KR102088299B1 - 분산 반사 서비스 거부 공격 탐지 장치 및 방법 - Google Patents

분산 반사 서비스 거부 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR102088299B1
KR102088299B1 KR1020160149511A KR20160149511A KR102088299B1 KR 102088299 B1 KR102088299 B1 KR 102088299B1 KR 1020160149511 A KR1020160149511 A KR 1020160149511A KR 20160149511 A KR20160149511 A KR 20160149511A KR 102088299 B1 KR102088299 B1 KR 102088299B1
Authority
KR
South Korea
Prior art keywords
attack
session
type
flow data
network flow
Prior art date
Application number
KR1020160149511A
Other languages
English (en)
Other versions
KR20180052324A (ko
Inventor
김정태
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160149511A priority Critical patent/KR102088299B1/ko
Priority to US15/803,062 priority patent/US10693908B2/en
Publication of KR20180052324A publication Critical patent/KR20180052324A/ko
Application granted granted Critical
Publication of KR102088299B1 publication Critical patent/KR102088299B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

분산 반사 서비스 거부 공격 탐지 장치 및 방법이 개시된다. 본 발명에 따른 분산 반사 서비스 거부 공격 탐지 장치는, 네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 네트워크 플로우 데이터 수신부, 수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 세션 유형 판단부, 상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 호스트 유형 판단부, 상기 네트워크 플로우 데이터의 공격 종류를 판단하는 공격 종류 판단부, 상기 네트워크 플로우 데이터의 프로토콜을 식별하는 프로토콜 식별부, 그리고 상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 공격 탐지부를 포함한다.

Description

분산 반사 서비스 거부 공격 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING DRDOS}
본 발명은 분산 반사 서비스 거부 공격 탐지 기술에 관한 것으로, 특히 로드 밸런싱이 적용된 ISP 네트워크 상에서 분산 반사 서비스 거부 공격(DRDoS)을 탐지하는 기술에 관한 것이다.
서비스 거부 공격(Denial of Service attack, DoS)은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에 수많은 접속 시도를 만들어, 다른 이용자가 정상적으로 서비스를 이용하지 못하도록 하거나, 서버의 TCP 연결을 바닥내는 공격이 대표적인 서비스 거부 공격(DoS)에 속한다.
그리고 DoS의 한 종류인 분산 서비스 거부 공격(Distributed DoS, DDoS)은 복수의 공격자를 분산적으로 배치하여, 동시에 서비스 거부 공격을 수행하는 공격 방법이다. DDoS는 악성코드나 바이러스 등의 악의적인 프로그램을 통해서 일반 사용자의 PC를 감염시켜 좀비 PC로 만들고, C&C 서버를 통하여 공격을 수행한다.
또한, 분산 서비스 거부 공격(DDoS)이 진화한 형태인 분산 반사 서비스 거부 공격(Distributed Reflect DoS, DRDoS)은 별도의 에이전트를 설치할 필요 없이, 네트워크 통신 프로토콜 구조의 취약성을 이용하여 정상적인 서비스를 운영하고 있는 시스템을 DDoS 공격의 에이전트로 활용한다.
기존의 DDoS 공격에 비해 사용이 쉽고, 공격을 당한 사이트의 복구가 어렵다. 그리고 DRDoS 공격의 피해 정도 및 성공 확률은 DDoS 공격과 유사하고, DRDoS의 피해 결과는 DDoS 공격과 유사하여 피해 발생 후에도 공격 방법을 파악하기 어려우며, 기존의 DDoS 탐지 방법으로는 DRDoS를 탐지하기 어렵다.
따라서, 다양한 DDoS 관련 트래픽을 모델링하여, DRDoS 공격을 실시간으로 탐지하는 기술의 개발이 필요하다.
한국 등록 특허 제10-1420301호, 2014년 03월 13일 공개(명칭: DDoS 공격 검출 방법 및 장치)
본 발명의 목적은 네트워크 플로우 데이터를 이용하여 DDoS 관련 트래픽을 모델링 함으로써, 분산 서비스 거부 공격(DRDoS)을 실시간으로 탐지하는 것이다.
또한, 본 발명의 목적은 분산 서비스 거부 공격(DRDoS)에 사용되는 다양한 프로토콜에 대한 공격 징후를 탐지하는 것이다.
또한, 본 발명의 목적은 분산 서비스 거부 공격(DRDoS)을 탐지하는 최적의 시나리오를 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 분산 반사 서비스 거부 공격 탐지 장치는 네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 네트워크 플로우 데이터 수신부, 수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 세션 유형 판단부, 상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 호스트 유형 판단부, 상기 네트워크 플로우 데이터의 공격 종류를 판단하는 공격 종류 판단부, 상기 네트워크 플로우 데이터의 프로토콜을 식별하는 프로토콜 식별부, 그리고 상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 공격 탐지부를 포함한다.
이때, 상기 세션 유형부는, 상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분할 수 있다.
이때, 상기 호스트 유형 판단부는, 상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단할 수 있다.
이때, 상기 공격 종류 판단부는, 상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단할 수 있다.
이때, 상기 네트워크 플로우 데이터의 프로토콜은, 도메인 네임 시스템(DNS) 및 네트워크 타임프로토콜(NTP) 중 적어도 어느 하나를 포함할 수 있다.
이때, 상기 네트워크 플로우 데이터 수신부는, 로드 밸런싱이 적용된 ISP 네트워크에 상응하는 상기 네트워크 플로우 데이터를 수신할 수 있다.
이때, 상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 모델링부를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치에 의해 수행되는 분산 반사 서비스 거부 공격 탐지 방법은 네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 단계, 수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 단계, 상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 단계, 상기 네트워크 플로우 데이터의 공격 종류를 판단하는 단계, 상기 네트워크 플로우 데이터의 프로토콜을 식별하는 단계, 그리고 상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 단계를 포함한다.
이때, 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 단계는, 상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분할 수 있다.
이때, 상기 호스트 유형을 판단하는 단계는, 상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단할 수 있다.
이때, 상기 공격 종류를 판단하는 단계는, 상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단할 수 있다.
이때, 상기 네트워크 플로우 데이터의 프로토콜은, 도메인 네임 시스템(DNS) 및 네트워크 타임프로토콜(NTP) 중 적어도 어느 하나를 포함할 수 있다.
이때, 상기 네트워크 플로우 데이터를 수신하는 단계는, 로드 밸런싱이 적용된 ISP 네트워크에 상응하는 상기 네트워크 플로우 데이터를 수신 할 수 있다.
이때, 상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 네트워크 플로우 데이터를 이용하여 DDoS 관련 트래픽을 모델링함으로써, 분산 서비스 거부 공격(DRDoS)을 탐지할 수 있다.
또한 본 발명에 따르면, 분산 서비스 거부 공격(DRDoS)에 사용되는 다양한 프로토콜에 대한 공격 징후를 탐지할 수 있다.
또한 본 발명에 따르면, 분산 서비스 거부 공격(DRDoS)을 탐지하는 최적의 시나리오를 제공하는 것이다.
도 1은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치가 적용되는 환경을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 일실시예에 따른 세션 유형을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 탐지 모델을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격의 탐지 결과를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치가 적용되는 환경을 개략적으로 도시한 도면이다.
도 1에 도시한 바와 같이, 분산 반사 서비스 거부 공격 탐지 시스템은 네트워크 장비(100) 및 분산 반사 서비스 거부 공격 탐지 장치(200)를 포함한다.
먼저, 네트워크 장비(100)는 네트워크를 통해 전송되는 데이터를 분산 반사 서비스 거부 공격 탐지 장치(200)로 전송한다.
여기서, 네트워크 장비(100)는 복수 개의 장치를 연결하여 네트워크를 구성하는 것으로, 스위치(Switch), 라우터(Router) 및 허브(Hub) 등을 의미할 수 있으며, 네트워크 장비(100)의 종류는 이에 한정되지 않는다.
그리고 네트워크 장비(100)는 NetFlow, IPFIX, sFlow, Jflow, Cflowd 등의 네트워크 플로우 데이터(nFlow data)를 수집하여 분산 반사 서비스 거부 공격 탐지 장치(200)로 전송할 수 있다. 이때, 네트워크 장비(100)는 트래픽 과부하를 분산하기 위하여, 로드 밸런싱(Load Balancing)이 적용된 ISP 네트워크 상에서 네트워크 플로우 데이터를 수집할 수 있다.
다음으로 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 장비(100)로부터 수집된 네트워크 플로우 데이터를 분석하여, 세션 유형, 호스트 유형, 공격 종류 및 프로토콜을 판단한다. 또한, 분산 반사 서비스 거부 공격 탐지 장치(200)는 판단된 세션 유형, 호스트 유형, 공격 종류 및 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지한다.
여기서, 네트워크 장비(100)로부터 수집된 네트워크 플로우 데이터는, 로드 밸런싱이 적용된 ISP 네트워크에 상응하는 네트워크 플로우 데이터를 의미할 수 있다.
그리고 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터에 상응하는 세션 수를 기반으로, 세션 유형을 일대일 세션, 일대다 세션, 다대일 세션 중 어느 하나의 세션 유형으로 구분할 수 있다.
또한, 분산 반사 서비스 거부 공격 탐지 장치(200)는 소스 포트 정보 및 목적지 포트 정보를 기반으로 세션의 방향성을 판단하고, 세션의 방향성을 기반으로 일대일 세션 유형, 일대다 세션 유형 및 다대일 세션 유형을, 서버에서 클라이언트로의 세션(S2C 세션) 및 클라이언트에서 서버로의 세션(C2S 세션) 중 어느 하나로 구분할 수 있다. 즉, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터에 상응하는 세션 유형을 총 다섯 가지 유형으로 분류할 수 있다.
이때, 분산 반사 서비스 거부 공격 탐지 장치(200)는 세션의 방향성을 기반으로 호스트가 공격 대상(Victim) 및 공격자(Zombie) 중 어느 유형에 속하는지 여부를 판단할 수 있다.
그리고, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 네트워크 플로우 데이터에 상응하는 공격이 반사 공격(Reflection Attack) 및 증폭 공격(Amplification Attack) 중 어느 종류의 공격에 속하는지 여부를 판단할 수 있다.
또한, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 프로토콜(Protocol)을 식별할 수 있으며, 네트워크 플로우 데이터의 프로토콜은 도메인 네임 시스템(DNS), 네트워크 타임프로토콜(NTP) 등 일 수 있다.
그리고 분산 반사 서비스 거부 공격 탐지 장치(200)는 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로 탐지 모델을 생성할 수 있다. 이때, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터를 공격 유형(Attack Type), 프로토콜(Protocol), 공격 종류(Method), 호스트(Host) 및 시나리오(Scenario)로 분류하여, 탐지 모델을 생성할 수 있다.
종래 기술에 따른 DDoS 탐지 장치들은 서비스 거부(DoS) 공격을 탐지하기 위하여, 먼저 네트워크가 정상 상태(normal state)일 때 어느 정도의 부하를 처리하는지 파악하고, 네트워크 이상 징후 분석에 대한 특정한 파라미터를 정의하며, 정상 상태에 대한 파라미터 값들의 임계치를 정의한다.
이때, 파라미터로는, CPU 사용량 및 로드(Load)량, 패킷의 크기 및 패킷 헤더의 정보, 프로토콜의 분포, 전체적인 트래픽 양에 대한 최대값 및 평균값, 특정 호스트에 대한 집중 현상, 스푸핑(spoofing) 주소를 이용하는 플로우에 대한 모니터링, 네트워크 플로우 정보 등이 활용될 수 있다.
종래 기술에 따른 DDoS 탐지 장치들은 이러한 사전 지식에 기반한 통계치를 기반으로, 분산 서비스 거부 공격(DDoS)를 탐지하며, 주로 IP 패킷 헤더의 정보를 기반으로 특정 패턴이나 시그니처에 기반하여 DoS 공격을 탐지한다.
그러나, 분산 반사 서비스 거부 공격(DRDoS)은 DDoS 공격이 한 단계 더 진화한 형태의 공격 방식으로, 별도의 에이전트 설치 없이 네트워크 통신 프로토콜 구조의 취약성을 이용하여, 정상적인 서비스를 운영하고 있는 시스템을 DDoS 공격의 에이전트로 활용한다.
분산 반사 서비스 거부 공격(DRDoS)은, IP주소를 스푸핑한 ICMP Echo request 패킷을 프로드캐스트 주소로 보내, 공격 대상에게 수많은 Echo reply 패킷을 전송함으로써 다운시키거나, TCP/IP 네트워크의 취약점을 이용하여 공격 대상에게 SYN/ACK 홍수를 일으켜 대상을 다운시킨다. 즉, 기존의 DDoS 공격 탐지 방법으로는 분산 반사 서비스 거부 공격(DRDoS)의 탐지가 어렵다.
따라서, 본원 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치(200)는 로드 밸런싱(Load Balancing)이 적용된 IPS 네트워크에서, 다양한 DDoS 관련 트래픽을 모델링하여, 분산 반사 서비스 거부 공격(DRDoS)을 실시간으로 탐지한다.
이하에서는 도 2를 통하여 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치(200)의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터 수신부(210), 세션 유형 판단부(220), 호스트 유형 판단부(230), 공격 종류 판단부(240), 프로토콜 식별부(250), 공격 탐지부(260) 및 모델링부(270)를 포함한다.
먼저, 네트워크 플로우 데이터 수신부(210)는 네트워크 장비로부터 네트워크 플로우 데이터를 수신한다. 이때, 네트워크 플로우 데이터 수신부(210)는 로드 밸런싱이 적용된 ISP 네트워크에 상응하는 네트워크 플로우 데이터를 네트워크 장비로부터 수신할 수 있다.
그리고 세션 유형 판단부(220)는 수신된 네트워크 플로우 데이터의 세션 유형을 판단한다. 로드 밸런싱이 적용된 ISP 네트워크 상에서 NTP 또는 DNS를 이용한 분산 반사 서비스 거부 공격(DRDoS)은, 수집된 네트워크 플로우 데이터의 링크에 따라 통신의 방향이 결정된다.
즉, 세션 유형 판단부(220)는 비동기 라우팅(Asynchronous Routing)에 따라, 세션 유형을 다섯 가지 유형으로 분류할 수 있다. 먼저, 서버가 클라이언트로 데이터를 전송하는 세션은 두 가지로 분류된다. 제1 세션 유형은 일대일 S2C 유형으로, 서버에서 클라이언트로의 하나의 세션이 형성된 경우를 의미한다. 그리고 제2 세션 유형은 다대일 S2C 유형으로, 복수의 서버들에서 하나의 클라이언트로의 복수의 세션이 형성된 경우를 의미한다.
반면, 클라이언트에서 서버로의 세션은 세 가지 유형으로 분류된다. 제3 세션 유형은 하나의 클라이언트에서 하나의 서버로의 세션이 형성된 경우인 일대일 C2S 유형이다. 그리고 제4 세션 유형은 다대일 C2S 유형으로, 복수의 클라이언트들에서 하나의 서버로의 세션을 의미한다. 또한, 제5 세션 유형은 하나의 클라이언트에서 복수의 서버들로의 세션으로, 일대다 C2S 유형을 의미한다.
설명의 편의상, 세션 유형 판단부(220)가 세션의 수 및 세션의 방향성을 기반으로, 세션을 총 다섯 가지 유형으로 분류하는 것으로 설명하였으나 이에 한정하지 않고, 세션 유형 판단부(220)는 세션의 수를 기반으로 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 판단할 수 있다. 그리고 후술할 호스트 유형 판단부(230)가 세션의 방향성을 기반으로 호스트의 유형을 판단하여 총 다섯 가지의 세션 유형으로 세션을 구분할 수도 있다.
다음으로 호스트 유형 판단부(230)는 세션 유형을 기반으로, 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단한다.
이때, 호스트 유형 판단부(230)는 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 세션의 방향성을 판단하고, 세션의 방향성을 이용하여 호스트의 유형을 공격 대상(Victim) 및 공격자(Zombie) 중 어느 하나로 판단할 수 있다.
호스트 유형 판단부(230)는 NetFlow의 Flow record 내의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 네트워크 플로우 데이터에 상응하는 호스트 유형을 판단할 수 있다. 호스트 유형 판단부(230)는 DNS 및 NTP의 잘 알려진 포트인 포트 번호 53, 포트 번호 123 등을 이용하여, 네트워크 플로우 데이터가 클라이언트에서 서버로 전송되는 데이터인지, 서버에서 클라이언트로 전송되는 데이터인지 여부를 판단한다.
예를 들어, 소스 포트가 1024번 이상의 임의의 포트이고, 목적지 포트가 53 또는 123인 경우, 해당 네트워크 플로우 데이터는 DNS 또는 NTP의 요청 메시지를 의미할 수 있다. 그리고 소스 포트 번호가 53 또는 123이고, 목적지 포트가 1024이상의 임의의 포트인 경우 해당 네트워크 플로우 데이터는 DNS 또는 NTP의 응답 메시지를 의미할 수 있다.
이와 같이, 호스트 유형 판단부(230)는 소스 포트와 목적지 포트를 기반으로 세션의 방향성을 판단하여, 호스트가 공격 대상(Victim)인지, 공격자(Zombie)인지 여부를 판단한다. 또한, 세션 유형 판단부(220)가 세션 유형을 다섯 가지로 분류한 경우, 호스트 유형 판단부(230)는 분류된 세션 유형을 기반으로 호스트 유형을 판단할 수도 있다.
그리고 공격 종류 판단부(240)는 네트워크 플로우 데이터의 공격 종류를 판단한다.
공격 종류 판단부(240)는 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 공격에 해당하는지 여부를 판단할 수 있다.
반사 공격은 네트워크가 감당할 수 없는 트래픽의 양을 생성하여, 정상적인 트래픽을 처리하지 못하도록 하는 공격이다. 공격자는 쿼리의 원래 IP에 공격 대상(Victim)의 IP주소를 지정하여, 모든 응답을 공격 대상의 IP주소로 전송하도록 하여 공격 대상의 서버가 중단되도록 한다.
그리고 증폭 공격은 대량의 응답을 생성하도록 제작된 DNS 쿼리를 대규모로 전송하여, DNS 서버 아웃바운드 대역폭을 소비하는 공격이다. 특히, DNS 증폭 공격(DNS Amplification Attack)은 DNS 서버를 이용하는 증폭 공격으로, 소스 IP 주소를 변경하여 요청에 대한 응답이 조작된 IP 주소인 공격 대상(Victim)으로 전송되도록 하는 공격방식이다. DNS 증폭 공격 방식은 전송되는 응답의 크기가 보통 수준의 수십 배 이상이 되도록 유도하여, 공격 대상을 마비시킬 수 있다.
그리고 NTP 증폭 공격(NTP Amplification Attack)은 공개된 NTP 서버를 통해 증폭된 UDP 패킷을 발송하여, 공격 대상 시스템이 정상적으로 서비스를 할 수 없도록 한다. NTP 증폭 공격은 소스 IP 주소를 변경하여, 요청에 대한 응답이 조작된 IP 주소인 공격 대상(Victim)으로 전송되도록 하는 방식으로, NTP 서버의 monlist 기능을 이용하여 대량의 응답이 공격 대상의 IP로 전송되도록 한다.
다음으로 프로토콜 식별부(250)는 네트워크 플로우 데이터의 프로토콜을 식별한다. 프로토콜 식별부(250)는 네트워크 플로우 데이터를 기반으로, 해당 공격 세션의 프로토콜 정보를 확인한다. 이때, 공격에 사용된 프로토콜은 DNS, NTP 등일 수 있으며, 프로토콜의 종류는 이에 한정되지 않는다.
그리고 공격 탐지부(260)는 세션 유형, 호스트 유형, 공격 종류 및 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지한다.
마지막으로, 모델링부(270)는 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성한다. 모델링부(270)는 공격 유형, 프로토콜, 공격 종류, 호스트 유형 및 세션 유형으로 분류된 탐지 모델을 생성할 수 있다.
이하에서는 도 3을 통하여 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 장치에 의해 수행되는 분산 반사 서비스 거부 공격 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격 탐지 방법을 설명하기 위한 순서도이다.
먼저, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터를 수신한다(S310).
분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 장비(100)로부터 로드 밸런싱이 적용된 ISP 네트워크 상에서의 네트워크 플로우 데이터를 수신할 수 있다.
그리고 분산 반사 서비스 거부 공격 탐지 장치(200)는 세션 유형을 판단하고(S320), 호스트 유형을 판단한다(S330).
분산 반사 서비스 거부 공격 탐지 장치(200)는 수신된 네트워크 플로우 데이터의 세션 유형 및 호스트 유형을 판단한다. 세션 유형은 일대일 세션, 일대다 세션 및 다대일 세션 총 세 개의 세션 유형으로 구분될 수 있다. 그리고 호스트 유형은 서버에서 클라이언트로의 세션인 S2C 세션과 클라이언트에서 서버로의 세션인 C2S 세션 총 두 개의 세션 유형으로 구분될 수 있다. 즉, 세션은 서버가 클라이언트로 데이터를 전송하는 세션 두 가지와 클라이언트가 서버로 데이터를 전송하는 세션 세 가지의 총 다섯 가지 유형으로 분류될 수 있다.
제1 세션 유형은 일대일 S2C 유형으로, 서버에서 클라이언트로의 하나의 세션이 형성된 경우를 의미한다. 그리고 제2 세션 유형은 다대일 S2C 유형으로 복수의 서버들에서 하나의 클라이언트로의 세션이 복수 개 형성된 경우를 의미한다.
또한, 제3 세션 유형은 하나의 클라이언트에서 하나의 서버로의 세션이 형성된 경우로 일대일 C2S 유형이다. 제4 세션 유형은 복수의 클라이언트들에서 하나의 서버로 복수 개의 세션이 형성된 경우로 다대일 C2S 유형이며, 제5 세션 유형은 일대다 C2S 유형으로 하나의 클라이언트에서 복수의 서버들로 복수의 세션이 형성된 경우를 의미한다.
그리고 분산 반사 서비스 거부 공격 탐지 장치(200)는 세션 유형을 기반으로 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단한다.
분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 세션의 방향성을 판단하고, 세션의 방향성을 이용하여 호스트의 유형을 공격 대상(Victim) 및 공격자(Zombie) 중 어느 하나로 판단할 수 있다.
설명의 편의상, 분산 반사 서비스 거부 공격 탐지 장치(200)가 세션 수를 기반으로 세션 유형을 판단하고, 세션의 방향성을 기반으로 호스트의 유형을 판단하는 것으로 설명하였으나 이에 한정하지 않고, 분산 반사 서비스 거부 공격 탐지 장치(200)는 세션의 수 및 방향성을 이용하여, 한 번의 과정으로 세션의 유형을 판단할 수 있다.
그리고 호스트가 공격 대상인 경우, 세션 유형은 제1 세션 유형 및 제2 세션 유형 중 어느 하나일 수 있으며, 호스트가 공격자인 경우 세션 유형은 제3 세션 유형, 제4 세션 유형 및 제5 세션 유형 중 어느 하나일 수 있다.
다음으로 분산 반사 서비스 거부 공격 탐지 장치(200)는 공격 종류를 판단한다(S340).
분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 네트워크 플로우 데이터에 상응하는 공격이 반사 공격인지, 증폭 공격인지 여부를 판단할 수 있다.
그리고 분산 반사 서비스 거부 공격 탐지 장치(200)는 프로토콜을 식별한다(S350).
분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 프로토콜 정보를 분석하여, 공격에 사용된 프로토콜을 식별할 수 있다. 이때, 해당 공격 세션의 프로토콜은 DNS, NTP 및 기타 프로토콜 중 어느 하나일 수 있다.
또한, 분산 반사 서비스 거부 공격 탐지 장치(200)는 네트워크 플로우 데이터의 분석 결과를 기반으로, 분산 반사 서비스 거부 공격을 탐지한다(S360). 분산 반사 서비스 거부 공격 탐지 장치(200)는 S320 단계 내지 S350 단계에서 분석한 정보를 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지한다.
마지막으로, 분산 반사 서비스 거부 공격 탐지 장치(200)는 분산 반사 서비스 거부 공격의 탐지 결과를 이용하여, 탐지 모델을 생성한다(S370).
이때, 분산 반사 서비스 거부 공격 탐지 장치(200)는 공격 유형, 프로토콜, 공격 종류, 호스트 유형 및 세션 유형으로 분류된 탐지 모델을 생성할 수 있다. 여기서 공격 유형은 DDoS 공격인지, DRDoS 공격인지 여부를 의미하며, 프로토콜은 DNS, NTP 및 기타 프로토콜 중 어느 하나일 수 있다.
그리고 공격 종류는 반사 공격인지, 증폭 공격인지 여부를 의미할 수 있으며, 호스트 유형 및 세션 유형은 일대일 S2C 세션 유형, 다대일 S2C 세션 유형, 일대일 C2S 세션 유형, 다대일 C2S 세션 유형 및 일대다 C2S 세션 유형 중 어느 하나일 수 있다.
또한, 분산 반사 서비스 거부 공격 탐지 장치(200)는 생성된 탐지 모델을 이용하여 DRDoS 공격을 실시간으로 탐지할 수 있다.
도 4는 본 발명의 일실시예에 따른 세션 유형을 나타낸 도면이다.
도 4와 같이, 분산 반사 서비스 거부 공격 탐지 장치(200)는 세션 유형을 총 다섯 가지로 분류할 수 있다.
먼저, 서버(10)가 클라이언트(20)로 데이터를 전송하는 세션은 두 가지로 분류된다. 제1 세션 유형(410)은 일대일 S2C 유형으로, 서버(10)에서 클라이언트(20)로의 하나의 세션이 형성된 경우를 의미한다. 그리고 제2 세션 유형(420)은 다대일 S2C 유형으로, 복수의 서버(10)들에서 하나의 클라이언트(20)로의 복수의 세션이 형성된 경우를 의미한다.
반면, 클라이언트(20)에서 서버(10)로의 세션은 세 가지 유형으로 분류된다. 제3 세션 유형(430)은 하나의 클라이언트(20)에서 하나의 서버(10)로의 세션이 형성된 경우인 일대일 C2S 유형이다. 그리고 제4 세션 유형(440)은 다대일 C2S 유형으로, 복수의 클라이언트(20)들에서 하나의 서버(10)로의 세션을 의미한다. 또한, 제5 세션 유형(450)은 하나의 클라이언트(20)에서 복수의 서버(10)들로의 세션으로, 일대다 C2S 유형을 의미한다.
도 5는 본 발명의 일실시예에 따른 탐지 모델을 나타낸 도면이다.
도 5와 같이, 분산 반사 서비스 거부 공격의 탐지 모델은 서비스 거부 공격을 공격 유형(Attack Type)(510)별로 분류한다. 서비스 거부 공격(DoS)은 분산 반사 서비스 거부 공격(DRDoS)와 분산 서비스 거부 공격(DDoS)로 구분된다.
그리고 분산 반사 서비스 거부 공격(DRDoS)은 프로토콜(Protocol)(520)의 종류에 따라 분류될 수 있다. 분산 반사 서비스 거부 공격(DRDoS)은 DNS, NTP 등의 프로토콜을 사용할 수 있으며, 공격에 사용된 프로토콜의 종류에 따라 분류될 수 있다.
또한, 분산 반사 서비스 거부 공격(DRDoS)은 공격 종류(Method)(530)에 따라 반사 공격(Reflection Attack) 및 증폭 공격(Amplification Attack)으로 분류될 수 있다.
분산 반사 서비스 거부 공격(DRDoS)은 세션의 방향성을 기반으로 호스트(Host)(540)가 공격 대상(Victim) 및 공격자(Zombie)로 구분될 수 있고, 공격 대상(Victim) 호스트는 세션의 수에 따라 일대일 세션, 다대일 세션으로 구분될 수 있다. 또한, 공격자 호스트(Zombie)는 세션의 수에 따라 일대일 세션, 일대다 세션 및 다대일 세션으로 구분될 수 있다.
설명의 편의상, 프로토콜이 DNS인 경우에 대해서만 도시하였으나 이에 한정하지 않고, NTP, SNMP 등 DRDoS 공격에 사용되는 다양한 프로토콜에 대하여 탐지 모델을 생성할 수 있으며, 다양한 프로토콜에 대한 DRDoS 공격의 탐지가 가능하다.
도 6은 본 발명의 일실시예에 따른 분산 반사 서비스 거부 공격의 탐지 결과를 나타낸 도면이다.
도 6에 도시한 바와 같이, 분산 반사 서비스 거부 공격의 탐지 결과는 총 10개의 시나리오로 구분될 수 있다. 예를 들어, 1-to-1.VIC.REF.DNS.DR.DOS는 세션 유형이 일대일 세션이고, 호스트가 공격 대상(Victim)이며, 공격 종류가 반사 공격(REF)이고, DNS 프로토콜을 이용한 분산 반사 서비스 거부 공격(DRDOS)라는 것을 의미한다.
또한, N-to-1.ZOM.AMP.DNS.DR.DOS는 세션 유형이 다대일 세션이고, 호스트가 공격자(Zombie)이며, 증폭 공격(AMP)의 DNS 프로토콜을 이용한 분산 반사 서비스 거부 공격(DRDoS)을 의미한다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 7을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(700)에서 구현될 수 있다. 도 7에 도시된 바와 같이, 컴퓨터 시스템(700)은 버스(720)를 통하여 서로 통신하는 하나 이상의 프로세서(710), 메모리(730), 사용자 입력 장치(740), 사용자 출력 장치(750) 및 스토리지(760)를 포함할 수 있다. 또한, 컴퓨터 시스템(700)은 네트워크(780)에 연결되는 네트워크 인터페이스(770)를 더 포함할 수 있다. 프로세서(710)는 중앙 처리 장치 또는 메모리(730)나 스토리지(760)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(730) 및 스토리지(760)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(731)이나 RAM(732)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 분산 반사 서비스 거부 공격 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 네트워크 장비
200: 분산 반사 서비스 거부 공격 탐지 장치
210: 네트워크 플로우 데이터 수신부
220: 세션 유형 판단부 230: 호스트 유형 판단부
240: 공격 종류 판단부 250: 프로토콜 식별부
260: 공격 탐지부 270: 모델링부
410: 제1 세션 유형 420: 제2 세션 유형
430: 제3 세션 유형 440: 제4 세션 유형
450: 제5 세션 유형 700: 컴퓨터 시스템
710: 프로세서 720: 버스
730: 메모리 731: 롬
732: 램 740: 사용자 입력 장치
750: 사용자 출력 장치 760: 스토리지
770: 네트워크 인터페이스 780: 네트워크

Claims (14)

  1. 네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 네트워크 플로우 데이터 수신부,
    수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 세션 유형 판단부,
    상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 호스트 유형 판단부,
    상기 네트워크 플로우 데이터의 공격 종류를 판단하는 공격 종류 판단부,
    상기 네트워크 플로우 데이터의 프로토콜을 식별하는 프로토콜 식별부,
    상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 공격 탐지부, 그리고
    상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 모델링부를 포함하고,
    상기 네트워크 플로우 데이터 수신부는, 스위치, 라우터 혹은 허브로부터 제공되는 트래픽 과부하를 분산하기 위한 로드 밸런싱이 적용된 네트워크 상에서 상기 네트워크 플로우 데이터를 수집하고,
    상기 세션 유형 판단부는,
    상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분하고,
    상기 호스트 유형 판단부는,
    상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단하고,
    상기 공격 종류 판단부는,
    상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단하고,
    상기 탐지 모델은
    상기 분산 반사 서비스 거부(DRDoS) 공격이 상기 반사 공격 및 상기 증폭 공격으로 분류되고,
    상기 반사 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,
    상기 증폭 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,
    상기 공격 대상의 세션 유형이 상기 일대일 세션 및 상기 다대일 세션으로 분류되고,
    상기 공격자의 세션 유형이 상기 일대일 세션, 상기 다대일 세션 및 상기 일대다 세션으로 분류되고,
    상기 공격 탐지부는
    상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 판단한 결과와 상기 탐지 모델을 이용하여 상기 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 네트워크 플로우 데이터의 프로토콜은,
    도메인 네임 시스템(DNS) 및 네트워크 타임프로토콜(NTP) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 장치.
  6. 삭제
  7. 삭제
  8. 분산 반사 서비스 거부 공격 탐지 장치에 의해 수행되는 분산 반사 서비스 거부 공격 탐지 방법에 있어서,
    네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 단계,
    수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 단계,
    상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 단계,
    상기 네트워크 플로우 데이터의 공격 종류를 판단하는 단계,
    상기 네트워크 플로우 데이터의 프로토콜을 식별하는 단계,
    상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 단계, 그리고
    상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 단계를 포함하고,
    상기 네트워크 플로우 데이터 수신하는 단계는, 스위치, 라우터 혹은 허브로부터 제공되는 트래픽 과부하를 분산하기 위한 로드 밸런싱이 적용된 네트워크상에서 상기 네트워크 플로우 데이터를 수집하는 단계를 포함하고,
    상기 세션 유형을 판단하는 단계는,
    상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분하고,
    상기 호스트의 유형을 판단하는 단계는,
    상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단하고,
    상기 공격 종류를 판단하는 단계는,
    상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단하고,
    상기 탐지 모델은
    상기 분산 반사 서비스 거부(DRDoS) 공격이 상기 반사 공격 및 상기 증폭 공격으로 분류되고,
    상기 반사 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,
    상기 증폭 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,
    상기 공격 대상의 세션 유형이 상기 일대일 세션 및 상기 다대일 세션으로 분류되고,
    상기 공격자의 세션 유형이 상기 일대일 세션, 상기 다대일 세션 및 상기 일대다 세션으로 분류되고,
    상기 공격을 탐지하는 단계는
    상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 판단한 결과와 상기 탐지 모델을 이용하여 상기 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 방법.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
KR1020160149511A 2016-11-10 2016-11-10 분산 반사 서비스 거부 공격 탐지 장치 및 방법 KR102088299B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160149511A KR102088299B1 (ko) 2016-11-10 2016-11-10 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US15/803,062 US10693908B2 (en) 2016-11-10 2017-11-03 Apparatus and method for detecting distributed reflection denial of service attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160149511A KR102088299B1 (ko) 2016-11-10 2016-11-10 분산 반사 서비스 거부 공격 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180052324A KR20180052324A (ko) 2018-05-18
KR102088299B1 true KR102088299B1 (ko) 2020-04-23

Family

ID=62065193

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160149511A KR102088299B1 (ko) 2016-11-10 2016-11-10 분산 반사 서비스 거부 공격 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US10693908B2 (ko)
KR (1) KR102088299B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10868828B2 (en) * 2018-03-19 2020-12-15 Fortinet, Inc. Mitigation of NTP amplification and reflection based DDoS attacks
CN110661763B (zh) * 2018-06-29 2021-11-19 阿里巴巴集团控股有限公司 一种DDoS反射攻击防御方法、装置及其设备
KR102046612B1 (ko) * 2018-08-22 2019-11-19 숭실대학교산학협력단 Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
CN111049782B (zh) * 2018-10-12 2023-02-17 北京奇虎科技有限公司 反弹式网络攻击的防护方法、装置、设备、系统
CN110166418B (zh) * 2019-03-04 2020-11-13 腾讯科技(深圳)有限公司 攻击检测方法、装置、计算机设备和存储介质
CN110311925B (zh) * 2019-07-30 2022-06-28 百度在线网络技术(北京)有限公司 DDoS反射型攻击的检测方法及装置、计算机设备与可读介质
US20220150269A1 (en) * 2020-11-09 2022-05-12 Securiful Inc Methods and systems for testing network security
CN113381996B (zh) * 2021-06-08 2023-04-28 中电福富信息科技有限公司 基于机器学习的c&c通讯攻击检测方法
CN114257452B (zh) * 2021-12-24 2023-06-23 中国人民解放军战略支援部队信息工程大学 基于流量分析发现未知udp反射放大攻击的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE300144T1 (de) * 2000-08-18 2005-08-15 Broadcom Corp Verfahren und vorrichtung zum filtern von paketen basierend auf datenströme unter verwendung von addressentabellen
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
US20030236995A1 (en) * 2002-06-21 2003-12-25 Fretwell Lyman Jefferson Method and apparatus for facilitating detection of network intrusion
KR100481614B1 (ko) 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
KR100614757B1 (ko) * 2004-07-14 2006-08-21 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
US7688818B2 (en) * 2005-12-20 2010-03-30 Honeywell International Inc. Apparatus and method for traffic filtering in a communication system
US8311045B2 (en) * 2006-04-07 2012-11-13 Cisco Technology, Inc. System and method for selectively applying a service to a network packet using a preexisting packet header
KR100961870B1 (ko) 2008-05-13 2010-06-09 (주)이지서티 네트워크 계층별 검사를 통한 웹 보안 시스템 및 방법
KR20110067264A (ko) * 2009-12-14 2011-06-22 성균관대학교산학협력단 네트워크 이상징후 탐지장치 및 방법
KR101069341B1 (ko) * 2009-12-24 2011-10-10 (주)디넷 분산 서비스 거부 공격 생성 방지 장치
KR20130126814A (ko) 2012-04-26 2013-11-21 한국전자통신연구원 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법
KR101420301B1 (ko) 2012-09-05 2014-07-17 주식회사 시큐아이 DDoS 공격 검출 방법 및 장치
US9032504B2 (en) * 2012-12-10 2015-05-12 Dell Products L.P. System and methods for an alternative to network controller sideband interface (NC-SI) used in out of band management
KR102035582B1 (ko) * 2013-11-26 2019-10-24 한국전자통신연구원 공격 근원지 추적 장치 및 방법
KR20150088047A (ko) 2014-01-23 2015-07-31 (주)나루씨큐리티 접속시간 기준 평판생성 방법, 그리고 이를 이용한 DDoS 방어 방법 및 시스템
KR101889500B1 (ko) * 2014-03-07 2018-09-20 한국전자통신연구원 네트워크 플로우 데이터를 이용한 네트워크 연결 체인 역추적 방법 및 시스템
US20150264073A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective
US9838421B2 (en) * 2014-10-01 2017-12-05 Ciena Corporation Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks
KR101587571B1 (ko) 2014-12-10 2016-02-02 (주)아이티언 학습기법을 응용한 분산서비스거부 공격 방어시스템 및 방법
US20160182542A1 (en) * 2014-12-18 2016-06-23 Stuart Staniford Denial of service and other resource exhaustion defense and mitigation using transition tracking
EP3427437A4 (en) * 2016-03-10 2019-10-23 Telefonaktiebolaget LM Ericsson (PUBL) DDOS DEFENSE IN A PACKAGED NETWORK

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Also Published As

Publication number Publication date
KR20180052324A (ko) 2018-05-18
US20180131717A1 (en) 2018-05-10
US10693908B2 (en) 2020-06-23

Similar Documents

Publication Publication Date Title
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
Izhikevich et al. {LZR}: Identifying unexpected internet services
Gupta et al. An ISP level solution to combat DDoS attacks using combined statistical based approach
US7356689B2 (en) Method and apparatus for tracing packets in a communications network
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
Ponnusamy et al. IoT wireless intrusion detection and network Traffic Analysis.
Kshirsagar et al. CPU load analysis & minimization for TCP SYN flood detection
Harshita Detection and prevention of ICMP flood DDOS attack
CA2564615A1 (en) Self-propagating program detector apparatus, method, signals and medium
Bogdanoski et al. Wireless network behavior under icmp ping flooddos attack and mitigation techniques
Vanitha et al. Distributed denial of service: Attack techniques and mitigation
Gupta et al. Mitigation of dos and port scan attacks using snort
Kaushik et al. Network forensic system for ICMP attacks
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
Alsadhan et al. Detecting NDP distributed denial of service attacks using machine learning algorithm based on flow-based representation
Kumarasamy et al. Distributed denial of service (DDoS) attacks detection mechanism
Bala et al. Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET
Maheshwari et al. Mitigation of ddos attacks using probability based distributed hop count filtering and round trip time
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
Khan et al. Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks
Thang et al. Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
Bhale et al. An adaptive and lightweight solution to detect mixed rate ip spoofed ddos attack in iot ecosystem
Yu et al. SDNDefender: a comprehensive DDoS defense mechanism using hybrid approaches over software defined networking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)