KR102238612B1 - DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 - Google Patents
DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 Download PDFInfo
- Publication number
- KR102238612B1 KR102238612B1 KR1020187015356A KR20187015356A KR102238612B1 KR 102238612 B1 KR102238612 B1 KR 102238612B1 KR 1020187015356 A KR1020187015356 A KR 1020187015356A KR 20187015356 A KR20187015356 A KR 20187015356A KR 102238612 B1 KR102238612 B1 KR 102238612B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- data
- service
- threshold
- total
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
데이터 표시 방법이 제공된다. 상기 방법은 정보 표시 명령을 취득하는 단계로서, 상기 정보 표시 명령은 표시 방식을 포함하는, 취득하는 단계; 상기 표시 방식이 제1 유형 표시 방식인 경우, 처리될 제1 데이터를 취득하는 단계로서, 상기 처리될 제1 데이터는 복수의 차원의 치료 정보, 상기 치료 정보에 대응하는 차원 표시 및 상이한 차원의 상기 치료 정보 사이의 연관 관계를 포함하며, 상기 각 차원은 적어도 하나의 상기 치료 정보를 포함하는, 취득하는 단계; 상이한 차원의 상기 치료 정보 사이의 연관 관계 및 상기 치료 정보에 따라 노드 프로파일을 생성하는 단계로서, 상기 노드 프로파일의 다양한 노드와 상기 치료 정보 사이의 1대1 대응 관계를 기록하고, 다양한 노드 사이의 연결 관계는 상이한 차원의 상기 치료 정보 사이의 연관 관계에 대응하는, 생성하는 단계; 상기 치료 정보에 대응하는 상기 차원 표시와 상기 노드 프로파일의 다양한 노드 사이의 상기 1대1 대응 관계에 따라 각 노드와 대응하는 차원 표시를 취득하는 단계; 및 상기 차원 표시 및 태그 정보 사이의 미리 설정된 연관 관계에 따라 대응하는 태그 정보를 각 노드에 추가하고, 치료 네트워크 다이어그램을 생성하며, 상기 치료 네트워크 다이어그램은 표시하는 단계를 포함한다.
Description
본 출원은 2016년 11월 15일 출원된 제목이 "DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체"인 중국 특허출원 제201611005954.7호에 우선권을 주장한 출원으로, 그 전체 내용은 여기에 참고로서 포함된다.
본 발명은 컴퓨터 네트워크 보안 기술 분야에 관한 것으로서, 보다 상세하게는 Denial of Service (DoS) 또는 Distributed Denial of Service (DDoS) 공격 탐지 방법, 장치, 단말 및 저장 매체에 관한 것이다.
Denial of Service (DoS) 및 Distributed Denial of Service (DDoS) 공격은 합법적인 사용자가 정상적으로 서비스에 접근하지 못하게 하는 일종의 네트워크 공격이다. DoS/DDoS 공격의 본질은 타겟 대역폭과 호스트 리소스를 차지하기 위해 필요 없는 많은 수의 메시지를 타겟에 전송하여 거대한 악성 트래픽 공격을 초래하는 것이다. 네트워크 보안 및 정상적인 서비스 작동을 보장하기 위해서는 정확하고 시기 적절한 공격의 탐지가 필요하다.
DoS/DDoS 공격을 탐지하는 종래의 방법은 경험에 따라 고정된 트래픽 임계치를 설정하는 것으로, 트래픽이 설정된 트래픽 임계치를 초과하면 트래픽은 정리된다. 고정된 트래픽 임계치를 기반으로 하는 단순한 공격 탐지 방법은 탐지되지 않은 공격 및 오류가 탐지된 공격을 만날 가능성이 있으며, 불필요한 일반적인 트래픽의 정리로 인한 서비스 플랫폼의 불안정한 서비스, 자원의 악의적인 소모 또는 탐지되지 않은 공격에 따라 시스템이 마비되는 등과 같은 문제가 발생한다.
다양한 실시예들에 따르면, DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체가 제공된다.
DoS/DDoS 공격 탐지 방법은 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터는 취득하는 단계로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 취득하는 단계; 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계; 상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하는 단계; 및 상기 트래픽 데이터를 상기 검색된 전체 트래픽 임계치와 비교하고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지를 수행하는 단계를 포함한다.
DoS/DDoS 공격 탐지 장치는 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터는 취득하도록 구성된 트래픽 취득 모듈로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 트래픽 취득 모듈; 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하도록 구성된 다중 트래픽 임계치 취득 모듈로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 다중 트래픽 임계치 취득 모듈; 상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하도록 구성된 임계치 비교 및 결정 모듈; 및 트래픽 데이터를 검색된 전체 트래픽 임계치와 비교하고, 트래픽 데이터가 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 서비스에 대해 공격 탐지를 수행하도록 구성된 공격 트래픽 탐지 모듈을 포함한다.
명령들을 저장하는 메모리 및 상기 명령들을 실행함으로써 단계들을 수행하는 프로세서를 포함하는 서버로서, 상기 단계들은: 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터는 취득하는 단계로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 취득하는 단계; 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계; 상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하는 단계; 및 상기 트래픽 데이터를 상기 검색된 전체 트래픽 임계치와 비교하고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지를 수행하는 단계를 포함한다.
컴퓨터 판독 가능 명령을 저장하는 적어도 하나의 비 일시적 컴퓨터 판독 가능 저장 매체로서, 상기 명령은 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서가 단계들을 수행하도록 하며, 상기 단계들은: 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터는 취득하는 단계로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 취득하는 단계; 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계; 상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하는 단계; 및 상기 트래픽 데이터를 상기 검색된 전체 트래픽 임계치와 비교하고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지를 수행하는 단계를 포함한다.
본 발명의 적어도 하나의 실시예에 대한 설명은 다음의 도면 및 설명을 참조하여 설명될 것이다. 본 발명의 다른 특성, 목적 및 장점은 상세한 설명, 도면 및 청구 범위로부터 더욱 명백해질 것이다.
일 실시예에서, 취득된 현재 트래픽 데이터가 전체 트래픽 임계치를 초과하고 미리 설정된 시간 동안 지속되는 것을 검출하면, 공격 트래픽이 검출된 것으로 결정되고, 공격 트래픽 위치 파악 및 처리 프로그램이 활성화된다. 복수의 트래픽 임계치는 상이한 시간 구간에 대해 구성된다. 구성된 복수의 트래픽 임계치는 시간 구간의 트래픽 특성을 보다 잘 반영할 수 있다. 그리고 상이한 시간 구간의 복수 트래픽 임계치는 트래픽 검출을 보다 정확하게 할 수 있어, 검출 에러 및 검출 누락 현상을 효과적으로 회피할 수 있다.
본 발명의 실시예 또는 기존 기술의 기술적 해결책을 더 명확하게 설명하기 위해, 다음에 실시예 또는 기존 기술을 설명하는 데 필요한 첨부 도면을 간략하게 설명한다. 도면은 단지 본 발명의 일부 실시예를 도시하는 것이며, 본 기술 분야의 통상의 기술자는 창의적 노력 없이 다른 도면을 안출할 수 있다.
도 1은 일 실시예에 따른 DoS/DDoS 공격을 탐지하는 방법의 환경을 도시한 도면이다.
도 2는 일 실시예에 따른 서버의 블록도이다.
도 3은 일 실시예에 따른 Dos/DDoS 공격 탐지 방법의 흐름도이다.
도 4는 일 실시예에 따른 공격 트래픽을 위치시키는 단계와 관련된 흐름도이다.
도 5는 일 실시예에 따라 상이한 시간 구간의 전체 트래픽 임계치 데이터를 준비하는 단계와 관련된 흐름도이다.
도 6은 일 실시예에 따라 새로 추가된 서비스 모듈에 의한 전체 트래픽 임계치를 조정하는 단계와 관련된 흐름도이다.
도 7은 일 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
도 8은 다른 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
도 9는 또 다른 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
도 1은 일 실시예에 따른 DoS/DDoS 공격을 탐지하는 방법의 환경을 도시한 도면이다.
도 2는 일 실시예에 따른 서버의 블록도이다.
도 3은 일 실시예에 따른 Dos/DDoS 공격 탐지 방법의 흐름도이다.
도 4는 일 실시예에 따른 공격 트래픽을 위치시키는 단계와 관련된 흐름도이다.
도 5는 일 실시예에 따라 상이한 시간 구간의 전체 트래픽 임계치 데이터를 준비하는 단계와 관련된 흐름도이다.
도 6은 일 실시예에 따라 새로 추가된 서비스 모듈에 의한 전체 트래픽 임계치를 조정하는 단계와 관련된 흐름도이다.
도 7은 일 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
도 8은 다른 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
도 9는 또 다른 실시예에 따른 Dos/DDoS 공격 탐지 장치의 블록도이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 그러나, 본 발명의 다양한 실시예들은 많은 상이한 형태로 구체화 될 수 있으며, 본 명세서에 설명된 실시예들에 한정되는 것으로 해석되어서는 안 된다. 오히려, 이러한 실시예들은 본 개시가 철저하고 완전 할 수 있도록 제공되며, 당업자에게 본 발명의 범위를 충분히 전달할 것이다.
도 1을 참조하면, 일 실시예에 따르면, Dos/DDoS 공격 탐지 방법의 환경을 도시한 도면이 제공된다. Dos/DDoS 공격 탐지 방법의 환경은 단말(110) 및 서버(120)를 포함한다. 단말(110)은 스마트 폰, 태블릿 컴퓨터, 노트북 컴퓨터, 데스크톱 컴퓨터 중 적어도 하나 일 수 있지만, 여기에 한정되는 것은 아니다. 서버(120)는 개별 물리적 서버 또는 다수의 물리적 서버들의 서버 클러스터일 수 있다. 단말(110)은 사용자가 서비스 터미널 페이지에서 동작하는 동작 이벤트(예를 들어, 사용자 행동 정보)를 취득하고, 취득한 사용자 행동 정보를 서버에 업로드 하여 서버의 응답을 취득한다. 서버 (120)는 단말기가 업로드 한 사용자 행동 정보를 기록하고 사용자 행동 정보에 따라 서비스의 트래픽 데이터를 계산한다. 서버(120)는 상이한 시간 구간에 대한 트래픽 임계치를 얻기 위해 트래픽 데이터의 통계를 수행하고, 서버(120)는 상이한 시간 구간에서 현재 트래픽을 모니터링 한다. 서비스 트래픽이 시간 구간의 트래픽 임계치를 초과하면, 서비스가 공격 트래픽을 생성한 것으로 판단된다.
도 2는 일 실시예에 따른 서버(120)의 블록도이다. 서버(120)는 시스템 버스를 통해 연결된 프로세서, RAM(Random Access Memory), 비 일시적인 저장 매체, 네트워크 인터페이스를 포함한다. 서버(120)의 비 일시적 저장 매체는 운영 체제, 데이터베이스 및 적어도 하나의 컴퓨터 판독 가능 명령어를 저장한다. 컴퓨터 판독 가능 명령어가 프로세서에 의해 실행될 때, 프로세서로 하여금 도 3에 도시된 Dos/DDoS 공격을 검출하는 방법을 수행하게 한다. 데이터베이스는 Dos/DDoS 공격 탐지 방법의 실행과 관련된 서비스 트래픽 데이터와 같은 데이터를 수집하고 저장하는 데 사용된다. 프로세서는 서버(120)의 전체 동작을 지원하는 계산 및 제어 기능을 제공하는데 사용된다. 서버의 RAM은 비 일시적인 저장 매체에서 Dos/DDoS 공격을 탐지하는 장치의 동작 환경을 제공한다. 네트워크 인터페이스는 외부 단말기 (110)와 통신하는데 사용된다. 당업자는 도 2에 도시된 구조가 본 해결책과 관련된 부분 구조의 단지 블록도이며, 본 해결책이 적용되는 서버를 제한하지 않는 것을 이해할 것이다. 특정 서버는 도면에 도시된 더 많거나 적은 수의 부품, 또는 특정 부품을 조합하거나 상이한 부품 배치를 가질 수 있다.
도 3을 참조하면, 일 실시예에서, 다음의 단계들을 포함하는 Dos/DDoS 공격을 검출하는 방법이 제공된다.
단계(S202)에서, 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터는 취득되고, 상기 트래픽 데이터는 서비스의 전체 트래픽과 시간 사이의 대응 데이터이다.
여기서, 사용된 서비스는 컴퓨터 프로그램에 의해 특정한 모든 기능을 수행하는 데 사용될 수 있는, 온라인 웹사이트, 어플리케이션 등을 의미한다. 서비스 시스템이 서비스 첫 페이지에 대한 사용자 액세스에 응답하고 사용자가 다른 이벤트의 서비스 첫 페이지에서 작동하면, 서비스 대역폭과 컴퓨팅 리소스가 점유되며, 이러한 점유 대역폭과 컴퓨팅 리소스는 서비스의 트래픽으로 간주될 수 있다.
예를 들어, 서비스는 게임 포럼, 금융 애플리케이션 등일 수 있다. 단말기 사용자가 게임 포럼이나 재무 어플리케이션에 로그인하여 일련의 다른 작업을 수행하면 서비스의 서비스 트래픽이 생성된다.
일 실시예에서, 사용자 행동 정보는 컴퓨터 네트워크 시스템 내의 다수의 키 노드 또는 로그 레코드에 수집될 수 있고, 서비스의 트래픽 데이터는 사용자 행동 정보에 따라 계산 될 수 있다.
구체적으로, 서버는 미리 설정된 기간에서 미리 설정된 시간 마다 트래픽 데이터를 취득한다. 예를 들어, 서버는 10분마다 10분 이내의 기간에서 트래픽 데이터를 취득한다.
트래픽 데이터는 대응하는 시간 정보를 포함한다. 즉, 트래픽 데이터는 전체 트래픽과 시간 사이의 대응 데이터이다. 여기서, 시간은 8:00부터 8:10까지와 같은 하루의 특정 시간 대일 수 있다. 트래픽 데이터는 월요일 아침 8:00부터 8:10까지의 서비스의 전체 트래픽과 같은, 주 정보(week information)를 포함할 수도 있다.
트래픽 데이터를 취득하기 위한 미리 설정된 기간은 공격 탐지의 적시성(timeliness)에 따라 구성될 수 있다. 빠른 공격 탐지가 필요한 경우, 미리 설정된 기간을 줄이고 트래픽 데이터에 대한 액세스 빈도를 증가시킬 수 있다.
단계(S204)에서, 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터가 취득된다. 시간 구간의 이력 트래픽 데이터가 클수록 대응하는 서비스의 전체 트래픽 임계치 데이터는 커진다.
구체적으로, 서버는 서비스의 이력 트래픽 데이터에 따라 서비스의 트래픽 특성을 미리 분석하여 카운트하고, 서비스의 전체 트래픽 임계치는 서비스의 트래픽 특성에 따라 구성된다. 도시된 실시예에서, 이력 트래픽 데이터에 따라 계산된 서비스의 취득된 전체 트래픽 임계치 데이터는 상이한 시간 구간에 대응하는 복수의 전체 트래픽 임계치이다. 예를 들어, 서비스의 전체 트래픽 임계치 데이터가 8:00 - 10:00, 10:00 - 15:00, 15:00 - 18:00, 18:00 - 24:00 및 24:00 - 8:00에 대응하는 전체 트래픽에 차이가 있는 것으로 나타낼 때, 구간들은 트래픽 임계치 구간으로 구성되고(상이한 서비스에 대응하는 트래픽 임계치 구간은 상이하다) 대응하는 전체 트래픽 임계치는 각 트래픽 임계치 구간에 대응하는 트래픽 데이터에 따라 계산된다. 구간의 이력 트래픽 데이터가 클수록, 구간에 대해 구성된 전체적인 트래픽 임계치는 더 커진다.
일 실시예에서, 트래픽 임계치 데이터는 또한 주 속성을 구별한다. 즉, 상이한 주 속성은 상이한 전체 트래픽 임계치 데이터에 대응한다. 예를 들어, 월요일 - 금요일의 각 트래픽 임계치 구간은 토요일 - 일요일의 각 트래픽 임계치 구간과 상이하며, 트래픽 임계치 구간에 대응하는 전체 트래픽 임계치는 동일하지 않다. 일 실시예에서, 일일 트래픽 임계치 구간과 일주일의 각 날에 대한 전체 트래픽 임계치를 이력 트래픽 데이터에 따라 구별할 수 있다.
전체 트래픽 임계치 계산을 위한 이력 트래픽 데이터는 과거 시간 내에 발생한 공격의 비정상 이력 트래픽을 포함하지 않는다.
단계(S206)에서, 취득한 트래픽 데이터에 대응하는 시간 구간이 결정되고, 시간 구간에 대응하는 전체 트래픽 임계치가 결정된 시간 구간에 따라 검색된다.
구체적으로, 취득한 트래픽 데이터에 대응하는 시간이 속하는 트래픽 임계치 구간이 결정되고, 트래픽 임계치 구간에 대응하는 전체 트래픽 임계치가 검색된다. 예를 들어, 취득된 트래픽 데이터의 기간이 트래픽 임계치 구간 A에 대응하는 경우, 트래픽 임계치 구간 A에 대응하는 미리 계산된 전체 트래픽 임계치는 현재 취득된 트래픽의 비교 임계치로 구성된다.
일 실시예에서, 취득된 트래픽 데이터의 시간이 2개의 트래픽 임계치 구간에 대응하는 경우, 2개의 트래픽 임계치 구간에 대응하는 전체 트래픽 임계치가 각각 검색된다. 제1 트래픽 임계치 구간의 전체 트래픽 데이터는 제1 트래픽 임계치와 비교되고, 제2 트래픽 임계치 구간의 전체 트래픽 데이터는 제2 트래픽 임계치와 비교된다.
단계(S208)에서, 트래픽 데이터는 상기 검색된 전체 트래픽 임계치와 비교되고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지가 수행된다.
비교될 전체 트래픽 임계치를 결정한 후에, 취득된 트래픽 데이터는 결정된 전체 트래픽 임계치와 비교된다. 취득된 현재 트래픽 데이터가 전체 트래픽 임계치를 초과하고 미리 설정된 시간 동안 지속되는 것을 검출하면, 공격 트래픽이 검출된 것으로 결정되고, 공격 트래픽 위치 파악 및 처리 프로그램이 활성화된다.
일 실시예에서, 취득된 현재 트래픽 데이터가 전체 트래픽 임계치를 초과하고 미리 설정된 시간 동안 지속되는 것을 검출 할 때, 트래픽 공격 경보가 생성된다.
예시된 실시예에서, 복수의 트래픽 임계치는 상이한 시간 구간에 대해 구성된다. 구성된 복수의 트래픽 임계치는 시간 구간의 트래픽 특성을 보다 잘 반영할 수 있다. 그리고 상이한 시간 구간의 복수 트래픽 임계치는 트래픽 검출을 보다 정확하게 할 수 있어, 검출 에러 및 검출 누락 현상을 효과적으로 회피할 수 있다.
일 실시예에서, 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계(S204)에서, 상이한 시간 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터는 서비스의 이력 트래픽 데이터 및 서비스를 위해 할당된 컴퓨팅 리소스 데이터에 따른 계산에 의해 취득된다. 서비스의 이력 트래픽 데이터가 클수록 서비스에 할당된 컴퓨팅 리소스 데이터가 커지고, 서비스의 취득된 전체 트래픽 임계치 데이터가 커진다.
구체적으로, 먼저, 서비스의 이력 트래픽 데이터가 통계적으로 분석되고, 상이한 시간 구간에 대응하는 중간 트래픽 임계치가 오프라인으로 계산된다. 중간 트래픽 임계치는 이력 트래픽 데이터에 따라 직접 계산된 비-공격 상태의 서비스 전체 트래픽의 경험적 추정치이다. 다음으로, 현재 서비스에 할당된 컴퓨팅 리소스 데이터가 취득되고, 최종 확인된 전체 트래픽 임계치를 획득하도록 컴퓨팅 리소스 데이터에 따라 중간 트래픽 임계치가 조정된다. 최종 확인 전체 트래픽 임계치는 중간 트래픽 임계치보다 작지 않다. 컴퓨팅 리소스 데이터에 의해 표현된 컴퓨팅 리소스가 커질수록, 중간 트래픽 임계치의 조정 정도가 커진다.
예를 들어, 이력 트래픽 데이터로부터 계산된 중간 트래픽 임계치 데이터는 다음과 같을 수 있다. 시간 구간 A에 대한 중간 트래픽 임계치는 100G; 시간 구간 B에 대한 중간 트래픽 임계치는 150G이다. 서비스에 할당된 컴퓨팅 리소스의 로드 트래픽이 300G이면, 시간 구간 A에 대응하는 전체 트래픽 임계치는 200G가 되도록 조정되고, 시간 구간 B에 대응하는 전체 트래픽 임계치는 300G가 된다. 즉, 결정된 전체 트래픽 임계치는 중간 트래픽 임계치의 두 배가 된다. 서비스에 할당된 컴퓨팅 리소스의 로드 트래픽이 200G이면, 시간 구간 A에 대응하는 전체 트래픽 임계치는 150G가 되도록 조정되고, 시간 구간 B에 대응하는 전체 트래픽 임계치는 200G가 된다.
전술한 조정 규칙은 컴퓨팅 리소스가 감당할 수 있는 로드 트래픽이 되도록 최대 중간 트래픽 임계치를 조정하는 것이다. 조정 비율이 계산되고 상기 비율에 따라 다른 중간 트래픽 임계치가 조정된다. 물론, 조정된 전체 트래픽 임계치가 컴퓨팅 리소스가 감당할 수 있는 로드 트래픽을 초과하지 않는 한 다른 조정 규칙도 사용될 수 있다.
도시된 실시예에서, 트래픽 임계치는 현재의 서비스에 대해 할당된 컴퓨팅 리소스 데이터에 따라 조정되고, 컴퓨팅 리소스가 충분한 경우, 트래픽 임계치는 가능한 한 증가되어, 트래픽 정리에 의한 정상적인 서비스 동작에 대한 영향을 어느 정도 감소시킬 수 있는 공격 트래픽의 검출 가능성을 감소시킨다.
일 실시예에서, 도 4를 참조하면, 트래픽 데이터를 검색된 전체 트래픽 임계치와 비교하고, 전체 트래픽 임계치를 초과하여 계속되는 트래픽 데이터의 지속 기간이 미리 설정된 값을 초과하는 경우 서비스에 대한 공격 탐지를 수행하는 단계(S208)는 다음 단계를 포함한다.
단계(S302)에서, 공격 트래픽이 발생하는 경우 비정상 시간 정보가 위치된다.
비정상적인 시간은 전체 트래픽 임계치를 초과하는 전체 트래픽 데이터에 대응하는 시간 구간을 나타낸다. 일 실시예에서, 비정상적인 시간은 공격 트래픽의 시작 시간일 수도 있다.
단계(S304)에서, 비정상 시간 정보에 대응하는 서비스에 포함된 각 서비스 모듈의 모듈 트래픽 데이터가 취득된다.
구체적으로, 서비스에 포함되는 서비스 모듈 식별자가 취득되고, 비정상 시간 정보에 대응하는 각 서비스 모듈 식별자 별 모듈 트래픽 데이터가 취득된다.
단계(S306)에서, 취득된 모듈 트래픽 데이터가 비정상 시간 정보에 대응하여 미리 계산된 모듈 트래픽 임계치와 비교되고, 모듈 흐름 임계치를 초과하는 서비스 모듈 식별자가 결정되며, 비정상 시간 정보에 대응하는 모듈 트래픽 임계치는 각 서비스 모듈의 이력 트래픽 데이터에 따라 계산된다.
구체적으로, 비정상 시간에 각 모듈의 모듈 트래픽 데이터를 취득할 때, 비정상 시간에 대응하는 각 모듈에 대한 모듈 트래픽 임계치 또한 취득된다. 각 모듈에 대해 획득된 모듈 트래픽 임계치는 각 모듈의 이력 트래픽 데이터에 따라 미리 계산된다. 전술한 전체 트래픽 임계치 계산 방법과 마찬가지로, 각 모듈의 모듈 트래픽 임계치도 상이한 시간 구간의 복수 임계치(multi-threshold)이다.
비정상 시간에 대응하는 모듈 트래픽 데이터와 미리 계산된 모듈 트래픽 임계치를 비교하여, 미리 설정된 임계치를 초과하는 모듈 식별자가 위치되고, 비정상 시간 동안 모듈에서 생성된 트래픽을 공격 트래픽으로 간주한다. 공격 트래픽의 위치를 찾은 이후, 공격 트래픽은 정리될 수 있다.
게임 포럼의 서비스를 예로 들면, 게임 포럼은 로그인 모듈, 포스트 모듈, 금 교환 모듈이 포함된 것으로 가정한다. 비정상 시간 구간에서 상기 전술한 각 모듈의 모듈 트래픽 데이터가 취득되고, 비정상 시간에 대응하는 각 모듈 별 트래픽 임계치를 취득한다. 모듈 트래픽 데이터는 트래픽 임계치와 비교되며, 금 교환 모듈의 트래픽 데이터가 모듈의 트래픽 임계치보다 훨씬 큰 것으로 검출되면, 금 교환 모듈이 트래픽 공격을 받는 것으로 결정된다. 그런 다음 골드 교환 모듈의 트래픽은 정리될 수 있으며, 공격 소스 정보는 탐지될 수 있다.
일 실시예에서, 공격 트래픽을 생성하는 공격 소스 정보는 공격 트래픽의 특성에 기초한 딥 러닝 방법에 따라 획득될 수 있다.
일 실시예에서, 도 5를 참조하면, DoS/DDoS 공격의 탐지 방법은 다음의 단계를 더 포함한다.
단계(S402)에서, 서비스의 이력 트래픽 값과 시간의 대응 관계 데이터가 수집된다.
단계(S404)에서, 미리 설정된 값보다 작은 차이를 갖는 인접한 이력 트래픽 속도 값은 동일 시간 구간의 구간 트래픽 값으로 설정된다.
단계(S406)에서, 구간 트래픽 값의 평균 트래픽 값이 계산되고, 상기 평균 트래픽 값에 따라 시간 구간의 전체 트래픽 임계치가 결정된다.
구체적으로, 이력 시간의 이력 트래픽 데이터가 수집된다. 이력 트래픽 데이터는 이력 트래픽과 시간 사이의 대응 데이터이다.
24시간을 시간 주기로 사용하여, 각 시간 주기에서 수집된 이력 트래픽 데이터의 트래픽 데이터 특성이 분석된다. 구체적으로, 트래픽 차이가 이력 트래픽 데이터의 미리 설정된 값보다 작은 시간 주기의 인접 시점들은 동일한 시간 구간으로 분할한다.
또한, 트래픽 데이터 특성의 분석을 수행하기 위해 복수의 시간 주기가 취득된다. 이에 따라 트래픽에 대한 시간 구간 규칙을 찾을 수 있어, 시간 구간 분할은 더 정확해지고 용이해진다.
시간 구간 분할이 종료된 이후, 시간 구간내의 이력 트래픽 값이 취득되고, 시간 구간내의 모든 이력 트래픽 값의 평균 트래픽 값이 계산된다. 시간 구간의 전체 트래픽 임계치는 계산된 평균 트래픽 값에 따라 결정된다. 결정된 전체 트래픽 임계치는 계산된 시간 구간의 평균 트래픽보다 작지 않다.
일 실시예에서, 평균 트래픽 값을 계산하기 이전에, 시간 구간의 최소 이력 트래픽 값 및 최대 이력 트래픽 값이 제거되고, 최대 이력 트래픽 값 및 최소 이력 트래픽 값 이외의 이력 트래픽 값들의 평균 트래픽 값은 전체 트래픽 임계치의 기초로 결정된다.
일 실시예에서, 상기 방법은, 상이한 시간 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터를 취득하고, 서비스의 이력 트래픽 데이터에 따라 계산되며, 시간 구간의 이력 트래픽 데이터가 클수록 대응하는 서비스의 전체 트래픽 임계치 데이터는 커지는 단계(S204) 이전에, 다음의 단계를 더 포함한다.
서비스에 할당된 컴퓨팅 리소스 데이터를 취득하고, 컴퓨팅 리소스 데이터에 따라 최대 트래픽 임계치를 결정하는 단계; 및 결정된 최대 트래픽 임계치에 따라 상이한 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터를 조정하는 단계.
단계(S204)에서 획득된 상이한 시간 구간에 대응하는 전체 트래픽 임계치 데이터는 조정된 전체 트래픽 임계치 데이터이다.
도시된 실시예에서, 트래픽 임계치는 현재 서비스에 대해 할당된 컴퓨팅 리소스 데이터에 따라 조정된다. 컴퓨팅 리소스가 충분한 경우, 트래픽 임계치는 가능한 한 증가되어, 트래픽 정리에 의한 정상적인 서비스 동작에 대한 영향을 어느 정도 감소시킬 수 있는 공격 트래픽의 검출 가능성을 감소시킨다.
일 실시예에서, 도 6을 참조하면, DoS/DDoS 공격 탐지 방법은 다음의 단계를 더 포함한다.
단계(S502)에서, 새로 추가된 서비스 모듈이 서비스에 제공되는 것을 모니터링 할 때, 새로 추가된 새로운 서비스 모듈의 속성 정보가 취득되고, 속성 정보는 유형 정보 및 지속 시간 정보를 포함한다.
서버는 새로운 서비스 모듈의 다양한 유형을 미리 저장한다. 새로운 모듈이 출시되면 해당 유형 정보가 새로 추가된 모듈에 할당된다. 예를 들어, 서비스 모듈 유형은 광고 유형, 복권 유형 등을 포함할 수 있다. 새로 추가된 서비스 모듈의 지속 시간 정보는 서비스 모듈의 시작 시간 정보 및 종료 시간 정보일 수 있다.
단계(S504)에서, 새로운 서비스 모듈에 대해 구성된 새로운 트래픽 임계치 데이터가 상기 유형 정보에 따라 취득된다.
서버는 새로 추가된 각 서비스 모듈 유형에 대해 대응하는 새로 추가된 트래픽 임계치 데이터를 미리 구성한다. 특히, 구성된 새로 추가된 트래픽 임계치는 동일한 유형의 서비스 모듈에 대한 이력 트래픽 데이터에 따라 결정될 수 있다.
단계(S506)에서, 지속 시간 정보에 대응하는 시간 구간의 전체 트래픽 임계치는 새로 추가된 트래픽 임계치 데이터에 따라 조정된다.
새로 추가된 서비스 모듈의 지속 시간 정보는 시간 구간과 매치되고, 새로 추가된 트래픽 임계치 데이터는 시간 구간에 매칭하는 전체 트래픽 임계치에 추가된다. 이러한 시간 구간에 대한 전체 트래픽 임계치는 새로 추가된 서비스 모듈의 트래픽을 반영할 수 있다. 전체 트래픽 임계치는 서비스 모듈의 증가 또는 감소에 따라 동적으로 조정될 수 있고, 새로운 모듈의 트래픽에 의해 발생하는 에러 공격 상황을 회피할 수 있다.
일 실시예에서, 도 7을 참조하면, Dos/DDoS 공격을 검출하는 장치가 제공된다. 상기 장치는 다음의 구성들을 포함한다.
미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터를 취득하도록 구성된 트래픽 취득 모듈(602)로서, 상기 트래픽 데이터는 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 트래픽 취득 모듈(602).
서비스의 이력 트래픽 데이터에 따라 계산되는 상이한 시간 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터를 취득하도록 구성되는 다중 트래픽 임계치 취득 모듈(604)으로서, 시간 구간의 이력 트래픽 데이터가 클수록 대응하는 서비스의 전체 트래픽 임계치 데이터는 커지는 다중 트래픽 임계치 취득 모듈(604).
취득한 트래픽 데이터에 대응하는 시간 구간을 결정하고, 결정된 시간 구간에 따라 시간 구간에 대응하는 전체 트래픽 임계치를 검색하도록 구성된 임계치 비교 및 결정 모듈(606).
트래픽 데이터를 검색된 전체 트래픽 임계치와 비교하고, 트래픽 데이터가 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 서비스에 대해 공격 탐지를 수행하도록 구성된 공격 트래픽 탐지 모듈(608).
일 실시예에서, 상이한 시간 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터는 서비스의 이력 트래픽 데이터 및 서비스를 위해 할당된 컴퓨팅 리소스 데이터에 따른 계산에 의해 취득된다. 상기 서비스의 이력 트래픽 데이터가 클수록 상기 서비스에 할당된 상기 컴퓨팅 리소스 데이터가 커지고, 상기 취득된 상기 서비스의 전체 트래픽 임계치 데이터가 커진다.
일 실시예에서, 공격 트래픽 탐지 모듈(608)은 공격 트래픽이 발생할 때 비정상 시간 정보를 위치시키도록 더 구성된다. 공격 트래픽 탐지 모듈(608)은 상기 비정상 시간 정보에 대응하는 서비스에 포함된 각 서비스 모듈의 모듈 트래픽 데이터를 취득하고; 상기 취득된 모듈 트래픽 데이터와 상기 비정상 시간 정보에 대응하여 미리 계산된 모듈 트래픽 임계치를 비교하고 상기 모듈 플로우 임계치를 초과하는 서비스 모듈 식별자를 결정하며; 상기 비정상 시간 정보에 대응하는 모듈 트래픽 임계치는 각 서비스 모듈의 이력 트래픽 데이터에 따라 계산되도록 더 구성된다.
일 실시예에서, 도 8을 참조하면, DoS/DDoS 공격을 탐지하는 장치는 다음 구성을 더 포함한다.
서비스의 이력 트래픽 값과 시간의 대응 관계 데이터를 수집하도록 구성되는 이력 트래픽 수집 모듈(702)
미리 설정된 값보다 작은 차이를 갖는 인접한 이력 트래픽 속도 값을 동일 시간 구간의 구간 트래픽 값으로 구성하도록 구성되는 시간 구간 분할 모듈(704)
구간 트래픽 값의 평균 트래픽 값을 계산하고, 평균 트래픽 값에 따라 시간 구간의 전체 트래픽 임계치를 결정하도록 구성되는 구간 임계치 계산 모듈(706).
서비스에 할당되는 컴퓨팅 리소스 데이터를 취득하도록 구성되는 컴퓨팅 리소스 취득 모듈(708).
결정된 최대 트래픽 임계치에 따라 상이한 구간에 대응하는 서비스의 전체 트래픽 임계치 데이터를 조정하도록 구성되는 트래픽 임계치 조정 모듈(710).
일 실시예에서, 도 9를 참조하면, Dos/DDoS 공격을 탐지하는 장치는 다음 구성을 더 포함한다.
새로 추가된 서비스 모듈이 서비스에 제공되는 것을 모니터링 할 때, 새로 추가된 서비스 모듈의 속성 정보를 취득하도록 구성되며, 상기 속성 정보는 유형 정보 및 지속 시간 정보를 포함하는 새로 추가된 모듈 정보 취득 모듈(802).
유형 정보에 따라 새로운 서비스 모듈에 대해 구성된 새로 추가된 트래픽 임계치 데이터를 취득하도록 구성되는 새로 추가된 모듈 트래픽 결정 모듈(804).
상기 새로 추가된 트래픽 임계치 데이터에 따라 상기 지속 시간 정보에 대응하는 시간 구간의 전체 트래픽 임계치를 조정하도록 구성되는 트래픽 임계치 업데이트 모듈(806).
당업자는 상기 실시예의 방법의 프로세스가 전체 또는 일부가 하부 하드웨어를 지시하는 컴퓨터 프로그램에 의해 구현될 수 있음을 이해해야 하며, 프로그램은 컴퓨터 판독 가능 저장 매체에 저장될 수 있다. 본 발명의 일 실시예에서, 프로그램은 컴퓨터 시스템의 저장 매체에 저장 될 수 있고, 컴퓨터 시스템의 적어도 하나의 프로세서에 의해 실행되어 전술한 실시예의 프로세스를 구현할 수 있다. 저장 매체는 디스크, CD, ROM (Read-Only Memory) 및 RAM (Random Access Memory) 등이 될 수 있다.
Dos/DDoS 공격을 탐지하는 전술한 장치의 다양한 모듈은 소프트웨어, 하드웨어 또는 이들의 조합에 의해 부분적으로 또는 전체적으로 구현될 수 있다. 전술한 모듈들은 기지국의 프로세서 내에 및 하드웨어의 형태로 내장되거나 독립 될 수 있거나, 또는 기지국의 메모리에 소프트웨어의 형태로 저장 될 수 있어, 프로세서가 전술한 다양한 모듈의 대응하는 동작을 호출 및 실행하는 것을 용이하게 한다. 프로세서는 CPU 또는 마이크로 프로세서 등일 수 있다.
당업자는 상기 실시예에서 방법의 프로세스가 전체 또는 일부가 하부 하드웨어를 지시하는 컴퓨터 프로그램에 의해 구현될 수 있음을 이해해야 하며, 프로그램은 컴퓨터 판독 가능 저장 매체에 저장될 수 있으며, 프로그램 실행될 때 다양한 방법의 실시예에 프로세스를 포함 할 수 있다. 저장 매체는 디스크, CD, ROM (Read-Only Memory) 및 RAM (Random Access Memory) 등이 될 수 있다.
상기 실시예의 다른 기술적 특징은 간결성을 목적으로 기술되지 않은 다양한 조합을 가질 수 있다. 그럼에도 불구하고, 상이한 기술적 특징들의 결합이 서로 충돌하지 않는 한, 그러한 모든 조합은 개시의 범위 내에 있는 것으로 간주되어야 한다.
상기 구현예는 본 발명의 특정 실시예일뿐이며, 본 발명의 보호 범위를 제한하려는 것은 아니다. 본 게시물에 개시된 기술적 범위 내에서 당업자에 의해 용이하게 이해되는 임의의 변형 또는 대체는 모두 본 개시 내용의 보호 범위에 속한다는 것을 알아야 한다. 따라서, 본 개시 내용의 보호 범위는 청구 범위의 보호 범위를 따라야 한다.
602: 트래픽 취득 모듈
604: 다중 트래픽 임계치 취득 모듈
606: 임계치 비교 및 결정 모듈
608: 공격 트래픽 탐지 모듈
702: 이력 트래픽 수집 모듈
704: 시간 구간 분할 모듈
706: 구간 임계치 계산 모듈
708: 컴퓨팅 리소스 취득 모듈
710: 트래픽 임계치 조정 모듈
802: 추가된 모듈 정보 취득 모듈
804: 추가된 모듈 트래픽 결정 모듈
806: 트래픽 임계치 업데이트 모듈
604: 다중 트래픽 임계치 취득 모듈
606: 임계치 비교 및 결정 모듈
608: 공격 트래픽 탐지 모듈
702: 이력 트래픽 수집 모듈
704: 시간 구간 분할 모듈
706: 구간 임계치 계산 모듈
708: 컴퓨팅 리소스 취득 모듈
710: 트래픽 임계치 조정 모듈
802: 추가된 모듈 정보 취득 모듈
804: 추가된 모듈 트래픽 결정 모듈
806: 트래픽 임계치 업데이트 모듈
Claims (19)
- 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터를 취득하는 단계로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 취득하는 단계;
상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계;
상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하는 단계;
상기 트래픽 데이터를 상기 검색된 전체 트래픽 임계치와 비교하고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지를 수행하는 단계;
상기 서비스의 이력 트래픽 값과 상기 시간의 대응 관계 데이터를 수집하는 단계;
미리 설정된 값보다 작은 차이를 갖는 인접한 이력 트래픽 속도 값을 동일 시간 구간의 구간 트래픽 값으로 설정하는 단계; 및
상기 구간 트래픽 값의 평균 트래픽 값을 계산하고, 상기 평균 트래픽 값에 따라 상기 시간 구간의 상기 전체 트래픽 임계치를 결정하는 단계를 포함하는 DoS/DDoS 공격 탐지 방법. - 제1 항에 있어서,
상이한 시간 구간에 대응하는 상기 서비스의 상기 전체 트래픽 임계치 데이터는 상기 서비스의 상기 이력 트래픽 데이터 및 상기 서비스를 위해 할당된 컴퓨팅 리소스 데이터에 따른 계산에 의해 취득되고, 상기 서비스의 상기 이력 트래픽 데이터가 클수록, 상기 서비스에 할당된 상기 컴퓨팅 리소스 데이터가 커지고, 상기 서비스의 상기 취득된 전체 트래픽 임계치 데이터가 커지는 DoS/DDoS 공격 탐지 방법. - 제1 항에 있어서,
상기 서비스에 대한 공격 탐지를 수행하는 단계는,
공격 트래픽이 발생하는 경우 비정상 시간 정보를 위치하는 단계;
상기 비정상 시간 정보에 대응하는 상기 서비스에 포함된 각 서비스 모듈의 모듈 트래픽 데이터를 취득하는 단계; 및
상기 취득된 모듈 트래픽 데이터를 상기 비정상 시간 정보에 대응하여 미리 계산된 모듈 트래픽 임계치와 비교하고, 모듈 플로우 임계치를 초과하는 서비스 모듈 식별자를 결정하는 단계를 더 포함하고,
상기 비정상 시간 정보에 대응하는 상기 모듈 트래픽 임계치는 각 서비스 모듈의 상기 이력 트래픽 데이터에 따라 계산되는 DoS/DDoS 공격 탐지 방법. - 삭제
- 제2 항에 있어서,
상기 방법은 상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계 이후에,
상기 서비스에 할당된 상기 컴퓨팅 리소스 데이터를 취득하고, 상기 컴퓨팅 리소스 데이터에 따라 최대 트래픽 임계치를 결정하는 단계; 및
상기 결정된 최대 트래픽 임계치에 따라 상기 상이한 시간 구간에 대응하는 상기 서비스의 상기 전체 트래픽 임계치 데이터를 조정하는 단계를 더 포함하는 DoS/DDoS 공격 탐지 방법. - 제1 항에 있어서,
새로 추가된 서비스 모듈이 서비스에 제공되는 것을 모니터링 할 때, 새로 추가된 새로운 서비스 모듈의 속성 정보를 취득하는 단계로서, 상기 속성 정보는 유형 정보 및 지속 시간 정보를 포함하는, 취득하는 단계;
상기 새로운 서비스 모듈에 대해 구성된 새로 추가된 트래픽 임계치 데이터를 상기 유형 정보에 따라 취득하는 단계; 및
상기 지속 시간 정보에 대응하는 상기 시간 구간의 상기 전체 트래픽 임계치를 상기 새로 추가된 트래픽 임계치 데이터에 따라 조정하는 단계를 더 포함하는 DoS/DDoS 공격 탐지 방법. - 미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터를 취득하도록 구성된 트래픽 취득 모듈로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 트래픽 취득 모듈;
상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하도록 구성된 다중 트래픽 임계치 취득 모듈로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 다중 트래픽 임계치 취득 모듈;
상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하도록 구성된 임계치 비교 및 결정 모듈;
트래픽 데이터를 검색된 전체 트래픽 임계치와 비교하고, 트래픽 데이터가 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 서비스에 대해 공격 탐지를 수행하도록 구성된 공격 트래픽 탐지 모듈;
상기 서비스의 이력 트래픽 값과 상기 시간의 대응 관계 데이터를 수집하도록 구성된 이력 트래픽 수집 모듈;
미리 설정된 값보다 작은 차이를 갖는 인접한 이력 트래픽 속도 값을 동일 시간 구간의 구간 트래픽 값으로 설정하도록 구성된 시간 구간 분할 모듈; 및
상기 구간 트래픽 값의 평균 트래픽 값을 계산하고, 상기 평균 트래픽 값에 따라 상기 시간 구간의 상기 전체 트래픽 임계치를 결정하도록 구성되는 구간 임계치 계산 모듈을 포함하는 DoS/DDoS 공격 탐지 장치. - 제7 항에 있어서,
상이한 시간 구간에 대응하는 상기 서비스의 상기 전체 트래픽 임계치 데이터는 상기 서비스의 상기 이력 트래픽 데이터 및 상기 서비스를 위해 할당된 컴퓨팅 리소스 데이터에 따른 계산에 의해 취득되고,
상기 서비스의 상기 이력 트래픽 데이터가 클수록, 상기 서비스에 할당된 상기 컴퓨팅 리소스 데이터가 커지고, 상기 서비스의 상기 취득된 전체 트래픽 임계치 데이터가 커지는 DoS/DDoS 공격 탐지 장치. - 명령들을 저장하는 메모리 및 상기 명령들을 실행함으로써 단계들을 수행하는 프로세서를 포함하는 서버로서,
상기 단계들은:
미리 설정된 기간 내의 미리 설정된 서비스의 트래픽 데이터를 취득하는 단계로서, 상기 트래픽 데이터는 상기 서비스의 전체 트래픽과 시간 사이의 대응 데이터인, 취득하는 단계;
상기 서비스의 이력 트래픽 데이터에 따라 계산된 상이한 시간 구간에 대응하는 상기 서비스의 전체 트래픽 임계치 데이터를 취득하는 단계로서, 상기 시간 구간의 상기 이력 트래픽 데이터가 클수록 대응하는 상기 서비스의 전체 트래픽 임계치 데이터는 커지는, 취득하는 단계;
상기 취득한 트래픽 데이터에 대응하는 상기 시간 구간을 결정하고, 상기 시간 구간에 대응하는 상기 전체 트래픽 임계치를 상기 결정된 시간 구간에 따라 검색하는 단계;
상기 트래픽 데이터를 상기 검색된 전체 트래픽 임계치와 비교하고, 상기 트래픽 데이터가 상기 전체 트래픽 임계치를 초과하는 지속 기간이 미리 설정된 값을 초과하는 경우, 상기 서비스에 대해 공격 탐지를 수행하는 단계;
상기 서비스의 이력 트래픽 값과 상기 시간의 대응 관계 데이터를 수집하는 단계;
미리 설정된 값보다 작은 차이를 갖는 인접한 이력 트래픽 속도 값을 동일 시간 구간의 구간 트래픽 값으로 설정하는 단계; 및
상기 구간 트래픽 값의 평균 트래픽 값을 계산하고, 상기 평균 트래픽 값에 따라 상기 시간 구간의 상기 전체 트래픽 임계치를 결정하는 단계를 포함하는 서버. - 컴퓨터 판독 가능 명령을 저장하는 적어도 하나의 비 일시적 컴퓨터 판독 가능 저장 매체로서, 상기 명령이 적어도 하나의 프로세서에 의해 실행될 때 상기 적어도 하나의 프로세서가 청구항 1항 내지 청구항 3항, 청구항 5항 및 청구항 6항 중 어느 하나에 따른 DoS/DDoS 공격 탐지 방법을 수행하도록 하는, 저장 매체.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611005954.7A CN106411934B (zh) | 2016-11-15 | 2016-11-15 | DoS/DDoS攻击检测方法和装置 |
| CN201611005954.7 | 2016-11-15 | ||
| PCT/CN2017/079483 WO2018090544A1 (zh) | 2016-11-15 | 2017-04-05 | DoS/DDoS攻击检测方法和装置、服务器和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190075861A KR20190075861A (ko) | 2019-07-01 |
| KR102238612B1 true KR102238612B1 (ko) | 2021-04-12 |
Family
ID=59229862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020187015356A KR102238612B1 (ko) | 2016-11-15 | 2017-04-05 | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10404743B2 (ko) |
| EP (1) | EP3544250B1 (ko) |
| JP (1) | JP2019501547A (ko) |
| KR (1) | KR102238612B1 (ko) |
| CN (1) | CN106411934B (ko) |
| AU (1) | AU2017268608B2 (ko) |
| SG (1) | SG11201709904SA (ko) |
| WO (1) | WO2018090544A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240111132A (ko) | 2023-01-09 | 2024-07-16 | 남서울대학교 산학협력단 | 고속 패킷 필터링이 가능한 네트워크 보안 장치 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411934B (zh) * | 2016-11-15 | 2017-11-21 | 平安科技(深圳)有限公司 | DoS/DDoS攻击检测方法和装置 |
| JP6863091B2 (ja) * | 2017-05-31 | 2021-04-21 | 富士通株式会社 | 管理装置、管理方法及び管理プログラム |
| CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
| RU2676021C1 (ru) * | 2017-07-17 | 2018-12-25 | Акционерное общество "Лаборатория Касперского" | Система и способ определения DDoS-атак |
| CN108712365B (zh) * | 2017-08-29 | 2020-10-27 | 长安通信科技有限责任公司 | 一种基于流量日志的DDoS攻击事件检测方法及系统 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
| CN108683681A (zh) * | 2018-06-01 | 2018-10-19 | 杭州安恒信息技术股份有限公司 | 一种基于流量策略的智能家居入侵检测方法及装置 |
| CN109194661B (zh) * | 2018-09-13 | 2021-10-26 | 网易(杭州)网络有限公司 | 网络攻击告警阈值配置方法、介质、装置和计算设备 |
| CN109587167B (zh) * | 2018-12-28 | 2021-09-21 | 杭州迪普科技股份有限公司 | 一种报文处理的方法和装置 |
| CN111143169B (zh) * | 2019-12-30 | 2024-02-27 | 杭州迪普科技股份有限公司 | 异常参数检测方法及装置、电子设备、存储介质 |
| CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN111614634B (zh) * | 2020-04-30 | 2024-01-23 | 腾讯科技(深圳)有限公司 | 流量检测方法、装置、设备及存储介质 |
| CN111737028B (zh) * | 2020-06-16 | 2024-02-23 | 中国银行股份有限公司 | Dubbo服务检测方法及装置 |
| CN112083659A (zh) * | 2020-09-27 | 2020-12-15 | 珠海格力电器股份有限公司 | 智能家居系统安全的监测方法、智能家居系统及存储介质 |
| CN112333045A (zh) * | 2020-11-03 | 2021-02-05 | 国家工业信息安全发展研究中心 | 智能流量基线学习方法、设备和计算机可读存储介质 |
| CN112351042B (zh) * | 2020-11-16 | 2023-04-07 | 百度在线网络技术(北京)有限公司 | 攻击流量计算方法、装置、电子设备和存储介质 |
| CN112738099B (zh) * | 2020-12-28 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN114301761B (zh) * | 2021-12-31 | 2024-07-30 | 科来网络技术股份有限公司 | 一种告警方法、系统、告警装置及存储介质 |
| CN115118464B (zh) * | 2022-06-10 | 2024-07-09 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
| CN118646596A (zh) * | 2024-08-12 | 2024-09-13 | 中国信息通信研究院 | 一种基于深度学习的加密HTTPS流量DDoS攻击检测方法和装置、设备和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150007314A1 (en) * | 2013-06-27 | 2015-01-01 | Cellco Partnership D/B/A Verizon Wireless | Denial of service (dos) attack detection systems and methods |
| US20160164912A1 (en) * | 2014-12-09 | 2016-06-09 | Fortinet, Inc. | Near real-time detection of denial-of-service attacks |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7788718B1 (en) | 2002-06-13 | 2010-08-31 | Mcafee, Inc. | Method and apparatus for detecting a distributed denial of service attack |
| US7716737B2 (en) * | 2002-11-04 | 2010-05-11 | Riverbed Technology, Inc. | Connection based detection of scanning attacks |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| JP4914468B2 (ja) * | 2004-02-02 | 2012-04-11 | 株式会社サイバー・ソリューションズ | 不正情報検知システム及び不正攻撃元探索システム |
| US20050195840A1 (en) * | 2004-03-02 | 2005-09-08 | Steven Krapp | Method and system for preventing denial of service attacks in a network |
| CN100370757C (zh) | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
| US20100138919A1 (en) | 2006-11-03 | 2010-06-03 | Tao Peng | System and process for detecting anomalous network traffic |
| CN101355463B (zh) * | 2008-08-27 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
| CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN102143143B (zh) * | 2010-10-15 | 2014-11-05 | 北京华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| US9172721B2 (en) * | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| CN103618718B (zh) * | 2013-11-29 | 2016-09-21 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN104753863B (zh) * | 2013-12-26 | 2018-10-26 | 中国移动通信集团公司 | 一种分布式拒绝服务攻击的防御方法、设备及系统 |
| US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
| CN106411934B (zh) | 2016-11-15 | 2017-11-21 | 平安科技(深圳)有限公司 | DoS/DDoS攻击检测方法和装置 |
-
2016
- 2016-11-15 CN CN201611005954.7A patent/CN106411934B/zh active Active
-
2017
- 2017-04-05 AU AU2017268608A patent/AU2017268608B2/en active Active
- 2017-04-05 SG SG11201709904SA patent/SG11201709904SA/en unknown
- 2017-04-05 KR KR1020187015356A patent/KR102238612B1/ko active IP Right Grant
- 2017-04-05 JP JP2017568072A patent/JP2019501547A/ja active Pending
- 2017-04-05 EP EP17800991.6A patent/EP3544250B1/en active Active
- 2017-04-05 WO PCT/CN2017/079483 patent/WO2018090544A1/zh active Application Filing
- 2017-04-05 US US15/578,448 patent/US10404743B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150007314A1 (en) * | 2013-06-27 | 2015-01-01 | Cellco Partnership D/B/A Verizon Wireless | Denial of service (dos) attack detection systems and methods |
| US20160164912A1 (en) * | 2014-12-09 | 2016-06-09 | Fortinet, Inc. | Near real-time detection of denial-of-service attacks |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240111132A (ko) | 2023-01-09 | 2024-07-16 | 남서울대학교 산학협력단 | 고속 패킷 필터링이 가능한 네트워크 보안 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180367565A1 (en) | 2018-12-20 |
| JP2019501547A (ja) | 2019-01-17 |
| US10404743B2 (en) | 2019-09-03 |
| AU2017268608A1 (en) | 2018-05-31 |
| EP3544250A4 (en) | 2020-04-29 |
| WO2018090544A1 (zh) | 2018-05-24 |
| CN106411934B (zh) | 2017-11-21 |
| SG11201709904SA (en) | 2018-06-28 |
| KR20190075861A (ko) | 2019-07-01 |
| AU2017268608B2 (en) | 2019-09-12 |
| EP3544250A1 (en) | 2019-09-25 |
| EP3544250B1 (en) | 2021-10-27 |
| CN106411934A (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102238612B1 (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| US9369479B2 (en) | Detection of malware beaconing activities | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| US20170118236A1 (en) | Security feature extraction for a network | |
| CN107770132B (zh) | 一种对算法生成域名进行检测的方法及装置 | |
| CN105100032B (zh) | 一种防止资源盗取的方法及装置 | |
| WO2020248658A1 (zh) | 一种异常账户的检测方法及装置 | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
| US20170104771A1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| US11531676B2 (en) | Method and system for anomaly detection based on statistical closed-form isolation forest analysis | |
| US20230053182A1 (en) | Network access anomaly detection via graph embedding | |
| US9800596B1 (en) | Automated detection of time-based access anomalies in a computer network through processing of login data | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| WO2014187157A1 (en) | Methods and systems for determining user online time | |
| CN113992340A (zh) | 用户异常行为识别方法、装置、设备、存储介质和程序 | |
| JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
| CN114281587A (zh) | 一种终端设备资产异常检测方法、装置、电子设备及存储介质 | |
| CN111541687A (zh) | 一种网络攻击检测方法及装置 | |
| US10783244B2 (en) | Information processing system, information processing method, and program | |
| CN111431764B (zh) | 节点确定方法、设备、系统及介质 | |
| CN111901174B (zh) | 一种服务状态通知的方法、相关装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |