KR101958494B1 - Apparatus and method for denial of service defense using triangle counting - Google Patents

Apparatus and method for denial of service defense using triangle counting Download PDF

Info

Publication number
KR101958494B1
KR101958494B1 KR1020130150381A KR20130150381A KR101958494B1 KR 101958494 B1 KR101958494 B1 KR 101958494B1 KR 1020130150381 A KR1020130150381 A KR 1020130150381A KR 20130150381 A KR20130150381 A KR 20130150381A KR 101958494 B1 KR101958494 B1 KR 101958494B1
Authority
KR
South Korea
Prior art keywords
node
attacker
information
sensor
path
Prior art date
Application number
KR1020130150381A
Other languages
Korean (ko)
Other versions
KR20150065261A (en
Inventor
김성열
김희선
강호석
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020130150381A priority Critical patent/KR101958494B1/en
Publication of KR20150065261A publication Critical patent/KR20150065261A/en
Application granted granted Critical
Publication of KR101958494B1 publication Critical patent/KR101958494B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

대규모 센서 네트워크와 같은 한정적인 자원을 가진 센서 네트워크의 서비스 거부 공격을 방어하기 위한 트라이앵글 카운팅(Triangle Counting) 및 센서 네트워크 정보 전달 특성을 이용하여 공격자 노드를 찾는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법이 개시된다. 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치는 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함한다.Triangle counting for protecting denial of service attacks of sensor networks with limited resources such as large scale sensor networks and denial of service attacks using triangle counting for finding attacker nodes using sensor network information transfer characteristics / RTI > A service denial attack defense apparatus using triangle counting according to the present invention includes an information collecting unit for collecting packet information collected from at least one sensor node, And an extracting unit for extracting an attacker node by analyzing a node path having at least one triangular path.

Description

트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법{APPARATUS AND METHOD FOR DENIAL OF SERVICE DEFENSE USING TRIANGLE COUNTING}[0001] APPARATUS AND METHOD FOR DEFENSE USING TRIANGLE COUNTING [0002]

본 발명은, 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법에 관한 것이다. 더욱 상세하게는 본 발명은, 대규모 센서 네트워크와 같은 한정적인 자원을 가진 센서 네트워크의 서비스 거부 공격을 방어하기 위한 트라이앵글 카운팅(Triangle Counting) 및 센서 네트워크 정보 전달 특성을 이용하여 공격자 노드를 찾는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법에 관한 것이다.The present invention relates to a service denial attack defense apparatus and method using triangle counting. More particularly, the present invention relates to triangle counting for protecting a denial of service attack of a sensor network having a limited resource such as a large-scale sensor network, and triangle counting for finding an attacker node using a sensor network information transfer characteristic The present invention relates to an apparatus and method for preventing a denial of service attack.

무선 센서 네트워크 (WSN, Wireless Sensor Network)란 다양한 센서 장비를 무선 네트워크로 연결한 것을 말한다. 센서 네트워크는 교통흐름, 기상정보, 산불 정보, 군사나 기업의 보안 시스템 등 특정 지역에서 측정한 다양한 정보를 수집하는 역할을 한다. A wireless sensor network (WSN) is a network of various sensor devices connected by a wireless network. Sensor networks collect various information measured in specific areas such as traffic flow, weather information, forest fire information, security system of military or enterprise.

이러한 무선 센서 네트워크는 센서 장비가 움직이는 MANET(Mobile Adhoc Network)과 같은 네트워크와 한번 설치되면 이동을 할 수 없는 센서 네트워크로 구분된다. Such a wireless sensor network is divided into a network such as a mobile ad hoc network (MANET) in which sensor equipment moves and a sensor network which can not be moved once installed.

움직이지 못하는 센서 네트워크는 넓은 영역에 설치되며 설치 된 후에는 독립적으로 동작하며 주변의 센서들과 연결하여 네트워크를 구성하며 센서에서 측정된 정보를 한 개 이상의 싱크 노드 (sink node)로 전달한다. 이러한 고정형 무선 센서네트워크는 한번 설치되면 내부 배터리가 소모될 때 까지만 동작하는 경우가 많기 때문에 에너지 소비를 줄이는 다양한 방법의 라우팅이나 통신 알고리즘이 등장 하였다. An immovable sensor network is installed in a large area and operates independently after it is installed. It forms a network by connecting with neighboring sensors and transmits information measured by the sensor to one or more sink nodes. Since the fixed wireless sensor network operates only until the internal battery is consumed once installed, various methods of routing and communication algorithms for reducing energy consumption have appeared.

반대로 이러한 무선 센서 네트워크를 마비시키기 위해서는 한정된 배터리를 사용하는 센서의 에너지를 과도하게 소비시켜 동작을 중지 시키는 것이 효율적이다. Conversely, to paralyze such a wireless sensor network, it is effective to stop the operation by excessively consuming energy of a sensor using a limited battery.

이러한 무선 센서 네트워크 환경에서 대한 서비스 거부 공격(DoS; Denial of Service)을 받게 되면 특정 센서 노드 뿐만 아니라 전체 센서 네트워크의 작동이 중단 될 수 있다. 그러므로 센서 네트워크에 대한 DoS 공격 혹은 DDoS(Distributed Denial of Service) 공격의 공격자를 찾아내어 접속을 차단하여야 한다.If the denial of service (DoS) is received in the wireless sensor network environment, the operation of the entire sensor network as well as the specific sensor node may be interrupted. Therefore, it is necessary to find the attacker of DoS attack or DDoS (Distributed Denial of Service) attack on the sensor network and block the connection.

현재 개발된 유선 네트워크상의 DDoS 공격에 대한 방어 기법으로는 크게 공격 예방(attack prevention), 공격 탐지(attack detection), 공격자 찾기(attack source identification) 그리고 공격 대응(attack reaction)의 네 가지 방법이 있다. Currently, there are four defense methods against DDoS attacks on wired networks: attack prevention, attack detection, attack source identification, and attack reaction.

Attack prevention은 DDoS 공격을 사전에 차단하는 기술이고 attack detection은 단지 DDoS 공격이 발생하는지를 탐지하는 기술이다. Attack prevention is a technique to block DDoS attacks in advance, and attack detection is a technology to detect if only DDoS attacks occur.

Attack source identification은 공격을 일으킨 최초 공격자를 찾아가는 방법이고, 마지막으로 attack reaction은 DDoS 공격이 일어났을 때 대응하는 체계나 방법을 말한다. Attack source identification is the method of finding the first attacker who attacked, and finally attack reaction is the system or method that responds when a DDoS attack occurs.

이 방법 중 무선 센서 네트워크에 적용할 방법은 attack source identification의 방법으로 DDoS 공격이 발생하면 라우터들의 패킷을 수집하여 수집된 정보를 바탕으로 간단한 계산 과정과 빠른 시간 안에 DDoS 공격의 흐름을 파악하여 적적한 대응을 빠른 시간 안에 할 수 있도록 하기 위한 방법이다. Among these methods, a method applied to a wireless sensor network is a method of attack source identification. When a DDoS attack occurs, packets of routers are collected. Based on the collected information, a simple computation process and a flow of a DDoS attack are detected in a short time In a short period of time.

이러한 여러 방법 중 무선 센서 네트워크에 적합한 방식은 빠른 공격 탐지와 공격자를 찾는 방법이다. 이 중 본 발명에서는 Triangle Counting 알고리즘을 이용하여 공격자를 찾는 방법을 선택하였다. Among these methods, a suitable method for wireless sensor networks is fast attack detection and attacker detection method. In the present invention, a method of finding an attacker is selected using a triangle counting algorithm.

Triangle Counting이란 삼각형(triangle)의 개수를 찾는 방법을 말한다. 모든 네트워크는 노드(node)와 연결을 표현한 에지(edge)로 구성되는 그래프로 표현할 수 있다. 이렇게 전체 네트워크 그래프에서 삼각형을 찾는 방법을 Triangle Counting이라고 한다.Triangle Counting refers to how to find the number of triangles. All networks can be represented by graphs consisting of nodes and edges representing connections. This way of finding triangles in the entire network graph is called triangle counting.

대부분의 무선 센서 네트워크는 센서에서 측정된 데이터를 싱크 노드로 전달한다. 그래서 대부분의 센서간의 통신은 싱크 노드로 정보를 전달 할 수 있는 방향으로 되어 있다. Most wireless sensor networks transmit measured data from the sensor to the sink node. Thus, communication between most sensors is in the direction of transmitting information to the sink node.

그러나 공격자 입장에서 전체 센서 네트워크를 마비시키기 정상 경로가 아닌 다른 이웃 노드와의 통신을 이용하게 된다. 이런 경우 전체 통신 그래프에서 삼각형이 많이 발생하게 된다. However, from the attacker 's point of view, paralysis of the entire sensor network is used to communicate with neighboring nodes other than the normal path. In this case, many triangles occur in the entire communication graph.

특히 규모가 큰 센서 네트워크 환경에서는 Triangle Counting을 이용한 공격자 찾기가 더욱 더 효율적이다. 그러나 이 방법은 실시간으로 공격자를 찾기가 힘들기 때문에 각 센서 노드에서 적절한 확률로 효율적인 샘플링 방법을 이용하여 적은 계산만으로 공격자를 찾을 수 있도록 부분 Triangle Counting 계산을 수행할 수 있다. 관련 기술로는 한국공개특허 제2010-0084681호가 존재한다.Especially in a large sensor network environment, it is more efficient to find attacker using triangle counting. However, since it is difficult to find an attacker in real time, it is possible to perform partial triangle counting calculation so that each sensor node can find an attacker with only a small calculation using an efficient sampling method at an appropriate probability. Korean Patent Publication No. 2010-0084681 exists as a related art.

본 발명의 목적은, 상기 종래 기술의 문제점을 해결하기 위한 것으로, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아내는 것을 가능케 하는 것이다.It is an object of the present invention to solve the above problems of the prior art and to provide a method and apparatus for accurately and efficiently protecting a DoS attack by using a triangle counting method in a sensor network having a stable resource such as a large- It is possible to find out.

상기한 목적을 달성하기 위한 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치는, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함한다.According to another aspect of the present invention, there is provided an apparatus for protecting against denial of service using triangle counting, comprising: an information collecting unit for collecting packet information collected from at least one sensor node; A determination unit for determining whether the shape of a path between the nodes is a triangle, and an extracting unit for analyzing a node path having at least one triangular path to extract an attacker node.

이 때, 상기 정보 수집부는, 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장할 수 있다.In this case, the information collecting unit may store information on all packets passing through the at least one sensor node in correspondence with predetermined probabilities.

이 때, 상기 적어도 하나의 센서 노드는, 자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달할 수 있다.At this time, the at least one sensor node can transmit information on all packets passing through the at least one sensor node to the sink node.

이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Source ID 및 Destination ID를 포함할 수 있다.At this time, the information on all packets passing through the self may include a Source ID and a Destination ID.

이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Next ID를 더 포함할 수 있다.At this time, the information on all the packets passing by itself may further include a Next ID.

이 때, 상기 판단부는, 복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서, 상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함될 수 있다.In this case, the determining unit may include a sink node and an attacker node in the plurality of sensor nodes in determining whether the shape of the path between the plurality of sensor nodes is triangular.

이 때, 상기 공격자 노드는, 자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행할 수 있다.At this time, the attacker node can perform an attack via at least one node in its communication range.

이 때, 상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부를 더 포함할 수 있다.In this case, when the attacker node is extracted by the extracting unit, the transmitting unit may transmit the information about the attacker node to a neighboring node or an administrator.

이 때, 상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부를 더 포함할 수 있다.In this case, when the attacker node is extracted by the extracting unit, the blocking unit may block the connection to the attacker node.

이 때, 상기 기정해진 확률은, 상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경할 수 있다.
At this time, the predetermined probability may be changed corresponding to the distance between the at least one sensor node and the sink node.

또한, 상기한 목적을 달성하기 위한 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법은, 정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계, 판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계 및 추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계를 포함한다.According to another aspect of the present invention, there is provided a method for protecting against a service denial attack using triangle counting, comprising the steps of: collecting packet information collected by at least one sensor node by an information collecting unit; A determination step of determining whether a shape of a path between a plurality of sensor nodes is a triangle based on the collected packet information and an extracting unit to extract an attacker node by analyzing a node path having at least one triangle- Extraction step.

이 때, 상기 정보 수집 단계는, 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장할 수 있다.At this time, the information collecting step may store information on all packets passing through the at least one sensor node according to a predetermined probability.

이 때, 상기 적어도 하나의 센서 노드는, 자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달할 수 있다.At this time, the at least one sensor node can transmit information on all packets passing through the at least one sensor node to the sink node.

이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Source ID 및 Destination ID를 포함할 수 있다.At this time, the information on all packets passing through the self may include a Source ID and a Destination ID.

이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Next ID를 더 포함할 수 있다.At this time, the information on all the packets passing by itself may further include a Next ID.

이 때, 상기 판단 단계는, 복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서, 상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함될 수 있다.In this case, in the step of determining whether the shape of the path between the plurality of sensor nodes is a triangle, the plurality of sensor nodes may include a sink node and an attacker node.

이 때, 상기 공격자 노드는, 자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행할 수 있다.At this time, the attacker node can perform an attack via at least one node in its communication range.

이 때, 상기 추출 단계 이후에, 상기 추출 단계에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함할 수 있다.In this case, after the extracting step, if the attacker node is extracted in the extracting step, the transmitting unit may transmit the information about the attacker node to the neighboring node or the manager.

이 때, 상기 추출 단계 이후에, 상기 추출 단계에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함할 수 있다.In this case, after the extracting step, if the attacker node is extracted in the extracting step, the blocking unit may block the connection to the attacker node.

이 때, 상기 기정해진 확률은, 상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경할 수 있다.At this time, the predetermined probability may be changed corresponding to the distance between the at least one sensor node and the sink node.

본 발명에 의하면, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아낼 수 있는 효과가 있다.According to the present invention, it is possible to accurately and efficiently protect a DoS attack and to detect an attacker by using a triangle counting method in a sensor network having stable resources such as a large-scale wireless sensor network.

도 1은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치의 블록도이다.
도 2는 트라이앵글 카운팅(triangle Counting) 방법을 적용할 센서 네트워크를 설명하기 위한 도면이다.
도 3은 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 4는 노드 N으로부터의 DoS 공격을 설명하기 위한 도면이다.
도 5는 Dos 공격이 발생한 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 6은 노드 J에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 7은 노드 D에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 8은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법의 흐름도이다.
FIG. 1 is a block diagram of a service denial attack defense apparatus using triangle counting according to the present invention.
2 is a diagram for explaining a sensor network to which a triangle counting method is applied.
3 is a diagram for explaining the logical configuration of the sensor network.
FIG. 4 is a diagram for explaining a DoS attack from the node N. FIG.
5 is a diagram for explaining a logical configuration of a sensor network in which a DoS attack occurs.
Fig. 6 is a diagram for explaining the logical configuration of the packet collected at the node J. Fig.
Fig. 7 is a diagram for explaining the logical configuration of the packet collected at the node D. Fig.
FIG. 8 is a flowchart illustrating a method of protecting a denial of service attack using triangle counting according to the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted.

본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a),(b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
In describing the components of the present invention, terms such as first, second, A, B, (a), and (b) may be used. These terms are intended to distinguish the constituent elements from other constituent elements, and the terms do not limit the nature, order or order of the constituent elements.

이하, 도면을 참조하여 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치에 대하여 설명하도록 한다. Hereinafter, a description will be made of a service denial-of-attack protection apparatus using triangle counting according to the present invention with reference to the drawings.

도 1은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치의 블록도이다.FIG. 1 is a block diagram of a service denial attack defense apparatus using triangle counting according to the present invention.

도 1을 참조하여 설명하면, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100)는, 정보 수집부(110), 판단부(120), 추출부(130), 전송부(140) 및 차단부(150)를 포함하여 구성될 수 있다.1, a service denial attack defense apparatus 100 using a triangle counting method according to the present invention includes an information collecting unit 110, a determining unit 120, an extracting unit 130, a transmitting unit 140, And a blocking unit 150, as shown in FIG.

보다 구체적으로, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100)는, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부(110), 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부(120) 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부(130)를 포함한다.More specifically, the service denial-of-attack protection apparatus 100 using triangle counting according to the present invention includes an information collecting unit 110 for collecting packet information collected from at least one sensor node, A determination unit 120 for determining whether the shape of a path between the sensor nodes is a triangle, and an extraction unit 130 for analyzing a node path having at least one triangular path and extracting an attacker node.

이 때, 상기 추출부(130)에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부(140)를 더 포함할 수 잇다.When the attacker node is extracted by the extracting unit 130, the transmitting unit 140 may transmit the information about the attacker node to a neighboring node or an administrator.

또한, 상기 추출부(130)에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부(150)를 더 포함할 수 있다.
In addition, when the attacker node is extracted by the extracting unit 130, the blocking unit 150 may block the connection to the attacker node.

이하, 트라이앵글 카운팅(Triangle Counting)의 원리에 대하여 살펴보도록 한다.Hereinafter, the principle of triangle counting will be described.

최근에는 기술의 폭발적인 발전으로 대용량의 데이터가 쌓이게 되었다. World Wide Web, social networks, biological networks, computer networks, Web graphs, Road networks, Autonomous systems, Wikipedia networks, Twitter 그리고 Memetracker 등이 있다. In recent years, the explosion of technology has led to the accumulation of large amounts of data. World Wide Web, social networks, biological networks, computer networks, Web graphs, Road networks, Autonomous systems, Wikipedia networks, Twitter and Memetracker.

이러한 분야들은 모두 대용량 데이터를 가지고 있고 모두 그래프로 표현이 가능하다. 그래프로 표현이 가능하다는 것은 노드(node)와 에지(edge)의 관계로 표현이 가능하며 그래프의 특징을 갖게 된다. All of these fields have large amounts of data and can be represented graphically. The fact that it is possible to express by graph can be expressed by the relation of node and edge, and it has characteristic of graph.

그 중 가장 많이 다루는 것이 삼각형 수의 계산이고 특히 복잡한 네트워크 분석에서 삼각형의 수를 계산하는 문제는 중요한 역할을 한다. Triangle Counting 방법이란 이렇게 다양한 데이터로 구성된 그래프에서 삼각형의 개수를 구하는 방법을 말한다.The most important of these is the calculation of triangular numbers, and especially the problem of calculating the number of triangles in complex network analysis plays an important role. The triangle counting method is a method of obtaining the number of triangles in a graph composed of various data.

그래프 분석에서 삼각형의 수를 계산하는 문제는 현재 데이터 마이닝 어플리케이션에서 가장 중요한 문제이다. The problem of calculating the number of triangles in graph analysis is the most important problem in current data mining applications.

최근 Spamming Activity 검출에 사용될 수 있고, 또한 여러 라우터에서 많은 데이터를 수집하여 DDoS공격을 검출할 수 있는 Triangle Expectation 방법도 제안되었다. Recently, a triangle expectation method has been proposed that can be used for spamming activity detection and to detect DDoS attacks by collecting a lot of data from various routers.

특히, 본 발명에서는 Triangle Expectation 방법의 DDoS 공격자를 찾아내는 방법을 Triangle Counting에 적용하여 Triangle Counting의 삼각형을 구하는 방법을 이용하여 서비스 거부 공격의 공격자와 피해자를 찾아내려고 한다. In particular, in the present invention, a triple counting triangle is obtained by applying a method of detecting a DDoS attacker of the triangle expectation method to triangle counting to find an attacker and a victim of a denial of service attack.

이러한 Triangle Counting 방법의 삼각형을 찾는 방법과 대부분의 센서 네트워크의 통신이 싱크 노드를 중심으로 이루어진다는 점을 이용하여 센서 노드에서 DoS 공격을 발생시키는 공격자를 찾아내는 것이다.
The method of finding the triangle of the triangle counting method and the fact that most of the sensor network communication is performed based on the sink node is used to find the attacker causing the DoS attack in the sensor node.

이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법을 통하여 센서 네트워크 환경에서 서비스 거부 공격의 공격자를 찾는 방법에 대하여 설명하도록 한다.Hereinafter, a method for finding an attacker of a denial of service attack in a sensor network environment will be described using a service denial attack defense apparatus and method using triangle counting according to the present invention.

본 발명에서의 네트워크 환경은 복합 네트워크를 기반으로 하고 있다. 복합 네트워크는 유선 네트워크와 다양한 무선 네트워크 그리고 센서 네트워크 등이 모두 연결된 복합적인 네트워크 환경을 말한다. The network environment in the present invention is based on a hybrid network. A hybrid network is a complex network environment in which both a wired network and various wireless networks and sensor networks are connected.

이러한 복합 네트워크에서 특별히 대규모의 무선 센서 네트워크 환경에서 이루어지는 서비스 거부 공격을 대상으로 한다. In this hybrid network, especially, it is targeted at denial of service attacks in a large-scale wireless sensor network environment.

대표적인 대규모의 센서 네트워크 환경으로는 산불 관제, 고속도로 통제, 그리고 군사 망 등이 있다. 특히 군사 센서 네트워크의 경우 특정 지역에 살포된 적외선 센서, 모션 센서, 그리고 음향 센서 등을 이용하여 적의 침입을 탐지 할 수 있다. 또한 센서를 설치한 부대원, 탱크, 장갑차, 비행기, 선박 등에 각각의 모바일 센서를 설치하여 군사 작전을 위한 독립적인 센서 네트워크로 구성될 수도 있다. Typical large-scale sensor network environments include forest fire control, highway control, and military network. Especially, in case of military sensor network, enemy intrusion can be detected by using infrared sensor, motion sensor, and acoustic sensor scattered in a specific area. In addition, each mobile sensor can be installed as a sensor network, tank, armored vehicle, airplane, ship, etc., and it can be configured as an independent sensor network for military operations.

본 발명에서는 이러한 복합 네트워크 구조에 포함된 대규모 센서 네트워크 환경을 가정 하였다. In the present invention, a large-scale sensor network environment included in the complex network structure is assumed.

또 모든 센서 노드는 고정형이고 한정적인 배터리를 가지고 있다. 또 센서 네트워크 라우팅 방식은 대부분 적용 가능하나 싱크 노드로 통신이 집중되는 일반적인 방식을 사용한다.In addition, all sensor nodes have a fixed and limited battery. Also, sensor network routing method is mostly applicable, but it uses a general method of concentrating communication to sink node.

도 2는 트라이앵글 카운팅(triangle Counting) 방법을 적용할 센서 네트워크를 설명하기 위한 도면이다.2 is a diagram for explaining a sensor network to which a triangle counting method is applied.

도 2를 참조하여 설명하면, 각 센서 노드는 싱크 노드인 A부터 노드 N까지 존재하고 파란색 원은 각 노드의 전파 전송 반경이고 검정색 선은 현재 설정된 라우팅 테이블이다. Referring to FIG. 2, each sensor node exists from a sink node A to a node N, a blue circle is a radio wave transmission radius of each node, and a black line is a currently set routing table.

본 발명의 가정에서 대규모 센서 네트워크에 적용되어 테이블 기반 라우팅 알고리즘의 적용이 힘들지만 확실한 예를 보여주고자 센서 네트워크 규모를 줄이고 테이블 기반 라우팅 알고리즘으로 일반적인 싱크 노드로 전송되는 경로가 정해진 상태이다.
In the assumption of the present invention, it is difficult to apply the table-based routing algorithm to a large-scale sensor network. However, in order to show a definite example, the route to the sink node is determined by the table-based routing algorithm.

도 3은 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다. 도 4는 노드 N으로부터의 DoS 공격을 설명하기 위한 도면이다.3 is a diagram for explaining the logical configuration of the sensor network. FIG. 4 is a diagram for explaining a DoS attack from the node N. FIG.

도 3을 참조하여 설명하면, 실제 대부분의 패킷은 각 노드에서 싱크 노드를 향하여 수집된 데이터를 전달하기 때문에 도 3과 같은 구성을 하게 된다. Referring to FIG. 3, since most of the packets actually transmit the collected data to the sink node at each node, the configuration shown in FIG. 3 is obtained.

예를 들어 노드 D에서 수집된 데이터의 패킷 헤더에는 {노드 D, 노드 A,....} 형태로 Source ID와 Destination ID가 설정되지만 실제 경로는 D -> C -> A 경로로 전송된다. For example, in the packet header of data collected at node D, the source ID and destination ID are set in the form of {node D, node A, ....}, but the actual path is transmitted through D -> C -> A path.

여기서 노드 N이 공격자라고 가정한다. 그리고 특정 노드의 공격이 아니라 네트워크 전체에 대한 공격이라고 가정한다면 도 4와 같은 형태로 공격이 이루어 질 것이다. Assume here that node N is an attacker. If it is assumed that the attack is not the attack of the specific node but the whole network, the attack will be performed as shown in FIG.

실제로 노드 N이 알고 있는 대부분의 노드로 DDoS 공격을 수행할 것이다. 노드 N의 공격은 다음과 같은 형태로 공격이 이루어 질 것이다. 보통 일반적인 센서 네트워크의 라우팅이라면 다른 노드로 메시지를 전달할 경우 {Source ID, Destination ID, Next ID....}로 전달한다. In fact, most nodes that node N knows will perform DDoS attacks. Node N's attack will be attacked as follows. In general, if a message is forwarded to another node, it is forwarded to {Source ID, Destination ID, Next ID ....}.

즉 이러한 라우팅 특성을 이용하여 노드 N은 자신의 통신 범위 안에 있는 모든 노드를 이용하여 공격을 수행한다. 자신의 통신 범위에 있는 노드를 이용하여 트래픽을 전파하게 된다면 더욱 더 효과적일 수 있다.
That is, node N performs attack using all the nodes within its communication range by using this routing characteristic. It can be even more effective if it propagates traffic using nodes in its coverage.

도 5는 Dos 공격이 발생한 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.도 5를 참조하여 설명하면, 기존 라우팅 경로인 검정색 선과 DoS 공격을 한 빨간색 화살표를 이용하여 도 5의 그래프를 보게 되면 많은 삼각형이 생성되었음을 알 수 있다. 구체적으로,

Figure 112013111336496-pat00001
NJA,
Figure 112013111336496-pat00002
NMA,
Figure 112013111336496-pat00003
NKA,
Figure 112013111336496-pat00004
NLA,
Figure 112013111336496-pat00005
NDA,
Figure 112013111336496-pat00006
NCA,
Figure 112013111336496-pat00007
NEA,
Figure 112013111336496-pat00008
NGA,
Figure 112013111336496-pat00009
NHA 가 만들어 졌다,FIG. 5 is a diagram for explaining a logical configuration of a sensor network in which a DoS attack occurs. Referring to FIG. 5, when a black line, which is an existing routing path, and a red arrow with a DoS attack are used, Notice that many triangles are created. Specifically,
Figure 112013111336496-pat00001
NJA,
Figure 112013111336496-pat00002
NMA,
Figure 112013111336496-pat00003
NKA,
Figure 112013111336496-pat00004
NLA,
Figure 112013111336496-pat00005
NDA,
Figure 112013111336496-pat00006
NCA,
Figure 112013111336496-pat00007
NEA,
Figure 112013111336496-pat00008
NGA,
Figure 112013111336496-pat00009
NHA was created,

만들어진 삼각형을 분석해 보면 에지 AN을 공통으로 삼각형들이 만들어 졌는데 이 경우 공격자는 싱크 노드 A가 아닌 N이 란 것을 알 수 있다. When analyzing the created triangles, triangles are created in common with the edge AN, which indicates that the attacker is N, not sink node A.

그러나 실제 센서 네트워크에서 이러한 분석을 하기 위해서는 싱크 노드나 관리자가 전체 센서 노드의 패킷을 모두 수집하여 분석하여야 한다. However, in order to perform such analysis in a real sensor network, a sink node or an administrator must collect and analyze all the packets of the entire sensor node.

이 경우 DoS 공격이 모두 끝난 후 분석해야 하기 때문에 센서 네트워크 노드들은 많은 에너지를 소비한 후 이거나 모두 소진하여 기능을 발휘 할 수 없는 상태 일 것이다.
In this case, since the DoS attack must be analyzed after all, the sensor network nodes will be consumed a lot of energy or exhausted and can not function.

이하, 노드 단위의 탐지에 대하여 설명하도록 한다.Hereinafter, detection on a node-by-node basis will be described.

서비스 거부 공격이 발생하고 모든 공격이 끝났거나 오랜 시간이 분석할 경우 제대로 된 대응을 할 수 없고 센서 노드들은 이미 많은 에너지를 소비 했을 것이다. If a denial of service attack occurs and all attacks have been completed or a long time analysis is not possible, the sensor nodes will have already consumed a lot of energy.

이렇게 DoS 공격이 발생할 경우 실시간으로 분석하여 대응 할 수 있게 하기 위하여 모든 센서 노드는 자신을 지나가는 모든 패킷을 일정 확률 p1으로 저장한 후 간단한 계산을 통해 분석하여 대응한다.
In order to analyze and respond to such DoS attacks in real time, all sensor nodes store all packets passing through it at a certain probability p1 and analyze them through simple calculation.

도 6은 노드 J에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다. 도 7은 노드 D에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.Fig. 6 is a diagram for explaining the logical configuration of the packet collected at the node J. Fig. Fig. 7 is a diagram for explaining the logical configuration of the packet collected at the node D. Fig.

도 7의 노드 D에서 5개의 삼각형을 발견하게 되고 노드 N이 공격자임을 탐지 할 수 있다. 이를 인접 노드나 관리자에게 전달하고 노드 N에 대한 연결을 끊을 수 있도록 한다. It is possible to detect five triangles at node D in FIG. 7 and to detect that node N is the attacker. To the neighboring node or the manager and disconnect the connection to the node N. [

그러나 도 6의 J에서는 삼각형이 하나 밖에 발견되지 않았다. 적은 수의 삼각형은 신뢰도를 떨어뜨리므로 즉시 보고나 차단 같은 작업을 수행하지 않는다. 수가 적지만 센서 노드간의 통신이 이루어지기도 하기 때문이다. However, only one triangle was found in J in Fig. A small number of triangles will degrade reliability and will not perform tasks such as reporting or blocking immediately. This is because communication between sensor nodes is performed even though the number is small.

그러나 노드 J가 DoS 공격을 탐지 하지 못하는 것은 아니다. 싱크 노드 A를 기준으로 노드 J보다 하위에 있는 노드 L, K, M이 자신의 데이터를 싱크노드로 보낼 때 일정 확률 p2로 샘플링한 자신의 수집 정보를 전송한다. However, Node J does not fail to detect DoS attacks. Nodes L, K, and M that are lower than node J based on sink node A transmit their collected information sampled at a certain probability p2 when they send their data to the sink node.

여기서 만약 노드 N이 싱크노드인 A에 자신의 센서 수집 데이터를 보고하지 않거나 공격 패킷을 보내지도 않는다고 가정하면 노드 C, D, E, F, G, H, I는 노드 N이 DoS 공격을 시도해도 삼각형을 만들 수 없게 된다. 그래서 모든 노드는 싱크 노드를 알고 있고 싱크 노드에 데이터를 전송하고 있다는 가정을 한다.
Assuming that node N does not report its sensor collection data to sink node A or send attack packets, node C, D, E, F, G, H, You will not be able to make triangles. Thus, all nodes know the sink node and assume that it is transmitting data to the sink node.

이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법의 성능을 실험하기 위하여 고려하여야 할 사항에 대하여 설명하도록 한다.Hereinafter, matters to be considered for testing the performance of a service denial attack defense apparatus and method using the triangle counting according to the present invention will be described.

실험의 목적은 샘플링을 이용하여 계산 량을 줄이면서 최대한 정확한 결과를 낼 수 있는 한계를 측정하는 것이다. 다음은 실험 시 알아내어야 하는 값들을 나열 하였다.The purpose of the experiment is to measure the limit of using the sampling to reduce the calculation amount and to obtain the most accurate result. The following lists the values to be found in the experiment.

1. 센서 노드에서 수집된 연결 정보를 이용하여 p1확률로 샘플링을 하여 Triangle counting을 이용한 연결정보 계산한다.1. The connection information is calculated by triangle counting by sampling at probability p1 using the connection information collected from the sensor node.

2. 계산 후 p3 확률로 저장을 하고 t1시간 동안 보관한다.(전체 센서 네트워크 규모 대비 저장하는 정보 비율 계산)2. Compute the probability of p3 and store it for t1 time (calculate the ratio of stored information to the total size of the sensor network)

3. 싱크 노드로 데이터를 전송 할 경우 p2 확률로 주변 노드에게 자신의 수집 정보를 전송한다.
3. When data is transmitted to the sink node, it transmits its collected information to neighboring nodes with probability p2.

공격자 노드와 인접한 노드는 샘플링 확률과 좁은 경로로 인하여 공격자를 확정 짓기가 힘들 수 있다. It is difficult to determine the attacker due to the sampling probability and the narrow path of the node adjacent to the attacker node.

그러나 리프 노드에 가까울수록 다양한 경로를 통해 자신의 통신 범위 내에 있는 샘플링 정보를 수집하여 추가로 계산하므로 정확한 공격자를 판단할 수 있다. However, the closer to the leaf node, the additional information is collected by collecting the sampling information within the communication range through various paths, so that an accurate attacker can be determined.

그러나 공격자 노드에 가까운 노드가 빨리 공격을 판단하고 대응하는 것이 전체 네트워크에 좋으므로 노드의 샘플링 확률 p1을 싱크 노드에 얼마나 가까운지에 따라 변화 시켜 실험을 수행 할 필요성도 있다.
However, it is necessary to perform experiments by changing the sampling probability p1 of the node to be closer to the sink node because it is good for the entire network to judge and respond quickly to the attacker node near the attacker node.

이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법에 대하여 설명하도록 한다.Hereinafter, a service denial attack defense method using the triangle counting according to the present invention will be described.

상기 설명한 바와 같이, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 장치와 중복되는 기술 내용에 대한 설명은 생략하도록 한다.As described above, the description of the contents overlapping with the denial of service attack apparatus using the triangle counting according to the present invention will be omitted.

도 8은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법의 흐름도이다.FIG. 8 is a flowchart illustrating a method of protecting a denial of service attack using triangle counting according to the present invention.

도 8을 참조하여 설명하면, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방법은, 정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계(S100), 판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계(S110) 및 추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계(S120)를 포함한다.Referring to FIG. 8, a method of denial-of-service attack using triangle counting according to the present invention includes an information collecting step (S100) of collecting packet information collected by at least one sensor node by an information collecting unit, (S110) for determining whether the shape of a path between the plurality of sensor nodes is a triangle based on the collected packet information, and analyzing a node path having at least one triangular path by an extracting unit And extracting the node (S120).

이 때, 상기 추출 단계(S120) 이후에, 상기 추출 단계(S120)에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함할 수 있다.If the attacker node is extracted in the extracting step (S120) after the extracting step (S120), the transmitting unit may further include a transmitting step of transmitting information on the attacker node to a neighboring node or an administrator can do.

또한, 상기 추출 단계(S120) 이후에, 상기 추출 단계(S120)에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함할 수 있다.
In addition, after the extracting step (S120), if the attacker node is extracted in the extracting step (S120), the blocking unit may block the connection to the attacker node.

상기 살펴본 바와 같이, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100) 및 방법에 의하면, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아낼 수 있는 장점이 있다.
As described above, according to the service denial-of-attack protection apparatus 100 and method using the triangle counting method according to the present invention, in a sensor network having a stable resource such as a large-scale wireless sensor network, a triangle counting method It has the advantage of efficiently protecting DoS attacks and detecting attackers.

이상에서와 같이 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100) 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the configuration and method of the exemplary embodiments described above are not limited to the above-described embodiments, but the embodiments may be applied to various variations All or some of the embodiments may be selectively combined.

100: 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치
110: 정보 수집부
120: 판단부
130: 추출부
140: 전송부
150: 차단부
130: 판단부
100: Denial of Service attack using triangle counting
110: Information collecting unit
120:
130:
140:
150:
130:

Claims (20)

적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부;
수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부; 및
적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함하며,
상기 정보 수집부는,
실시간으로 분석하여 대응 할 수 있게 하기 위하여 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 샘플링한 자신의 수집 정보를 저장하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
An information collecting unit collecting packet information collected from at least one sensor node;
A determination unit for determining whether a shape of a path between the plurality of sensor nodes is a triangle based on the collected packet information; And
And an extracting unit for extracting an attacker node by analyzing a node path having at least one triangular path,
The information collecting unit,
And stores the collected information of all the packets passing through the at least one sensor node in accordance with a predetermined probability in order to analyze and respond in real time. Defensive device.
삭제delete 청구항 1에 있어서,
상기 적어도 하나의 센서 노드는,
자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method according to claim 1,
Wherein the at least one sensor node comprises:
And transmits information about all packets passing through the packet to the sink node.
청구항 3에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Source ID 및 Destination ID를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method of claim 3,
The information on all packets passing through the self-
A Source ID, and a Destination ID.
청구항 4에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Next ID를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method of claim 4,
The information on all packets passing through the self-
And further includes a Next ID.
청구항 1에 있어서,
상기 판단부는,
복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서,
상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함된 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method according to claim 1,
Wherein,
In determining whether the shape of the path between the plurality of sensor nodes is triangular,
Wherein the plurality of sensor nodes include a sink node and an attacker node.
청구항 6에 있어서,
상기 공격자 노드는,
자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method of claim 6,
The attacker node,
Wherein the attack is performed via at least one node within the communication range of the service attacker using the triangle counting method.
청구항 1에 있어서,
상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method according to claim 1,
Further comprising a transmitter for transmitting information on the attacker node to a neighboring node or an administrator when the attacker node is extracted by the extracting unit.
청구항 1에 있어서,
상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method according to claim 1,
Further comprising a blocking unit for blocking a connection to the attacker node when the attacker node is extracted by the extracting unit.
청구항 1에 있어서,
상기 기정해진 확률은,
상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치.
The method according to claim 1,
The pre-
Wherein the at least one sensor node is changed according to a distance between the at least one sensor node and the sink node.
정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계;
판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계; 및
추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계를 포함하며,
상기 정보 수집 단계는,
실시간으로 분석하여 대응 할 수 있게 하기 위하여 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 샘플링한 자신의 수집 정보를 저장하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
An information collecting step of collecting packet information collected by at least one sensor node by an information collecting unit;
A determination step of determining, by the determination unit, whether the shape of the path between the plurality of sensor nodes is triangular based on the collected packet information; And
And an extracting step of extracting an attacker node by analyzing a node path having at least one triangular path by the extracting unit,
The information collecting step includes:
And stores the collected information of all the packets passing through the at least one sensor node in accordance with a predetermined probability in order to analyze and respond in real time. Defense method.
삭제delete 청구항 11에 있어서,
상기 적어도 하나의 센서 노드는,
자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
The method of claim 11,
Wherein the at least one sensor node comprises:
And transmits information about all packets passing through the sink node to the sink node.
청구항 13에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Source ID 및 Destination ID를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
14. The method of claim 13,
The information on all packets passing through the self-
A Source ID, and a Destination ID.
청구항 14에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Next ID를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
15. The method of claim 14,
The information on all packets passing through the self-
And further comprising a Next ID. ≪ RTI ID = 0.0 > [10] < / RTI >
청구항 11에 있어서,
상기 판단 단계는,
복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서,
상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함된 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
The method of claim 11,
Wherein,
In determining whether the shape of the path between the plurality of sensor nodes is triangular,
Wherein the plurality of sensor nodes include a sink node and an attacker node.
청구항 16에 있어서,
상기 공격자 노드는,
자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
18. The method of claim 16,
The attacker node,
Wherein the attack is performed via at least one node within the communication range of the user.
청구항 11에 있어서,
상기 추출 단계 이후에,
상기 추출 단계에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
The method of claim 11,
After the extraction step,
Further comprising a transmitting step of, when the attacker node is extracted in the extracting step, transmitting information about the attacker node to a neighboring node or an administrator by a transmitting unit.
청구항 11에 있어서,
상기 추출 단계 이후에,
상기 추출 단계에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
The method of claim 11,
After the extraction step,
Further comprising a blocking step of blocking a connection to the attacker node by a blocking unit when the attacker node is extracted in the extracting step.
청구항 11에 있어서,
상기 기정해진 확률은,
상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
The method of claim 11,
The pre-
Wherein the at least one sensor node and the sink node are changed in correspondence with the distance between the at least one sensor node and the sink node.
KR1020130150381A 2013-12-05 2013-12-05 Apparatus and method for denial of service defense using triangle counting KR101958494B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130150381A KR101958494B1 (en) 2013-12-05 2013-12-05 Apparatus and method for denial of service defense using triangle counting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130150381A KR101958494B1 (en) 2013-12-05 2013-12-05 Apparatus and method for denial of service defense using triangle counting

Publications (2)

Publication Number Publication Date
KR20150065261A KR20150065261A (en) 2015-06-15
KR101958494B1 true KR101958494B1 (en) 2019-03-14

Family

ID=53504210

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130150381A KR101958494B1 (en) 2013-12-05 2013-12-05 Apparatus and method for denial of service defense using triangle counting

Country Status (1)

Country Link
KR (1) KR101958494B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101940802B1 (en) * 2016-02-02 2019-01-22 한국전자통신연구원 System for calculating the number of the local triangular using the terminal resources and method thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101267414B1 (en) * 2011-12-12 2013-05-30 건국대학교 산학협력단 System and method of ddos defence using triagle expectation
KR101267493B1 (en) 2011-12-29 2013-05-31 순천향대학교 산학협력단 A hybrid traceback system and the method for mobile ad hoc network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101267414B1 (en) * 2011-12-12 2013-05-30 건국대학교 산학협력단 System and method of ddos defence using triagle expectation
KR101267493B1 (en) 2011-12-29 2013-05-31 순천향대학교 산학협력단 A hybrid traceback system and the method for mobile ad hoc network

Also Published As

Publication number Publication date
KR20150065261A (en) 2015-06-15

Similar Documents

Publication Publication Date Title
Liu et al. Data collection for attack detection and security measurement in mobile ad hoc networks: A survey
Krundyshev et al. Artificial swarm algorithm for VANET protection against routing attacks
Verma et al. An efficient defense method against UDP spoofed flooding traffic of denial of service (DoS) attacks in VANET
Luo et al. CREDND: A novel secure neighbor discovery algorithm for wormhole attack
Tun et al. Wormhole attack detection in wireless sensor networks
Niranjan et al. Detection of wormhole attack using hop-count and time delay analysis
Chen et al. Defense denial-of service attacks on IPv6 wireless sensor networks
Gao et al. Detection and defense technology of blackhole attacks in wireless sensor network
Abidoye et al. Lightweight models for detection of denial‐of‐service attack in wireless sensor networks
Thai Group testing theory in network security: an advanced solution
KR101958494B1 (en) Apparatus and method for denial of service defense using triangle counting
Patel et al. Detection of wormhole attacks in mobility-based wireless sensor networks
CN103269337A (en) Data processing method and device
Keerthi et al. Locating the attacker of wormhole attack by using the honeypot
Kim et al. Timing-based localization of in-band wormhole tunnels in manets
Tahboush et al. Multistage security detection in mobile ad-hoc network (MANET)
Basan et al. Behavior-Based Assessment of Trust in a Cyber-Physical System
Gill et al. Intelligent transportation architecture for enhanced security and integrity in vehicles integrated internet of things
Waraich et al. Performance analysis of AODV routing protocol with and without malicious attack in mobile adhoc networks
Garg et al. Issues and Challenges of Wormhole Attack Detection for Secure Localization in WSNs
Jegan et al. Wormhole attack detection in zigbee wireless sensor networks using intrusion detection system
Madtha et al. Detection of side-channel communication in ad hoc networks using request to send (RTS) messages
Dahiya et al. FIDSM: Fuzzy based Intrusion Detection Systems in Mobile Ad Hoc Networks
Azni et al. Analysis of Packets Abnormalities in Wireless Sensor Network
Deepthi et al. Multiphase Detection and Evaluation of AODV for Malicious Behaviour of a node in MANETs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right