KR101980901B1 - SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법 - Google Patents

SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR101980901B1
KR101980901B1 KR1020170044402A KR20170044402A KR101980901B1 KR 101980901 B1 KR101980901 B1 KR 101980901B1 KR 1020170044402 A KR1020170044402 A KR 1020170044402A KR 20170044402 A KR20170044402 A KR 20170044402A KR 101980901 B1 KR101980901 B1 KR 101980901B1
Authority
KR
South Korea
Prior art keywords
flow
attack
svm
module
som
Prior art date
Application number
KR1020170044402A
Other languages
English (en)
Other versions
KR20180062318A (ko
Inventor
박민호
김영빈
반 트렁 판
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to US15/823,774 priority Critical patent/US20180152475A1/en
Publication of KR20180062318A publication Critical patent/KR20180062318A/ko
Application granted granted Critical
Publication of KR101980901B1 publication Critical patent/KR101980901B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

SVM-SOM 결합 기반 DDoS 탐지 시스템이 구현된 오픈플로우 컨트롤러 및 그 방법이 제공되며, 오픈플로우 스위치로부터 트래픽에 따른 플로우 정보를 수집하고, 수집된 플로우 별로 기설정된 복수의 속성을 추출하고, 수집된 플로우의 트래픽 타입을 분류하고, 다중 SVM 중 분류된 트래픽 타입에 대응하는 SVM를 통해 추출된 속성 중 하나 이상의 제 1 속성에 기초하여 공격 플로우를 분류하고, SVM를 통해 공격 플로우로 분류되지 않은 플로우의 경우 추출된 속성 중 제 1 속성보다 많은 개수의 제 2 속성에 기초하여 SOM을 통해 의심 패턴 여부를 결정하며, SVM를 통해 공격 플로우로 분류된 경우 또는 SOM을 통해 의심 패턴으로 결정된 경우 해당 플로우에 대한 공격 타입을 분류한다.

Description

SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION}
본 발명은 분산 서비스 거부 공격(Distributed Denial of Service, DDoS)을 탐지하는 시스템 및 그 방법에 관한 것이다.
최근 들어, 유망한 차세대 네트워크 기술로서 소프트웨어정의네트워크(Software-Defined Networking, SDN) 기술이 연구되고 있다. 이러한 SND 모델에서는 제어 평면(control plane)과 데이터 평면(data plane)이 분리됨으로써, 네트워크 모니터링과 제어에 많은 이익이 발생된다.
SDN 기술의 중심이 되는 오픈플로우 컨트롤러(OpenFlow cotroller)는, 오픈플로우 스위치(OpenFlow switch)를 통해 플로우에 기반하여(flow-based) 트래픽을 제어하고 감시한다. 이를 통해, 컨트롤러가 해당 플로우의 경로를 계산하여 설정한 후 스위치에게 전송하면, 스위치는 포워딩만 수행하게 된다. 이러한 SDN의 특징은 네트워크 관리 차원에서는 큰 장점이 되나, 분산 서비스 거부 공격(DdoS) 탐지 등의 보안 차원에서는 취약점이 될 수도 있다.
분산 서비스 거부 공격은 봇네트(botnet)들이 거대한 플로우를 발생시켜 피해 서버에게 전송하는 것이다. SDN 과 OpenFlow가 이러한 DDoS 공격에 취약한 이유는, 일반적으로 오픈플로우 스위치가 최대 백 만개의 플로우를 유지시킬 수 있기 때문이다. 즉, SDN이 DDoS 공격을 받아서 수많은 플로우가 오픈플로우 스위치로 보내지면, 목효 서버 또는 네트워크가 공격의 피해자가 될 뿐만 아니라 오픈플로우 컨트롤러나 오픈플로우 스위치도 자원의 고갈 때문에 작동을 멈추게 될 위험성이 있다.
따라서, SDN 환경에서 트래픽이 정상 트래픽인지 DDoS 공격 트래픽인지 여부를 정확하게 구분하는 것이 DDoS 공격을 예방하는데 반드시 필요하다.
기존에는, SDN 환경에서 연결이동툴 사용에 의한 보틀넥(bottleneck) 문제를 극복하기 위한 AVANT-GUARD 방식, 네트워크 정책 시행을 지키고 SDN 컨트롤러를 보호하기 위한 플러드 가드(Flood Guard)의 프로액티브 플로우 룰 아날라이저(proactive flow rule analyzer) 및 패킷 마이그레이션(packet migration), SDN과 폰세카(Fonseca) 환경에서의 플러딩(flooding) 공격 방어에 적용된 퍼지 로직(Fuzzy Logic), SDN 컨트롤러를 위한 포화 공격에 대한 효과적인 대응책으로서의 'ident++ protocol', SOM(Self-Organizing Map)을 사용한 분산 서비스 거부 공격 메커니즘과 관련하여 바르가(Barga) 기법, 표준 오픈플로우 인터페이스를 사용한 봇넷 기반 공격을 다루는 디도스 블록킹 스킴(DDoS Blocking Scheme) 등이 제안되었다. 이러한 메커니즘들은 분산 서비스 거부 공격과 네트워크 보호라는 목표를 가진 기법들이다.
이와 관련하여, 대한민국 등록특허 제 10-0950582 호(발명의 명칭: 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체)에서는, 관리 정보 베이스의 집합 중에서 트래픽 폭주 공격툴을 적용하여 전수 조사를 수행하고, 트래픽 폭주 공격툴의 트래픽 폭주 공격에 반응하는 관리 정보 베이스를 추출하는 단계; 추출된 관리 정보 베이스의 기 측정된 정보의 갱신 주기를 이용하여 관리 정보 베이스의 다음의 갱신 주기를 예측하며, 예측된 관리 정보 베이스의 갱신 주기에 상기 관리 정보 베이스의 정보를 수집하는 단계; 서포트 벡터 머신(SVM)의 서포트 벡터 데이터 명세(SVDD)를 이용하여 상기 수집된 관리 정보 베이스의 정보를 분석함으로써 트래픽 폭주 공격 여부의 탐지를 수행하는 단계; 및 트래픽 폭주 공격이 발생한 경우, 상기 서포트 벡터 데이터 명세를 기반으로 상기 트래픽 폭주 공격의 유형을 분류하는 단계를 포함하는 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지 방법이 개시되어 있다.
그러나 기존의 SVM은 플로우를 빠르게 분류할 수는 있지만 정확도면에서 현저히 떨어지며, 또한 SOM은 정확도는 높지만 계산 속도가 느리고 자원을 많이 사용해야만 하는 한계가 있다.
본 발명의 일 실시예는 SDN 환경에서의 DDoS 공격을 탐지 및 방지하기 위해, 트래픽을 높은 정확도로 분류하는 SVM과 SOM을 결합한 시스템을 사용하여 DDoS 공격을 효과적으로 탐지 및 방지할 수 있는 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 그 방법을 제공하고자 한다.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 더 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 측면에 따른 SVM-SOM 결합 기반 DDoS 탐지를 처리하는 오픈플로우 컨트롤러는, 오픈플로우 스위치로부터 플로우 정보를 수집하는 플로우 수집 모듈; 수집된 플로우로부터 기설정된 복수의 속성을 추출하는 특징 추출 모듈; 플로우의 트래픽 타입을 분류하여 트래픽 타입에 상응하는 SVM 모듈로 전달하는 트래픽 분류 모듈; 상기 트래픽 타입 별로 입력된 플로우에 대해 상기 추출된 속성 중 하나 이상의 제 1 속성에 기초하여 공격 플로우를 분류하되, 정상과 비정상 샘플 데이터를 학습한 결과에 따른 SVM(Support Vector Machin) 표현 상에서 상기 입력된 플로우의 위치에 기반하여 영역을 결정하고, 결정된 영역이 공격 플로우 영역이면 공격 분류 모듈로 전달하고, 결정된 영역이 불확실한 영역이면 SOM 모듈로 전달하는 SVM 모듈; 상기 SVM 모듈을 통해 입력된 플로우에 대해 상기 추출된 속성 중 상기 제 1 속성보다 많은 개수의 제 2 속성에 기초하여 의심 패턴 여부를 결정하되, SOM(Self Organizing Map) 상에서 플로우의 입력 벡터에 대한 의심 패턴 여부를 결정하는 SOM 모듈; 및 상기 SVM 모듈과 상기 SOM 모듈로부터 공격 플로우로 분류되거나 또는 의심 패턴으로 결정된 플로우를 수신하고, 상기 수신된 플로우에 대해 기설정된 비정상 플로우의 공격 타입을 분류하는 공격 분류 모듈을 포함한다.
또한, 본 발명의 다른 측면에 따른 오픈플로우 컨트롤러를 통한 SVM-SOM 결합 기반 DDoS 탐지 방법은, 오픈플로우 스위치로부터 트래픽에 따른 플로우 정보를 수집하는 단계; 상기 수집된 플로우 별로 기설정된 복수의 속성을 추출하는 단계; 상기 수집된 플로우의 트래픽 타입을 분류하는 단계; 다중 SVM(Support Vector Machin) 중 상기 분류된 트래픽 타입에 대응하는 SVM를 통해 상기 추출된 속성 중 하나 이상의 제 1 속성에 기초하여 공격 플로우를 분류하는 단계; 상기 SVM를 통해 공격 플로우로 분류되지 않은 플로우의 경우, 상기 추출된 속성 중 상기 제 1 속성보다 많은 개수의 제 2 속성에 기초하여 SOM(Self Organizing Map)을 통해 의심 패턴 여부를 결정하는 단계; 및 상기 SVM를 통해 공격 플로우로 분류된 경우 또는 상기 SOM을 통해 의심 패턴으로 결정된 경우, 해당 플로우에 대한 공격 타입을 분류하는 단계를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 트래픽을 정확하게 분류하고 구분하기 위해 SVM과 SOM을 결합하여 사용함으로써 더 정확한 결과 생성이 가능하고 처리 시간이 감소되는 DDoS 탐지 시스템을 제공할 수 있다. 즉, SVM은 패턴을 알아보고 데이터를 분석하기 위한 지도 학습 모델이고, SOM은 플로우의 구분이 어려울 때 더욱더 효과적으로 플로우를 분류하는 모델이므로, SVM과 SOM의 장점을 모두 DDoS 탐지에 적용할 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SDN 환경에서 SVM과 SOM을 결합하여 사용하여 트래픽을 탐지함으로써, DDoS 공격과 정상 트래픽을 정확하게 구분할 수 있고 정의된 DDoS 공격 타입에 대해 빠르게 대응할 수 있어 DDoS 공격을 효과적으로 예방 및 방지할 수 있다. 즉, SDN 환경에서 DDoS 공격의 새로운 관점을 정의하며, 평범한 네트워크에서 DDoS 공격의 일반적인 종류를 조사할 수 있다. 또한, DDoS 공격 효과를 줄이기 위한 하이브리드 flow-based 메커니즘을 제공하며, 과부화로부터 오픈플로우 컨트롤러와 오픈플로우 스위치를 방어할 수 있다.
도 1은 본 발명의 일 실시예가 적용되는 SDN 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 시스템이 구현된 오픈플로우 컨트롤러의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 방법을 설명하기 위한 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에 있어서 '부(部)' 또는 '모듈'이란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부' 또는 '~모듈' 은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서, '~부' 또는 '~모듈' 은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과, '~부'(또는 '~모듈')들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'(또는 '~모듈')들로 결합되거나 추가적인 구성요소들과 '~부'(또는 '~모듈')들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'(또는 '~모듈')들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이하에서 언급되는 "단말"은 네트워크를 통해 서버나 타 단말에 접속할 수 있는 컴퓨터나 휴대용 단말기로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, "네트워크"는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선 네트워크나 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 무선 네트워크로 구현될 수 있다.
이하, 도면을 참조하여 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 그 방법에 대해서 상세히 설명하도록 한다.
도 1은 본 발명의 일 실시예가 적용되는 SDN 시스템의 구성도이다. 그리고 도 2는 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 시스템이 구현된 오픈플로우 컨트롤러의 구성도이다.
도 1에 도시한 바와 같이 SDN 시스템(10)은, 소프트웨어-정의 네트워크(Software-Defined Network, SDN) 상의 장비들을 기설정된 통신 정책에 따라 제어하는 오픈플로우 컨트롤러(100), 각각 하나 이상의 컨트롤러(100)와 통신하며 패킷 송/수신을 처리하는 오픈플로우 스위치(200), 오픈플로우 스위치(200)를 통해 서비스 서버(400)과 패킷을 송수신하는 사용자 단말(300-1, 300-2)을 포함한다. 이때, 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 시스템은 SDN 환경에서 플로우 기반(flow-based)의 핸들러로서, 오픈플로우 컨트롤러(100) 상에 구현된다.
참고로, 오픈플로우 컨트롤러(100)와 오픈플로우 스위치(200)는 오픈플로우 프로토콜(OpenFlow protocol)을 사용하여 통신한다. 오픈플로우 프로토콜은 SDN의 제어 평면(control plane) 및 데이터 평면(data plane) 사이에 정의된 표준 통신 인터페이스로서, 스위치나 라우터 같은 네트워크 장비의 패킷 전달 기능을 직접적으로 제어할 수 있게 한다.
오픈플로우 스위치(200)는 사용자 단말(300-1, 300-2)로부터의 패킷이 발생되면 먼저 플로우테이블에 해당 패킷에 대한 정보가 존재하는지 확인하여, 플로우테이블에 해당 패킷의 정보가 존재하는 경우 확인된 정보에 맞게 패킷을 처리하며, 플로우테이블에 해당 패킷에 대해 확인되는 정보가 없는 경우 해당 패킷에 대한 제어 정보를 오픈플로우 컨트롤러(100)에 요청한다.
오픈플로우 스위치(200)로부터 패킷에 대한 제어 정보를 요청받은 오픈플로우 컨트롤러(100)는, 내부에 존재하는 패킷 제어 정보를 확인하여 해당 결과를 오픈플로우 스위치(200)로 전달한다. 그리고 오픈플로우 스위치(200)에 새로 전달된 제어 정보는 플로우테이블에 저장되어 이후 동일 패킷에 적용된다. 이때, 오픈플로우 컨트롤러(100) 내 패킷 제어 정보는 외부에서 API(application programming interface)를 통해 입력할 수 있다.
한편, 오픈플로우 컨트롤러(100) 상에 구현되는 SVM-SOM 결합 기반 DDoS 탐지 시스템은, 네트워크 트래픽 분류 성능을 높이기 위해 두 가지 분류 알고리즘 즉, SVM(Support Vector Machin) 및 SOM(Self Organizing Map)을 결합하여 사용한다. SVM은 높은 정확도로 출력을 생성하는데 적은 시간이 걸리고,SOM은 자신의 신경 기반으로 신뢰할 수 있는 예측을 한다. 이를 통해, SVM-SOM 결합 기반 DDoS 탐지 시스템은 SDN 환경에서 자원 고갈로부터 네트워크 컴포넌트를 보호하고 분산 서비스 거부 공격을 탐지한다.
구체적으로, 도 2에 도시한 바와 같이, 오픈플로우 컨트롤러(100)는 플로우 수집 모듈(110), 특징 추출 모듈(120), 트래픽 분류 모듈(130), SVM 모듈(140), SOM 모듈(150), 공격 분류 모듈(160), 정책 적용 모듈(170) 및 학습 데이터베이스(150)를 포함한다.
이때, SVM 모듈(140) 및 SOM 모듈(160)은 DDoS 탐지 처리를 수행하기 이전에, 학습 데이터베이스(150)에 기저장되어 있는 데이터세트(data set)에 의해 학습된 상태이다.
플로우 수집 모듈(또는 Flow Collector)(110)은 오픈플로우 스위치(200)(즉, 데이터 플레인(Data Plane)) 측으로부터 입력되는 사용자 단말(300-1, 300-2)의 트래픽에 의한 플로우 정보를 수집한다. 이때, 플로우 수집 모듈(110)은 SDN시스템(10) 상의 모든 사용자 단말들로부터의 트래픽에 의한 플로우 정보를 수집하되, 도 1에 도시된 바와 같이 SDN시스템(10)에는 정상 사용자 단말(300-1)뿐 아니라 DDoS 공격을 감행하는 봇넷(300-2) 또한 포함될 수 있다. 즉, 플로우 수집 모듈(110)은 오픈플로우 스위치(200)를 통한 비정상 트래픽에 의한 플로우 정보 또한 수집할 수 있다.
플로우 수집 모듈(110)은 기설정된 시간에 오픈플로우 스위치(200)로 요청(Starts Request) 메시지를 내보내고, 이에 대한 응답(Starts Response) 메시지를 받는다. 이때, 플로우 수집 모듈(110)은 기설정된 네 가지 속성에 대한 응답(Starts Response) 메시지를 수신한다.
그리고 플로우 수집 모듈(110)은 수집된 플로우 정보를 특징 추출 모듈(120)로 전달한다.
특징 추출 모듈(또는 Feature Extractor)(120)은 수집된 플로우 별로 속성을 추출하여 트래픽 분류 모듈(130)로 전달한다.
이때, 특징 추출 모듈(120)은 기설정된 플로우의 속성에 대한 응답(Starts Response) 메시지로부터 기설정된 네가지 속성에 대한 플로우 정보를 추출한다. 특징 추출 모듈(120)을 통해 추출된 플로우 정보 중 두 가지 속성은 SVM 모듈(140)로 입력되고, SOM 모듈(150)에서는 네가지 속성이 처리될 수 있다.
트래픽 분류 모듈(또는 Traffic Classifier)(130)은 추출된 플로우의 속성에 기초하여 트래픽 타입을 분류하고, 트래픽 타입에 해당하는 SVM 모듈(140)로 전달한다.
이때, 트래픽 분류 모듈(130)은 SVM 모듈(140)에 포함된 SVM-i 중 플로우 속성에 대응하는 SVM-i로 해당 플로우 정보를 전달한다. 예를 들어 protocol ICMP의 플로우에 대응하는 플로우 정보는 SVM-i 중 SVM-ICMP로 전달된다.
SVM 모듈(140)은 수신된 플로우의 트래픽 타입을 확인하여 명확한 공격 트래픽을 분류한다.
이때, SVM 모듈(140)은 트래픽 분류 모듈(130)에서 분류된 트래픽이 공격 트래픽인지 아닌지 확실하지 않은 경우 해당 플로우 정보를 SOM 모듈(150)로 전달한다. 이에 따라 SOM 모듈(150)은 수신된 트래픽이 공격 트래픽인지 정확하게 처리하여 트래픽을 분류한다.
참고로, 본 발명의 일 실시예에 따른 SVM 모듈(140)에 적용된 SVM 알고리즘에 대해서 좀 더 상세히 설명하도록 한다.
SVM은 고정되어 있지만 알려지지 않은 확률 분포를 갖는 데이터에 대해 잘못 분류하는 확률을 최소화하는 "구조적인 위험 최소화 방식"에 기초한 것이다. 또한 SVM은 패턴을 고차원 특징 공간으로 사상시키며 대역적으로 최적의 식별이 가능하다. 이러한 SVM은 입력 공간에 있는 분류 데이터에서 마진(Margin) 값을 최대로 하는 초평면을 찾아내어 이진 분류를 한다.
SVM 모듈(140)은 복수개의 SVM-i로 구성되며, 예를 들어 SVM-i는 ICMP, TCP, UDP와 같은 네트워크 트래픽의 종류별로 분류자로 정의된다. 즉, SVM 모듈(140)은 네트워크 트래픽을 분류하기 위한 다중 SVM 분류기이다.
이러한, SVM-i는 정상과 비정상 샘플 데이터를 둘 다 학습하며, 학습 절차가 완료된 후 SVM-i는 데이터 분산 그래프를 만들고 초평면(hyperplane)을 정의한다. 이때, 각 SVM-i에서는 해당 플로우의 조건에 맞는 위치에 영역을 결정한다. 만약 입력된 플로우의 위치가 확실한 공격 영역에 위치된다면, 즉시 공격 분류 모듈(160)로 전달되며, 그렇지 않은 경우 해당 플로우가 불확실한 영역인지 아닌지를 검사한다. 입력된 플로우의 영역이 불확실한 경우 SOM 모듈(150)로 전달되고, 이에 따라 SOM 모듈(150)은 해당 플로우의 위치를 예측하여 해당 플로우가 비정상 플로우인 경우 공격 플로우로 간주하여 공격 분류 모듈(160)로 전달한다.
이를 통해, 보다 빠르게 DDoS 공격 트래픽을 분류할 수 있고, 보다 정확하게 DDoS 공격 트래픽을 분류하여 처리를 할 수 있어 DDoS 공격을 예방 및 방지할 수 있다.
SOM 모듈(160)은 SOM(Self Organizing Map) 학습을 수행한다. 이때, SOM 모듈(160)의 맵(map)은 미리 준비된 데이터(즉, 학습 데이터베이스에 저장된 샘플 데이터)를 사용한 학습 과정에 의해 만들어진다.
그리고 SOM 모듈(160)은 맵(map)에서 SOM의 가중치 계산에 근거한 의심스러운 패턴에 대한 분류를 정의하고, 입력된 플로우에 대해 기설정된 튜플에 기초하여 플로우의 입력 벡터에 대한 의심 패턴 여부를 결정한다. 이때, SOM 모듈(160)에 입력된 플로우의 입력 벡터는 기설정된 네 가지 속성을 포함하는 4개 튜플(예: 패킷(packet)의 수, 바이트(byte)의 수, 기간 및 프로토콜(protocol))에 의해 명시된다. SOM 모듈(150)의 출력은 의심스러운 플로우(즉, SVM-i에서 불확실한 영역의 플로우)의 최종 분류 결과를 나타낸다.
참고로, 본 발명의 일 실시예에 따른 SOM 모듈(150)에 적용된 SOM 알고리즘에 대해서 좀 더 상세히 설명하도록 한다.
SOM(Self Organizing Map) 알고리즘은, 어떠한 가르침없이 스스로 학습하는 데이터마이닝(data mining) 기술이다. SOM 모듈(160)에 입력되는 데이터는 재조직되고, 맵(map) 또는 노드 그리드(node grid)라는 공간에 맵핑된다. 이때, 입력 데이터는 주로 고차원데이터이며, SOM은 고차원데이터를 저차원화하여 시각화할 수 있다. 이러한 SOM을 통한 학습은, 비슷한 입력 패턴이 맵(또는 노드 그리드)에서 가까운 지역에 영향을 미치게 된다.
구체적으로, SOM 모듈(160)의 학습 시, 먼저 맵에서 각 노드에 대한 벡터(vector)는 랜덤 또는 고정 값으로 초기화된다. 그리고 입력 벡터(즉, 플로우의 벡터)가 입력되면, 맵에서 모든 노드의 유클라디안 거리(Euclidean distance)가 계산된다. 이때, 거리가 입력에 가장 가까운 노드는 Best Matching Unit(BMU)이 되며, BMU의 이웃 반지름이 계산된 후 매시간 점차 줄어든다.
이때, 각 이웃 노드의 벡터는 다음 수학식 1의 방정식에 따라 입력 벡터와 비슷하게 조정된다.
<수학식 1>
Figure 112017033509237-pat00001
상기 수학식 1에서, L(t)는 시간에 따라 점진적으로 감소해야하는 학습 속도이다. 그리고
Figure 112017033509237-pat00002
는 BMU에 상대적인 거리이다. 이때, 노드가 BMU에 가까울수록 벡터의 영향이 커진다.
이상, 입력 벡터가 입력된 이후의 절차가 반복된다.
다른 분류 알고리즘들과 비교할 때, SOM 알고리즘은 높은 정확도를 갖는다. 이는, SOM 결정자가 입력 벡터뿐만 아니라 주변에 있는 벡터들 또한 분류하기 때문이다.
이상에서 설명한 바에 따르면, 여러 개의 선으로 된 SVM모듈(140)은 오픈플로우 스위치(200)들로부터 플로우 테이블(flow-tables)에 존재하는 전체 플로우를 획득하여 이를 분류한다. 이때, 입력된 플로우의 위치가 SVM을 나타낸 선에서 희미한 부분이나 선의 가장자리 사이에 위치하는 경우에는 좀 더 정확한 결정을 위하여 SOM 모듈(150)으로 전달된다. 즉, 이러한 네트워크 트래픽 분류에서 SVM과 SOM 사이에 결합을 만들기 위해서는, 희미한 부분과 의심스러운 포인트를 정의한다. 이처럼 정의된 포인트들은 SOM에 의해 처리되며, 선으로 된 SVM과 비교하여 SOM 맵의 입력 벡터는 더 많은 특성을 가지고 있는 의심스러운 포인트에 대해 신뢰할 수 있는 예측을 만들 수 있다.
한편, 아래에서 설명할 공격 분류 모듈(160)과 정책 적용 모듈(170)은 공격 감소와 오픈플로우 컨트롤러(110)를 보호하는 목적으로 공격 플로우에 대한 처리를 수행한다.
공격 분류 모듈(또는 Attack Classifier)(160)은 DDoS 공격 플로우로서 기설정된 타입의 공격 플로우를 분류하고, 분류된 공격 플로우의 정보를 정책 적용 모듈(170)로 전달한다.
본 발명의 일 실시예에서는 공격 분류 모듈(160)이 두 가지 타입의 공격 플로우를 분류하는 것을 설명하도록 한다. 그러나 공격 분류 모듈(160)을 통해 분류되는 공격 타입의 종류 및 개수는 제한되지 않는다.
구체적으로, 공격 분류 모듈(160)은 SVM 모듈(140)과 SOM 모듈(150)로부터 각각 공격 플로우의 정보를 수신한 후, 프로토콜에 기반하여 두 개 타입으로 비정상 플로우를 분류한다. 예를 들어 공격 분류 모듈(160)은 네트워크에서 발생될 수 있는 DDoS 공격 중 대역폭(bandwidth) 고갈 공격과 자원(resource) 고갈 공격을 분류할 수 있다.
대역폭 고갈 공격에서 공격자는 원하지 않은 트래픽(즉, 피해자 네트워크의 대역폭를 고갈시키는 트래픽)을 피해자에게 보내며, 이는 정상 트래픽이 피해자 네트워크에 접근할 수 없도록 만든다. 대역폭 고갈 공격은, 출발지 주소로부터의 패킷 또는 데이터 용량에 기반한 공격이다. 예를 들어 UDP flooding, ICMP flooding, Smurf 및 Fraggle 공격 등이 대역폭 고갈 공격에 해당된다.
자원 고갈 공격에서 공격자는 변조된 IP 패킷을 보내거나 악용 네트워크 프로토콜을 피해자에게 보내며, 이에 따라 피해 서버는 자원이 고갈되어 연결 용량이 충분하더라도 피해서버 자체의 작업이 불가능하다. 구체적으로, 자원 고갈 공격은 피해 네트워크 시스템을 무너뜨리기 위한 플로우 수 및 용량에 기반 공격으로서, 짧은 시간에 공격자는 피해 주소에 큰 수의 플로우를 발생시킨다. 예를들어, TCP 연결 시작 전에 송신자와 수신자 사이에 three-handshake protocol기반 시에 사용되는 TCP SYN flooding, PUSH + ACK, 및 Malformed Packet attack 공격 등이 이에 해당된다. 그 중 TCP SYN flooding 공격은, 변조된 IP 주소를 가진 공격자가 목표 Web 서버에 수 천개의 리퀘스트(request)를 보내며, 이러한 공격에 의해 피해 서버뿐 아니라, 오픈플로우 컨트롤러 및 오픈플로우 스위치와 같은 네트워크 장치도 고장이 발생된다.
정책 적용 모듈(또는 Policy Enforcement)(170)은 기설정된 공격의 타입 별로 정책을 생성하고, 공격 분류 모듈(160)을 통해 분류된 공격 플로우의 종류에 따른 공격 축소를 위한 정책(rule)을 해당 오픈플로우 스위치(200)로 전송한다.
DDoS 공격의 해로운 효과를 감소 및 방지하기 위해, 정책 적용 모듈(170)은 각 공격 타입 별로 다양한 방어 기술을 적용한 정책을 생성한다. 예를 들어, 클라이언트(client)로부터 막대한 수의 패킷을 전송하려는 공격 또는 피해 서버에 대해 막대한 플로우를 발생시키는 공격이 발생한 경우, 분류 절차가 끝난 후에, 정책 적용 모듈(170)은 비정상 플로우를 플로우 테이블에서 제거하는 정책을 처리할 수 있다.
또한, 정책 적용 모듈(170)은 보통의 플로우에 관하여서는 플로우 테이블에 아무런 정책도 추가하지 않는다.
이상의 SVM-SOM 결합 기반 DDoS 탐지 시스템의 각 구성들의 처리 동작들은 기설정된 시간 간격 동안에 더 이상의 플로우 정보가 없을 때까지 반복된다.
학습 데이터베이스(180)는 SVM-i 와 SOM 학습을 위한 학습 샘플을 저장한다. 최초의 입력 샘플은 준비된 데이터세트(dataset)로부터 발생되며, SVM-SOM 결합 기반 DDoS 탐지 시스템이 실행되는 동안 입력 샘플을 업데이트할 수 있다. 즉, 학습 데이터베이스(180)는 이상에서 설명한 각 구성들의 동작 루프(loop)를 통해 모아진 플로우의 속성에 의해 지속적으로 업데이트된다. 따라서, 기설정된 시점(예: 네트워크 관리자에 의해 정의된 시점)에SVM 모듈(140)과 SOM 모듈(150)은 업데이트된 학습 데이터베이스(180)를 사용하여 학습된다. 이를 통해, 학습 데이터베이스(180)는 항상 최신버전을 유지하며, SVM-SOM 결합 기반 DDoS 탐지 시스템은 네트워크의 특성에 적합하도록 조정될 수 있다.
이하, 도 3을 참조하여 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 방법에 대해서 상세히 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 SVM-SOM 결합 기반 DDoS 탐지 방법을 설명하기 위한 순서도이다.
참고로, SVM-i 와 SOM은 학습 Database로부터 준비된 dataset에 의해 학습된 상태이다.
먼저, 미리 결정된 시간 간격마다 오픈플로우 스위치로부터 트래픽에 따른 플로우 정보를 수집한다(S311).
다음으로, 수집된 플로우 정보들로부터 기설정된 속성을 추출한다(S312).
이때, 추출되는 속성의 종류는 패킷(packet)의 수, 바이트(byte)의 수, 기간 및 프로토콜(protocol)을 포함할 수 있으며, 이에 제한되지 않는다.
그런 다음, 플로우의 트래픽 타입을 분류한 후(S313), 다중 SVM 중 트래픽 타입에 해당하는 SVM에 해당 플로우를 전달한다(S314).
SVM에서 해당 플로우의 위치에 기반하여 공격 플로우를 분류하되(S315), 해당 플로우가 기학습된 공격 플로우의 위치에 확실히 위치하는지 여부를 판단한다(S316).
이때, SVM은 플로우의 속성 중 기설정된 하나 이상의 속성에 기초하여 플로우의 위치를 분류할 수 있다. 예를 들어, SVM은 패킷(packet)의 수, 바이트(byte)의 수, 기간 및 프로토콜(protocol) 중 두 개의 속성을 기준으로 분류를 처리할 수 있다.
상기 단계 S316에서의 판단의 결과, 해당 플로우의 위치가 공격 플로우의 위치가 아닌 경우, 해당 플로우의 위치가 의심스러운 위치(즉, 불확실한 위치)에 위치하는지를 판단한다(S317).
이때, 해당 플로우의 위치가 SVM을 나타낸 선에서 희미한 부분이나 선의 가장자리 사이에 위치할 경우, 의심스로운 플로우로 판단하여 SOM에 해당 플로우를 전달한다(S318).
반면, 해당 플로우의 위치가 정확한 경우 정상(nomal) 플로우로 판단한다.
그런 다음, SOM에서 해당 플로우의 속성 중 SVM에서 적용되지 않는 속성을 추가적으로 적용하여 의심 패턴 여부를 판단한다(S319).
이때, SOM은 플로우의 속성 중 기설정된 하나 이상의 속성에 기초하여 플로우의 공격 플로우 여부를 결정하되, SVM보다 많은 종류의 속성을 적용한다. 예를 들어, SOM은 패킷(packet)의 수, 바이트(byte)의 수, 기간 및 프로토콜(protocol) 속성 모두를 사용하여 의심 패턴을 분류를 처리할 수 있다.
이때, 해당 플로우가 의심 패턴으로 결정된 경우 공격 타입 분류를 처리한다(S320). 반면, 해당 플로우가 공격 플로우의 조건에 해당하지 않을 경우 정상(nomal) 플로우로 판단한다.
한편, 상기 단계 S316의 판단의 결과, 해당 플로우의 위치가 공격 플로우의 위치에 확실히 위치할 경우 곧바로 공격 타입 분류를 처리한다(S320).
이때, 플로우의 공격 타입은 기설정된 종류의 DDoS 공격 타입 중 어느 하나로 분류될 수 있으며, 예를 들어 대역폭 고갈 공격 및 자원 고갈 공격 중 어느 하나의 타입으로 분류될 수 있다.
그런 다음, 해당 플로우의 공격 타입에 따른 공격 축소를 위한 정책을 생성하여, 해당 정책(rule)을 플로우에 대응된 오픈플로우 스위치로 전송한다(S321).
이때, 플로우에 대한 DdoS 공격 축소를 위한 정책은 오픈플로우 스위치의 플로우 테이블에 저장되어, 추후 동일 플로우에 대해서 지속적으로 적용될 수 있다.
이상의 과정들은 기설정된 시간 간격동안에 더 이상의 플로우 정보가 없을 때까지 반복될 수 있다.
또한, 이상의 절차와는 병렬적으로, SVM과 SOM를 학습시키는 학습 데이터베이스는 지속적으로 업데이트 되며, 이에 따라 SVM과 SOM은 기설정된 시점마다 최신의 학습 데이터를 사용하여 학습될 수 있다.
이상에서 설명한 본 발명의 일 실시예에 따른 시스템 및 그 방법은, 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: SDN 시스템
100: SVM-SOM 결합 기반 DDoS 탐지 시스템이 구현된 오픈플로우 컨트롤러
200: 오픈플로우 스위치
300-1: 정상 사용자 단말
300-2: 봇넷
400: 서비스 서버

Claims (10)

  1. 소프트웨어정의네트워크 환경에서 SVM-SOM 결합 기반 DDoS 탐지를 처리하는 오픈플로우 컨트롤러에 있어서,
    오픈플로우 스위치로부터 플로우 정보를 수집하는 플로우 수집 모듈;
    수집된 플로우로부터 기설정된 복수의 속성을 추출하는 특징 추출 모듈;
    플로우의 트래픽 타입을 분류하여 트래픽 타입에 상응하는 SVM 모듈로 전달하는 트래픽 분류 모듈;
    상기 트래픽 타입 별로 입력된 플로우에 대해 상기 추출된 속성 중 하나 이상의 제 1 속성에 기초하여 공격 플로우를 분류하되, 정상과 비정상 샘플 데이터를 학습한 결과에 따른 SVM(Support Vector Machin) 표현 상에서 상기 입력된 플로우의 위치에 기반하여 영역을 결정하고, 결정된 영역이 공격 플로우 영역이면 공격 분류 모듈로 전달하고, 결정된 영역이 불확실한 영역이면 SOM 모듈로 전달하는 SVM 모듈;
    상기 SVM 모듈을 통해 입력된 플로우에 대해 상기 추출된 속성 중 상기 제 1 속성보다 많은 개수의 제 2 속성에 기초하여 의심 패턴 여부를 결정하되, SOM(Self Organizing Map) 상에서 플로우의 입력 벡터에 대한 의심 패턴 여부를 결정하는 SOM 모듈;
    상기 SVM 모듈과 상기 SOM 모듈로부터 공격 플로우로 분류되거나 또는 의심 패턴으로 결정된 플로우를 수신하고, 상기 수신된 플로우에 대해 기설정된 비정상 플로우의 공격 타입을 플로우의 프로토콜에 기초하여 대역폭 고갈 공격 타입 및 자원 고갈 공격 타입으로 분류하는 공격 분류 모듈; 및
    상기 분류된 공격 타입 별로 공격 축소 정책을 생성하고, 상기 생성된 공격 축소 정책을 플로우에 대응하는 오픈플로우 스위치로 전송하는 정책 적용 모듈을 포함하되,
    상기 SVM 모듈은 복수의 트래픽 타입 별로 대응하는 다중 SVM 분류기인 것인, 오픈플로우 컨트롤러.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 SVM 모듈과 상기 SOM 모듈의 정상 및 비정상 플로우 학습을 위한 학습 샘플 데이터가 저장된 학습 데이터베이스를 더 포함하며,
    상기 학습 데이터베이스는,
    상기 SVM 모듈의 공격 플로우 분류 동작 및 상기 SOM 모듈의 의심 패턴 여부 결정 동작에 따른 결과가 업데이트되는 것인, 오픈플로우 컨트롤러.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 복수의 속성은,
    패킷의 수, 바이트의 수, 기간 및 프로토콜 중 적어도 하나를 포함하는 것인, 오픈플로우 컨트롤러.
  6. 삭제
  7. 소프트웨어정의네트워크 환경에서 오픈플로우 컨트롤러를 통한 SVM-SOM 결합 기반 DDoS 탐지 방법에 있어서,
    오픈플로우 스위치로부터 트래픽에 따른 플로우 정보를 수집하는 단계;
    상기 수집된 플로우 별로 기설정된 복수의 속성을 추출하는 단계;
    상기 수집된 플로우의 트래픽 타입을 분류하는 단계;
    복수의 트래픽 타입 별로 대응하는 다중 SVM(Support Vector Machin) 중 상기 분류된 트래픽 타입에 대응하는 SVM를 통해 상기 추출된 속성 중 하나 이상의 제 1 속성에 기초하여 공격 플로우를 분류하는 단계;
    상기 SVM를 통해 공격 플로우로 분류되지 않은 플로우의 경우, 상기 추출된 속성 중 상기 제 1 속성보다 많은 개수의 제 2 속성에 기초하여 SOM(Self Organizing Map)을 통해 의심 패턴 여부를 결정하는 단계;
    상기 SVM를 통해 공격 플로우로 분류된 경우 또는 상기 SOM을 통해 의심 패턴으로 결정된 경우, 해당 플로우에 대한 공격 타입을 플로우의 프로토콜에 기초하여 대역폭 고갈 공격 타입 및 자원 고갈 공격 타입으로 분류하는 단계; 및
    상기 분류된 공격 타입 별로 공격 축소 정책을 생성하고, 상기 생성된 공격 축소 정책을 플로우에 대응하는 오픈플로우 스위치로 전송하는 단계를 포함하는 것인, SVM-SOM 결합 기반 DDoS 탐지 방법.
  8. 삭제
  9. 제 7 항에 있어서,
    상기 공격 플로우를 분류하는 단계 이전에,
    상기 SVM 및 상기 SOM을 정상 및 비정상 플로우 학습을 위한 학습 샘플 데이터가 저장된 학습 데이터베이스를 통해 학습시키는 단계를 더 포함하며,
    상기 학습 데이터베이스는,
    상기 SVM의 공격 플로우 분류 동작 및 상기 SOM의 의심 패턴 여부 결정 동작에 따른 결과가 업데이트되는 것인, SVM-SOM 결합 기반 DDoS 탐지 방법.
  10. 제 7 항에 있어서,
    상기 복수의 속성은,
    패킷의 수, 바이트의 수, 기간 및 프로토콜 중 적어도 하나를 포함하는 것인, SVM-SOM 결합 기반 DDoS 탐지 방법.
KR1020170044402A 2016-11-30 2017-04-05 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법 KR101980901B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/823,774 US20180152475A1 (en) 2016-11-30 2017-11-28 Ddos attack detection system based on svm-som combination and method thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160161099 2016-11-30
KR1020160161099 2016-11-30

Publications (2)

Publication Number Publication Date
KR20180062318A KR20180062318A (ko) 2018-06-08
KR101980901B1 true KR101980901B1 (ko) 2019-05-24

Family

ID=62600589

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170044402A KR101980901B1 (ko) 2016-11-30 2017-04-05 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101980901B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230094303A (ko) 2021-12-21 2023-06-28 주식회사 윈스 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102083028B1 (ko) * 2019-02-19 2020-02-28 유재선 네트워크 침입탐지 시스템
KR102091076B1 (ko) * 2019-04-16 2020-03-20 주식회사 이글루시큐리티 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법
CN110311898B (zh) * 2019-06-13 2021-08-03 浙江工业大学 基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法
KR102311997B1 (ko) * 2019-08-27 2021-10-14 (주)하몬소프트 인공지능 행위분석 기반의 edr 장치 및 방법
CN111147516B (zh) * 2019-12-31 2020-11-24 中南民族大学 基于sdn的安全设备动态互联与智能选路决策系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160119678A (ko) * 2015-10-30 2016-10-14 엑스브레인 주식회사 기계 학습을 이용한 웹 공격 탐지방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230094303A (ko) 2021-12-21 2023-06-28 주식회사 윈스 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치

Also Published As

Publication number Publication date
KR20180062318A (ko) 2018-06-08

Similar Documents

Publication Publication Date Title
US20180152475A1 (en) Ddos attack detection system based on svm-som combination and method thereof
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
Santos et al. Machine learning algorithms to detect DDoS attacks in SDN
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US11201882B2 (en) Detection of malicious network activity
Yu et al. An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks
Imran et al. Toward an optimal solution against denial of service attacks in software defined networks
CN107231384B (zh) 一种面向5g网络切片的DDoS攻击检测防御方法及系统
KR101812403B1 (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
US10375096B2 (en) Filtering onion routing traffic from malicious domain generation algorithm (DGA)-based traffic classification
CN107612890B (zh) 一种网络监测方法及系统
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
Murtuza et al. Mitigation and detection of DDoS attacks in software defined networks
Umamaheswari et al. Honeypot TB-IDS: trace back model based intrusion detection system using knowledge based honeypot construction model
KR101210622B1 (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Yerriswamy et al. Signature-based traffic classification for ddos attack detection and analysis of mitigation for ddos attacks using programmable commodity switches
Kumar et al. Handling Security Issues in Software-defined Networks (SDNs) Using Machine Learning
Singh Machine learning in openflow network: comparative analysis of DDoS detection techniques.
Keshri et al. DoS attacks prevention using IDS and data mining
MohanaPriya et al. Restricted Boltzmann machine‐based cognitive protocol for secure routing in software defined wireless networks
Thorat et al. SDN-based machine learning powered alarm manager for mitigating the traffic spikes at the IoT gateways
KR20200014139A (ko) 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right