KR101750372B1 - 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법 - Google Patents

소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법 Download PDF

Info

Publication number
KR101750372B1
KR101750372B1 KR1020150157364A KR20150157364A KR101750372B1 KR 101750372 B1 KR101750372 B1 KR 101750372B1 KR 1020150157364 A KR1020150157364 A KR 1020150157364A KR 20150157364 A KR20150157364 A KR 20150157364A KR 101750372 B1 KR101750372 B1 KR 101750372B1
Authority
KR
South Korea
Prior art keywords
server
spoof
connection
hosts
real
Prior art date
Application number
KR1020150157364A
Other languages
English (en)
Other versions
KR20170055053A (ko
Inventor
안종석
자르갈사이흥 나랑토야
김인섭
Original Assignee
주식회사 나임네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나임네트웍스 filed Critical 주식회사 나임네트웍스
Priority to KR1020150157364A priority Critical patent/KR101750372B1/ko
Publication of KR20170055053A publication Critical patent/KR20170055053A/ko
Application granted granted Critical
Publication of KR101750372B1 publication Critical patent/KR101750372B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

소프트웨어 정의 네트워크를 이용한 유도 방어 시스템은 외부 네트워크, 제공되는 서비스 어플리케이션이 구동되는 실제 서버, 위장 서버, 네트워크 게이트웨이, 소프트웨어 정의 네트워크 제어부를 포함한다. 이러한 위장 서버는 상기 실제 서버와 물리적으로 독립되고, 상기 외부 네트워크로부터의 접속 시도가 의심스러운 경우, 상기 실제 서버에 접속을 허용하지 않고, 우회하여 외부와 접속하도록 한다. 이러한 네트워크 게이트웨이는 상기 외부 네트워크와 상기 실제 서버에 사이에 위치하며, 상기 실제 서버와 상기 위장 서버로의 접속을 스위칭 한다. 소프트웨어 정의 네트워크 제어부는 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이의 스위칭을 제어한다. 상기 위장 서버는 복수개의 위장 호스트 및 적어도 하나 이상의 가상 호스트를 포함한다.

Description

소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법{INDUCING DEFENSE SYSTEM WITH SOFTWARE DEFINED NETWORK AND METHOD FOR DRIVING THE SYSTEM}
본 발명은 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법에 관한 것이다. 좀 더 상세하게는 소프트웨어 정의 네트워크 하에서 위장 서버를 이용한 유도 방어 시스템 및 그 구동 방법에 관한 것이다.
네트워크 상에서 공격자가 특정 서버를 공격할 때에 가장 기본적으로 필요한 것은 해당 서버의 IP 접속 주소이다. 공격자가 이러한 IP 접속 주소들을 알아내기 위하여 사용하는 방법 중 하나가 스캐닝 또는 스위핑이라고 알려진 방법이다. 특정 대역의 IP 접속 주소에 대한 응답을 요청하고, 이에 대하여 응답이 없는 IP 접속 주소는 배제하고, 응답이 있는 경우 이를 활용한다. 이러한 스캐닝 탐지 또는 핑 스위핑의 방법으로 유효한 IP 접속 주소를 알아내는 것은 많은 이들에게 사용되고 있어, 보안의 위험성이 심각한 수준이다.
이와 더불어, 서비스를 제공하는 서버에 다양한 패킷들이 전송되는데, 이러한 패킷들 중 서버에 피해를 줄 수 있는 의심스러운 패킷을 확인하더라도, 이것이 실질적으로 공격자의 공격 패킷인지 그렇지 않은지를 확인하지 못한 채 이를 방지하기 위해서는 패킷 자체를 차단하는 방법을 사용할 수 밖에 없다. 이 경우 지속적인 해커의 공격을 간과하여 서비스 제공 자체에 영향을 끼칠 수도 있다.
따라서, 네트워크 서버의 보안을 위해서 외부에 IP 접속 주소가 노출되는 것으로부터 예방하는 방법과 의심스러운 패킷들을 처리하는 방법이 필요하나, 현 단계에서는 IP 주소 기반 체계를 넘는 관리자가 원하는 수준의 유연한 대응을 위해 구체적인 해결안이 제시되지 못하고 있다.
이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템을 제공하는 것이다.
본 발명의 다른 목적은 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법을 제공하는 것이다.
이러한 과제를 해결하기 위하여, 본 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템은 외부 네트워크, 제공되는 서비스 어플리케이션이 구동되는 실제 서버, 위장 서버, 네트워크 게이트웨이, 소프트웨어 정의 네트워크 제어부를 포함한다. 이러한 위장 서버는 상기 실제 서버와 물리적으로 독립되고, 상기 외부 네트워크로부터의 접속 시도가 의심스러운 경우, 상기 실제 서버에 접속을 허용하지 않고, 우회하여 외부와 접속하도록 한다. 이러한 네트워크 게이트웨이는 상기 외부 네트워크와 상기 실제 서버에 사이에 위치하며, 상기 실제 서버와 상기 위장 서버로의 접속을 스위칭 한다. 소프트웨어 정의 네트워크 제어부는 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이의 스위칭을 제어한다. 상기 위장 서버는 복수개의 위장 호스트 및 적어도 하나 이상의 가상 호스트를 포함한다.
일 실시예에 있어서, 상기 위장 서버의 복수개의 위장 호스트는 상기 위장 서버에 의해 구동될 수 있다.
일 실시예에 있어서, 상기 위장 서버의 가상 호스트는 상기 위장 서버에 의해 구동되는 가상 머신(Virtual Machine)인 가상 호스트일 수 있다.
일 실시예에 있어서, 상기 위장 서버는 가상 스위치부 및 위장 서버 제어부를 더 포함하고, 상기 가상 스위치부는 상기 위장 서버 내에서 상기 위장 호스트 및 위장 서버로의 접속을 스위칭 하고, 상기 위장 서버 제어부는, 상기 위장 호스트를 생성 및 제어하는 위장 호스트 제어부, 상기 가상 호스트를 제어하는 가상 호스트 제어부, 상기 소프트웨어 정의 네트워크 제어부와 상기 가상 스위치부를 연동하는 사우스바운드 API 모듈 및 상기 가상 스위치부의 트래픽을 제어하는 트래픽 제어부를 포함할 수 있다.
일 실시예에 있어서, 상기 외부 네트워크로부터의 접속 이력(HISTORY) 정보를 저장하는 데이터베이스부를 더 포함할 수 있다.
이러한 과제를 해결하기 위한, 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법에서는 외부 네트워크, 제공되는 서비스 어플리케이션이 구동되는 실제 서버, 상기 실제 서버와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버, 상기 실제 서버와 상기 위장 서버로의 접속을 스위칭 하는 네트워크 게이트웨이 및 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부를 포함하는 유도 방어 시스템에서의 유도 방법을 제공한다. 이 방법은 상기 네트워크 게이트웨이에서 상기 외부 네트워크를 통해 스캐닝 공격을 감지하는 단계, 상기 위장 서버는 복수개의 위장 호스트를 구동하는 단계 및 상기 스캐닝 공격이 감지되는 경우, 상기 실제 서버의 실제 응답에 더하여, 상기 복수개의 위장 호스트에 의해 발생되는 복수개의 위장 응답을 발생하는 단계를 포함한다.
일 실시예에 있어서, 상기 위장 서버의 복수개의 위장 호스트는 상기 위장 서버에 의해 구동되는 호스트 컨테이너일 수 있다.
이러한 과제를 해결하기 위한, 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법에서는 외부 네트워크, 제공되는 서비스 어플리케이션이 구동되는 실제 서버, 상기 실제 서버와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버, 상기 실제 서버와 상기 위장 서버로의 접속을 스위칭 하는 네트워크 게이트웨이 및 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부를 포함하는 유도 방어 시스템에서의 유도 방법을 또한 제공한다. 이 방법은 상기 외부 네트워크로부터 지정된 IP 주소 애플리케이션에 접속하는 경우, 의심 트래픽을 감지하는 단계 및 상기 의심 트래픽이 감지되는 경우, 상기 위장 서버에 의해 구동되는 가상 호스트로 접속을 유도하는 단계를 포함한다.
일 실시예에 있어서, 상기 위장 서버의 가상 호스트는 상기 위장 서버에 의해 구동되는 가상 머신(Virtual Machine)인 가상 호스트일 수 있다.
일 실시예에 있어서, 상기 의심 트래픽을 감지하는 단계에서는, 상기 외부 네트워크로부터의 접속이 활성화 되지 않은 포트(PORT)로 접속인가의 여부를 판단하여, 활성화 되지 않은 포트(PORT)로의 접속인 경우 의심 트래픽으로 판단하는 단계를 포함할 수 있다.
일 실시예에 있어서,상기 의심 트래픽을 감지하는 단계에서는, 상기 외부 네트워크로부터 전송되는 패킷을 분석하여, 손상 패킷(CORRUPTED PACKET)인 경우 의심 트래픽으로 판단하는 단계를 포함할 수 있다.
이러한 과제를 해결하기 위한, 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법에서는 외부 네트워크, 제공되는 서비스 어플리케이션이 구동되는 실제 서버, 상기 실제 서버와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버, 상기 실제 서버와 상기 위장 서버로의 접속을 스위칭 하는 네트워크 게이트웨이 및 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부 포함하는 유도 방어 시스템에서의 유도 방법을 제공한다. 이 방법에서, 상기 위장 서버는 복수개의 위장 호스트 및 적어도 하나 이상의 가상 호스트를 구동하며, 이 방법은 상기 네트워크 게이트웨이에서 상기 외부 네트워크를 통해 스캐닝 공격을 감지하는 단계, 상기 스캐닝 공격이 감지되는 경우, 상기 실제 서버의 실제 응답에 더하여, 상기 복수개의 위장 호스트에 의해 발생되는 복수개의 위장 응답을 발생하는 제1차 유도 단계, 상기 외부 네트워크로부터 지정된 IP 주소에 접속하는 경우, 의심 트래픽을 감지하는 단계 및 상기 의심 트래픽이 감지되는 경우, 상기 위장 서버에 의해 구동되는 가상 호스트로 접속을 유도하는 제2차 유도 단계를 포함한다.
일 실시예에 있어서, 상기 제1차 유도 단계 및 제2차 유도 단계에 의해 유도된 경우, 접속 정보를 데이터베이스에 저장하여 관리하는 단계를 더 포함할 수 있다.
이상에서 설명한 본 발명에 따르면, 공격으로 의심되는 접속 시도들을 소프트웨어 정의에 의해 물리적으로 독립된 위장 서버와 접속시키기 때문에, 실제 구동되는 서버에 영향을 전혀 미치지 않고, 공격을 방어할 수 있는 장점이 있다.
또한, 스캐닝의 대상이 되는 모든 IP 접속 주소들이 활성화 된 것처럼 응답하기 때문에, 공격자의 스캐닝을 사실상 무력화 시킬 수 있다. 소프트웨어 정의는 동일 IP 주소라도 실제 서버와 위장 서버가 애플리케이션을 나누어 응답 할 수 있는 등 실제 서버와 위장 호스트들 모두로부터 응답을 받기 때문에, 공격자는 실제 서버가 어느 것인지 확인하기가 매우 어렵게 된다.
또한, 특정 IP 접속 주소를 지정하여 접속을 시도하는 경우에, 내용을 분석하여 의심스러운 패킷으로 판단되는 경우에는 위장서버에서 가상 머신을 통해 실제 서버와 같이 구현되는 가상 호스트에 접속하여 응답하기 때문에, 물리적으로 실제 서버에 의심스러운 패킷을 접속시키지 않고, 공격자는 이를 인지하지 못한 상태에서 이상여부를 판단할 수 있다.
또한, 제1차 및 제2차 유도가 이루어진 경우에 이에 대한 다양한 정보들을 데이터베이스화 하여 추후 접속의 공격성 여부를 판단하는 자료를 수집할 수 있다.
도 1은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다.
도 2는 도 1의 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 세부 구성도이다.
도 3은 본 발명의 도2의 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템을 구동하는 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다.
도 5a는 기존의 스캐닝 공격을 설명하기 위한 분석표이다.
도 5b는 도 4의 실시예에 따라 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 효과를 나타내기 위한 분석표이다.
도 6은 본 발명의 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다.
도 7는 도 6의 실시예에 따라 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 저장 예시를 나타내는 분석표이다.
이하, 첨부한 도면들을 참조하여, 본 발명을 보다 상세하게 설명하고자 한다.
시스템의 구성
도 1은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다. 도 2는 도 1의 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 세부 구성도이다.
도 1 및 도 2를 참조하면, 본 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템은 외부 네트워크(100), 서비스 어플리케이션이 구동되는 실제 서버(1001a, 1001b), 위장 서버 제공 하드웨어(1300), 물리적 네트워크 게이트웨이(1100) 및 연계 가능한 소프트웨어 정의 네트워크 제어부(1200)를 포함한다.
상기 네트워크 게이트웨이(1100)는 물리적 네트워크 게이트웨이 일 수 있으며, 위장 서버(1300)은 위장 서버를 제공하는 하드웨어 일 수 있다. 통상 사용되는 용어에 따라 물리적 네트워크 게이트 웨이는 네트워크 게이트웨이로 서술하나, 경우에 따라서 게이트 웨이가 가상화 또는 소프웨어에 의해 구동이 가능하다면 이를 사용할 수 있음은 물론이다.
네트워크 게이트웨이(1100)는 외부 네트워크(100)와 실제 서버(1001a, 1001b)에 사이에 위치하며, 실제 서버(1001a, 1001b)와 상기 위장 서버(1300)로의 접속을 스위칭 하는 역할을 담당한다. 네트워크 게이트웨이(1100)는 방화벽 역할을 기반으로 실제 서버(1001a, 1001b)를 통과하는 관문 역할을 하여, 실제 서버(1001a, 1001b)로 접속을 시도하는 루트들을 관리 및 우회하는 기능을 담당한다.
소프트웨어 정의 네트워크 제어부(1200)는 외부 네트워크(100)로부터의 접속 시도를 분석하고, 네트워크 게이트웨이(1100)의 스위칭을 제어하는 역할을 담당한다. 소프트웨어 정의 네트워크 제어부(1200)가 기능하여 본 실시예에 따른 유도 방어 시스템은 소프트웨어 정의 네트워크 상에서 구현되게 된다.
위장 서버(1300)는 실제 서버(1001a, 1001b)와 물리적으로 독립되고, 외부 네트워크(100)로부터의 접속 시도가 의심스러운 경우, 실제 서버(1001a, 1001b)에 접속을 허용하지 않고, 우회하여 외부와 접속하는 역할을 담당한다. 위장 서버(1300)는 실제 서버(1001a, 1001b)와 물리적으로 독립되어 있기 때문에, 공격자가 위장 서버(1300)에 접속하는 경우라고 하더라도, 공격자가 접속 이후 다른 논리적 공간으로 이동한다 하더라도 실질적으로 구동되는 실제 서버에 영향을 미칠 수 없어, 외부의 공격을 원천적으로 차단할 수 있다.
위장 서버(1300)는 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 가상 호스트(1331a, 1331b)를 포함할 수 있다. 위장 서버(1300)의 복수개의 위장 호스트(1320)는 위장 서버(1300)에 의해 구동되는 호스트 컨테이너일 수 있다. 위장 서버(1300) 내에서는 필요한 만큼의 위장 호스트(1320)들을 충분한 개수로 구동할 수 있으며, 이러한 위장 호스트(1320)의 개수가 많을수록 공격자는 서비스하고 있는 실제 서버(1001a, 1001b)의 진위를 판단할 수 있는 확률이 낮아지게 된다. 또한, 위장 서버(1300)의 가상 호스트(1331a, 1331b)는 위장 서버(1300)에 의해 구동되는 가상 머신(Virtual Machine)인 가상 호스트(1331a, 1331b)일 수 있다. 가상 머신(Virtual Machine)은 위장 서버(1300) 내에서 가상으로 서버를 구축하여 외부 공격자로 하여금 실제 서버에 접속한 것처럼 응답한다. 따라서, 외부의 공격의심자는 실제 서버 애플리케이션에 접속하였는지, 위장 서버 애플리케이션에 접속하였는지 진위 여부를 판단하기가 매우 어렵게 된다.
구체적인 구동을 위하여 위장 서버(1300)는 가상 스위치부(1310) 및 위장 서버(1300) 제어부를 포함하여 구성될 수 있다. 스위치부(1310)는 상기 위장 서버(1300) 내에서 상기 위장 호스트(1320) 및 위장 서버(1300)의 어플리케이션으로의 접속을 스위칭 한다. 이러한 위장 서버(1300)의 스위치부(1310)는 오픈v스위치(Open vSwitch)와 같은 가상 스위치로 구성될 수 있다. 위장 서버(1300) 내의 각종 위장 호스트나 가상 호스트 등에 스위칭 하는 역할을 담당한다.
위장 서버 제어부(1340)는 위장 서버(1300) 내의 제어 및 관리를 담당하며, 위장 호스트(1320)를 생성 및 제어하는 위장 호스트 제어부(1343), 가상 호스트(1331a, 1331b)를 제어하는 가상 호스트 제어부(1342), 소프트웨어 정의 네트워크 제어부(1200)와 가상 스위치부(1310)를 연동하는 사우스바운드 API 모듈(1341), 가상 스위치부(1310)의 트래픽을 제어하는 트래픽 제어부(1344)를 포함한다. 특히, 사우스바운드 API 모듈(1341)은 소프트웨어 정의 네트워크 내에서 소프트웨어 정의 네트워크 제어부(1200)와 가상 스위치부(1310)를 연동하는 인터페이스를 제공한다.
본 실시예의 유도 방어 시스템은 데이터베이스부(1350)를 포함할 수 있는데, 데이터베이스부(1350)은 외부 네트워크(100)로부터의 접속 이력(HISTORY) 정보를 저장하여, 현재 또는 장래에 발생되는 각종 분석의 자료를 축적한다. 공격자의 IP 접속 주소나, 과거 해당 IP 접속 주소에서 진행되었던 각종 정보들을 기록하여, 대비되는 IP 접속 주소에서 접속 시도가 이루어졌을 경우 이의 대응여부를 판단할 수 있는 자료로 활용할 수 있다.
유도 방어 프로세스
도 3은 본 발명의 도2의 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템을 구동하는 흐름도이다.
본 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템은 도 1 및 도 2의 실시예와 마찬가지로, 외부 네트워크(100), 제공되는 서비스 어플리케이션이 구동되는 실제 서버(1001a, 1001b), 실제 서버(1001a, 1001b)와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버(1300), 실제 서버(1001a, 1001b)와 위장 서버(1300)로의 접속을 스위칭 하는 네트워크 게이트웨이(1100), 외부 네트워크로부터의 접속 시도를 분석하고 네트워크 게이트웨이(1100)의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부(1200)를 포함한다. 또한, 위장 서버(1300)는 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 가상 호스트(1331a, 1331b)를 구동한다.
도 3을 참조하면, 이러한 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템을 구동하는 단계는, 스캐닝 공격을 감지하는 단계(S110), 복수개의 위장 응답을 발생하는 제1차 유도 단계(S310), 의심 트래픽을 감지하는 단계(S210), 가상 호스트(1331a, 1331b)로 접속을 유도하는 제2차 유도 단계(S410)를 포함한다. 만일, 스캐닝 공격을 감지하는 단계(S110)와 의심 트래픽을 감지하는 단계(S210)에서 모두 정상 접속으로 판단되는 경우에는 실제 서버에 접속하는 단계(S510)를 진행하나 아닌 경우는 이와 반대로 모두 위장 서버로 유도한다. 본 실시예의 구동 단계는 크게 두 가지의 상황에 따라 대응 프로세스를 진행하는데, 하나는 스캐닝 공격에 대응하는 것과, 다른 하나는 특정 IP의 제공하지 않는 서비스에 직접 접속을 시도하는 공격에 대응하는 것이다.
제1차 유도 단계
제1차 유도 단계(S110, S310)은 공격자가 ?192.168.7.0/24?와 같은 특정 대역을 지정하여 전체에 대해 ?icmp echo request? 공격이나 ?tcp ack flooding? 공격 등을 보내 응답이 오는 IP 접속 주소를 파악하여, 실제 서버의 IP 접속 주소를 얻고자 할 때 적용될 수 있다. 이 경우에 실제 서버의 호스트에 더하여 위장 호스트(1320) 모두가 응답하여 실제로 서비스를 하고 있는 물리적인 호스트들을 찾기 어렵게 하는 데에 의의가 있다.
도 4는 본 발명의 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다.
도 3 및 도 4를 참조하여 설명하면, 위장 서버(1300)는 복수개의 위장 호스트(1320)를 구동하는 상태에서, 네트워크 게이트웨이(1100)에서 외부 네트워크(100)를 통해 스캐닝 공격을 감지하는 단계(S110) 및 스캐닝 공격이 감지되는 경우, 실제 서버(1001a, 1001b)의 실제 응답에 더하여, 복수개의 위장 호스트(1320)에 의해 발생되는 복수개의 위장 응답을 발생하는 단계(S310)로 제1차 유도 단계가 이루어 진다.
네트워크 게이트웨이(1100) 및 소프트웨어 정의 네트워크 제어부(1200)에서 특정 대역을 스캐닝 하는 스캐닝 공격이 감지되는 경우, 소프트웨어 정의 네트워크 제어부(1200)는 네트워크 게이트웨이(1100)를 이용하여 위장 서버(1300) 내의 복수개의 위장 호스트(1320)를 통해 응답한다. 이때에, 위장 호스트(1320)를 통해 응답하는 것은 실제로 존재하지 않거나 비활성화 된 IP 접속 주소에 대해 응답을 요구하는 신호를 받은 경우이다. 만일, IP 접속 주소가 실제 서버(1001a, 1001b)의 IP 접속 주소와 일치하는 경우 실제 서버(1001a, 1001b)로부터 응답을 발생시킬 수도 있다.
이 때에 위장 서버(1300) 내에서 복수개의 위장 호스트(1320)에 대한 연결 및 스위칭은 스위칭부(1310)가 담당한다. 위장 호스트 제어부(1343)가 이러한 위장 호스트(1320)들을 제어하게 되며, 위장 서버(1300)의 복수개의 위장 호스트(1320)는 위장 서버(1300)에 의해 구동되는 호스트 컨테이너일 수 있다. 호스트 컨테이너는 적은 자원을 이용하여 단순한 응답만을 하게 하는 위장 응답을 발생하기 때문에, 필요한 만큼 많은 개수의 위장 호스트(1320)를 만들 수 있다.
공격자가 PING SWEEPING 등과 같은 방법으로 네트워크 전체를 스캐닝 하는 것을 감지한 경우, 실제 서버(1001a, 1001b) 및 복수개의 위장 호스트(1320)들이 모두 응답을 한다. 하나의 실제 서버와 N개의 위장호스트들이 모두 응답한 경우, 공격자가 실질적인 IP 접속 주소를 알게 될 확률은 1/(N+1)로 낮아지며, N값이 클수록, 즉, 많은 개수의 위장 호스트(1320)이 생성될수록 실제 서버에 대한 접속 가능성은 더욱 더 떨어지게 된다.
도 5a는 기존의 스캐닝 공격을 설명하기 위한 분석표이다. 도 5b는 도 4의 실시예에 따라 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 효과를 나타내기 위한 분석표이다.
도 5a를 먼저 참조하면, 기존의 스캐닝 공격이 진행되는 경우 공격자는 일정 범위에서 아이피 주소 마다 응답을 요구하면서, 응답의 유무에 따라 비활성화(dead) 된 호스트와 활성화(alive) 된 호스트를 쉽게 감지할 수 있다. 호스트를 공격하기 위하여 특정 IP 접속 주소에 대한 정보가 필요한 경우 활성화와 비활성화 유무에 따라 활성화 된 IP 접속 주소를 채택할 수 있게 된다.
도 5b를 참조하면, 스캐닝 공격이 진행되는 경우, 본 실시예에 따라, 위장 호스트(1320)에 의해 위장 응답이 생성되므로, 모든 IP 접속 주소가 활성화(alive) 된 것처럼 파악된다. 공격자는 이에 따라 실제 서버의 IP 접속 주소와 비활성화(dead) 된 IP 접속 주소를 구분할 수 없게 되며, 이에 따라 실제 서버의 IP 접속 주소를 감지할 수 없게 된다. 이 때에 공격을 진행한 IP 접속 주소 등을 사용되는 데이터베이스에 태깅하여 향후 유사한 방법으로 스캐닝 공격을 진행하는 경우에 데이터베이스를 조회하는 것 만으로 차단 또는 우회 여부를 바로 판단할 수 있다. 필요한 경우 사용자 정의 네트워크에 사용되는 다양한 배제 방식을 적용할 수 있다.
제2차 유도 단계
제2차 유도 단계(S210, S410)은 만약에 특정한 호스트로 의심스러운 트래픽이 들어올 때 그 트래픽을 위장 서버에 있는 가상 호스트에 이를 연결한다. 이 경우, 이러한 의심스러운 트래픽은 다양한 기준으로 판단될 수 있으며, 앞서 제1차 유도 단계에서 감지된 IP 접속 주소에서 전송되는 트래픽 역시 의심스러운 트래픽으로 판단한다. 이 경우 단순한 응답을 위장하는 것 만으로는 공격자의 요청을 위장할 수 없으므로, 가상 머신(Virtual Machine) 상에 실제 서버와 유사한 구조의 가상 호스트를 생성하고, 이렇게 형성된 가상 호스트에 연결한다.
도 6은 본 발명의 다른 실시예에 따른 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구성도이다.
도 3 및 도 6을 참조하여 설명하면, 외부 네트워크로부터 지정된 IP 주소의 애플리케이션에 접속하는 경우, 의심 트래픽을 감지하는 단계(S210), 의심 트래픽이 감지되는 경우, 위장 서버(1300)에 의해 구동되는 가상 호스트(1331a, 1331b)로 접속을 유도하는 단계(S410)로 제2차 유도 단계가 이루어 진다.
네트워크 게이트웨이(1100) 및 소프트웨어 정의 네트워크 제어부(1200)에서 지정된 IP 주소의 애플리케이션에 접속하는 요청이 있는 경우에, 의심스러운 트래픽이 전송된다면, 소프트웨어 정의 네트워크 제어부(1200)는 네트워크 게이트웨이(1100)를 이용하여 위장 서버(1300) 내의 가상 호스트(1331a, 1331b)를 통해 연결된다. 이러한 가상 호스트(1331a, 1331b)는 위장 서버(1300) 내의 하이퍼바이저(Hypervisor)(1330)를 통해 가상 머신(Virtual Machine)을 구동하여 생성할 수 있다. 또한, 실제 서버(1001a, 1001b)의 구조와 유사한 형태로 형성될 수 있다.
이 때에 위장 서버(1300) 내에서 복수개의 위장 호스트(1320)에 대한 연결 및 스위칭은 스위칭부(1310)가 담당한다. 가상 호스트 제어부(1342)가 이러한 가상 호스트(1331a, 1331b)들을 제어하게 되며, 위장 서버(1300)의 가상 호스트(1331a, 1331b)는 위장 서버(1300)에 의해 구동되는 가상 머신(Virtual Machine)일 수 있다. 가상 머신(Virtual Machine)은 실질적으로 실제 서버(1001a, 1001b)와 유사하거나 거의 동일한 구조의 서버를 가상으로 형성할 수 있으며, 공격자의 요청에 대한 응답도 실질적으로 동일한 수준으로 구성이 가능하다.
이때에, 의심 트래픽을 감지하는 방법에 대해서는 여러 가지 방법을 사용할 수 있다. 첫번째는 패킷이 활성화 되지 않은 포트(PORT)로 접속 인가의 여부를 판단하여, 활성화 되지 않은 포트(PORT)로의 접속인 경우 의심 트래픽으로 판단하는 방법이다. 열려 있지 않은 포트나 사용하지 않은 포트(Closed Port, Unused Port)를 목적지로 들어오는 패킷은 의심스러운 트래픽으로 판단하고, 실제 서버에 위험을 가하는 공격을 할 수 있으므로, 일단 우회하여 가상 호스트에 접속하도록 한다.
두번째는 전송되는 패킷을 분석하여, 손상 패킷(CORRUPTED PACKET)인 경우 의심 트래픽으로 판단하는 방법이다. 여기서 손상(corrupted)이란 네트워크 표준을 따르지 않는 패킷을 의미한다. 예를 들면, TCP session이 접속되는데, 패킷 분석을 통해 보았을 때, 패킷이 RST packet으로 시작하면 이 패킷 또는 접속을 손상된(Corrupted) 것으로 판단할 수 있다. 이 때에도 역시 실제 서버에 위험을 가하는 공격을 할 수 있으므로, 일단 우회하여 가상 호스트에 접속하도록 한다.
유도 행위 기록 및 분석
제1차 유도 단계 및 제2차 유도 단계에 의해 유도된 경우(S310, S410), 접속 정보를 데이터베이스에 저장하여 관리하는 단계(S610)를 더 포함할 수 있다. 의심스럽거나 공격으로 판정된 IP 접속 주소에 관한 정보, 접속을 시도했던 포트 번호, 이에 따른 유도 설정 경로, 최종 배제 여부 등 다양한 정보들을 태깅하여 데이터베이스화 할 수 있으며, 추후 외부에서 접속이 이루어 질 때에 공격성 여부를 판단하는 근거로 사용한다.
도 7는 도 6의 실시예에 따라 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 저장 예시를 나타내는 분석표이다.
도 7을 참조하면, 외부 네트워크(100)로부터 실제 서버로 접속이 시도된 때에, 외부 네트워크의 접속 시도를 분석하여 각각 제1 유도 프로세스, 제2 유도 프로세스 및 실제 서버 접속 프로세스로 구분하고, 이러한 접속에 대한 각종 정보를 데이터베이스(1350)에 저장하고 추후 이를 분석하여 이용한다.
이상에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1100 : 네트워크 게이트웨이
1200 : 소프트웨어 정의 네트워크 제어부
1001a, 1001b : 실제 서버
1300 : 위장 서버
1310 : 가상 스위치부
1320 : 위장 호스트
1331a, 1331b : 가상 호스트
1330 : 하이퍼바이저
1340 : 위장 서버 제어부
1341 : 사우스바운드 API 모듈
1342 : 가상 호스트 제어부
1343 : 위장 호스트 제어부
1344 : 트래픽 제어부
1350 : 데이터베이스부

Claims (13)

  1. 외부 네트워크(100);
    제공되는 서비스 어플리케이션이 구동되는 실제 서버(1001a, 1001b);
    상기 실제 서버(1001a, 1001b)와 물리적으로 독립되고, 상기 외부 네트워크(100)로부터의 접속 시도가 의심스러운 경우, 상기 실제 서버(1001a, 1001b)에 접속을 허용하지 않고, 우회하여 외부와 접속하는 위장 서버(1300);
    상기 외부 네트워크(100)와 상기 실제 서버(1001a, 1001b)에 사이에 위치하며, 상기 실제 서버(1001a, 1001b)와 상기 위장 서버(1300)로의 접속을 스위칭 하는 네트워크 게이트웨이(1100); 및
    상기 외부 네트워크(100)로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이(1100)의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부(1200);를 포함하고,
    상기 위장 서버(1300)는 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 가상 호스트(1331a, 1331b)를 포함하며,
    상기 위장 서버는 복수 개이며,
    공격자의 공격에 대응하여, 상기 실제 서버와 상기 복수 개의 위장 서버는 동일 IP 주소에 대해 각각 애플리케이션을 나누어 응답함으로써, 상기 공격자는 상기 실제 서버와 상기 복수 개의 위장 서버 모두로부터 응답을 받는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템.
  2. 제1항에 있어서,
    상기 위장 서버(1300)의 복수개의 위장 호스트(1320)는 상기 위장 서버(1300)에 의해 구동되는 호스트 컨테이너인 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템.
  3. 제2항에 있어서,
    상기 위장 서버(1300)의 가상 호스트(1331a, 1331b)는 상기 위장 서버(1300)에 의해 구동되는 가상 머신(Virtual Machine)인 가상 호스트(1331a, 1331b)인 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템.
  4. 제3항에 있어서,
    상기 위장 서버(1300)는 가상 스위치부(1310) 및 위장 서버(1300) 제어부를 더 포함하고,
    상기 가상 스위치부(1310)는 상기 위장 서버(1300) 내에서 상기 위장 호스트(1320) 및 위장 서버(1300)로의 접속을 스위칭 하고,
    상기 위장 서버(1300) 제어부는,
    상기 위장 호스트(1320)를 생성 및 제어하는 위장 호스트 제어부(1343);
    상기 가상 호스트(1331a, 1331b)를 제어하는 가상 호스트 제어부(1342);
    상기 소프트웨어 정의 네트워크 제어부(1200)와 상기 가상 스위치부(1310)를 연동하는 사우스바운드 API 모듈(1341); 및
    상기 가상 스위치부(1310)의 트래픽을 제어하는 트래픽 제어부(1344)를 포함하는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템.
  5. 제4항에 있어서,
    상기 외부 네트워크(100)로부터의 접속 이력(HISTORY) 정보를 저장하는 데이터베이스부(1350)를 더 포함하는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템.
  6. 외부 네트워크(100); 제공되는 서비스 어플리케이션이 구동되는 실제 서버(1001a, 1001b); 기 실제 서버(1001a, 1001b)와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버(1300); 상기 실제 서버(1001a, 1001b)와 상기 위장 서버(1300)로의 접속을 스위칭 하는 네트워크 게이트웨이(1100); 및 상기 외부 네트워크(100)로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이(1100)의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부(1200)를 포함하는 유도 방어 시스템의 구동 방법에 있어서,
    상기 네트워크 게이트웨이(1100)에서 상기 외부 네트워크(100)를 통해 스캐닝 공격을 감지하는 단계(S110);
    상기 위장 서버(1300)는 복수개의 위장 호스트(1320)를 구동하는 단계; 및
    상기 스캐닝 공격이 감지되는 경우, 상기 실제 서버(1001a, 1001b)의 실제 응답에 더하여, 상기 복수개의 위장 호스트(1320)에 의해 발생되는 복수개의 위장 응답을 발생하는 단계(S310);
    를 포함하되,
    상기 위장 서버(1300)는 상기 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 가상 호스트(1331a, 1331b)를 포함하며,
    상기 위장 서버(1300)는 복수 개이며,
    공격자의 상기 스캐닝 공격에 대응하여, 상기 실제 서버와 상기 복수 개의 위장 서버는, 동일 IP 주소에 대해 각각 애플리케이션을 나누어 응답함으로써, 상기 공격자는 상기 실제 서버와 상기 복수 개의 위장 서버 모두로부터 응답을 받는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  7. 제6항에 있어서,
    상기 위장 서버(1300)의 복수개의 위장 호스트(1320)는 상기 위장 서버(1300)에 의해 구동되는 호스트 컨테이너인 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  8. 외부 네트워크(100); 제공되는 서비스 어플리케이션이 구동되는 실제 서버(1001a, 1001b); 상기 실제 서버(1001a, 1001b)와 물리적으로 독립되고, 의심스러운 접속을 우회하는 위장 서버(1300); 상기 실제 서버(1001a, 1001b)와 상기 위장 서버(1300)로의 접속을 스위칭 하는 네트워크 게이트웨이(1100); 및 상기 외부 네트워크로부터의 접속 시도를 분석하고, 상기 네트워크 게이트웨이(1100)의 스위칭을 제어하는 소프트웨어 정의 네트워크 제어부(1200)를 포함하고,
    상기 위장 서버(1300)는 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 가상 호스트(1331a, 1331b)를 구동하는 유도 방어 시스템의 구동 방법에 있어서,
    상기 네트워크 게이트웨이(1100)에서 상기 외부 네트워크를 통해 스캐닝 공격을 감지하는 단계(S110);
    상기 스캐닝 공격이 감지되는 경우, 상기 실제 서버(1001a, 1001b)의 실제 응답에 더하여, 상기 복수개의 위장 호스트(1320)에 의해 발생되는 복수개의 위장 응답을 발생하는 제1차 유도 단계(S310);
    상기 외부 네트워크로부터 지정된 IP 주소에 접속하는 경우, 의심 트래픽을 감지하는 단계(S210); 및
    상기 의심 트래픽이 감지되는 경우, 상기 위장 서버(1300)에 의해 구동되는 가상 호스트(1331a, 1331b)로 접속을 유도하는 제2차 유도 단계(S410);
    를 포함하되,
    상기 위장 서버(1300)는 상기 복수개의 위장 호스트(1320) 및 적어도 하나 이상의 상기 가상 호스트(1331a, 1331b)를 포함하며,
    상기 위장 서버(1300)는 복수 개이며,
    상기 실제 서버와 상기 복수 개의 위장 서버(1300)는, 공격자의 상기 스캐닝 공격에 대응하여, 동일 IP 주소에 대해 각각 애플리케이션을 나누어 응답함으로써, 상기 공격자는 상기 실제 서버와 상기 복수 개의 위장 서버 모두로부터 응답을 받는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  9. 제8항에 있어서,
    상기 제1차 유도 단계 및 제2차 유도 단계에 의해 유도된 경우(S310, S410), 접속 정보를 데이터베이스에 저장하여 관리하는 단계(S610)를 더 포함하는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  10. 제8항에 있어서,
    상기 위장 서버(1300)의 가상 호스트(1331a, 1331b)는 상기 위장 서버(1300)에 의해 구동되는 가상 머신(Virtual Machine)인 가상 호스트(1331a, 1331b)인 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  11. 제8항에 있어서,
    상기 의심 트래픽을 감지하는 단계(S210)에서는,
    상기 외부 네트워크(100)로부터의 접속이 활성화 되지 않은 포트(PORT)로 접속인가의 여부를 판단하여, 활성화 되지 않은 포트(PORT)로의 접속인 경우 의심 트래픽으로 판단하는 단계를 포함하는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  12. 제8항에 있어서,
    상기 의심 트래픽을 감지하는 단계(S210)에서는,
    상기 외부 네트워크(100)로부터 전송되는 패킷을 분석하여, 손상 패킷(CORRUPTED PACKET)인 경우 의심 트래픽으로 판단하는 단계를 포함하는 것을 특징으로 하는 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템의 구동 방법.
  13. 삭제
KR1020150157364A 2015-11-10 2015-11-10 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법 KR101750372B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150157364A KR101750372B1 (ko) 2015-11-10 2015-11-10 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150157364A KR101750372B1 (ko) 2015-11-10 2015-11-10 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법

Publications (2)

Publication Number Publication Date
KR20170055053A KR20170055053A (ko) 2017-05-19
KR101750372B1 true KR101750372B1 (ko) 2017-07-04

Family

ID=59049404

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150157364A KR101750372B1 (ko) 2015-11-10 2015-11-10 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법

Country Status (1)

Country Link
KR (1) KR101750372B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102155262B1 (ko) * 2017-09-11 2020-09-11 숭실대학교산학협력단 탄력적 허니넷 시스템 및 그 동작 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133537A1 (en) * 2005-12-08 2007-06-14 Microsoft Corporation Leveraging active firewalls for network intrusion detection and retardation of attack
JP2013009185A (ja) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US20140201838A1 (en) * 2012-01-31 2014-07-17 Db Networks, Inc. Systems and methods for detecting and mitigating threats to a structured data storage system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133537A1 (en) * 2005-12-08 2007-06-14 Microsoft Corporation Leveraging active firewalls for network intrusion detection and retardation of attack
JP2013009185A (ja) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US20140201838A1 (en) * 2012-01-31 2014-07-17 Db Networks, Inc. Systems and methods for detecting and mitigating threats to a structured data storage system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
데이터넷, "SDN, 보안 기술 패러다임 바꾼다", datanet 뉴스, (2014.09.19.)

Also Published As

Publication number Publication date
KR20170055053A (ko) 2017-05-19

Similar Documents

Publication Publication Date Title
US10462181B2 (en) Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US10587636B1 (en) System and method for bot detection
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US10193924B2 (en) Network intrusion diversion using a software defined network
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US10587637B2 (en) Processing network traffic to defend against attacks
US8943586B2 (en) Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
US8112804B2 (en) Malignant BOT confrontation method and its system
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
US8079030B1 (en) Detecting stealth network communications
US20210160283A1 (en) Management of botnet attacks to a computer network
CN108270722B (zh) 一种攻击行为检测方法和装置
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
EP3275150B1 (en) Extracted data classification to determine if a dns packet is malicious
Gorecki et al. Trumanbox: Improving dynamic malware analysis by emulating the internet
KR101911429B1 (ko) 보안 기능을 포함하는 통합 네트워크 공유 시스템
CN115834091A (zh) 网络流量控制方法以及相关系统
KR101750372B1 (ko) 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법
US20220103582A1 (en) System and method for cybersecurity
US20220337546A1 (en) Method and system for realizing network dynamics, terminal device and storage medium
CN111683063B (zh) 消息处理方法、系统、装置、存储介质及处理器
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant