KR101812403B1 - SDN에서의 DoS공격 방어시스템 및 이의 구현방법 - Google Patents

SDN에서의 DoS공격 방어시스템 및 이의 구현방법 Download PDF

Info

Publication number
KR101812403B1
KR101812403B1 KR1020160010691A KR20160010691A KR101812403B1 KR 101812403 B1 KR101812403 B1 KR 101812403B1 KR 1020160010691 A KR1020160010691 A KR 1020160010691A KR 20160010691 A KR20160010691 A KR 20160010691A KR 101812403 B1 KR101812403 B1 KR 101812403B1
Authority
KR
South Korea
Prior art keywords
attack
packet
address
traffic
unit
Prior art date
Application number
KR1020160010691A
Other languages
English (en)
Other versions
KR20170090161A (ko
Inventor
이상곤
이훈재
유스투스 에코 옥티엔
임준휘
Original Assignee
동서대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동서대학교산학협력단 filed Critical 동서대학교산학협력단
Priority to KR1020160010691A priority Critical patent/KR101812403B1/ko
Publication of KR20170090161A publication Critical patent/KR20170090161A/ko
Application granted granted Critical
Publication of KR101812403B1 publication Critical patent/KR101812403B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • H04L67/1002
    • H04L67/2842

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 SDN에서의 DoS공격 방어시스템 및 이의 구현방법에 관한 것으로서, 더욱 상세하게는 SDN 아키텍쳐 장치들 간의 메시지 프로토콜에 대한 보안 위협 요소를 분석하고 이에 따른 보안요구조건을 도출하며 이에 대한 효율적인 보안 방법을 구현하는 기술에 관한 것이다.
본 발명에 따른 SDN에서의 DoS공격 방어시스템은 근거리, 도시권, 광역 네트워크와 같이 유무선 데이터 교환이 이루어지는 통신망; 상기 통신망 상에서 수집된 데이터 정보에 대한 전체 트래픽을 실시간으로 모니터링하여 서비스 거부 공격 발생을 감지하는 서비스거부공격 대응부; 상기 서비스거부공격 대응부에 접속하여 통신 가능한 기능과 메모리 및 마이크로 프로세서를 탑재하여 연산 기능이 구비된 클라이언트부; 상기 서비스거부공격 대응부와 상기 클라이언트부와 통신을 수행하고 통신 프로토콜 및 암호화 정보를 제공하는 메인서버부;로 구성되는 것을 특징으로 한다. 본 발명에 따른 방어방법은 백로그큐를 검사하고 70%이상 점유되면 이를 위험단계로 판단하고 모니터링을 위해 sFlow를 동작시키는 모니터링 시작단계; sFlow 에이전트가 샘플링 된 패켓을 sFlow 콜렉터로 전송하는 샘플링 패켓 전송단계; 상기 sFlow 콜렉터가 다량의 SYN 패켓을 송신하는 것을 탐지하여 공격자를 판단하고 어플리케이션에 알리는 공격자 판별단계; 상기 공격자로 판별된 주소에서 오는 패켓을 차단하기 위한 플로우 테이블을 설정하는 네트워크 디바이스의 플로우 테이블 변경단계; 상기 공격자 주소에서 송신되는 패켓을 차단하는 플로우 테이블을 설정하여 공격 패켓을 차단하는 공격패켓 차단단계; 트래픽 구별을 위하여 내부주소는 트래픽이 목적지로 가지는 서버주소로 설정하고 외부주소는 내부주소를 제외한 외부에서 공격이 가능한 주소로 정의하는 주소 그룹 정의 단계; 샘플링 된 패켓의 출발지 주소를 이용하여 공격을 판별하도록 출발지 주소로 적용하고, 밸류는 패켓의 수를 이용하기 위해 프레임으로 설정하며 필터는 SYN 패켓을 적용하는 플로우 정의단계; 공격을 판별하기 위해 초당 패켓 수의 임계치를 정의하는 임계치 정의단계; 상기 sFlow 콜렉터에 의해 임계치를 초과하는 이벤트를 수신하는 임계치 이벤트 수신단계; 오픈플로우 컨트롤러에게 외부 공격자로부터 온 트래픽을 차단하도록 지시하는 패켓 차단단계; 플로우 테이블의 엔트리가 낭비되는 것을 막기 위해 상기 플로우 테이블의 엔트리를 제거하고 공격자가 공격을 재개하면 새로운 이벤트가 생성되어 다시 차단 명령을 수행하는 차단 해제단계;를 포함하는 것을 특징으로 한다.

Description

SDN에서의 DoS공격 방어시스템 및 이의 구현방법{Mitigating System for DoS Attacks in SDN}
본 발명은 SDN에서의 DoS공격 방어시스템 및 이의 구현방법에 관한 것으로서, 더욱 상세하게는 SDN 아키텍쳐 장치들 간의 메시지 프로토콜에 대한 보안 위협 요소를 분석하고 이에 따른 보안요구조건의 도출이 가능하며 이에 대한 효율적인 보안 방법을 구현하는 기술에 관한 것이다.
스마트폰의 보급률이 증가함에 따라 데이터 사용량은 기하급수적으로 증가하고 있다. 또한 미래 산업으로 주목 받고 있는 사물인터넷(Internet of Things : IoT)의 사용이 증가할수록 이러한 추세는 더욱 증가할 것이라 예상된다. 따라서 이러한 데이터 사용이 원활히 이루어지게 하기 위해서는 안정적인 네트워크망이 지원이 돼야 할 것이다. 하지만 현재의 네트워크망은 매우 복잡한 구조로 되어있어 이를 관리하는데 고비용을 초래하고 있다. 그리고 각종 악성 공격에도 취약한 모습을 보이고 있으며 이러한 사례로는 정부 기관에 대한 DDoS 공격, 금융 기관에서의 개인 정보 유출, 그리고 최근에 발생 했던 원전 해킹 시도 등이 있다. 따라서 이러한 문제점을 개선하고자 등장한 것이 소프트웨어 정의 네트워크(Software Defined Network : SDN)이다. SDN은 기존의 네트워크 장비와는 달리 네트워크 제어영역(control plane)과 패켓 송수신 영역(data plane)으로 구분하여 네트워크를 통합 관리 할 수가 있다. 그리고 이를 통해 네트워크 구조를 단순화 시키고 데이터 분산 처리를 통해 네트워크의 사용 효율을 극대화 시킬 수 있다. 또한, SDN 컨트롤러를 이용하여 각종 악성 공격을 사전 방지 및 사후 조치를 할 수 있다. 하지만 이런 SDN도 여전히 보안상의 취약점이 있는 것은 사실이다.
도 1을 참조하면 SDN은 크게 데이터 계층(infrastructure layer)과, 제어 계층(control layer), 애플리케이션 계층(application layer)으로 나뉜다. 데이터 계층은 SDN의 특정 인터페이스를 통해 제어를 받는 계층으로서, 데이터 흐름의 전송을 담당한다. 제어 계층은 데이터의 흐름을 제어하는 계층으로서 애플리케이션과 네트워크 서비스를 통하여 데이터 흐름을 라우팅 할 것인지, 전달을 할 것인지, 거절 할 것인지를 결정한다. 또한 데이터 계층의 동작들을 정리하여 API(Application Programming Interface) 형태로 애플리케이션 계층에 전달한다. 마지막으로 애플리케이션 계층은 제어 계층에서 제공한 API들을 이용하여 네트워크의 다양한 기능들을 수행 할 수 있도록 한다.
도 2를 참조하면 오픈플로우(OpenFlow)는 데이터 계층을 제어하기 위해 사용되는 인터페이스 중 하나이며 가장 널리 사용되고 있다. 오픈플로우는 SDN의 첫 번째 표준으로서 오픈플로우를 지원하는 스위치는 플로우 테이블(Flow Table)를 가지고 있으며, 컨트롤러와 별도의 채널을 통해 연결된다. 기존 네트워크 장비에서는 벤더 간에 플로우 테이블이 달라 서로 정보 공유가 되지 않았다면 오픈플로우 스위치는 공통 된 플로우 테이블을 개발 적용하여 네트워크 장비 간 서로 정보를 공유할 수 있게 되었다. 이를 통해 개발자는 새로운 라우팅 프로토콜과 보안 모델, 주소 체계를 만들어 전체 네트워크에 적용할 수 있다. 이러한 오픈플로우 스위치는 다음과 같이 3부분으로 구성되어 있다. 첫째, 플로우 처리를 어떻게 해야 되는지 스위치에 전달하는 플로우 테이블이 있다. 둘째, 스위치와 원격의 컨트롤러를 연결하여 둘 사이에서 패켓 처리 방법과 패켓이 오고 갈 수 있도록 해주는 보안 채널이 있다. 셋째, 컨트롤러가 스위치와 통신 할 수 있도록 개방형 기준을 제공하는 오픈플로우 프로토콜이다. 이를 통해 플로우 테이블을 네트워크 전체에 적용 하여 개발자가 스위치 프로그램을 만들 필요를 없게 하였다.
SDN은 컨트롤러를 통해 네트워크의 흐름을 제어할 수 있고 이를 통해 네트워크를 단순화 할 수 있는 것이다. 그러나, 컨트롤러로 인해 발생 가능한 보안 문제점은 다음과 같다. 첫째, 컨트롤러가 악성코드에 감염 된 사례이다. 만약 컨트롤러가 악성코드에 감염이 된다면 공격자는 프로그램을 재설치 하여 네트워크 상에 있는 데이터를 스니핑(sniffing) 또는 드로핑(dropping) 할 수 있을 것이다. 둘째, 관리자가 나쁜 의도를 가졌을 경우이다. 컨트롤러의 룰을 작성하는 관리자가 나쁜 의도를 가지고 컨트롤러의 룰을 변경한다면 네트워크가 정지가 될 수도 있으며 정보를 유출 할 수도 있을 것이다. 셋째, 네트워크 제어영역과 패켓 송수신 영역 사이의 DDoS 공격이다. 이 공격은 컨트롤러가 정상적으로 데이터 계층에 지시를 내리지 못하여 하여 정상적인 작동을 방해한다
오픈플로우는 SDN의 대표적인 인터페이스로서 네트워크 제어영역과 패켓 송수신 영역 사이의 가교 역할을 통해 원활히 SDN 네트워크가 작동되게 하는 중요한 역할을 하고 있다. 하지만 이 역시 악성 공격에 취약한 면이 있다. 첫째, MAC 주소, IP 주소, 포트 등 네트워크 통신과 관련된 정보를 속여 공격 대상자의 정보를 획득 또는 정상적인 서비스를 제공하지 못하게 하는 공격하는 스푸핑(spoofing) 공격이 있다. 이러한 공격 기술을 오픈플로우에 적용을 한다면 공격자가 컨트롤러인 것처럼 행동을 하여 오픈플로우 스위치의 행동을 조작하여 데이터 스니핑 혹은 드로핑 공격을 할 수 있으며 또한 네트워크 자체를 정지시킬 수도 있다. 둘째, 시스템의 정상적인 기능을 변경하여 보안 기능의 약화를 초래하거나 기능을 하지 못하게 하는 공격으로서 오픈플로우를 통해 패켓 송수신 영역의 장비들이 이상 동작하게 만드는 tampering 공격이 있다. 셋째, 통신의 모든 또는 부분에 관여하여 송수신 사실을 부인하는 공격인 repudiation 공격이 있으며 이 역시 오픈플로우를 통해서 조작이 가능 하다. 넷째, 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 만들어 정상적인 동작을 하지 못하게 하는 분산 서비스 거부 공격(DDoS : Distributed Denial of Service)이 있다. 만약 이러한 공격을 통해 오픈플로우 스위치에 위조된 패켓을 대량으로 전달한다면 SDN 네트워크는 과부하가 걸려 정상적인 작동이 제한될 것이다. 다섯째, 시스템을 속여 임의적으로 인증되지 않은 권한을 갖도록 하는 권한 상승(elevation of privileges) 공격이 있으며 이 역시 오픈플로우 상에서 가능한 공격이다. 위와 같이 SDN은 기존의 네트워크를 효율적으로 운영하기 위해 네트워크 제어영역과 패켓 송수신 영역으로 나누어 관리를 하고 있지만 이로 인해서 보안 취약점이 발생하는 것을 알 수 있으며. 그밖에 SDN은 Transport Layer Security(TLS) 보안 프로토콜 적용 시 발생하는 속도지연으로 인해 TCP를 사용함으로써 중간자 공격 등에 취약하다.
모든 서비스 거부(DoS) 공격이 서버에 과부하를 일으키도록 개발된 것은 아니다. 일부는 네트워크 인프라 자체를 타깃으로 하고 있다. 이러한 유형의 공격은 링크 대역폭을 포화 상태로 만들고 라우터 및 스위치 CPU를 소진시키거나 네트워크 제어영역 트래픽을 스푸핑(spoofing)함으로써 서비스 거부를 실행한다. 링크를 포화시키고 CPU를 소진하는 DoS 공격은 이웃 관계를 유지하는데 필요한 대역폭의 역동적인 라우팅 프로토콜을 거부할 수 있다. 라우터가 이웃을 잃게 되면 해당 라우터의 다운을 인지해 모든 경로를 일시적으로 분출하게 되고 분출된 경로를 다른 대체 경로로 트래픽을 전환하거나 모두 드롭(drop)시키게 된다. 다운된 경로를 뽑아내기 위해서는 새로운 경로를 지속적으로 다시 계산해야 하고 새로운 것으로 업데이트해야 하기 때문에 CPU의 리소스가 결국 소진된다. 그 결과 서비스 거부로 이어지게 된다.
DoS 공격은 네트워크 제어영역 트래픽을 스푸핑, 동적인 라우팅 프로토콜을 도용해 이웃 관계를 악의적으로 재설정하거나 잘못된 정보로 업데이트해 서비스 거부를 야기시킨다.
본 발명에 따른 SDN에서의 DoS공격 방어시스템 및 이의 구현방법과 유사한 선행기술에는 대한민국 공개특허공보 제10-2014-0037052호 '하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템'이 있다. 상기 유사 선행기술은 플로우 데이터에서 예외를 검출하기 위하여 네트워크 내의 하나 이상의 노드에서 상기 플로우 데이터를 모니터링하는 단계; 제1 관련 가중치를 갖는 제1 예외 알고리즘을 실행하는 단계; 제2 관련 가중치를 갖는 제2 예외 알고리즘을 실행하는 단계; 상기 제1 예외 알고리즘에 대하여, 상기 플로우 데이터에 기초하여 제1 트래픽 편차 인자를 계산하는 단계 및 상기 제1 트래픽 편차 인자에 기초하여 제1 개별 공격 확률을 계산하는 단계; 상기 제2 예외 알고리즘에 대하여, 상기 플로우 데이터에 기초하여 제2 트래픽 편차 인자를 계산하는 단계 및 상기 제2 트래픽 편차 인자에 기초하여 제2 개별 공격 확률을 계산하는 단계; 상기 제1 개별 공격 확률과 상기 제1 관련 가중치를 곱한 제1 곱과, 상기 제2 개별 공격 확률과 상기 제2 관련 가중치를 곱한 제2 곱의 합인 순(net) 공격 확률을 계산하는 단계; 상기 순 공격 확률이 순 확률 임계값 위에 있을 때, 상기 플로우 데이터에서 예외를 갖는 후보자 노드를 식별하는 단계; 상기 후보자 노드에 트래픽을 전송하는 하나 이상의 소스 어드레스를 식별하는 단계; 및 리스트에서의 각각의 소스 어드레스에 대하여, 상기 소스 어드레스가 도용되었는지 여부를 판단하는 단계; 및 상기 소스 어드레스가 정당한지 또는 도용되었는지 여부에 기초하여 상기 소스 어드레스에 로컬 완화 동작을 적용하는 단계;를 포함하는 기술을 개시하는 특징이 있다.
다른 유사 선행기술에는 대한민국 등록특허공보 제10-0882809호 '플로우 기반 패켓 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법'이 있다. 상기 유사 선행기술은 노드장치를 지나는 패켓을 플로우별로 모니터링하여 악의적인 패켓을 검출하여 망으로 전파되는 것을 차단하기 위한 시스템에 있어서, 차단을 위한 악의적인 플로우의 정보를 유지하는 필터 룰 벡터 리스트; 플로우별로 정보를 저장하고 있는 플로우 정보 테이블; 상기 노드 장치들에 실장되어 상기 노드를 통과하는 패켓들을 추출하고, 상기 필터 룰 벡터 리스트에 설정된 룰에 따라 악의적인 패켓을 차단하는 네트워크 모니터링 카드; 상기 네트워크 모니터링 카드로부터 추출된 패켓을 분석하여 플로우별로 정보를 추출하여 상기 플로우 정보 테이블을 갱신하는 트래픽 모니터링 컴포넌트부; 및 상기 플로우 정보 테이블을 분석하여 해당 플로우가 악의적인 플로우인지를 판단하고, 악의적인 플로우가 검출되면 상기 필터 룰 벡터 리스트에 등록하여 포워딩 정책을 정의하는 디디오에스(DDoS) 방어 컴포넌트부로 구성되는 기술을 개시하는 특징이 있다.
또 다른 유사 선행기술에는 대한민국 등록특허공보 제10-1001939호 '서비스 거부 공격에 강인한 통신망 환경을 제공하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체'가 있다. 상기 유사 선행기술은 서비스 거부 공격 대응 시스템 - 상기 서비스 거부 공격 대응 시스템은 캐시 및 의심 클라이언트에 대한 정보를 저장하는 데이터베이스, 제1 캐싱 엔진 및 제2 캐싱 엔진을 포함함 - 을 개입시켜 서비스 거부 공격에 대응하기 위한 방법으로서, 통신망의 상태를 모니터링하고, 상기 모니터링 결과에 따라 상기 통신망의 상태를 정상 상태 및 비정상 상태 중 하나로 인식하는 단계, 및 상기 통신망이 비정상 상태인 경우, 상기 데이터베이스를 참조하여, 정상 트래픽으로 판단되는 트래픽은 상기 제1 캐싱 엔진에서 서비스 제한 없이 처리하고 의심 트래픽으로 판단되는 트래픽은 상기 제2 캐싱 엔진에서 서비스 제한을 두어 처리하는 단계를 포함하는 기술을 개시하는 특징이 있다.
그러나 전술한 종래의 유사 선행기술은 링크 대역폭을 포화 상태로 만들고 라우터 및 스위치 CPU를 소진시키거나 네트워크 제어영역 트래픽을 스푸핑으로 서비스 거부를 실행하는 경우에 있어서, SDN에서의 DoS 공격 분석 및 방어를 하기 위한 기술을 제공하지 못하였다.
KR10-2014-0037052(A) KR10-0882809(B1) KR10-1001939(B1)
본 발명은 상기한 발명의 배경으로부터 요구되는 기술적 필요성을 충족하는 것을 목적으로 한다. 구체적으로, 본 발명의 목적은 SDN 아키텍쳐 장치들 간의 메시지 프로토콜에 대한 보안 위협 요소를 분석하고 이에 따른 보안요구조건의 도출이 가능하며 이에 대한 효율적인 보안 방법을 구현하는 기술을 제공하는 것에 그 목적이 있다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이러한 목적을 달성하기 위한 본 발명에 따른 SDN에서의 DoS공격 방어시스템은 근거리, 도시권, 광역 네트워크와 같이 유무선 데이터 교환이 이루어지는 통신망; 상기 통신망 상에서 수집된 데이터 정보에 대한 전체 트래픽을 실시간으로 모니터링하여 서비스 거부 공격 발생을 감지하는 서비스거부공격 대응부; 상기 서비스거부공격 대응부에 접속하여 통신 가능한 기능과 메모리 및 마이크로 프로세서를 탑재하여 연산 기능이 구비된 클라이언트부; 상기 서비스거부공격 대응부와 상기 클라이언트부와 통신을 수행하고 통신 프로토콜 및 암호화 정보를 제공하는 메인서버부;로 구성되는 것을 특징으로 한다. 본 발명에 따른 방어방법은 백로그큐를 검사하고 70%이상 점유되면 이를 위험단계로 판단하고 모니터링을 위해 sFlow를 동작시키는 모니터링 시작단계; sFlow 에이전트가 샘플링 된 패켓을 sFlow 콜렉터로 전송하는 샘플링 패켓 전송단계; 상기 sFlow 콜렉터가 다량의 SYN 패켓을 송신하는 것을 탐지하여 공격자를 판단하고 어플리케이션에 알리는 공격자 판별단계; 상기 공격자로 판별된 주소에서 오는 패켓을 차단하기 위한 플로우 테이블을 설정하는 네트워크 디바이스의 플로우 테이블 변경단계; 상기 공격자 주소에서 송신되는 패켓을 차단하는 플로우 테이블을 설정하여 공격 패켓을 차단하는 공격패켓 차단단계; 트래픽 구별을 위하여 내부주소는 트래픽이 목적지로 가지는 서버주소로 설정하고 외부주소는 내부주소를 제외한 외부에서 공격이 가능한 주소로 정의하는 주소 그룹 정의 단계; 샘플링 된 패켓의 출발지 주소를 이용하여 공격을 판별하도록 출발지 주소로 적용하고, 밸류는 패켓의 수를 이용하기 위해 프레임으로 설정하며 필터는 SYN 패켓을 적용하는 플로우 정의단계; 공격을 판별하기 위해 초당 패켓 수의 임계치를 정의하는 임계치 정의단계; 상기 sFlow 콜렉터에 의해 임계치를 초과하는 이벤트를 수신하는 임계치 이벤트 수신단계; 오픈플로우 컨트롤러에게 외부 공격자로부터 온 트래픽을 차단하도록 지시하는 패켓 차단단계; 플로우 테이블의 엔트리가 낭비되는 것을 막기 위해 상기 플로우 테이블의 엔트리를 제거하고 공격자가 공격을 재개하면 새로운 이벤트가 생성되어 다시 차단 명령을 수행하는 차단 해제단계;를 포함하는 것을 특징으로 한다.
이상과 같이 본 발명은 링크 대역폭을 포화 상태로 만들고 라우터 및 스위치 CPU를 소진시키거나 네트워크 제어영역 트래픽을 스푸핑으로 서비스 거부를 실행하는 경우에 있어서, SDN에서의 DoS 공격 분석 및 방어를 하기 위한 기술을 제공하는 효과가 있다. 또한, SDN 환경에서 중앙 컨트롤러가 모든 스위치의 트래픽을 제어할 수 있는 구조적 장점과 실시간 네트워크 모니터링 알고리즘을 이용하여 별도의 장비를 구성하지 않고, 빠른 시간에 공격을 방어하는 방어방법을 제공하는 효과가 있다.
본 발명의 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 SDN 구조에 대한 예시도;
도 2는 오픈플로우 스위치 구성에 대한 예시도;
도 3은 본 발명에 따른 SDN에서의 DoS공격 방어시스템의 구성도;
도 4는 본 발명에 따른 SDN에서의 DoS공격 방어방법에 대한 순서도이다.
이하에서는, 본 발명의 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 설명하지만, 이는 본 발명의 더욱 용이한 이해를 위한 것으로, 본 발명의 범주가 그것에 의해 한정되는 것은 아니다. 또한 본 실시예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 생략하기로 한다.
본 발명의 각 구성 단계에 대한 상세한 설명에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 안되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위하여 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과하며 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 3을 참조하면 본 발명에 따른 SDN에서의 DoS공격 방어시스템은 근거리, 도시권, 광역 네트워크와 같이 유무선 데이터 교환이 이루어지는 통신망(100); 상기 통신망(100) 상에서 수집된 데이터 정보에 대한 전체 트래픽을 실시간으로 모니터링하여 서비스 거부 공격 발생을 감지하는 서비스거부공격 대응부(200); 상기 서비스거부공격 대응부(200)에 접속하여 통신 가능한 기능과 메모리 및 마이크로 프로세서를 탑재하여 연산 기능이 구비된 클라이언트부(300); 상기 서비스거부공격 대응부(200)와 상기 클라이언트부(300)와 통신을 수행하고 통신 프로토콜 및 암호화 정보를 제공하는 메인서버부(400);로 구성된다.
상기 통신망(100)은 근거리, 도시권, 광역 네트워크와 같은 유무선 데이터 교환뿐만 아니라 전화망, 유무선 텔레비전 통신망과 같은 범위도 포함될 수도 있다.
상기 서비스거부공격 대응부(200)에서는 서비스 거부 공격의 규모 내지는 범위에 따라 상기 통신망(100)의 상태를 여러 단계로 구분하여 각 단계별로 상기 정상 트래픽과 의심 트래픽을 처리하는 방법에 변화를 줌으로써, 정상 트래픽에 대한 영향을 최소화하는 서비스 거부 공격 대응이 수행되도록 하는 것을 특징으로 한다.
상기 클라이언트부(300)는 스마트폰, 태블릿PC, 데스크탑 컴퓨터, 노트북 컴퓨터 및 워크스테이션 등의 디지털 디바이스를 의미할 뿐만 아니라 통신 가능하고 메모리 및 마이크로 프로세서가 구비되어 연산 기능이 내재된 어떠한 기기라도 적용 대상이 될 수 있는 것을 특징으로 한다.
또한, 상기 클라이언트부(300)에는 사용자가 정보를 제공 받을 수 있도록 하는 웹브라우져 프로그램이 더 포함되어 있을 수 있다. 상기 사용자가 요청한 정보가 상기 서비스거부공격 대응부(200)에 캐시로서 저장되어 있는 경우에는, 상기 정보가 서비스거부공격 대응부(200)로부터 상기 클라이언트(300)의 상기 웹브라우져로 제공될 수 있다. 한편, 사용자가 요청한 정보가 상기 서비스거부공격 대응부(200)에 캐시로서 저장되어 있지 않은 경우에는, 상기 정보가 상기 서비스거부공격 대응부(200)의 개입을 요구하거나 요구하지 않고 상기 메인서버부(400)로부터 상기 웹브라우져로 제공될 수 있다.
상기 메인서버부(400)는 웹서버 또는 인터넷 포털 사이트의 운영서버일수도 있으며 상기 클라이언트(300)에 콘텐츠 관련 통신 프로토콜, 파일 형식, 암호화 정보, 소스 위치, 크기, 생성 시각, 수정 시각, 전송 시각, 유효 기간과 같은 상기 콘텐츠의 각종 부가 정보를 직접 제공할 수 있다. 또한, 상기 서비스거부공격 대응부(200)를 통하여 상기 클라이언트(300)에 간접적으로 제공할 수 있는 것을 특징으로 한다.
상기 서비스거부공격 대응부(200)는 상기 통신망(100) 상에서 수집되는 각종 정보를 캐시로서 저장하는 데이터베이스부(210); 상기 통신망(100) 상에서 의심 트래픽을 발생시키는 의심 클라이언트정보를 실기간으로 모니터링하는 공격탐지부(220); 글로벌 로드 밸런싱 기능과 트래픽 부하를 분산시키는 기능이 구비된 부하분산부(230); 상기 통신망(100) 상에서 수집된 데이터 정보를 수집하여 분류하고 캐시로 저장하며 정상 트래픽을 처리하는 제1캐싱엔진부(241);와 의심 트래픽을 처리하는 제2캐싱엔진부(242);로 구성되는 캐시서버부(240); 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230) 및 상기 캐시서버부(240)와 데이터 송수신이 가능하도록 하는 통신부(250); 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230), 상기 캐시서버부(240) 및 상기 통신부(250) 간의 데이터 흐름을 제어하는 제어부(260);로 구성되는 것을 특징으로 한다.
상기 데이터베이스부(210)는 상기 통신망(100) 상에서 수집되는 각종 데이터 정보를 캐시로서 저장하여 두는 저장소이다. 이는 특정 URL(Uniform Resource Locator) 또는 URN(Uniform Resource Name)과 연관되어 있는 콘텐츠 및 이에 관한 각종 부가 정보를 저장할 수 있다.
또한, 상기 데이터베이스부(210)에는 의심되는 클라이언트의 IP 주소와 같은 위치 정보, 국가 정보, 지역 정보 및 ISP(Internet Service Provider)별로 분류된 IP 대역에 관한 정보가 저장되어 있다. 이러한 의심 클라이언트에 관한 정보는 주로 해당 클라이언트가 특정 통신망 영역에 관하여 미리 설정되어 있는 임계량 이상의 트래픽 요청을 수행한 경우에 수집된다. 상기 임계량은 특정 통신망 영역마다 차별적으로 설정할 수 있다.
상기 공격탐지부(220)는 상기 통신망(100) 상에서 발생하는 전체 트래픽의 양, 논-캐셔블 콘텐츠나 정보에 대한 요청 비율 및 의심 트래픽을 발생시키는 의심 클라이언트에 관한 정보를 실시간으로 모니터링하여 서비스거부공격 발생 여부를 감지하는 기능을 수행하는 것을 특징으로 한다. 상기 공격 탐지부(220)는 상기 통신망(100)의 상태를 서비스거부공격의 규모나 범위에 따라 정상상태, 경계상태 및 비상상태를 판단하는 것을 특징으로 한다.
상기 부하분산부(230)는 로드 밸런싱을 수행하는 GLB(Global Load Balancing) 장치를 탑재하거나 이와 연동하여 상기 캐시 서버(240)에 대하여 트래픽 부하를 분산시키는 기능을 수행할 수 있다. 또한, 상기 부하분산부(230)는 상기 통신망(100) 상에서 부하를 분산시키는 기능을 수행하면서 서비스거부공격 발생에 따라 상기 통신망(100) 상태가 경계상태 또는 비상상태에 해당되는 것으로 판단하면 상기 데이터베이스부(210)와 연동하여 각 트래픽의 소스를 국가, 지역 및 ISP마다 분별하여 특정 국가/지역/ISP에 의한 트래픽을 의심 트래픽으로 간주할 수 있다. 특히, 서비스거부공격에 자주 이용되는 국가/지역/ISP에 의한 트래픽은 상기 통신망(100)의 상태가 경계상태 또는 비상상태에 해당되는 경우에는 일단 의심 트래픽으로 인식될 수 있다. 이에 관하여, 상기 부하분산부(230)가 인식된 의심 트래픽을 상기 캐시서버부(240)의 상기 제2캐싱엔진부(242)로 우회시킬 수 있는 것을 특징으로 한다.
상기 캐시서버부(240)는 상기 통신망(100) 상에서 수집된 정보를 통합적으로 분류하여 캐시로서 저장할 수 있고, 이와 같이 통합적으로 수집/분류/저장되는 캐시를 기반으로 하여 상기 클라이언트부(300)로부터의 정보 요청을 판별하여 해당 정보가 상기 캐시 또는 상기 메인서버부(400)로부터 제공되도록 하는 기능을 수행할 수 있다. 즉, 상기 캐시서버부(240)는 요청된 정보가 상기 데이터베이스부(210)에 존재하면 상기 클라이언트부(300)가 상기 데이터베이스부(210)로부터 해당 정보를 제공 받을 수 있도록 하고, 그렇지 않으면 상기 클라이언트부(300)가 상기 캐시서버부(240)를 통하여 상기 메인서버부(400)에 액세스하여 해당 정보를 제공 받을 수 있도록 하는 기능인 캐싱 기능을 수행할 수 있다. 상기 캐시서버부(240)는 상기 서비스거부공격 대응부(200) 내의 독립된 서버로서 구현될 수도 있지만, 상기 서비스거부공격 대응부(200) 내의 프로그램 모듈로서 구현될 수도 있는 것을 특징으로 한다.
또한, 상기 캐시서버부(240)는 서비스거부공격에 대한 효율적인 대응을 위하여 정상 트래픽과 의심 트래픽을 분리하여 처리할 수 있는데, 이를 위하여 상기 캐시서버부(240)는 정상 트래픽을 처리할 수 있는 제1캐싱엔진부(241) 및 의심 트래픽을 처리할 수 있는 제2캐싱엔진부(242)로 구성되는 것을 특징으로 한다.
상기 통신부(250)는 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230) 및 상기 캐시서버부(240)로부터 데이터 송수신이 가능한 것을 특징으로 한다.
상기 제어부(260)는 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230), 상기 캐시서버부(240) 및 상기 통신부(250) 간의 데이터의 흐름을 제어하는 기능을 수행하는 것을 특징으로 한다. 또한, 상기 제어부(260)는 상기 서비스거부공격 대응부(200)의 각 구성요소 간의 데이터의 흐름을 제어함으로써 상기 데이터베이스(210), 상기 공격탐지부(220), 상기 부하분산부(230), 상기 캐시서버부(240) 및 상기 통신부(250)에서 각각 고유 기능을 수행하도록 제어하는 것을 특징으로 한다.
도 4를 참조하면 본 발명에 따른 SDN에서의 DoS 공격 방어시스템이 작동되는 알고리즘은 다음과 같다. 본 발명에서는 SDN기술과 sFlow기술을 이용하여 SYN 플러딩(Flooding)공격 방어방법이 적용된다. SDN구조의 3계층은 통신을 위한 프로토콜이 필요하다. 상기 프로토콜에는 어플리케이션과 컨트롤러 사이의 노스바운드(Northbound)API, 컨트롤러와 디바이스 사이의 사우스바운드(Southbound)API가 있다. 본 발명에서 제안하는 알고리즘은은 상기 노스바운드API로 플러드라이트(Floodlight), 오픈데이라이트(OpenDaylight)와 같은 오픈소스 컨트롤러에서 이용하는 레스트(REST)API를 사용하였고 상기 사우스바운드API로는 오픈플로우(OpenFlow) 프로토콜을 사용하였다.
어플리케이션 레이어(Application layer)에 상기 SYN 플러딩 방어 어플리케이션을 구현하였고, 상기 어플리케이션과 콘트롤 레이어(Control layer)의 오픈플로우 컨트롤러와 레스트API를 통해 연결한다. 인프라스트럭쳐 레이어(Infrastructure layer)의 네트워크 디바이스는 상기 오픈플로우 프로토콜을 사용하여 컨트롤러와 연결한다. 상기 네트워크 디바이스에 sFlow 에이전트(agent)를 구성하고 sFlow 콜렉터(collector)는 상기 어플리케이션과 상기 레스트API를 통해 통신한다.
전술한 내용에 대하여 시계열적인 순서로 정리하면 다음과 같다.
#모니터링 시작(S100)
서버는 자신의 백로그큐를 검사하고 70%이상 점유되면 이를 위험단계로 판단하고 모니터링을 위해 sFlow를 동작시킨다.
#샘플링 된 패켓 전송(S200)
네트워크 디바이스에 설치된 sFlow 에이전트는 샘플링 된 패켓을 sFlow 콜렉터로 전송한다.
#공격자 판별(S300)
상기 sFlow 콜렉터는 특정 출발지 주소에서 상기 백로그큐를 점유하기 위해 다량의 SYN 패켓을 송신하는 것을 탐지하여 이를 공격자로 판단하고 어플리케이션에 알린다.
#네트워크 디바이스의 플로우 테이블 변경(S400)
어플리케이션은 컨트롤러에게 공격자로 판별된 주소에서 오는 패켓을 차단하기 위한 플로우 테이블을 설정한다.
#공격패켓 차단(S500)
컨트롤러는 전체 네트워크 디바이스의 공격자 주소에서 송신되는 패켓을 차단하라는 플로우 테이블을 설정하여 공격 패켓을 차단한다.
상기 SYN 플러딩 공격 탐지를 위하여 모니터링 프로그램인 sFlow를 사용하고 각 스위치에 sFlow 에이전트를 두어 부가적인 장비를 설치하지 않고 탐지 범위를 컨트롤러가 담당하는 네트워크 부분으로 확대하였다. 일반 이용자도 서버와 TCP 통신을 하기 위한 SYN 패켓을 보내기 때문에 일반 이용자와 공격자를 구별하여 공격자의 패켓만 차단하여야 일반 이용자의 정상적인 TCP 통신이 가능하다. 공격자를 탐지하기 위한 기준은 수식(1)과 같다.
Figure 112016009471709-pat00001
... 수식(1)
x는 백로그큐(Backlog queue) 공간의 최소값, n은 서버와 TCP연결을 수행하는 클라이언트 수, l은 sFlow 에이전트가 설치된 스위치 수, Pi는 스위치에서 탐지된 특정 출발지 주소에서 전송된 초당 패켓 수, S는 전체 백로그큐의 공간, C는 SYN 패켓 하나가 TCP 연결을 위해 대기하는데 필요한 백로그큐의 공간이다. 모니터링은 백로그큐가 70%이상 점유되었을 때 수행되므로 남아있는 30%공간 중 차단 시 소요되는 x%공간을 제외한 (30-x)% 만큼의 백로그큐를 TCP 연결에 사용할 수 있다. 이를 백로그큐가 허용할 수 있는 SYN 패켓의 수인 S/C와 곱하면 남아있는 공간에서 허용할 수 있는 초당 SYN 패켓의 값을 구할 수 있고 이를 TCP 연결을 수행하는 클라이언트의 수인 n으로 나누면 클라이언트 하나당 할당할 수 있는 SYN 패켓 수를 구할 수 있다. 봇넷은 백로그큐를 점유하기 위해 일반 클라이언트보다 많은 수의 SYN 패켓을 송신한다. 따라서 이 값을 초과하면 이때의 출발지 주소를 봇넷의 주소로 판단하고, 이를 차단하기 위해 SYN 플러딩 방어 어플리케이션에 레스트API를 통해 알린다. 상기 SYN 플러딩 방어 어플리케이션은 상기 레스트API를 통해 오픈플로우 컨트롤러가 각 스위치의 플로우 테이블에 공격자의 출발지 주소를 가진 패켓을 차단하도록 설정한다. 상기 SYN 플러딩 방어 어플리케이션은 sFlow 콜렉터와 컨트롤러 사이에서 레스트API를 이용하여 네트워크 트래픽 변화를 탐지하고 컨트롤러가 플로우 테이블을 변경하도록 한다.
전술한 내용에 대하여 시계열적인 순서로 정리하면 다음과 같다.
#주소 그룹 정의(S600)
주소 그룹을 트래픽을 구별하기 위해 설정한다. 내부주소는 트래픽이 목적지로 가지는 서버주소로 설정하고 외부주소는 내부주소를 제외한 외부에서 공격이 가능한 주소로 정의한다.
#플로우 정의(S700)
플로우의 키(key)는 샘플링 된 패켓의 출발지 주소를 이용하여 공격을 판별하기 위해 출발지 주소로 적용하고 밸류(value)는 패켓의 수를 이용하기 위해 프레임(frame)으로 설정하고 필터(filter)는 SYN 패켓을 적용한다.
#임계치 정의(S800)
공격을 판별하기 위해 초당 패켓 수의 임계치를 정의한다.
#임계치 이벤트 수신(S900)
sFlow 콜렉터에 의해 임계치를 초과하는 이벤트를 수신한다.
#패켓 차단(S1000)
오픈플로우 컨트롤러에게 외부 공격자로부터 온 트래픽을 차단하도록 지시한다.
#차단 해제(S1100)
플로우 테이블의 엔트리가 낭비되는 것을 막기 위해 20초가 지나고 난 후 플로우 테이블의 엔트리를 제거하고 공격자가 다시 공격을 시작하면 새로운 이벤트가 생성되어 다시 차단 명령을 수행한다.
이상 본 발명의 실시예에 따른 도면을 참조하여 설명하였지만, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면 상기 내용을 바탕으로 본 발명의 범주 내에서 다양한 응용, 변형 및 개작을 행하는 것이 가능할 것이다. 이에, 본 발명의 진정한 보호 범위는 첨부된 청구 범위에 의해서만 정해져야 할 것이다.

Claims (5)

  1. SDN에서의 DoS공격 방어시스템에 있어서,
    유무선 데이터 교환이 이루어지는 통신망(100);
    상기 통신망(100) 상에서 수집된 데이터 정보에 대한 전체 트래픽을 실시간으로 모니터링하여 서비스 거부 공격 발생을 감지하는 서비스거부공격 대응부(200);
    상기 서비스거부공격 대응부(200)에 접속하여 통신 가능한 기능과 메모리 및 마이크로 프로세서를 탑재하여 연산 가능한 기능이 구비된 클라이언트부(300);
    상기 서비스거부공격 대응부(200)와 상기 클라이언트부(300)와 통신을 수행하고 통신 프로토콜 및 암호화 정보를 제공하는 메인서버부(400);로 구성되고,
    상기 서비스거부공격 대응부(200)에서는 서비스 거부 공격의 규모 내지는 범위에 따라 상기 통신망(100)의 상태를 여러 단계로 구분하여 각 단계별로 정상 트래픽과 의심 트래픽을 처리하는 방법에 변화를 줌으로써, 정상 트래픽에 대한 영향을 최소화하는 서비스 거부 공격 대응이 수행되도록 하는 것을 특징으로 하는 방어시스템.
  2. 제 1 항에 있어서,
    상기 서비스거부공격 대응부(200)는 상기 통신망(100) 상에서 수집되는 정보를 캐시로서 저장하는 데이터베이스부(210);
    상기 통신망(100) 상에서 의심 트래픽을 발생시키는 의심 클라이언트정보를 실기간으로 모니터링하는 공격탐지부(220);
    글로벌 로드 밸런싱 기능과 트래픽 부하를 분산시키는 기능이 구비된 부하분산부(230);
    상기 통신망(100) 상에서 수집된 데이터 정보를 수집하여 분류하고 캐시로 저장하며 정상 트래픽을 처리하는 제1캐싱엔진부(241);와 의심 트래픽을 처리하는 제2캐싱엔진부(242);로 구성되는 캐시서버부(240);
    상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230) 및 상기 캐시서버부(240)와 데이터 송수신이 가능하도록 하는 통신부(250);
    상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230), 상기 캐시서버부(240) 및 상기 통신부(250) 간의 데이터 흐름을 제어하는 제어부(260);로 구성되는 것을 특징으로 하는 방어시스템.
  3. 제1항의 SDN에서의 DoS공격 방어시스템으로 SDN에서의 DoS공격 방어를 수행하는 SDN에서의 DoS공격 방어방법에 있어서,
    백로그큐를 검사하고 70%이상 점유되면 이를 위험단계로 판단하고 모니터링을 위해 sFlow를 동작시키는 모니터링 시작단계(S100);
    sFlow 에이전트가 샘플링 된 패켓을 sFlow 콜렉터로 전송하는 샘플링 패켓 전송단계(S200);
    상기 sFlow 콜렉터가 다량의 SYN 패켓을 송신하는 것을 탐지하여 공격자를 판단하고 어플리케이션에 알리는 공격자 판별단계(S300);
    상기 공격자로 판별된 주소에서 오는 패켓을 차단하기 위한 플로우 테이블을 설정하는 네트워크 디바이스의 플로우 테이블 변경단계(S400);
    상기 공격자 주소에서 송신되는 패켓을 차단하는 상기 플로우 테이블을 설정하여 공격 패켓을 차단하는 공격패켓 차단단계(S500);
    트래픽 구별을 위하여 내부주소는 트래픽이 목적지로 가지는 서버주소로 설정하고 외부주소는 내부주소를 제외한 외부에서 공격이 가능한 주소로 정의하는 주소 그룹 정의 단계(S600);
    샘플링 된 패켓의 출발지 주소를 이용하여 공격을 판별하도록 출발지 주소로 적용하고, 밸류는 패켓의 수를 이용하기 위해 프레임으로 설정하며 필터는 SYN 패켓을 적용하는 플로우 정의단계(S700);
    공격을 판별하기 위해 초당 패켓 수의 임계치를 정의하는 임계치 정의단계(S800);
    상기 sFlow 콜렉터에 의해 임계치를 초과하는 이벤트를 수신하는 임계치 이벤트 수신단계(S900);
    오픈플로우 컨트롤러에게 외부 공격자로부터 온 트래픽을 차단하도록 지시하는 패켓 차단단계(S1000);
    상기 플로우 테이블의 엔트리가 낭비되는 것을 막기 위해 상기 플로우 테이블의 엔트리를 제거하고 상기 공격자가 공격을 재개하면 새로운 이벤트가 생성되어 다시 차단 명령을 수행하는 차단 해제단계(S1100);를 포함하는 것을 특징으로 하는 방어방법.
  4. 제 3 항에 있어서,
    상기 공격자를 탐지하기 위한 정량적인 기준은,
    Figure 112016009471709-pat00002
    ... 수식(1)
    상기 수식(1)을 이용하여 판단할 수 있고, 여기서 x는 백로그큐 공간의 최소값, n은 서버와 TCP연결을 수행하는 클라이언트 수, l은 sFlow 에이전트가 설치된 스위치 수, Pi는 스위치에서 탐지된 특정 출발지 주소에서 전송된 초당 패켓 수, S는 전체 백로그큐의 공간, C는 SYN 패켓 하나가 TCP 연결을 위해 대기하는데 필요한 백로그큐의 공간인 것을 특징으로 하는 방어방법.
  5. 제 3 항에 있어서,
    상기 백로그큐가 70%이상 점유되었을 때 수행되므로 남아있는 30%공간 중 차단 시 소요되는 x%공간을 제외한 (30-x)% 만큼의 백로그큐를 TCP 연결에 사용할 수 있고 상기 백로그큐가 허용할 수 있는 SYN 패켓의 수와 곱하면 남아있는 공간에서 허용할 수 있는 초당 SYN 패켓의 값을 구할 수 있으며 상기 TCP 연결을 수행하는 클라이언트의 수인 n으로 나누면 상기 클라이언트 하나당 할당할 수 있는 SYN 패켓 수를 구할 수 있는 것을 특징으로 하는 방어방법.
KR1020160010691A 2016-01-28 2016-01-28 SDN에서의 DoS공격 방어시스템 및 이의 구현방법 KR101812403B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160010691A KR101812403B1 (ko) 2016-01-28 2016-01-28 SDN에서의 DoS공격 방어시스템 및 이의 구현방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160010691A KR101812403B1 (ko) 2016-01-28 2016-01-28 SDN에서의 DoS공격 방어시스템 및 이의 구현방법

Publications (2)

Publication Number Publication Date
KR20170090161A KR20170090161A (ko) 2017-08-07
KR101812403B1 true KR101812403B1 (ko) 2018-01-30

Family

ID=59654073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160010691A KR101812403B1 (ko) 2016-01-28 2016-01-28 SDN에서의 DoS공격 방어시스템 및 이의 구현방법

Country Status (1)

Country Link
KR (1) KR101812403B1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101917062B1 (ko) 2017-11-02 2018-11-09 한국과학기술원 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램
CN108566278B (zh) * 2018-03-21 2020-04-14 北京金堤科技有限公司 数据合作的方法及装置
CN108712364B (zh) * 2018-03-22 2021-01-26 西安电子科技大学 一种sdn网络的安全防御系统及方法
WO2020111456A1 (ko) * 2018-11-26 2020-06-04 숭실대학교산학협력단 Sdn 네트워크의 tcp 세션 생성 방법 및 그 방법이 적용된 sdn 네트워크
CN110213115B (zh) * 2019-06-25 2022-04-22 南京财经大学 一种多网络攻击下事件驱动网络控制系统的安全控制方法
CN110336815B (zh) * 2019-07-04 2024-06-07 深圳前海微众银行股份有限公司 基于区块链的攻击防御方法、装置、设备及可读存储介质
CN111835725B (zh) * 2020-06-12 2021-08-13 北京邮电大学 一种sdn控制器集群的网络攻击应对方法
WO2022092788A1 (en) 2020-10-29 2022-05-05 Samsung Electronics Co., Ltd. Methods and system for securing a sdn controller from denial of service attack
CN113467332B (zh) * 2021-07-28 2022-05-20 南京市初仁智能科技有限公司 拒绝服务攻击下信息物理系统的事件触发控制器设计方法
CN114021135B (zh) * 2021-11-15 2024-06-14 湖南大学 一种基于R-SAX的LDoS攻击检测与防御方法
KR102491738B1 (ko) * 2022-01-28 2023-01-26 동서대학교 산학협력단 SDN에서의 분산형 DoS공격 방어방법
CN114584623B (zh) * 2022-03-10 2024-03-29 广州方硅信息技术有限公司 流量请求清理方法、装置、存储介质以及计算机设备
CN115664740B (zh) * 2022-10-17 2024-07-23 济南大学 基于可编程数据平面的数据包转发攻击防御方法及系统
CN117097575B (zh) * 2023-10-20 2024-01-02 中国民航大学 一种基于跨层协同策略的低速率拒绝服务攻击防御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Nayana Y 외 2명, "DDoS Mitigation using Software Defined Network", International Journal of Engineering Trends and Technology (IJETT) - Volume 24 Number 5 (2015.06.)
이윤기 외 3명, "SDN을 위한 샘플링 기반 네트워크 플러딩 공격 탐지/방어 시스템", KISM Smart Media Journal, Vol.4, No.4, 스마트미디어저널 (2015.12.)

Also Published As

Publication number Publication date
KR20170090161A (ko) 2017-08-07

Similar Documents

Publication Publication Date Title
KR101812403B1 (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
Mishra et al. Defense mechanisms against DDoS attack based on entropy in SDN-cloud using POX controller
Gao et al. Detection and mitigation of DoS attacks in software defined networks
Imran et al. Toward an optimal solution against denial of service attacks in software defined networks
Choi et al. A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment
Deng et al. DoS vulnerabilities and mitigation strategies in software-defined networks
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
US9749340B2 (en) System and method to detect and mitigate TCP window attacks
Ubale et al. Survey on DDoS attack techniques and solutions in software-defined network
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
US20160294871A1 (en) System and method for mitigating against denial of service attacks
Tayfour et al. Collaborative detection and mitigation of distributed denial-of-service attacks on software-defined network
Monshizadeh et al. Detection as a service: An SDN application
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
Dridi et al. A holistic approach to mitigating DoS attacks in SDN networks
Xu et al. DDoS attack in software defined networks: a survey
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
KR100769221B1 (ko) 제로데이 공격 대응 시스템 및 방법
Dayal et al. Analyzing effective mitigation of DDoS attack with software defined networking
KR20200109875A (ko) 유해 ip 판단 방법
Beltrán-García et al. IoT botnets
Jeyanthi et al. Escape-on-sight: an efficient and scalable mechanism for escaping ddos attacks in cloud computing environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant