KR101918441B1 - 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 - Google Patents

의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101918441B1
KR101918441B1 KR1020180005645A KR20180005645A KR101918441B1 KR 101918441 B1 KR101918441 B1 KR 101918441B1 KR 1020180005645 A KR1020180005645 A KR 1020180005645A KR 20180005645 A KR20180005645 A KR 20180005645A KR 101918441 B1 KR101918441 B1 KR 101918441B1
Authority
KR
South Korea
Prior art keywords
traffic
drdos
iot
attack
network
Prior art date
Application number
KR1020180005645A
Other languages
English (en)
Inventor
김경백
뉘엔 신-녹
최진태
Original Assignee
전남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전남대학교산학협력단 filed Critical 전남대학교산학협력단
Priority to KR1020180005645A priority Critical patent/KR101918441B1/ko
Application granted granted Critical
Publication of KR101918441B1 publication Critical patent/KR101918441B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DRDoS의 증폭된 공격 트래픽이 생성되는 것을 미연에 방지하기 위해, SDN 기반의 IoT 게이트웨이 서브 네트워크의 트래픽 정보에서 생성한 조정 가능한 샘플링 율 및 탐지 임계값을 이용하여, DRDoS 공격 트래픽이 증폭되기 전 단계인 DRDoS 공격 요청 트래픽을 탐지함으로써 네트워크의 혼잡과 DRDoS의 공격 영향을 감소시키는 방법 및 시스템이 제공된다. 본 발명의 실시예에 따른 DRDoS 공격 요청 트래픽 탐지 방법은 IoT 게이트웨이를 통해, IoT 네트워크의 트래픽을 수집하는 단계; 및 수집된 트래픽을 분석하여, DRDoS 공격 요청을 탐지하는 단계;를 포함한다.
이에 의해, IoT 서브 네트워크의 상황에 따라 샘플링 율과 탐지 임계값을 조정함으로써 작은 크기의 DRDoS 공격 요청 트래픽을 탐지하여 추후에 증폭되는 DRDoS 공격의 영향을 줄일 수 있으며, 이를 통해 DRDoS 증폭 공격에 대한 희생자의 피해 및 네트워크의 혼잡 또한 예방할 수 있다.

Description

의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템{Method and System for DRDoS Request Detection based on Suspicious Traffic Adaptive Threshold}
본 발명은 네트워크 보안 기술에 관한 것으로, 더욱 상세하게는 DRDoS 공격으로 인한 네트워크 혼잡 뿐만 아니라 DRDoS의 공격 영향력을 약화시킬 수 있는 방법 및 시스템에 관한 것이다.
DRDoS(Distributed Reflect Denial of Service)란 분산 반사 서비스 거부 공격으로, DDoS에서 한 단계 더 진화한 형태의 DoS 공격이다. DRDoS 공격은 기존의 DoS 공격처럼 DoS에 감염된 머신에서 직접 희생자를 공격 하는 방법이 아닌 반사 매체를 통하여 공격하는 새로운 DoS 공격 기법이다. 이 공격은 DRDoS에 감염된 디바이스가 source ip를 희생자의 ip로 스푸핑한 공격 요청 패킷을 반사 서버에 전송함으로써 시작된다. 이러한 공격 요청 패킷을 전송받은 반사 서버는 공격 요청에 대한 증폭된 응답을 희생자에게 전송하는데, 패킷의 크기가 적게는 8배에서 크게는 70배 이상으로 증폭되어 전송된다. 때문에, 다수의 작은 크기의 공격 요청 패킷으로 인해 증폭된 공격 트래픽은 네트워크 서비스에 매우 치명적일 수 있다. 이러한 공격 방식으로는 DNS 증폭 공격, NTP 증폭 공격 등이 있다.
DNS(Domain Name Service) 증폭 공격은 DRDoS에 감염된 머신에서 source ip를 희생자의 ip로 스푸핑하여 Open Recurisve DNS 서버에 쿼리를 요청하면서 시작된다. Open Recurisve DNS는 재귀적 질의가 설정되어 있는 서버를 말한다. 재귀적 질의란 요청한 도메인 이름이 자신의 서버에 없을 경우 상위 DNS 서버에 정보를 요청하는 작업을 말하는데, 정보를 얻지 못할 경우 계속해서 상위 DNS 서버에 요청하게 된다. 이 때 쿼리 타입을 "ANY"로 설정한다면 다양한 타입의 레코드를 요청하게 되어 응답하는 양이 많아진다. 이에 따라 여러 디바이스가 DNS 서버에 동시에 공격 요청을 하게 되면 이러한 공격 요청 패킷들은 증폭된 많은 수의 응답패킷이 되어 희생자에게 전송된다. 이로 인해 희생자는 네트워크 자원의 가용성이 확보되지 않아 인터넷 서비스 이용이 불가능해진다.
NTP(Network Time Protocol) 증폭 공격은 공개된 NTP 서버를 통해 증폭된 UDP 패킷을 희생자에게 발송하여 희생자가 정상적인 인터넷 서비스를 사용하지 못하게 하는 공격이다. 여기서 NTP는 네트워크를 통해 컴퓨터 시스템 간의 시간 동기화를 위해 사용되는 인터넷 프로토콜을 뜻한다. 하지만, 프로토콜이 정의 된지 오랜 시간이 지난 만큼 패킷 인증을 위한 암호화 서명이 되어 있지 않아 보안에 취약한 프로토콜이다. NTP 증폭 공격은 NTP 서버에 monlist 라는 이름의 명령어를 쿼리로 요청하여 최근 접속한 600개의 호스트 리스트를 응답 받을 수 있는데, 이 응답을 자신이 아닌 희생자의 디바이스로 전송하여 공격하는 기법이다.
이와 같은 DRDoS 공격의 출현과 함께 IoT 또한 대중화되면서 IoT 디바이스의 개체수가 점점 증가하고 있다. 하지만, 이러한 IoT 디바이스들은 제한된 성능으로 인해 보안 솔루션 설치 및 유지보수가 힘들어 보안에 매우 취약한 실정이다. 이는 DRDoS 공격자들이 봇으로 감염시킬 수 있는 좋은 목표물이 된다. 최근에는 이러한 IoT 디바이스를 이용하여 DRDoS 공격 요청 패킷을 전송하고 있다. 이와 같이 많은 수의 IoT 디바이스를 사용하여 DRDoS 공격 요청 패킷을 생성할 경우, 이 공격 요청 패킷을 전송받은 반사 서버는 매우 큰 용량을 가진 다수의 증폭된 트래픽을 생성하게 된다. 이로 인해 공격의 타겟인 희생자 뿐만 아니라 인터넷 네트워크에 매우 치명적인 악영향을 줄 수 있다.
최근에는 IoT를 이용한 DRDoS 공격의 문제를 해결하기 위해 성능 제한이 있는 IoT 디바이스 자체의 보안 솔루션에 초점을 맞추기 보다 IoT가 연결되어 있는 IoT 게이트웨이를 이용하여 문제를 해결하려는 움직임이 있다. 이러한 움직임은 SDN(Softerware Defined Network)이 나타나면서 시작됐다. SDN이란 네트워크의 컨트롤 평면과 데이터 평면을 물리적으로 분리한 것을 말하며, 하나의 컨트롤 평면이 한 개 이상의 장비를 컨트롤 할 수 있게 된다. 이러한 SDN이 갖는 특징적 구조로 인해 네트워크 컨트롤이 직접적으로 프로그램 가능해 졌으며 다양한 애플리케이션과 네트워크 서비스를 융합하여 새롭고 향상된 서비스를 제공할 수 있게 되었다. 이를 통해 네트워크의 트래픽 또는 플로우 제어가 가능해 졌으며, 이를 DRDoS 공격 탐지에 활용 할 수 있다.
DRDoS 공격의 문제를 해결하기 위해, 희생자단에서 이미 증폭된 대량의 DRDoS 공격 트래픽 탐지를 위한 샘플링 및 통계적 도구, 패턴 매칭 등의 기존의 방법이 있다.
하지만, 이러한 DRDoS 공격 트래픽이 증폭되기 전 단계인 DRDoS 공격 요청 트래픽은 증폭된 공격 트래픽에 비해 매우 작은 크기를 가지고 있으며 평범한 트래픽과 비슷하기 때문에 위 방법들로 DRDoS 공격 요청 트래픽을 탐지하는 것은 매우 어렵다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, DRDoS의 증폭된 공격 트래픽이 생성되는 것을 미연에 방지하기 위해, SDN 기반의 IoT 게이트웨이 서브 네트워크의 트래픽 정보에서 생성한 조정 가능한 샘플링 율 및 능동형 탐지 임계값을 이용하여, DRDoS 공격 트래픽이 증폭되기 전 단계인 DRDoS 공격 요청 트래픽을 탐지함으로써 네트워크의 혼잡과 DRDoS의 공격 영향을 감소시키는 방법 및 시스템을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, DRDoS 공격 요청 트래픽 탐지 방법은 IoT 게이트웨이를 통해, IoT 네트워크의 트래픽을 수집하는 단계; 및 수집된 트래픽을 분석하여, DRDoS 공격 요청을 탐지하는 단계;를 포함한다.
탐지 단계는, 반사 서버로 전달되는 DRDoS 공격 요청을 탐지하는 것일 수 있다.
IoT 게이트웨이는, SDN 기반 IoT 게이트웨이이고, 수집 단계는, SDN 컨트롤러에서 지정한 정책에 따라 트래픽을 선택적으로 수집하는 것일 수 있다.
탐지 단계는, 타임 윈도우 마다 트래픽 크기를 관측하고, 관측된 트래픽 크기를 임계값과 비교하여, DRDoS 공격 요청을 탐지하는 것일 수 있다.
본 발명에 따른 DRDoS 공격 요청 트래픽 탐지 방법은 타임 윈도우, 트래픽 크기를 관측하기 위한 샘플링 율 및 임계값을 업데이트 하는 단계;를 더 포함할 수 있다.
본 발명에 따른 DRDoS 공격 요청 트래픽 탐지 방법은 IoT 게이트웨이로부터, IoT 네트워크의 설정정보를 전달받는 단계;를 더 포함하고, 업데이트 단계는, 설정정보를 기초로 업데이트를 수행하는 것일 수 있다.
관측된 트래픽 크기 So은, 다음의 식과 같고,
So = (αh + βPh)τtw
α는 정당한 호스트의 평균 패킷 전송률이며, h는 IoT 네트워크의 호스트 수이고, β는 감염된 호스트의 평균 패킷 전송률이며, P는 호스트가 감염될 확률이고, τ는 샘플링 율이며, tw는 타임 윈도우일 수 있다.
샘플링 율 τ은, 다음의 식과 같고,
Figure 112018005295600-pat00001
Cd는 샘플러의 샘플링 용량일 수 있다.
업데이트 단계는, 관측된 트래픽 크기를 기초로, 임계값을 업데이트하는 것일 수 있다.
업데이트 단계는, 관측된 트래픽 크기가 임계값 보다 작으면, 임계값을 업데이트하는 단계;를 포함할 수 있다.
본 발명에 따른 DRDoS 공격 요청 트래픽 탐지 방법은 업데이트 단계는, 관측된 트래픽 크기가 임계값 이상이면, 임계값을 유지하는 단계;를 더 포함할 수 있다.
임계값 θ는, 다음의 식과 같고,
θ = αhτtw(1+δ)
α는 정당한 호스트의 평균 패킷 전송률이며, h는 IoT 네트워크의 호스트 수이고, τ는 샘플링 율이며, tw는 타임 윈도우이고, δ는 마진일 수 있다.
트래픽은, DNS 트래픽과 NTP 트래픽을 포함할 수 있다.
한편, 본 발명의 다른 실시예에 따른, DRDoS 공격 요청 트래픽 탐지 시스템은 IoT 네트워크의 트래픽을 수집하는 IoT 게이트웨이; 및 수집된 트래픽을 분석하여, DRDoS 공격 요청을 탐지하는 탐지 모듈;을 포함한다.
본 발명에 따른 DRDoS 공격 요청 트래픽 탐지 시스템은 타임 윈도우, 트래픽 크기를 관측하기 위한 샘플링 율 및 임계값을 업데이트 하는 업데이트 모듈;을 더 포함하고, 탐지 모듈은, 타임 윈도우 마다 트래픽 크기를 관측하고, 관측된 트래픽 율을 임계값과 비교하여, DRDoS 공격 요청을 탐지하는 것일 수 있다.
이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, IoT 서브 네트워크의 상황에 따라 샘플링 율과 탐지 임계값을 조정함으로써 작은 크기의 DRDoS 공격 요청 트래픽을 탐지하여 추후에 증폭되는 DRDoS 공격의 영향을 줄일 수 있으며, 이를 통해 DRDoS 증폭 공격에 대한 희생자의 피해 및 네트워크의 혼잡 또한 예방할 수 있다.
또한, 본 발명의 실시예들에 따르면, 대부분 저 사양인 IoT 디바이스에 직접 보안 솔루션을 설치하는 대신, IoT 게이트웨이 단에서 DRDoS를 탐지함으로써 IoT 디바이스에 비교적 무거운 보안 프로그램을 설치하는 부담을 줄일 수 있다.
또한, 본 발명의 실시예들에 따르면, 각 네트워크의 상황에 따라 적절한 샘플링 율과 정당한 트래픽에 대한 임계값을 조정 할 수 있기 때문에 각 네트워크 마다 유연한 탐지 및 대처가 가능하다.
도 1은 본 발명의 일 실시예에 따른 DRDoS 공격 요청 트래픽 탐지를 위한 네트워크 시스템 구성도,
도 2는, 도 1에 도시된 SDN 기반 IoT 게이트웨이의 상세 구성도,
도 3은, 도 1에 도시된 SDN 컨트롤러의 상세 구성도,
도 4는, 도 1에 도시된 임계값 업데이트 모듈의 상세 구성도,
도 5는, 도 1에 도시된 DRDoS 공격 요청 탐지 모듈의 상세 구성도,
도 6은 탐지 임계값 업데이트 과정을 나타내는 흐름도, 그리고,
도 7은 정당한 트래픽과 악의적인 트래픽을 가시적으로 구분할 수 있도록 나타낸 그래프이다.
DRDoS 공격 요청 트래픽을 탐지할 수 있다면 DRDoS 공격을 초기에 방어할 수 있는 시스템을 구현할 수 있는데, DRDoS 공격 요청 트래픽이 반사 서버에 도착하여 매우 큰 용량의 치명적인 트래픽으로 증폭되는 것을 방지 할 수 있어, 희생자에게 치명적인 DRDoS 공격의 영향력을 약화시킬 수 있으며, 네트워크의 혼잡 또한 방지할 수 있다.
이에, 본 발명의 실시예에서는, 추후에 영향력이 큰 공격을 생성할 수 있는 작은 크기의 DRDoS 공격 요청 트래픽을, 소프트웨어 정의 네트워크(SDN) 기반의 IoT 게이트웨이 환경에서 조정 가능한 샘플링 율 및 탐지 임계값을 이용하여 DRDoS 공격 영향이 증폭되기 전에 탐지함으로써, DRDoS 공격으로 인한 네트워크 혼잡 뿐만 아니라 DRDoS의 공격 영향력을 약화시킬 수 있는 방법 및 시스템을 제시한다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 DRDoS 공격 요청 트래픽 탐지 시스템을 나타내는 블록도이다. 본 발명의 실시예에 따른 DRDoS 공격 요청 트래픽 탐지 시스템은, 도 1에 도시된 바와 같이, SDN 컨트롤러(110), 임계값 업데이트 모듈(120), DRDoS 공격 요청 탐지 모듈(130) 및 SDN 기반 IoT 게이트웨이(150)을 포함하여 구축된다.
SDN 컨트롤러(SDN Controller)(110)는 모든 네트워크 동작의 뇌와 같은 장비로, 다른 모듈과 협력하며 네트워크의 모든 동작을 컨트롤한다.
임계값 업데이트 모듈(Threshold Update Module)(120)은 SDN 컨트롤러(110)로부터 전달받은 네트워크 설정정보를 통해 타임 윈도우, 샘플링 율, 임계값을 업데이트한다.
DRDoS 공격 요청 탐지 모듈(DRDoS Attack Request Detection Module)(130)은 트래픽을 분석하고 탐지 임계값 기반으로 DRDoS 공격 요청을 탐지한다.
IoT 네트워크(140)는 SDN 기반 IoT 게이트웨이(150)에 연결된 다양한 IoT 디바이스들의 네트워크를 의미한다.
SDN 기반 IoT 게이트웨이(SDN-based IoT Gateway)(150)는 SDN 기반 IoT 게이트웨이(150)를 경유하는 모든 트래픽을 SDN 컨트롤러(110)에서 지정한 정책에 따라 선택적으로 수집할 수 있다. SDN 기반 IoT 게이트웨이(150)는 서브 네트워크의 트래픽이 모이는 라우터, 스위치 등의 네트워크 장비일 수 있다.
도 2는, 도 1에 도시된 SDN 기반 IoT 게이트웨이(150)의 상세 구성도이다. SDN 기반 IoT 게이트웨이(150)는, 도 2에 도시된 바와 같이, 네트워크 정책 테이블(Network Policy Table)(151) 및 트래픽 수집 모듈(Traffic Collecting Module)(152)을 포함하는데, 이들은 소프트웨어로 구현가능하다.
통상적으로, 모든 IoT 네트워크(140)의 트래픽은 IoT 게이트웨이(150)를 거쳐 인터넷(160) 상으로 전달된다. 이러한 점에 착안하여, SDN 기반 IoT 게이트웨이(150)에 SDN 컨트롤러(110)와 연동할 수 있는 SDN 스위치를 설치한다. 이는 네트워크 정책 테이블(151)을 사용할 수 있도록 하며, 특정한 종류의 프로토콜이 트래픽 탐지 모듈(152)에서 수집될 수 있도록 SDN 컨트롤러(110)에서 지정한 네트워크 정책(151)을 필터로 적용한다.
예를 들어, 도 2에 도시된 바와 같이, 정책은 DNS 프로토콜이며, 패킷의 길이가 64byte이고, 10.0.0.0 도메인이며, source ip 10.0.0.2를 가진 패킷을 수집할 수 있다.
또한, SDN 기반 IoT 게이트웨이(150)에서는 패킷의 MAC 주소를 스캐닝하여 IoT 네트워크(140)를 탐지할 수 있다. 이를 통해 얼마나 많은 호스트가 현재 IoT 네트워크(140)에 존재하는지 알 수 있다. 이러한 정보는 SDN 컨트롤러(110)에 전달된다.
도 3은, 도 1에 도시된 SDN 컨트롤러(110)의 상세 구성도이다. SDN 컨트롤러(110)는 다른 모듈들과 협력하여 네트워크 동작을 제어한다. 이와 같은 기능을 수행하는 SDN 컨트롤러(110)는, 도 3에 도시된 바와 같이, 정책 생성부(Policy Generator)(111) 및 네트워크 설정정보 수신부(Network Configuration Receiver)(112)를 포함하며, 이들은 소프트웨어로 구현가능하다.
정책 생성부(111)는 특정 프로토콜을 필터링하기 위한 정책을 생성하여 IoT 게이트웨이(150)에 제공한다. 또한, 네트워크 설정정보 수신부(112)는 네트워크 상태를 확인하기 위해 IoT 게이트웨이(150)에서 네트워크 설정정보를 수신한다.
도 4는, 도 1에 도시된 임계값 업데이트 모듈(120)의 상세 구성도이다. 임계값 업데이트 모듈(120)은, SDN 컨트롤러(110)로부터 전달받은 네트워크 상태에 따라 다음 타임 윈도우(Time Window), 샘플링 율(Sampling Rate) 및 탐지 임계값(Threshold)을 계산하고, 계산 결과 값이 이전 값과 다르면 새로운 값으로 업데이트한다(121, 122, 123).
도 5는, 도 1에 도시된 DRDoS 공격 요청 탐지 모듈(130)의 상세 구성도이다. DRDoS 공격 요청 탐지 모듈(130)은, 도 5에 도시된 바와 같이, 샘플러들(131)과 임계값 기반 탐지 모듈(Threshold Based Detection Module)(132)을 포함하며, 샘플러들(131)에는 DNS 샘플러(DNS Sampler)와 NTP 샘플러(NTP Sampler)가 포함되는데, 이들은 소프트웨어로 구현가능하다.
DRDoS 공격 요청 탐지 모듈(130)은, 매 타임 윈도우 마다, 모니터링된 패킷의 개수를 세고, 이를 통해 DRDoS 공격 요청 패킷을 탐지한다. 샘플링 율, 임계값 같은 중요한 파라미터들은 호스트의 수와 네트워크에서 관측된 트래픽의 크기 등 현재 네트워크 설정의 변화에 따라 업데이트 된다.
샘플러들(131)은 SDN 기반 IoT 게이트웨이(150)가 전달한 관측된 트래픽을 임계값 업데이트 모듈(120)에서 업데이트된 샘플링 율 파라미터를 이용하여 샘플링한다. 이러한 트래픽 샘플은 주어진 타임 윈도우인 tw를 통해 관찰된 트래픽을 정형화함으로써 고정된 타임 윈도우의 샘플들로 나누어진다.
타임 윈도우인 tw, 샘플링 율인 τ는 모니터링된 트래픽의 정보와 함께 임계값 업데이트 모듈(120)에 의해 적용되고 업데이트된다. 이를 통해 트래픽들은 임계값 기반 탐지 모듈(132)로 보내진다.
관측되는 트래픽의 크기는 SDN 기반 IoT 게이트웨이(150)의 서브 네트워크의 호스트 수와 호스트들의 행동에 따라 달라진다. 관측된 트래픽은 정당한 트래픽과 악의적인 DRDoS 공격 요청 트래픽으로 구성된다.
기본적으로 정당한 트래픽은 호스트들의 수 h, 정당한 호스트의 평균 패킷 전송률 α로 나타낼 수 있다. 호스트의 수 h와 패킷 전송률의 평균 α는 SDN 기반 IoT 게이트웨이(150)에서 제공하는 네트워크 상태정보를 통해 SDN 컨트롤러(110)에서 추정할 수 있다.
예를 들어, 호스트의 수는 모니터링 되는 트래픽의 소스 맥주소를 카운팅 하여 추정할 수 있으며, 정당한 호스트의 평균 패킷 전송률 α는 오랜 시간 동안의 모니터링을 수행함으로써 추정할 수 있다.
악성 트래픽의 경우, 호스트가 봇으로 감염될 확률 P와 봇의 평균 패킷 전송률 β를 고려한다. P와 β는 공격이 시작되기 전에는 알 수 없다. 이러한 파라미터들을 사용하여 관측된 트래픽 비율 SR을 다음의 식 (1)로 정의할 수 있다.
SR = αh + βPh (1)
SDN 기반 IoT 게이트웨이(150)는 모니터링된 네트워크 트래픽을 미러링하여 DRDoS 공격 요청 탐지 모듈(130)의 샘플러들(131)로 전달한다. 샘플러들(131)은 샘플링 기법을 모니터링된 네트워크 트래픽에 적용한다. 샘플러들(131)의 샘플링 용량을 Cd로 가정하고, 관측된 트래픽의 샘플링 율 τ를 다음의 식 (2)로 정의한다.
Figure 112018005295600-pat00002
(2)
DRDoS 공격 요청 탐지 모듈(130)의 샘플러들(131)은 모니터링되는 트래픽을 수신하면 주어진 샘플링 율 τ를 이용하여 샘플링 하고, 각 타임 윈도우 tw 마다 샘플링된 네트워크 트래픽의 덩어리를 생성한다. 이에 따라 다음의 식 (3)과 같이 관측된 트래픽 So를 정의한다.
So = SRτtw = (αh + βPh)τtw (3)
임계값 기반 탐지 모듈(132)은 관측된 DRDoS 공격 요청 트래픽을 탐지한다. 탐지 임계값 θ는 조정 가능하며, IoT 네트워크(140)의 트래픽 정보를 바탕으로 임계값 업데이트 모듈(120)에서 관리한다.
각각의 샘플들은 현재 타임 윈도우의 탐지 임계값과 비교한다. 만약 현재의 관측된 트래픽이 탐지 임계값보다 작다면 정당한 트래픽을 의미한다. 다음 단계가 되면 현재 새로 관측된 트래픽의 정보를 이용하여 탐지 임계값을 업데이트 한다.
탐지 임계값을 넘을 경우에는 DRDoS 공격 요청 패킷으로 판단하여 공격 알람을 보내며, 이 임계값은 다음 트래픽을 탐지하기 위해 유지한다. 이는 탐지 임계값을 조정하기 위해 타당한 트래픽만 고려하기 때문이다.
임계값 기반 탐지 모듈(132)이 DRDoS 공격을 탐지할 경우에는 공격 이벤트에 대한 간단한 알림을 보낸다. 이러한 조정 가능한 특성에 따라, 본 발명의 실시예에 따른 방법은 다른 구성을 가진 IoT 네트워크에도 적용할 수 있다.
관측된 트래픽은 정당한 트래픽과 악성 DRDoS 공격 요청 트래픽으로 구성된다. 관측된 트래픽이 악성 트래픽을 소유하는지를 판단하기 위해 정당한 트래픽 파라미터를 사용하여 임계값을 설정한다. 임계값은 관측된 정당한 트래픽보다 커야 하며, 공격 트래픽을 탐지하기 위해 공격 트래픽의 일시적인 최고값 보다 작아야 한다. 이를 위해, 식 (4)를 탐지 임계값을 θ로 정의한다. δ는 정당한 트래픽이 악성 트래픽으로 판단되는 경우와 같은 잘못된 부정 탐지를 예방하기 위한 임계값의 마진을 제공한다. 이를 테면, δ를 0.1로 설정할 수 있다.
θ = αhτtw(1+δ) (4)
처음 시스템 동작 시에는 트래픽을 정상 트래픽으로 가정한다. 현재 트래픽의 임계값은 현재 관측된 트래픽의 정보를 이용하여 설정한다. 현재 타임 윈도우와 탐지 임계값을 이용하여 다음 관측된 트래픽을 탐지한다. 매 타임 윈도우 tw 마다 관측된 트래픽은 임계값과 비교되며, 관측된 트래픽이 임계값 보다 크면 탐지 모듈은 DRDoS 공격 요청 이벤트 발생을 알린다. 임계값은 또한 δ에 영향을 받는다. 이는 false-negative 탐지 예방을 위한 마진을 제공한다.
본 발명의 실시예에 따른 탐지 방법은 타임 윈도우의 관측된 트래픽을 이용하는데, 보통 타당한 트래픽은 짧은 기간에 많은 변화가 일어날 수 없다. 하지만, 공격이 일어난다면 관측된 트래픽은 일시적으로 최고치를 나타내어 많은 변화량을 보인다.
탐지 임계값 θ는 또한, 시간에 따라 변화하는 호스트의 수 h, 정당한 호스트의 평균 패킷 전송률 α과 같은 IoT 네트워크(140)의 상태에 영향을 받는다. 이러한 변화에 대응하기 위해 탐지 임계값을 업데이트한다. 이를 위해, 임계값 업데이트 모듈(120)은 매 타임 윈도우마다 SDN 컨트롤러(110)로부터 호스트의 수 h와 탐지 모듈(130)의 샘플러들(131)로부터 관측된 트래픽을 얻어 탐지 임계값 θ를 조정한다.
도 6은 탐지 임계값을 업데이트 하는 과정을 나타낸 흐름도이다. 먼저, 타임 윈도우 tw의 관측된 트래픽을 불러온다(S210). 그리고 현재의 탐지 임계값과 관측된 트래픽을 비교한다(S220).
만일 관측된 트래픽이 탐지 임계값보다 크다면 공격 요청이 일어난 것을 의미하며, 현재 탐지 임계값은 그대로 유지한다(S231). 관측된 트래픽이 현재 탐지 임계값보다 더 작다면 호스트 수와 관측된 트래픽 값을 이용하여 업데이트 한다(S232). 이 과정이 모두 수행된 후 다음 타임 윈도우로 넘어간다(S240).
도 7은 정당한 트래픽, DRDoS 공격 요청 트래픽, 타임 윈도우를 적용한 DRDoS 공격 요청 트래픽의 패킷 개수를 나타낸다. 이 그래프의 결과를 통해 있는 그대로의 공격 요청 패킷과 정당한 요청 트래픽의 값을 비교하여 탐지하는 것 보다 타임 윈도우를 적용하여 계산한 결과 값과 비교하였을 때 매우 큰 차이를 보인다. 이에, 임계값 업데이트 과정을 통해 설정된 임계값을 적용할 경우, 공격 요청 트래픽에 대한 이상 징후를 보다 적정하게 탐지할 수 있다.
한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
110 : SDN 컨트롤러(SDN Controller)
120 : 임계값 업데이트 모듈(Threshold Update Module)
130 : DRDoS 공격 요청 탐지 모듈(DRDoS Attack Request Detection Module)
140 : IoT 네트워크(IoT Network)
150 : SDN 기반 IoT 게이트웨이(SDN-based IoT Gateway)
160 : 인터넷(Internet)

Claims (15)

  1. IoT 게이트웨이로부터, IoT 네트워크의 설정정보를 전달받는 단계;
    설정정보를 기초로, 타임 윈도우, 트래픽 크기를 관측하기 위한 샘플링 율 및 임계값을 업데이트 하는 단계;
    IoT 게이트웨이를 통해, IoT 네트워크의 트래픽을 수집하는 단계; 및
    수집된 트래픽을 분석하여, DRDoS 공격 요청을 탐지하는 단계;를 포함하고,
    탐지 단계는,
    타임 윈도우 마다 트래픽 크기를 관측하고, 관측된 트래픽 크기를 임계값과 비교하여, DRDoS 공격 요청을 탐지하며,
    관측된 트래픽 크기 So은, 다음의 식과 같고,
    So = (αh + βPh)τtw
    α는 정당한 호스트의 평균 패킷 전송률이며, h는 IoT 네트워크의 호스트 수이고, β는 감염된 호스트의 평균 패킷 전송률이며, P는 호스트가 감염될 확률이고, τ는 샘플링 율이며, tw는 타임 윈도우인 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  2. 청구항 1에 있어서,
    탐지 단계는,
    반사 서버로 전달되는 DRDoS 공격 요청을 탐지하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  3. 청구항 1에 있어서,
    IoT 게이트웨이는,
    SDN 기반 IoT 게이트웨이이고,
    수집 단계는,
    SDN 컨트롤러에서 지정한 정책에 따라 트래픽을 선택적으로 수집하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 청구항 1에 있어서,
    샘플링 율 τ은, 다음의 식과 같고,
    Figure 112018079169803-pat00003

    Cd는 샘플러의 샘플링 용량인 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  9. 청구항 1에 있어서,
    업데이트 단계는,
    관측된 트래픽 크기를 기초로, 임계값을 업데이트하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  10. 청구항 9에 있어서,
    업데이트 단계는,
    관측된 트래픽 크기가 임계값 보다 작으면, 임계값을 업데이트하는 단계;를 포함하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  11. 청구항 10에 있어서,
    업데이트 단계는,
    관측된 트래픽 크기가 임계값 이상이면, 임계값을 유지하는 단계;를 더 포함하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  12. 청구항 11에 있어서,
    임계값 θ는, 다음의 식과 같고,
    θ = αhτtw(1+δ)
    α는 정당한 호스트의 평균 패킷 전송률이며, h는 IoT 네트워크의 호스트 수이고, τ는 샘플링 율이며, tw는 타임 윈도우이고, δ는 마진인 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  13. 청구항 1에 있어서,
    트래픽은,
    DNS 트래픽과 NTP 트래픽을 포함하는 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 방법.
  14. IoT 네트워크의 트래픽을 수집하는 IoT 게이트웨이;
    IoT 게이트웨이로부터, IoT 네트워크의 설정정보를 수신하는 컨트롤러;
    컨트롤러를 통해 전달받은 IoT 네트워크의 설정정보를 기초로, 타임 윈도우, 트래픽 크기를 관측하기 위한 샘플링 율 및 임계값을 업데이트 하는 업데이트 모듈; 및
    IoT 게이트웨이를 통해 수집된 트래픽을 분석하여, DRDoS 공격 요청을 탐지하는 탐지 모듈;을 포함하고,
    탐지 모듈은,
    타임 윈도우 마다 트래픽 크기를 관측하고, 관측된 트래픽 크기를 임계값과 비교하여, DRDoS 공격 요청을 탐지하며,
    관측된 트래픽 크기 So은, 다음의 식과 같고,
    So = (αh + βPh)τtw
    α는 정당한 호스트의 평균 패킷 전송률이며, h는 IoT 네트워크의 호스트 수이고, β는 감염된 호스트의 평균 패킷 전송률이며, P는 호스트가 감염될 확률이고, τ는 샘플링 율이며, tw는 타임 윈도우인 것을 특징으로 하는 DRDoS 공격 요청 트래픽 탐지 시스템.
  15. 삭제
KR1020180005645A 2018-01-16 2018-01-16 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 KR101918441B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180005645A KR101918441B1 (ko) 2018-01-16 2018-01-16 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180005645A KR101918441B1 (ko) 2018-01-16 2018-01-16 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101918441B1 true KR101918441B1 (ko) 2018-11-13

Family

ID=64397816

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180005645A KR101918441B1 (ko) 2018-01-16 2018-01-16 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101918441B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112118577A (zh) * 2020-09-18 2020-12-22 国网山东省电力公司青岛供电公司 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法
CN114095258A (zh) * 2021-11-23 2022-02-25 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质
CN114448901A (zh) * 2020-10-19 2022-05-06 北京金山云网络技术有限公司 流量削峰方法、装置、服务器、介质和电子设备
CN115987651A (zh) * 2022-12-26 2023-04-18 北京火山引擎科技有限公司 反射攻击防护方法、系统、介质和电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100284282A1 (en) * 2007-12-31 2010-11-11 Telecom Italia S.P.A. Method of detecting anomalies in a communication system using symbolic packet features

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100284282A1 (en) * 2007-12-31 2010-11-11 Telecom Italia S.P.A. Method of detecting anomalies in a communication system using symbolic packet features

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112118577A (zh) * 2020-09-18 2020-12-22 国网山东省电力公司青岛供电公司 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法
CN112118577B (zh) * 2020-09-18 2023-10-13 国网山东省电力公司青岛供电公司 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法
CN114448901A (zh) * 2020-10-19 2022-05-06 北京金山云网络技术有限公司 流量削峰方法、装置、服务器、介质和电子设备
CN114095258A (zh) * 2021-11-23 2022-02-25 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质
CN114095258B (zh) * 2021-11-23 2024-02-06 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质
CN115987651A (zh) * 2022-12-26 2023-04-18 北京火山引擎科技有限公司 反射攻击防护方法、系统、介质和电子设备

Similar Documents

Publication Publication Date Title
KR101918441B1 (ko) 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템
US7266754B2 (en) Detecting network denial of service attacks
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US12069092B2 (en) Network security attack detection and mitigation solution using honeypots
US7624447B1 (en) Using threshold lists for worm detection
US8006304B2 (en) System and method for ARP anti-spoofing security
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US7426634B2 (en) Method and apparatus for rate based denial of service attack detection and prevention
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
US7266602B2 (en) System, method and computer program product for processing accounting information
CN112055956B (zh) 用于网络安全性的装置和方法
JP2006517066A (ja) サービス妨害攻撃の軽減
KR20060128734A (ko) 다양한 네크워크 공격들에 대한 적응적 방어
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US12069077B2 (en) Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
CN109309679B (zh) 一种基于tcp流状态的网络扫描检测方法及检测系统
JP4149366B2 (ja) ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
US20240048587A1 (en) Systems and methods for mitigating domain name system amplification attacks
GB2418563A (en) Monitoring for malicious attacks in a communications network
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치
Priya et al. Detecting DRDoS attack by Log File based IP pairing mechanism

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant