 ACF를 선택적으로 검출한다. 즉, 비정상 컨텐츠 검출부(230)가 ACF로부터 서비스 이상 징후를 발견한 경우, 컨텐츠 제어부(240)는 해당 ACF에 포함된 CF 중에서 비정상 컨텐츠를 포함하는 CF를 선택적으로 검출한다. 이어서, 컨텐츠 제어부(240)는 검출된 CF만을 차단한다.
이러한 검출 과정은 DPI 알고리즘에 의해 수행될 수 있다. 컨텐츠 제어부(240)는 이상 징후가 발견된 ACF에 속하는 CF들의 정보를 CF 식별자 배열을 이용하여 획득할 수 있고, CF 별로 정상적인 코드 포함 여부 및 정상 요청 절차의 수행 여부 등 세부적인 심화 분석 과정을 수행한다. 이에 따라, 컨텐츠 제어부(240)는 비정상 CF만을 선택적으로 제어할 수 있게 된다. 한편, 컨텐츠 제어부(240)가 ACF 중에서 일부의 CF만을 선택적으로 차단함으로써 서비스 품질의 저하를 최소화할 수 있다.
제어부(270)는 디도스 공격 탐지 장치(200)의 동작을 전반적으로 제어한다. 에를 들어, 제어부(270)는 트래픽 수신부(210)가 수신한 트래픽을 CF 생성부로 전달하여 CF 및 ACF를 생성하도록 제어할 수 있다. 또는, 제어부(270)는 통계 관리부(250) 및 컨텐츠 프로파일 관리부(260)가 관리하는 정보를 이용하여 비정상 컨텐츠 검출부(230)가 ACF의 이상 여부를 판단하도록 제어할 수 있으며, 판단 결과에 기초하여 컨텐츠 제어부(240)가 CF를 차단하도록 제어할 수도 있다.
도 3 및 도 4에서는 디도스 공격 탐지 장치가 도 2에서 설명한 구성들에 기초하여 디도스 공격을 탐지하는 시계열적인 과정을 설명한다. 따라서, 이하의 도 3 및 도 4에서는 구체적인 설명이 생략되더라도, 도 2에서 설명한 내용들이 도 3 및 도 4에도 동일하거나 유사하게 적용될 수 있다.
도 3은 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 방법을 도시하는 흐름도이다.
먼저, 디도스 공격 탐지 장치는 외부로부터 유입되는 트래픽을 수신한다(S310). 이어서, 디도스 공격 탐지 장치는 트래픽을 구성하는 플로우들 중에서 컨텐츠 식별자(CID)가 동일한 플로우들로 구성되는 컨텐츠 플로우(CF)를 생성한다(S320). 디도스 공격 탐지 장치는 컨텐츠 플로우들 중에서 목적지 IP가 동일한 하나 이상의 CF들로 구성되는 ACF 또한 생성한다(S330). 생성된 ACF는 서비스 이상 징후의 존재 여부를 판단하는 단위가 된다.
디도스 공격 탐지 장치는 생성된 ACF에 대하여 서비스 이상 징후가 존재하는지 판단하고(S340), ACF에 이상 징후가 발견되는 경우에는 ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출한다(S350). 이어서, 디도스 공격 탐지 장치는 ACF에 포함된 CF 중 비정상 컨텐츠만을 차단한다(S360).
도 4는 본 발명의 일 실시 예와 관련된 디도스 공격 탐지 방법을 도시하는 흐름도이다. 도 4에서는 도 3에서 설명한 일련의 과정을 구체적으로 설명한다. 한편, 도 4에서 단계 S410 내지 S430은 도 3의 S310 내지 S330과 동일하거나 유사하게 동작할 수 있어, 구체적인 설명은 생략한다.
디도스 공격 탐지 장치는 S430에서 생성된 ACF에 대한 정상 패턴 값 및 컨텐츠 프로파일을 획득한다(S440). 즉, 디도스 공격 탐지 장치는 ACF에 대하여 누적하여 저장하였던 학습 결과에 따른 정상 트래픽 패턴 값(임계 범위)을 획득하며, 외부 또는 시스템 관리자로부터 수신되는 컨텐츠 프로파일 또한 획득할 수 있다.
이어서, 디도스 공격 탐지 장치는 정상 패턴 값과 컨텐츠 프로파일 정보에 기초하여 ACF에 서비스 이상 징후가 존재하는지 판단한다(S450). 이러한 과정은 디도스 공격 탐지 장치가 ACF에 대한 DPI 알고리즘 과정을 통해서, ACF에 포함된 CF 별로 상술한 정상 패턴 값과 컨텐츠 프로파일을 비교 분석하는 과정을 통해 수행될 수 있다.
한편, ACF에 서비스 이상 징후가 존재하는 것으로 판단된 경우, 디도스 공격 탐지 장치는 ACF에 포함된 CF 중에서 비정상 컨텐츠를 포함하는 CF만을 선택적으로 검출하고 차단한다(S470). 반면에, 서비스 이상 징후가 존재하지 않는 것으로 판단된 경우, 디도스 공격 탐지 장치는 ACF의 식별 정보를 저장한다. 이에 따라, 디도스 공격 탐지 장치는 기저장된 트래픽 패턴의 임계 범위를 주기적으로 갱신할 수 있다.
상술한 디도스 공격 탐지 방법 및 디도스 공격 탐지 장치에 의하면, 디도스 공격의 탐지 결과의 정확도를 향상시킬 수 있는 동시에, 컨텐츠 별로 선택적으로 차단 및 제어가 이루어져 디도스 공격의 탐지 과정을 간소화할 수 있다.
한편, 상술한 방법은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터 판독 가능 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 방법에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 본 발명의 다양한 방법들을 수행하기 위한 실행 가능한 컴퓨터 코드를 포함하는 저장 디바이스를 설명하기 위해 사용될 수 있는 프로그램 저장 디바이스들은 반송파(carrier waves)나 신호들과 같이 일시적인 대상들은 포함하는 것으로 이해되지는 않아야 한다. 상기 컴퓨터 판독 가능 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬(CD-ROM), DVD 등)와 같은 저장 매체를 포함한다.
본원 발명의 실시 예 들과 관련된 기술 분야에서 통상의 지식을 가진 자는 상기 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로, 개시된 방법들은 한정적인 관점이 아닌 설명적 관점에서 고려되어야 한다. 본 발명의 범위는 발명의 상세한 설명이 아닌 특허청구 범위에 나타나며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (18)

  1. 디도스(Distributed Denial of Services, DDoS) 공격을 탐지하는 방법에 있어서,
    수신되는 트래픽을 컨텐츠 식별자(CID, Contents Identifier)에 기초하여 분할하여 하나 이상의 컨텐츠 플로우(Contents Flow, CF)를 생성하는 단계;
    상기 하나 이상의 CF 중에서 목적지 IP가 동일한 CF들로 구성되는 합산 컨텐츠 플로우(Aggregated Contents Flow, ACF)를 생성하는 단계;
    상기 ACF에 대하여, 기저장된 정상 패턴 값 및 외부로부터 수신된 컨텐츠 프로파일에 기초하여 서비스 이상 징후가 존재하는지 여부를 판단하는 단계; 및
    상기 ACF에 대하여 서비스 이상 징후가 발견된 경우, 상기 ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출하는 단계를 포함하며,
    상기 하나 이상의 CF 각각은 상기 CID가 동일한 플로우들로 구성되는 것인, 디도스 공격 탐지 방법.
  2. 제 1 항에 있어서,
    상기 CF를 특정하는 CF 식별 정보는 CF 식별자, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 프로토콜, CID, CID 생성 시각, 장비 구분자, 인터페이스 구분자, CF 바이트 수, CF 패킷 수 및 CF 세션 수 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 방법.
  3. 제 1 항에 있어서,
    상기 ACF를 특정하는 ACF 식별 정보는 ACF 식별자, 목적지 IP, CID, CF 식별자 배열, 총 바이트 수 및 총 패킷 수 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 방법.
  4. 제 1 항에 있어서,
    상기 방법은
    상기 ACF에 대하여 서비스 이상 징후가 발견되지 않은 경우, 상기 ACF에 대한 ACF 식별 정보를 저장하는 단계를 더 포함하고,
    상기 기저장된 정상 패턴 값은 상기 ACF에 대하여 기저장된 ACF 식별 정보로부터 추출되는 것인, 디도스 공격 탐지 방법.
  5. 제 1 항에 있어서,
    상기 컨텐츠 프로파일은 시스템 용량과 사용자 수에 기반하여 결정되는 트래픽 특성 정보 및 컨텐츠 특성 정보 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 방법.
  6. 제 5 항에 있어서,
    상기 트래픽 특성 정보는 초당 컨텐츠 요청 횟수 및 평균 응답 시간을 포함하며, 상기 컨텐츠 특성 정보는 컨텐츠 시그니쳐, 컨텐츠 요청 절차를 포함하는 것인, 디도스 공격 탐지 방법.
  7. 제 1 항에 있어서,
    상기 검출하는 단계는 DPI(Deep Packet Inspection) 알고리즘에 기초하여 상기 비정상 컨텐츠를 검출하는 것인, 디도스 공격 탐지 방법.
  8. 제 1 항에 있어서,
    상기 방법은
    상기 ACF에 포함된 CF 중에서 상기 검출된 비정상 컨텐츠만을 차단하는 단계를 더 포함하는, 디도스 공격 탐지 방법.
  9. 제 1 항에 있어서,
    상기 CF를 생성하는 단계는 상기 트래픽에 대한 DPI 알고리즘을 통해 상기 컨텐츠 식별자를 추출하는 단계를 더 포함하는 것인, 디도스 공격 탐지 방법.
  10. 디도스(Distributed Denial of Services, DDoS) 공격을 탐지하는 디도스 공격 탐지 장치에 있어서,
    외부로부터 트래픽을 수신하는 트래픽 수신부;
    상기 트래픽을 컨텐츠 식별자(CID, Contents Identifier)에 기초하여 분할하여 하나 이상의 컨텐츠 플로우(Contents Flow, CF)를 생성하고, 상기 하나 이상의 CF 중에서 목적지 IP가 동일한 CF들로 구성되는 합산 컨텐츠 플로우(Aggregated Contents Flow, ACF)를 생성하는 CF 생성부; 및
    상기 ACF에 대하여, 기저장된 정상 패턴 값 및 외부로부터 수신된 컨텐츠 프로파일에 기초하여 서비스 이상 징후가 존재하는지 여부를 판단하는 비정상 컨텐츠 검출부를 포함하고,
    상기 비정상 컨텐츠 검출부는 상기 ACF에 대하여 서비스 이상 징후가 발견된 경우, 상기 ACF에 포함된 CF 중에서 비정상 컨텐츠를 검출하며,
    상기 하나 이상의 CF 각각은 상기 CID가 동일한 플로우들로 구성되는 것인, 디도스 공격 탐지 장치.
  11. 제 10 항에 있어서,
    상기 CF를 특정하는 CF 식별 정보는 CF 식별자, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 프로토콜, CID, CID 생성 시각, 장비 구분자, 인터페이스 구분자, CF 바이트 수, CF 패킷 수 및 CF 세션 수 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 장치.
  12. 제 10 항에 있어서,
    상기 ACF를 특정하는 ACF 식별 정보는 ACF 식별자, 목적지 IP, CID, CF 식별자 배열, 총 바이트 수 및 총 패킷 수 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 장치.
  13. 제 10 항에 있어서,
    상기 디도스 공격 탐지 장치는 상기 ACF에 대하여 서비스 이상 징후가 발견되지 않은 경우, 상기 ACF에 대한 ACF 식별 정보를 저장하는 통계 관리부를 더 포함하고,
    상기 기저장된 정상 패턴 값은 상기 통계 관리부에 상기 ACF에 대하여 기저장된 ACF 식별 정보로부터 추출되는 것인, 디도스 공격 탐지 장치.
  14. 제 10 항에 있어서,
    상기 디도스 공격 탐지 장치는 외부로부터 컨텐츠 프로파일을 수신하는 컨텐츠 프로파일 관리부를 더 포함하고,
    상기 컨텐츠 프로파일은 시스템 용량과 사용자 수에 기반하여 결정되는 트래픽 특성 정보 및 컨텐츠 특성 정보 중 적어도 하나를 포함하는 것인, 디도스 공격 탐지 장치.
  15. 제 14 항에 있어서,
    상기 트래픽 특성 정보는 초당 컨텐츠 요청 횟수 및 평균 응답 시간을 포함하며, 상기 컨텐츠 특성 정보는 컨텐츠 시그니쳐, 컨텐츠 요청 절차를 포함하는 것인, 디도스 공격 탐지 장치.
  16. 제 10 항에 있어서,
    상기 비정상 컨텐츠 검출부는 DPI(Deep Packet Inspection) 알고리즘에 기초하여 상기 비정상 컨텐츠를 검출하는 것인, 디도스 공격 탐지 장치.
  17. 제 10 항에 있어서,
    상기 디도스 공격 탐지 장치는 상기 ACF에 포함된 CF 중에서 상기 검출된 비정상 컨텐츠만을 차단하는 컨텐츠 제어부를 더 포함하는, 디도스 공격 탐지 장치.
  18. 제 10 항에 있어서,
    상기 CF 생성부는 상기 수신된 트래픽에 대한 DPI 알고리즘을 통해 상기 컨텐츠 식별자를 추출하는 것인, 디도스 공격 탐지 장치.
KR1020140129150A 2014-09-26 2014-09-26 디도스 공격을 탐지하는 방법 및 장치 KR101587845B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140129150A KR101587845B1 (ko) 2014-09-26 2014-09-26 디도스 공격을 탐지하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140129150A KR101587845B1 (ko) 2014-09-26 2014-09-26 디도스 공격을 탐지하는 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101587845B1 true KR101587845B1 (ko) 2016-01-22

Family

ID=55309077

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140129150A KR101587845B1 (ko) 2014-09-26 2014-09-26 디도스 공격을 탐지하는 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101587845B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190053540A (ko) 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
KR20230034514A (ko) * 2021-09-03 2023-03-10 (주)엔토빌소프트 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법
KR20130068631A (ko) * 2011-12-15 2013-06-26 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법
KR20130068631A (ko) * 2011-12-15 2013-06-26 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190053540A (ko) 2017-11-10 2019-05-20 고려대학교 산학협력단 SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
KR20230034514A (ko) * 2021-09-03 2023-03-10 (주)엔토빌소프트 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법
KR102575526B1 (ko) * 2021-09-03 2023-09-06 (주)엔토빌소프트 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법

Similar Documents

Publication Publication Date Title
CN108282497B (zh) 针对SDN控制平面的DDoS攻击检测方法
US11316878B2 (en) System and method for malware detection
KR101077135B1 (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US20190166144A1 (en) Detection of malicious network activity
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US10505952B2 (en) Attack detection device, attack detection method, and attack detection program
WO2018108052A1 (zh) 一种DDoS攻击的防御方法、系统及相关设备
EP3404949B1 (en) Detection of persistency of a network node
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
WO2020230265A1 (ja) パケットキャプチャ装置および方法
CN106357685A (zh) 一种防御分布式拒绝服务攻击的方法及装置
CN107241304B (zh) 一种DDoS攻击的检测方法及装置
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN111092900A (zh) 服务器异常连接和扫描行为的监控方法和装置
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
KR20150081889A (ko) 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
CN108566384B (zh) 一种流量攻击防护方法、装置、防护服务器及存储介质
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
JP2005210601A (ja) 不正侵入検知装置
KR101061377B1 (ko) 분포 기반 디도스 공격 탐지 및 대응 장치
CN110266726B (zh) 一种识别ddos攻击数据流的方法及装置

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181211

Year of fee payment: 6