KR102281685B1 - 공격들에 대해 방어하기 위한 네트워크 트래픽 처리 - Google Patents

공격들에 대해 방어하기 위한 네트워크 트래픽 처리 Download PDF

Info

Publication number
KR102281685B1
KR102281685B1 KR1020187036440A KR20187036440A KR102281685B1 KR 102281685 B1 KR102281685 B1 KR 102281685B1 KR 1020187036440 A KR1020187036440 A KR 1020187036440A KR 20187036440 A KR20187036440 A KR 20187036440A KR 102281685 B1 KR102281685 B1 KR 102281685B1
Authority
KR
South Korea
Prior art keywords
public network
network address
network traffic
address
traffic
Prior art date
Application number
KR1020187036440A
Other languages
English (en)
Other versions
KR20190004350A (ko
Inventor
민 후
후이라이 차오
지옹 지아
이 첸
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20190004350A publication Critical patent/KR20190004350A/ko
Application granted granted Critical
Publication of KR102281685B1 publication Critical patent/KR102281685B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • H04L43/0835One way packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 트래픽 처리는: 제 1 공중 네트워크 어드레스와 연관된 네트워크 트래픽의 하나 이상의 패킷들이 드롭되었는지의 여부를 결정하는 단계로서, 상기 제 1 공중 네트워ㅡ 어드레스는 타깃 호스트와 연관되는, 상기 결정 단계; 제 1 공중 네트워크 어드레스와 연관된 네트워크 트래픽의 하나 이상의 패킷들이 드롭되었다는 결정에 응답하여, 제 2 공중 네트워크 어드레스를 네트워크 트래픽에 할당하고 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성하는 단계로서, 포워딩 경로는 제 2 공중 네트워크 어드레스에서 수신된 네트워크 트래픽을 타깃 호스트로 포워딩하도록 구성되는, 상기 할당 및 생성 단계; 및 네트워크 트래픽을 제 2 공중 네트워크 어드레스로 송신하고 네트워크 트래픽이 포워딩 경로에 따라 타깃 호스트로 포워딩되도록 필터링 디바이스에 통지하는 단계를 포함한다.

Description

공격들에 대해 방어하기 위한 네트워크 트래픽 처리
다른 출원들과의 교차 참조
본 출원은 2016년 7월 15일에 출원된 발명의 명칭이 네트워크 트래픽의 처리를 위한 방법 및 디바이스(METHOD AND DEVICE FOR THE PROCESSING OF NETWORK TRAFFIC)인 중화 인민 공화국 특허 출원에 대한 우선권을 주장하고, 이는 모든 목적을 위해 참조로서 여기에 통합된다.
발명의 분야
본 발명은 네트워크 보안의 분야에 관한 것이고, 특히, 네트워크 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 시스템들 및 방법들에 관한 것이다.
분산형 서비스 거부(DDos; Distributed denial of service attack) 공격은 컴퓨팅 자원들(예를 들면, 서버들)이 데이터 트래픽의 범람(deluge)에 의해 제압되고 따라서 의도된 사용자들에게 이용가능하지 않게 되는 공격의 형태이다. DDoS 공격들은 하나 이상의 타깃 컴퓨팅 자원들에 대하여 DDoS 공격들을 시작하기 위한 공격 자원들로서 다수의 컴퓨터들을 이용한다. 클라이언트-서버 기술의 도움으로, 서비스 거부 공격들의 파워가 기하급수적으로 증가될 수 있다. 예를 들면, 공격자는 종종 하나의 컴퓨터상에 마스터 제어 프로그램을 먼저 설치하고, 이후 미리 결정된 시간 기간 내에서, 마스터 제어 프로그램은, 또한 인터넷상의 다수의 컴퓨터들에 대해 미리 설치된, 다수의 에이전트 프로그램들과 통신한다. 마스터 제어 프로그램으로부터 명령들의 수신시, 에이전트 프로그램들은 그에 따라 공격을 즉시 시작한다. 따라서, 이러한 분산형 클라이언트-서버 기술에 의해, 마스터 제어 프로그램은 수초 이내에 수백 또는 수천의 에이전트 프로그램들을 공격 동작으로 작동시키는 것이 가능하다.
블랙 홀 라우팅(즉, 지정된 정적 라우팅)의 기술은 그들이 리턴을 위한 루트를 갖지 않도록 감지하지 못하는 루트들을 흡수하기 위한 기술이다. 블랙 홀 라우팅은 관련 없는 루트들, 심지어 더이상 그에 연관된 리턴 루트를 갖지 않는 들어오는 루트를 갖는 것들을 렌더링한다. 예를 들면, 일반적으로, 그러한 루트들은 네트워크 시스템의 관리자에 의해 확립된 루팅 엔트리들이다. 관리자는 루팅 경로의 명시된 소스 어드레스를 null0의 인터페이스로 설정할 수 있다(예를 들면, 존재하지 않는 인터페이스에 대한 목적지). 네트워크 보안의 관점으로부터, 이러한 동작은 어떤 이유도 명시하지 않고 특정한 루팅 경로로 경로 지정된 모든 데이터 패킷들의 사일런트 드롭(silent drop)을 초래한다. 따라서, 시스템 백본에 대한 영향은 라우터들의 용량들을 포워딩하는 패킷을 충분히 이용함으로써 최소화될 수 있다.
일반적으로, 악의적인 트래픽 방어 시스템(예를 들면, 클라우드-기반 DDoS 보호 시스템)은 세 개의 주요 요소들을 포함한다: 트래픽 검출 디바이스, 트래픽 필터링 디바이스, 및 모니터링 및 관리 디바이스. 트래픽 검출 디바이스는 공격 트래픽을 검출할 뿐만 아니라 공격의 검출시 트래픽 필터링을 수행하도록 보호 시스템에 통지 및 그를 작동시키는 것을 담당한다. 트래픽 필터링 디바이스는 의심스러운 트래픽을 원래의 네트워크 라우팅 경로로부터 필터링 메커니즘으로 재지향시키기 위해 특수화된 트래픽 필터링 메커니즘들을 사용하고, 악의적인 트래픽의 인식 및 제거를 담당한다. 필터링 후, 필터링 디바이스는 합법적인 트래픽의 포워딩 경로에 영향을 주지 않고 타깃 호스트로 포워딩하기 위해 공격 데이터 패킷들이 없는 여과된 합법적인 트래픽을 원래의 네트워크 라우팅 경로로 재주입한다. 모니터링 및 관리 디바이스는 트래픽 필터링 디바이스를 중앙 집중식으로 관리 및 구성하고, 실시간 트래픽 및 경고 이벤트들을 디스플레이하고, 상태 정보를 모니터링하고, 트래픽 분석, 공격 퉁계들 등에 대한 보고들을 적시에 생성하는 것을 담당한다.
클라우드 컴퓨팅은 네트워크-기반 컴퓨팅 서비스들을 증가, 이용, 및 전달하기 위한 컴퓨테이션 모델(computation model)이다. 일반적으로, 클라우드 컴퓨팅은 인터넷과 같은 네트워크를 통해 동적으로 스케일링가능하고 종종 가상화되는 컴퓨팅 자원들을 대해 제공한다.
소프트웨어 정의 네트워크(SDN), 상대적으로 새로운 형태의 네트워크 아키텍처는 네트워크 가상화를 달성하기 위한 솔루션들 중 하나이다. SDN들의 핵심 개념은 네트워크 요소들의 데이터 경로 평면 및 제어 평면을 분리함으로써 소프트웨어 자체 정의된 라우팅을 달성하는 데 있다. 제어 평면은 구성 및 관리 기능들을 수행하고, 데이터 경로 평면은 패킷 처리 기능들을 수행한다. 예를 들면, 클라우드 서비스 제공자들에 의해 현재 제공된 가상 사설 클라우드(VPC) 네트워크들은 SDN 아키텍처의 하나의 특정한 구현이다. VPC 네트워크들에서, 자체 규정된 포워딩 루트들은 가상 확장 가능한 근거리 네트워크들(VXLAN)의 터널링의 사용에 의해 달성된다.
현재, 클라우드-기반 컴퓨팅의 빠른 성장에 의해, 다수의 사용자들이 공중 클라우드 시스템들상으로 그들의 사업들 또는 운영들을 옮겼다. 그러나, 동시에, 클라우드 사용자들에 대한 DDoS 공격들은 계속 증가한다. 서버 대역폭의 한정 때문에, 동일한 서버에 의해 서비스된 다른 사업들 또는 운영들에 영향을 미치지 않도록, 공격 트래픽이 서버 대역폭의 허용 가능한 범위를 초과할 때, 서비스 제공자들은 공격하에서 IP 어드레스를 차단하기 위해 블랙 홀 루팅을 종종 채용한다. 결과로서, 의도된 사용자들은 블랙 홀 필터링 하에서 IP 어드레스에서 서비스들에 더이상 액세스할 수 없다.
본 발명의 목적은 네트워크 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 시스템들 및 방법들을 제공하는 것이다.
도 1은 특수화된 클라우드-기반 DDoS 보호 시스템(122)을 개별적으로 확립함으로써 양적 기반 DDoS 공격들에 대하여 방어하기 위한 종래 시스템의 일 예의 블록도이다. 도 1에 도시된 바와 같이, 보호된 호스트(128)는 특수화된 DDoS 보호 시스템(122)에 의해 제공된 가상 IP 어드레스에 대해 도메인 이름 서버(DNS)(도시되지 않음)에 의해 분석된 그의 IP 어드레스를 가질 수 있다. 따라서, 경로(1)를 따라, 보호된 호스트(128)로부터 서비스를 요청하는 원격 클라이언트 또는 서버(120)로부터의 트래픽(의도된 사용자 액세스 트래픽 및 DDoS 공격 트래픽 양쪽 모두를 포함하는)은 DNS의 변환 서비스(translation service)를 통해 특수화된 클라우드-기반 DDoS 보호 시스템(122)과 연관된 가상 IP 어드레스로 지향된다. 따라서, 트래픽은 먼저 특수화된 클라우드-기반 DDoS 보호 시스템(122)으로 라우팅되고, 이후 그에 의해 필터링된다. 후속하여 경로(2)를 따라, 의도된 사용자 트래픽은 공공 클라우드 서비스(124)에서 그의 목적지 어드레스로 포워딩된다. 마지막으로, 경로(3)를 따라, 클라우드 서비스(124)의 라우터(126)는 의도된 사용자 액세스 트래픽을 보호된 호스트(128)로 포워딩한다.
그러나, 상기에 설명된 시스템은 결함들을 가진다. 도 2는 종래의 특수화된 클라우드-기반 DDoS 보호 시스템(122)을 우회하고 보호된 호스트(128)에 직접 타겟팅하고, 보호된 호스트(128)에 제공된 서비스들이 의도된 사용자들에게 더이상 액세스가능하지 않게 하는 DDoS 공격을 도시하는 도면이다. 때때로 DNS 해결 이력 기록들을 통한 개시, 의도된 사용자들에 의한 의도되지 않거나 우연한 개시, 또는 스캐닝 기술들의 사용에 의한 발견 또는 절도 등과 같은 이유들에 의해, 보호된 호스트(128)의 소스 IP 어드레스(즉, 합법적인 액세스 요청들에 응답하여 리턴된 트래픽 데이터에 포함된 IP 어드레스)는 공격자에 드러난다. 결과로, 여기에 도시된 바와 같이, 경로(1)를 따라, 원격 클라이언트/원격 서버(130)로부터 DDoS 공격을 개시할 때, 공격자는 특수화된 클라우드 기반 DDoS 보호 시스템(122)을 우회하고 DDoS 공격 트래픽을 보호된 호스트(128)상에 직접 집중시킬 수 있다. 예를 들면, 보호된 호스트가 123.4.5.6의 IP 어드레스를 갖고 10.1.2.3의 대응하는 가상 IP 어드레스를 갖는 것을 가정하자. 123.4.5.6의 IP 어드레스가 드러나는 경우, 공격자는 이러한 IP 어드레스를 공격할 것이다. 결과로서, 보호된 호스트(128)는 DDoS 공격에 의해 야기된 대량의 트래픽 데이터를 더이상 조절할 수 없고 보호 카운터 측정으로서 블랙 홀 라우팅에 재분류해야 한다. 이러한 경우, 라우터(126)는 123.4.5.6에 대해 정해진 패킷들을 드롭할 것이다. 경로들(2) 및 (3)을 따라, 의도된 사용자 액세스 트래픽은 특수화된 클라우드-기반 DDoS 보호 시스템(122)에 의해 포워딩되고, 이후 보호된 호스트(128)로 포워딩되고, 단지 블랙 홀 라우팅에 의해 라우터(126)에 의해 폐기되는 것이다. 따라서, 경로(4)를 따라, 종래 기술의 방어가 이전에 설명된 DDoS 공격하에 있을 때, 의도된 사용자 액세스 트래픽은 보호된 호스트(128)에 더이상 도달할 수 없다.
따라서, 종래의 DDoS 방어 시스템들의 결점들을 처리할 필요가 있다.
본 발명의 다양한 실시예들은 다음의 상세한 설명 및 첨부하는 도면들에 개시된다.
여기에 설명된 도면들은 본 발명의 이해를 증진시키고, 본 출원의 일 부분을 형성하도록 의도된다. 본 출원의 예시적인 실시예 및 그의 설명은 본 발명을 설명하도록 의도되고, 본 발명의 범위에 대한 부적절한 한정을 설정하지 않는다. 도면들 중에서:
도 1은 별개의 전문화된 클라우드 기반 DDoS 보호 시스템의 사용에 의해 DDoS 공격들과 같은 양적 기반 공격들에 대항하여 종래 기술의 방어 시스템의 개략적인 기능도.
도 2는 DDoS 공격자가 도 1의 클라우드 기반 DDoS 보호 시스템을 우회하고 도 1의 보호된 호스트를 직접 공격하는 시나리오 하에서 이용 가능하지 않게 되는 도 1의 보호된 호스트에서 서비스된 비지니스를 도시하는 개략적인 기능도.
도 3은 본 개시의 하나 이상의 실시예들에 따라 통신 시스템의 환경에서 예시된 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 일 예시적인 시스템의 개략적인 기능도.
도 4는 본 개시의 하나 이상의 실시예들에 따라 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 일 예시적인 방법의 플로차트.
도 5는 본 개시의 하나 이상의 실시예들에 따라 DDoS 공격들에 대항하기 위해 네트워크 트래픽 처리를 위한 다른 예시적인 방법의 플로차트.
도 6은 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위해 프로그래밍된 컴퓨터 시스템의 일 실시예를 도시하는 기능도.
본 발명은 장치; 시스템; 물질의 조성; 컴퓨터 판독 가능한 저장 매체상에 구현된 컴퓨터 프로그램 제품; 및/또는 프로세서에 연결된 메모리상에 저장되고 및/또는 그에 의해 제공된 명령들을 실행하도록 구성된 프로세서와 같은, 프로세서를 프로세스로서 포함하는 다수의 방식들로 구현될 수 있다. 본 명세서에서, 이들 구현들, 또는 본 발명이 취할 수 있는 임의의 다른 형태는 기술들이라고 칭해질 수 있다. 일반적으로, 개시된 프로세스들의 단계들의 순서는 본 발명의 범위 내에서 변경될 수 있다. 달리 언급되지 않으면, 태스크를 수행하도록 구성되는 것으로 설명되는 프로세서 또는 메모리와 같은 구성 요소는 태스크를 수행하도록 제작되는 특정한 구성 요소 또는 주어진 시간에 태스크를 수행하도록 시간적으로 구성되는 일반적인 구성 요소로서 구현될 수 있다. 여기에서 사용된 바와 같은, 용어 '프로세서'는 컴퓨터 프로그램 명령들과 같은 데이터를 처리하도록 구성된 하나 이상의 디바이스들, 회로들, 및/또는 처리 코어들을 지칭한다.
본 발명의 하나 이상의 실시예들의 상세한 설명은 본 발명의 원리들을 예시하는 첨부하는 도면들과 함께 이하에 제공된다. 본 발명은 이러한 실시예들과 함께 설명되지만, 본 발명은 임의의 실시예로 한정되지 않는다. 본 발명의 범위는 청구항들에 의해서만 한정되고, 본 발명은 다수의 대안들, 변경들, 및 동등물들을 포함한다. 다수의 상세한 설명들은 본 발명의 완전한 이해를 제공하기 위해 다음의 상세한 설명에서 설명된다. 이들 상세들은 예시의 목적들을 위해 제공되고 본 발명은 이들 특정한 상세들의 일부 또는 전부 없이 청구항들에 따라 실시될 수 있다. 명확성의 목적을 위해, 본 발명에 관련된 기술 분야들에서 알려진 기술적인 자료는 본 발명이 불필요하게 모호해지지 않도록 상세하게 설명되지 않는다.
본 발명의 상세한 설명 및 청구항들, 뿐만 아니라 도면들에서 "제 1", "제 2" 등의 용어들은 유사한 목적들을 구별하기 위해 사용되고 특정한 순서 또는 시퀀스를 설명하기 위해 반드시 의도되는 것은 아님이 주의되어야 한다. 이러한 방식으로 사용된 데이터는 적절한 상황들에서 상호 교환 가능해서, 여기에 설명된 본 발명의 실시예들은 여기에 도시되거나 설명된 것들 외의 순서대로 구현될 수 있다는 것이 이해되어야 한다. 더욱이, 용어들 "포함하는", 및 "구비하는" 및 그의 임의의 변형들은 비배타적인 포함을 포함하도록 의도된다; 예를 들면, 일련의 단계들을 포함하는 프로세스들, 방법들, 시스템들, 제품들, 및 장비는 명백하게 열거되는 단계들 또는 유닛들에 반드시 한정되는 것은 아니고, 명백하게 열거되지 않거나 이들 프로세스들, 방법들, 시스템들, 제품들 또는 장비에 내재되는 다른 단계들 또는 유닛들을 포함할 수 있다.
도 3은 본 개시의 일 실시예에 따라 및 통신 시스템(350)의 환경에서 도시된, 악의적인 공격들(예를 들면, DDoS 공격들)에 대항하기 위해 네트워크 트래픽을 처리하기 위한 일 예시적인 시스템의 블록도이다. 도 3에 도시된 바와 같이, 통신 시스템(350)은 사용자 컴퓨팅 디바이스(332), 공격자 컴퓨터 디바이스(334), 네트워크 필터링 디바이스(336), 및 서비스 제공자에 의해 제공된 클라우드 서비스(340)를 포함한다. 클라우드 서비스(340)는 SDN(302), 제어기(304)(예를 들면, 네트워크 관리 서버), 라우팅 디바이스(306)(예를 들면, 라우터), 및 하나 이상의 보호된 호스트들(338)(예를 들면, 서버들)을 포함하는 플랫폼상에 제공된다.
사용자 컴퓨팅 디바이스(332)는, 예를 들면, 사용자가 서비스 액세스 요청들을 보호된 호스트(338)에 호스트된 서비스들에 송신하는 원격 클라이언트 또는 원격 서버일 수 있다. 공격자 컴퓨팅 디바이스(334)는 또한, 예를 들면, 공격자가 보호된 호스트(338)에 호스트된 서비스들에 대하여 DDoS 공격을 개시하기 위해 사용하는 원격 클라이언트 또는 서버일 수 있다. 사용자 컴퓨팅 디바이스(332) 및 공격자 컴퓨팅 디바이스(334)는 클라이언트 컴퓨팅 디바이스 또는 서버 컴퓨팅 디바이스들일 수 있고, 통신 시스템(350)에 대한 하나 이상의 유선, 무선, 또는 임의의 다른 적합한 통신 접속들을 갖는 개인용 컴퓨터들, 랩탑들, 개인용 정보 단말들(PDAs), 스마트폰들, 웨어러블 디바이스들, 독립형 서버들, 분산 서버들 등과 같은 하나 이상의 디바이스들을 포함할 수 있다.
일반적으로, 사용자 컴퓨팅 디바이스 및 공격자 컴퓨팅 디바이스는 다르게 행동한다. 보호된 호스트(338)에 제공된 서비스들에 액세스하기 위해, 합법적인 사용자는 사용자 컴퓨팅 디바이스(332)를 통해 보호된 호스트의 가상 IP 어드레스(예를 들면, 10.1.2.3)로 지향된 합법적인 트래픽을 송신한다. 합법적인 트래픽은 보호된 호스트(338)에 제공된 서비스들에 도달하기 전에 네트워크 필터링 디바이스(336)을 통해 라우팅된다. 다른 한편으로, 공격자 컴퓨팅 디바이스(334)의 사용에 의해, 공격자는 보호된 호스트(338)의 어드레스(예를 들면, 123.4.5.6)를 지정함으로써 공중 클라우드(340)에서 보호된 호스트(338)를 직접 타깃하는 데이터 패킷들을 송신할 수 있다. 하나의 의도된 사용자 디바이스(332), 하나의 DDoS 공격자 디바이스(334), 하나의 필터링 디바이스(336), 및 하나의 보호된 호스트(338)는 예시의 목적을 위해 도 3에 도시되지만, 기술은 복수의 의도된 사용자 디바이스들, 공격자 디바이스들, 필터링 디바이스들, 보호된 서버들 등에 적용될 수 있다는 것이 주의되어야 한다.
이러한 예에서, 보호된 호스트는 공중 네트워크 어드레스 및 전용 어드레스와 연관되도록 구성된다. 도 1에 도시된 시스템과 유사하게, 들어오는 트래픽에 대하여, DNS는 가상 IP 어드레스를 공중 네트워크 어드레스로 결정한다. 추가의 네트워크 어드레스 전환은 공중 네트워크 어드레스를 보호된 호스트의 전용 어드레스로 맵핑하기 위해 수행되고, 공중 네트워크 어드레스와 전용 어드레스 사이의 포워딩 경로가 유지된다. 공중 네트워크 어드레스로 맵핑된 들어오는 트래픽은 전용 어드레스로 전환 및 포워딩되고, 리턴 트래픽은 공중 네트워크 어드레스로부터 리턴된다. 전용 어드레스 정보가 리턴 트래픽에 포함되지 않기 때문에, 공격자는 리턴 트래픽을 검사함으로써 전용 어드레스의 지식을 얻을 수 없다. 이하에 더 상세히 설명되는 바와 같이, 공격 동안, SDN은 동일한 보호된 호스트에 대한 다수의 공중 네트워크 어드레스들을 사용할 수 있어서, 합법적인 트래픽 및 공격 트래픽이 분리되게 한다. 이러한 방식으로, 합법적인 트래픽이 통과할 수 있고 반면에 공격 트래픽이 드롭될 수 있다.
공중 클라우드 서비스(340)는 SDN(302), 제어기(304), 라우팅 디바이스(306), 및 보호된 호스트(338)를 포함한다. SDN은 예를 들면, 광역 네트워크들(WANs), 근거리 네트워크들(LANs), 인터넷, 도시권 네트워크(MANs), ISP 백본들, 데이터 센터들 등에서 구현될 수 있지만, 그로 한정되지 않는다. SDN(302)은 라우터, 스위치, 브릿지, 로드 밸런서(load balancer) 등과 같은 하나 이상의 네트워크 요소들의 기능들을 구현하는 하나 이상의 컴퓨팅 디바이스들을 포함한다. 일부 실시예들에서, SDN은 가상 머신들상에 실행하는 네트워킹 기능들 또는 프로그램들로서 구현될 수 있다. 이러한 예에서, SDN의 제어 평면 및 데이터 경로 평면은 개별적인 논리 구성 요소들로서 구현된다. 또한, SDN의 제어 평면은 제어기(304)로부터 분리된다.
이러한 예에서, 네트워크 필터링 디바이스(336)에 의해 필티링되고 포워딩된 패킷들은 보호된 호스트의 제 1 공중 네트워크 어드레스로 맵핑하는 수신지 어드레스를 가진다. SDN(302)은 네트워크 필터링 디바이스(336)에 의해 필터링되고 제 1 공중 네트워크 어드레스로 포워딩된 네트워크 트래픽(예를 들면, 네트워크 플로우와 연관된 데이터 패킷들)이 드롭되는지의 여부를 검출하도록 구성된다. 네트워크 필터링 디바이스(336)는 SDN으로부터 포워딩 경로 정보를 수신하고 포워딩 경로 정보에 따라 네트워크 트래픽을 타깃 호스트로 포워딩한다. 제 1 공중 네트워크 어드레스로 정해진 트래픽의 양(예를 들면, 소비된 대역폭, 패킷들의 수, 또는 다른 적절한 측정에서 측정됨)이 임계치를 초과하는 것이 결정된 때(따라서 제 1 공중 네트워크 어드레스에 대한 공격이 진행중인 것을 나타냄), 네트워크 필터링 디바이스는 제 1 공중 네트워크 어드레스로 정해진 패킷들을 드롭시킬 것이다. 네트워크 필터링 디바이스에 의해 필터링되고 제 1 공중 네트워크 어드레스로 포워딩된 패킷들이 드롭된다는 결정에 응답하여, SDN은 이러한 트래픽에 대하여 제 2 공중 네트워크 어드레스를 할당하고 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성할 것이다. 트래픽과 연관된 제 2 공중 네트워크 어드레스는 제 1 공중 네트워크 어드레스와 상이한 새롭게 구성된 어드레스이다. 또한, SDN(302)은 필터링된 트래픽의 수신지를 변경하고 보호된 호스트(338)로 정해진 필터링된 트래픽을 제 2 공중 네트워크 어드레스로 대신 전송할 것을 네트워크 필터링 디바이스(336)에 통지하는 통지 메시지를 네트워크 필터링 디바이스(336)로 전송하도록 구성된다. 네트워크 필터링 디바이스는 제 1 공중 네트워크 어드레스로부터 제 2 공중 네트워크 어드레스로 네트워크 트래픽의 수신지(예를 들면, 네트워크 흐름과 연관된 패킷들의 수신지 필드)를 업데이트할 수 있다. 이러한 방식으로, 포워딩 경로가 생성되고, 포워딩된 트래픽이 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로에 따라 보호된 호스트(338)로 전송된다.
제어기(304)는 명령들(예를 들면, 미리 포맷팅된 메시지들)을 전송함으로써 제어 기능들을 수행한다. 제어기(304)가 제 1 공중 네트워크 어드레스에 대한 트래픽의 양이 미리 결정된 임계치를 초과한다고 결정할 때, 제어기는 통지 메시지를 SDN(302)로 전송하도록 구성되고, 라우팅 디바이스(306)는 제 1 공중 네트워크 어드레스로 정해진 들어오는 트래픽을 드롭할 것이다. 라우팅 디바이스(306)는 SDN(302)으로부터 포워딩 경로를 수신하고, 포워딩 경로에 따라 트래픽을 타깃 호스트(338)로 포워딩하도록 구성된다.
특히, 도 3에 도시된 바와 같이, 경로(1)를 따라, DDoS 공격자가 보호된 타깃 호스트(338)과 연관된 공중 네트워크 어드레스를 획득할 수 있을 때, 공격자는 공격자 컴퓨팅 디바이스(334)로부터 보호된 타깃 호스트(338)의 공중 네트워크 어드레스에 대해 직접 DDoS 공격들을 시작할 수 있다. 대량의 DDoS 트래픽에 의한 악의적인 공격하에서, 보호된 타깃 호스트(338)와 연관된 공중 네트워크 어드레스는 공중 네트워크 어드레스로 정해진 패킷들이 드롭되는 블랙 홀 라우팅의 대상이 된다. 동시에, 경로(3)를 따라, 의도된 사용자는 보호된 호스트(338)에 의해 제공된 서비스들에 액세스하기 위해 사용자 컴퓨팅 디바이스(332)로부터 트래픽을 여전히 송신하고, 트래픽 데이터는 공격자에 의해 타깃된 공중 네트워크 어드레스와 동일한 공중 네트워크 어드레스를 갖는다. 인바운드 필터와 같은 네트워크 필터링 디바이스(336)가 의도된 사용자 트래픽 데이터에 대한 필터링을 수행하고 그에 따라 라우팅 디바이스(306)를 통해 경로(3)를 따라 합법적이거나 "깨끗한" 트래픽을 보호된 호스트(338)로 포워딩할 때, 그럼에도 불구하고 합법적인 트래픽은 공격자에 의해 전송된 공격 트래픽과 함께 블랙 홀 라우팅의 대상이 되고 또한 폐기된다. 결과로서, 이하에 설명된 특별한 기술들 없이, 보호된 호스트(338)에 의해 제공된 서비스들에 대한 의도된 사용자 액세스는 DDoS 공격들에 의해 공격받는다.
경로(4)를 따라, 보호된 타깃 호스트(338)가 상주하는 근거리 네트워크가 SDN(302)에 결합되기 전에, 공중 네트워크 어드레스는 네트워크 어드레스 전환 서비스를 사용함으로써 보호된 타깃 호스트(338)에 대해 미리 구성된 전용 어드레스로 변환된다. 일부 실시예들에서, 이러한 전환은 제어기(304)에 의해 제어 명령 또는 메시지를 라우팅 디바이스(306)로 전송하는 것이 수행된다. 예를 들면, 제어기(304)가 공중 네트워크 어드레스를 라우팅 디바이스(306)로 송신하고 트래픽이 공중 네트워크 어드레스에 도달한 것을 확인한 후, 제어기(304)는 포워딩 경로를 생성하기 위해 공중 네트워크 어드레스를 보호된 호스트의 전용 어드레스로 맵핑하는 1 대 1 맵핑 테이블을 업데이트한다. 결과로서, 공중 네트워크 어드레스로 전송된 트래픽은 포워딩 경로에 따라 보호된 타깃 호스트(338)로 포워딩된다.
이러한 예에서, 보호된 타깃 호스트(338)가 상주하는 근거리 네트워크가 SDN(302)에 결합하면, 네트워크 어드레스 전환 서비스를 사용함으로써, 공중 네트워크 어드레스의, 보호된 호스트(338)에 대해 미리 구성된 전용 어드레스로의 전환은 제어기(304)에 의해 제어 명령을 라우팅 디바이스(306)로 전송하는 것이 더이상 수행되지 않는다. 대신, 제어기(304)는 제어기(304)에 의해 라우팅 디바이스(306)로 발행된 포워딩 경로에 포함된 공중 네트워크 어드레스로 전송된 트래픽의 양을 모니터링하는 것을 주로 담당한다. 제어기는 미리 규정된 필드들을 갖는 메시지의 포워딩 경로를 발행할 수 있다. 공중 네트워크 어드레스에 전송된 트래픽 양이 미리 결정된 임계치를 초과하는 경우, 제어기(304)는 라우팅 디바이스(306)에 의해 공중 네트워크 어드레스로 전송된 트래픽을 제어하기 위해 공중 네트워크 어드레스에 대해 블랙 홀 라우팅을 수행하고, 포워딩될 트래픽이 블랙 홀 라우팅을 통과하게 한다.
경로(5)를 따라, 제어기(304)는 제어기(304)가 공중 네트워크 액세스 어드레스에 대해 블랙 홀 라우팅을 구현한 것을 나타내기 위한 통지 메시지를 SDN(302)에 전송한다. 이 지점에서, 네트워크 어드레스 전환 서비스의 사용에 의해, 공중 네트워크 어드레스의, 보호된 호스트(338)에 대해 미리 구성된 전용 어드레스로의 변환은 제어 명령을 라우팅 디바이스(306)로 전송하는 것이 제어기(304)에 의해 더 이상 수행되지 않고, 대신 SDN(302)에 의해 수행된다.
경로(6)를 따라, 제 1 공중 네트워크 어드레스가 블랙 홀 라우팅의 대상이 된다는 것이 결정될 때, SDN(302)는 네트워크 필터링 디바이스(336)에 의해 포워딩되고 제 1 공중 네트워크 어드레스로 정해진 합법적인 트래픽이 공격자들에 의해 전송된 악의적인 공격 트래픽과 함께 드롭되지 않는 것을 보장한다. 다시 말해서, SDN(302)는 합법적인 액세스 트래픽이 보호된 타깃 호스트(338)에 정상적으로 포워딩된다는 것을 보장하도록 구성된다. 이러한 예에서, SDN(302)는 네트워크 필터링 디바이스(336)에 의해 보호된 호스트(338)로 포워딩된 합법적인 트래픽에 대한 제 2 공중 네트워크 어드레스를 개별적으로 구성한다. 이러한 방식으로, 네트워크 필터링 디바이스(336)로부터 보호된 타깃 호스트(338)로 포워딩된 의도된 사용자 방문 트래픽은 공격자들로부터의 악의적인 트래픽과 함께 블랙 홀 라우팅된 동일한 제 1 공중 네트워크 어드레스로 더이상 전송되지 않는다. 대신, 합법적인 트래픽은 새롭게 구성된, 제 2 공중 네트워크 어드레스로 송신된다.
이러한 예에서, SDN(302)의 제어 평면은 상기 설명된 제어기(304)에 의해 구성된 제 1 공중 네트워크 어드레스와 상이한 제 2 공중 네트워크 어드레스를 구성하기 위해 사용된다. 제 2 공중 네트워크 어드레스 및 호스트의 전용 네트워크 어드레스로의 그의 맵핑은 제어 평면에 저장될 수 있다. 다음으로, SDN의 제어 평면은 데이터 경로 평면에 새롭게 구성된 제 2 공중 네트워크 어드레스를 통지한다. 이후, SDN의 포워딩 전략은 새롭게 구성된 제 2 공중 네트워크 어드레스로 업데이트된다. 결과로서, 제 1 공중 네트워크 어드레스로부터 보호된 타깃 호스트(338)로의 원래의 포워딩 경로는 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트(338)로의 새로운 포워딩 경로로 업데이트된다. 다시 말해서, 제 2 새롭게 구성된 공중 네트워크 어드레스로 포워딩된 트래픽은 새로운 포워딩 경로에 따라 보호된 타깃 호스트(338)로 전송될 것이다.
SDN(302)의 데이터 경로 평면의 포워딩 전략이 제 2 공중 네트워크 어드레스에 의해 업데이트된 후, 제 1 공중 네트워크 어드레스로부터 보호된 타깃 호스트(338)로의 원래의 포워딩 경로는 새롭게 구성된 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트(338)로의 제 2 포워딩 경로가 되도록 업데이트된다. 특히, SDN(302)는 라우팅 디바이스들(306)로 제 2 포워딩 경로를 발행하기 위해 데이터 경로 평면을 이용한다. 결과로서, 보호된 타깃 호스트(338)에 대한 제 1 공중 네트워크 어드레스로부터의 원래의 포워딩 경로 외에, 보호된 타깃 호스트(338)에 대한 제 2 공중 네트워크 어드레스로부터의 제 2 포워딩 경로는 또한 라우팅 디바이스들(306)상에 포함된다.
경로(7)를 따라, 제어기(304) 및 SDN(302) 둘 모두의 제어하에서, 제 1 공중 네트워크 어드레스에 액세스하는 트래픽을 수신하면, 라우팅 디바이스(306)는 블랙 홀 라우팅을 통한 트래픽을 드롭시킨다. 다른 한편으로, 새롭게 구성된 제 2 공중 네트워크 어드레스에 액세스하는 트래픽을 수신하면, 라우팅 디바이스(306)는 트래픽을 보호된 타깃 호스트(338)로 포워딩한다.
마지막으로, 경로(8)를 따라, SDN(302)는 트래픽에 대한 포워딩 어드레스를 원래의 제 1 공중 네트워크 어드레스로부터 새롭게 구성된 제 2 공중 네트워크 어드레스로 업데이트하기 위해 통지 메시지를 네트워크 필터링 디바이스(336)로 전송한다. SDN(302)로부터 통지 메시지를 수신하기 전에, 필터링 디바이스(336)에 의해 보호된 타깃 호스트(338)로 포워딩된 합법적인 트래픽은 블랙 홀 라우팅의 대상이 된 원래의 제 1 공중 네트워크 어드레스로 공격자들로부터의 공격 트래픽과 함께 전송되기 때문에, 합법적인 트래픽이 드롭된다. 그러나, 필터링 디바이스(336)가 SDN(302)로부터 통지 메시지를 수신하면, 필터링 디바이스(336)는 트래픽의 포워딩 어드레스를 원래의 제 1 공중 네트워크 어드레스로부터 새롭게 구성된 제 2 공중 네트워크 어드레스로 변경한다. 새롭게 구성된 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트(338)로의 포워딩 경로를 통해 보호된 타깃 호스트(338)에 또한 포워딩되는, 합법적인 트래픽을 새롭게 구성된 제 2 공중 네트워크 어드레스로 포워딩함으로써, 보호된 호스트(338)에 방문하기 위해 네트워크 필터링 디바이스(336)에 의해 필터링된 합법적인 트래픽은 진행중인 DDoS 공격들에도 불구하고 중단 없이 송신된다. 따라서, 보호된 호스트(338)에 의해 제공된 서비스들은 의도된 사용자들에게 정상적으로 액세스 가능하게 유지된다.
도 4는 본 개시의 하나 이상의 실시예들에 따라 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 일 예시적인 프로세스의 플로차트를 도시한다. 프로세스(400)는 도 3의 시스템(350)과 같은 시스템에서 구현될 수 있다.
프로세스(400)는 402에서 시작하고, 여기서 제 1 공중 네트워크 어드레스와 연관된 네트워크 트래픽과 연관된 패킷들이 드롭되었는지의 여부가 결정된다. 네트워크 트래픽은 제 1 공중 네트워크 어드레스로 포워딩될 패킷들을 포함할 수 있다.
404에서, 트래픽 드롭의 결정에 응답하여, 제 2 공중 네트워크 어드레스는 트래픽에 할당되고(예를 들면, 데이터 패킷들은 제 2 공중 네트워크 어드레스로 포워딩되도록 구성된다), 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로가 생성된다. 제 2 공중 네트워크 어드레스는 네트워크 트래픽을 수신하도록 구성되고, 포워딩 경로는 제 2 공중 네트워크 어드레스에 수신된 네트워크 트래픽을 타깃 호스트로 포워딩하기 위해 사용된다.
406에서, 네트워크 필터링 디바이스가 네트워크 트래픽의 수신지를 제 1 공중 네트워크 어드레스로부터 제 2 공중 네트워크 어드레스로 변경하게 하고, 필터링된 네트워크 트래픽을 제 2 공중 네트워크 어드레스로 전송하게 하기 위해 네트워크 필터링 디바이스로 통지가 전송된다. 포워딩된 트래픽은 라우팅 디바이스에 의해 생성된 포워딩 경로에 따라 타깃 호스트로 차례로 전송된다. 프로세스(400)는 임의의 적절한 컴퓨팅 환경에서 구현될 수 있다. 이러한 예에서, 프로세스(400)는 SDN상에서 실행된다. SDN 기반 네트워크에 적용될 때, 402에서, SDN은 제 1 공중 네트워크 어드레스에 대한 네트워크 트래픽이 드롭된 것을 결정한다. 404에서, SDN은 트래픽에 대하여 제 2 공중 네트워크 어드레스를 할당하고 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성한다. 제 1 공중 네트워크 어드레스는 네트워크 트래픽을 수신하기 위해 사용되고, 포워딩 경로는 제 2 공중 네트워크 어드레스에 수신된 네트워크 트래픽을 타깃 호스트로 포워딩하기 위해 사용된다.
네트워크 필터링 디바이스, 예를 들면, 특수화된 클라우드 기반 DDoS 보호 시스템이 통신 네트워크에 배치될 때조차, 악의적인 공격자는 여전히 보호된 타깃 호스트의 제 1 공중 네트워크 어드레스를 획득할 수 있고, 이후 보호된 타깃 호스트의 제 1 공중 네트워크 어드레스에 대해 직접 악의적인 공격들(예를 들면, DDoS 공격들)을 개시한다. 대량의 DDoS 트래픽의 악의적인 공격하에서, 보호된 타깃 호스트와 연관된 제 1 공중 네트워크 어드레스는 블랙 홀 라우팅의 대상이 된다. 따라서, 특수화된 클라우드 기반 DDoS 보호 시스템과 같은, 네트워크 필터링 디바이스에 의해 필터링되고 포워딩된 합법적인 트래픽은 또한 공격자에 의해 전송된 공격 트래픽과 함께 블랙 홀 라우팅의 대상이 되고, 블랙 홀 라우팅의 결과로서 폐기된다. 합법적인 트래픽이 DDoS 공격들 및 블랙 홀 라우팅에 의해 영향받는 것을 방지하기 위해, 제 1 공중 네트워크 어드레스가 상기에 설명된 블랙 홀 라우팅의 대상이 된 것으로 결정될 때, SDN은 네트워크 필터링 디바이스로부터 보호된 타깃 호스트로 포워딩된 합법적인 트래픽이 공격자에 의해 전송된 악의적인 트래픽과 함께 드롭되지 않고, 타깃 호스트에 정상적으로 포워딩되는 것을 보장한다. 상기에 논의된 바와 같이, SDN은 네트워크 필터링 디바이스(특수화된 클라우드-기반 DDoS 보호 시스템의 부분으로서)로부터 보호된 타깃 호스트로의 합법적인 트래픽이 공격자로부터 블랙 홀될 동일한 제 1 공중 네트워크 어드레스로 공격 트래픽과 함께 더이상 전송되지 않도록 제 2 공중 액세스 어드레스를 포워딩된 트래픽에 개별적으로 할당한다. 대신, 합법적인 트래픽은 제 2 공중 네트워크 어드레스로 포워딩되고, 차례로 SDN에 의해 새롭게 생성되고 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로에 따라 타깃 호스트로 포워딩된다. 따라서, 타깃 호스트에 제공된 서비스들에 대한 중단되지 않는 의도된 사용자 액세스가 실현될 수 있다. 유사하게는 406에서, 이는 네트워크 트래픽이 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로에 따라 타깃 호스트로 포워딩되도록 네트워크 트래픽을 제 2 공중 네트워크 어드레스로 전송할 것을 네트워크 필터링 디바이스에 통지하는 SDN이다.
상기에 설명된 바와 같이, 특수화된 DDoS 보호 시스템으로부터 보호된 타깃 호스트로 전송되는 원래로부터 리턴되는 정상적인 액세스 트래픽 및 악의적인 공격 트래픽 양쪽 모두가 블랙 홀 종료를 겪은 제 1 공중 네트워크 어드레스로 함께 전송되는 경우, 이들은 블랙 홀 라우팅을 통해 포워딩되고 드롭될 것이다. 정상적인 액세스 트래픽이 드롭되는 것을 방지하기 위해, SDN은 원점으로 리턴되는 트래픽에 개별적으로 할당된 제 2 공중 네트워크 액세스 어드레스를 네트워크 필터링 디바이스에 통지하여, 네트워크 필터링 디바이스는 원점으로 리턴되는 트래픽을 제 2 공중 네트워크 액세스 어드레스로 전송하고, 원점으로 리턴되는 이러한 트래픽은 이후 포워딩 경로를 통해 타깃 호스트에 포워딩된다.
프로세스(400)로 돌아와서, 402에서, 네트워크 트래픽이 드롭된 것을 결정하기 위해, SDN은 제어기로부터 제 1 통지 메시지를 수신하고, 제 1 통지 메시지는, 제어기가 제 1 공중 네트워크 어드레스로 전송된 트래픽의 양이 미리 결정된 임계치를 초과한다고 결정할 때, 제 1 공중 네트워크 어드레스에 대한 액세스 트래픽이 라우팅 디바이스에서 드롭된다는 것을 나타낸다. 이러한 통지 메시지를 수신하는 것에 응답하여, SDN은 네트워크 트래픽이 드롭된 것을 결정한다.
일반적으로, 보호된 호스트와 동일한 근거리 네트워크에 위치된 호스트들은 동일한 공중 네트워크 어드레스를 공유한다. 이러한 공중 네트워크 어드레스는 인터넷상에 호스트들에 대한 식별의 역할을 한다. 동일한 네트워크상의 다른 호스트들로부터 보호된 타깃 호스트를 구별하기 위하여, 전용 네트워크 어드레스는 보호된 타깃 호스트로 할당된다. 그러나, 보호된 타깃 호스트의 전용 네트워크 어드레스는 인터넷으로부터의 공중 액세스에 대한 것이 아니기 때문에, 합법적이고 악의적인 양쪽 모두의, 상기 언급된 근거리 네트워크 외부로부터의 트래픽은 단지 상기 언급된 공중 네트워크 어드레스로 전송될 수 있고, 상기 언급된 공중 네트워크 어드레스는 네트워크 어드레스 전환 서비스를 사용함으로써 보호된 타깃 호스트로 미리 할당된 전용 네트워크 어드레스로 변환된다.
근거리 네트워크를 SDN에 결합하기 전에, 전용 어드레스로의 공중 네트워크 어드레스의 변환은 네트워크 어드레스 전환 기능을 작동시키고 제어 명령을 라우팅 디바이스로 발행함으로써 수행된다. 예를 들면, 제어기가 제 1 공중 네트워크 어드레스를 라우팅 디바이스로 발행하고 액세스 트래픽이 제 1 공중 네트워크 어드레스에 도달한 것을 확인하면, 제어기는 제 1 공중 네트워크 어드레스 및 보호된 타깃 호스트의 전용 네트워크 어드레스 사이의 1 대 1 맵핑을 확립한다. 제어기는 이후 포워딩 경로를 생성하기 위해 맵핑을 이용한다. 제 1 공중 네트워크 어드레스로 전송된 액세스 트래픽은 포워딩 경로에 따라 보호된 타깃 호스트로 포워딩된다.
일부 실시예들에서, 상기에 설명된 근거리 네트워크가 SDN에 결합한 후, 네트워크 어드레스 전환 서비스를 사용하여 전용 네트워크 어드레스로의 공중 네트워크 어드레스의 변환은 제어 명령을 라우팅 디바이스로 발행하는 제어기에 의해 더이상 수행되지 않는다. 대신, 제어기는 제 1 공중 네트워크 어드레스로의 트래픽의 양을 모니터링하는 것을 주로 담당한다. 제 1 공중 네트워크 어드레스로 전송된 액세스 트래픽의 양이 미리 결정된 임계치를 초과하는 경우, 제어기는 라우팅 디바이스가 블랙 홀 라우팅을 통해 제 1 공중 네트워크 어드레스로 액세스 트래픽을 포워딩하도록 제 1 공중 네트워크 어드레스에 대한 트래픽을 블랙 홀 라우팅에 종속시킨다. 또한, 제어기는 제어기가 이미 제 1 공중 네트워크 어드레스에 대해 블랙 홀 필터링을 실행한 것을 나타내기 위해 통지 메시지를 SDN으로 전송한다. 이러한 점에서, 보호된 타깃 호스트에 대해 미리 구성된 전용 네트워크 어드레스로의 공중 네트워크 어드레스의 변환은 상기에 설명된 바와 같이 더이상 제어기에 의해 수행되지 않고, 그 대신 SDN에 의해서 수행된다.
프로세스(400)로 돌아오면, 일부 실시예들에서, 404에서, SDN은 네트워크 트래픽에 대하여 제 2 공중 네트워크 어드레스를 구성하고 다음과 같이 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성한다:
먼저, SDN은 네트워크 액세스 트래픽에 대한 제 2 공중 네트워크 어드레스를 구성하기 위해 그 자신의 제어 평면을 이용한다. 또한, SDN은 그 자신의 데이터 경로 평면에 제 2 공중 네트워크 어드레스를 통지한다.
이후, SDN은 타깃 호스트의 전용 네트워크 어드레스와 제 2 공중 네트워크 어드레스 사이에 포워딩 경로를 생성하기 위해 데이터 경로 평면을 이용한다.
제어 평면은 SDN 아키텍처에서 논리적으로 중앙 집중되고, 제어 명령들을 하위 레벨 데이터 경로 평면으로 발행하기 위해 특수화된 프로토콜들을 사용할 수 있다. 일부 실시예들에서, SDN의 제어 평면은 먼저 원점으로 리턴되는 트래픽에 대한 제 1 공중 네트워크 어드레스와 상이한 제 2 공중 네트워크 어드레스를 구성하고, 이후 SDN의 데이터 경로 평면에 제 2 공중 네트워크 어드레스를 통지한다. 다음으로, SDN의 데이터 경로 평면은 제 1 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 원래의 포워딩 경로가 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 새로운 포워딩 경로로 업데이트되도록 제 2 공중 네트워크 어드레스에 의해 포워딩 전략을 업데이트한다. 따라서, 제 2 공중 네트워크 액세스 어드레스에 액세스하는 원점으로 리턴되는 트래픽은 포워딩 경로에 따라 보호된 타깃 호스트로 포워딩될 것이다.
일부 실시예들에서, SDN이 406에서 네트워크 트래픽 디바이스에 네트워크 트래픽을 제 2 공중 네트워크 어드레스로 전송할 것을 통지한 후, SDN은 또한 새로운 포워딩 경로를 라우트 포워딩 장비로 발행하기 위해 그의 데이터 경로 평면을 이용한다. SDN은 또한 새로운 포워딩 경로에 따라 네트워크 트래픽을 타깃 호스트로 전송할 것을 라우팅 디바이스에 지시한다.
SDN의 데이터 경로 평면이 제 2 공중 네트워크 어드레스에 의해 포워딩 전략을 업데이트하기 위해 이용된 후, 제 1 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 원래의 포워딩 경로는 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 새로운 포워딩 경로로 업데이트된다. SDN은 또한 새로운 포워딩 경로를 라우팅 디바이스로 발행하기 위해 데이터 경로 평면을 이용한다. 따라서, 제 1 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 원래의 포워딩 경로 외에, 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 새로운 포워딩 경로가 또한 라우팅 디바이스상에 포함된다. 최종적으로, 제어기 및 SDN 양쪽 모두의 제어하에서, 제 1 공중 네트워크 어드레스에 대한 액세스 트래픽을 수신한 후, 라우팅 디바이스는 이러한 트래픽을 드롭시키기 위해 블랙 홀 라우팅을 직접 채용한다. 그러나, 제 2 공중 네트워크 어드레스에 대해 트래픽을 수신하면, 라우팅 디바이스는 새로운 라우팅 경로에 따라 보호된 타깃 호스트로 트래픽을 포워딩한다.
일부 실시예들에서, 406 후 및 SDN가 네트워크 트래픽을 제 2 공중 네트워크 어드레스로 전송할 것을 네트워크 필터링 디바이스에 통지하는 것 외에, SDN은 필터링 디바이스가 제 1 공중 네트워크 어드레스로부터 제 2 공중 네트워크 어드레스로 네트워크 트래픽에 대한 포워딩 어드레스를 업데이트하도록 필터링 디바이스에 제 2 통지 메시지를 또한 전송한다.
필터링 디바이스가 SDN으로부터 제 2 통지 메시지를 수신하기 전에, 필터링 디바이스로부터 보호된 타깃 호스트로 포워딩된 합법적인 액세스 트래픽은 블랙 홀 라우팅의 대상인 제 1 공중 네트워크 어드레스에 대한 공격자로부터의 악의적인 공격 트래픽과 함께 전송되고 드롭된다. SDN으로부터 제 2 통지 메시지를 수신하면, 필터링 디바이스는 제 1 공중 네트워크 어드레스를 제 2 공중 네트워크 어드레스로 트래픽에 대한 포워딩 어드레스를 업데이트하고, 트래픽을 제 2 공중 네트워크 어드레스로 포워딩한다. 합법적인 트래픽은 이후 제 2 공중 네트워크 어드레스로부터 보호된 타깃 호스트로의 포워딩 경로를 통해 보호된 타깃 호스트로 포워딩된다.
도 5는 본 개시의 하나 이상의 실시예들에 따라 네트워크 트래픽을 처리하기 위해 다른 예시적인 프로세스를 도시한다. 프로세스(500)는 예를 들면, 도 3의 네트워크 필터링 디바이스(336)에 의해 구현될 수 있지만, 그로 한정되지 않는다.
502에서, 네트워크 필터링 디바이스는 SDN에 의해 발행된 제 2 공중 네트워크 어드레스를 수신하고, 제 2 공중 네트워크 어드레스는 네트워크 트래픽을 수신하기 위해 사용된다.
504에서, 네트워크 필터링 디바이스는 네트워크 트래픽을 필터링하고 제 2 공중 네트워크 어드레스로 전송한다.
이러한 예에서, 필터링 디바이스가 SDN(502)에 의해 발행된 제 2 공중 네트워크 어드레스를 수신하기 전에, 필터링 디바이스는 제어기에 의해 할당된 제 1 공중 네트워크 어드레스를 검색한다. 또한, 필터링 디바이스는 제 1 공중 네트워크 어드레스에 따라 네트워크 트래픽을 전송한다.
이러한 예에서, 필터링 디바이스가 SDN(502)에 의해 발행된 제 2 공중 네트워크 어드레스를 수신한 후, 필터링 디바이스는 제 1 공중 네트워크 어드레스로부터 제 2 공중 네트워크 어드레스로 네트워크 트래픽의 수신지 어드레스를 업데이트한다(예를 들면, 패킷들의 수신지 필드를 변경).
공중 네트워크 어드레스로부터 전용 어드레스로의 변환 및 제 2 공중 네트워크 어드레스의 구성은 도 3 및 도 4에 관하여 상기의 설명과 유사하고, 따라서, 간략화를 위해 반복되지 않는다.
도 6은 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 프로그래밍된 컴퓨터 시스템의 일 실시예를 도시하는 기능도이다. 시스템(600)은 적절하게 SDN, 제어기, 네트워크 필터링 디바이스, 및/또는 라우팅 디바이스를 구현하기 위해 사용될 수 있다. 명백한 바와 같이, 다른 컴퓨터 시스템 아키텍처들 및 구성들은 텍스트 데이터를 분석하기 위해 사용될 수 있다. 이하에 설명되는 바와 같은 다양한 서브시스템들을 포함하는 컴퓨터 시스템(600)은 적어도 하나의 마이크로프로세서 서브시스템(프로세서 또는 중앙 처리 장치(CPU)라고도 칭해짐)(602)를 포함한다. 예를 들면, 프로세서(602)는 단일-칩 프로세서에 의해 또는 다수의 프로세서들에 의해 구현될 수 있다. 일부 실시예들에서, 프로세서(602)는 컴퓨터 시스템(600)의 동작을 제어하는 범용 디지털 프로세서이다. 메모리(610)로부터 검색된 명령들을 사용하여, 프로세서(602)는 수신, 입력 데이터의 조작, 및 출력 디바이스들(예를 들면, 디스플레이(618))상에 데이터의 출력 및 디스플레이를 제어한다.
프로세서(602)는 제 1 주기억 장치 영역, 일반적으로 랜덤 액세스 메모리(RAM) 및 제 2 주기억 장치 영역, 일반적으로 판독 전용 메모리(ROM)를 포함할 수 있는 메모리(610)와 양방향으로 결합된다. 본 기술 분야에서 잘 알려진 바와 같이, 주기억 장치는 범용 기억 영역 및 스크래치-패드 메모리로서 사용될 수 있고, 입력 데이터 및 처리된 데이터를 저장하기 위해 또한 사용될 수 있다. 주기억 장치는 프로세서(602)상에 동작하는 프로세스들에 대한 명령들 및 다른 데이터 외에 데이터 객체들 및 텍스트 객체들의 형태로 프로그래밍 명령들 및 데이터를 또한 저장할 수 있다. 또한 본 기술 분야에서 잘 알려진 바와 같이, 주기억 장치는 일반적으로, 그의 기능들(예를 들면, 프로그래밍된 명령들)을 수행하기 위해 프로세서(602)에 의해 사용된 기본 동작 명령들, 프로그램 코드, 데이터, 및 객체들을 포함한다. 예를 들면, 메모리(610)는, 예를 들면, 데이터 액세스가 양방향 또는 단방향일 필요가 있는지의 여부에 따라, 이하에 설명되는 임의의 적합한 컴퓨터 판독 가능한 저장 매체를 포함할 수 있다. 예를 들면, 프로세서(602)는 또한 직접 및 매우 빠르게 검색하고 캐시 메모리(도시되지 않음)에 자주 필요한 데이터를 저장할 수 있다.
제거 가능한 대용량 저장 디바이스(612)는 컴퓨터 시스템(600)에 대한 추가의 데이터 저장 용량을 제공하고, 양방향(판독/기록) 또는 단방향(판독 전용)으로 프로세서(602)에 결합된다. 예를 들면, 기억 장치(612)는 또한 자기 테이프, 플래시 메모리, PC-CARDS, 이동식 대용량 기억 장치들, 홀로그래픽 기억 장치들, 및 다른 기억 장치들과 같은 컴퓨터 판독 가능한 매체를 포함할 수 있다. 고정식 대용량 기억 장치(620)는 또한, 예를 들면, 추가의 데이터 기억 용량을 제공할 수 있다. 고정식 대용량 기억 장치(620)의 가장 일반적인 예는 하드 디스크 드라이브이다. 대용량 저장 장치들(612, 620)은 보통 프로세서(602)에 의해 활성 사용중이 아닌 추가의 프로그래밍 명령들, 데이터 등을 일반적으로 저장한다. 대용량 저장 장치들(612, 620) 내에 보유된 정보가, 필요한 경우, 가상 메모리로서, 메모리(610)(예를 들면, RAM)의 일 부분으로서 표준 방식으로 통합될 수 있다는 것이 이해될 것이다.
저장 서브시스템들에 대한 액세스를 프로세서(602)에 제공하는 것 외에, 버스(614)는 또한 다른 서브시스템들 및 디바이스들에 액세스를 제공하기 위해 사용될 수 있다. 도시된 바와 같이, 이들은 디스플레이(618), 네트워크 인터페이스(616), 키보드(604), 및 포인팅 디바이스(608), 뿐만 아니라 필요에 따라 보조 입력/출력 디바이스 인터페이스, 사운드 카드, 스피커들, 및 다른 서브시스템들을 포함할 수 있다. 예를 들면, 포인팅 디바이스(608)는 마우스, 스타일러스, 트랙 볼, 또는 타블렛일 수 있고, 그래픽 사용자 인터페이스와 상호 작용하기에 유용하다.
네트워크 인터페이스(616)는 도시된 바와 같이 프로세서(602)가 다른 컴퓨터, 컴퓨터 네트워크, 또는 네트워크 접속을 사용하는 원격 통신 네트워크에 결합되게 한다. 예를 들면, 네트워크 인터페이스(616)를 통해, 프로세서(602)는 방법/프로세스 단계들을 수행하는 동안 다른 네트워크로부터의 정보(예를 들면, 데이터 객체들 또는 프로그램 명령들) 또는 다른 네트워크로의 출력 정보를 수신할 수 있다. 프로세서상에 실행될 일련의 정보들이라고 종종 나타내진 정보는 다른 네트워크로부터 수신되고 그로 출력될 수 있다. 인터페이스 카드 또는 유사한 디바이스 및 프로세서(602)에 의해 구현된(예를 들면, 그에 대해 실행된/수행된) 적절한 소프트웨어는 컴퓨터 시스템(600)을 외부 네트워크에 접속하고 표준 프로토콜들에 따라 데이터를 전달하기 위해 사용될 수 있다. 예를 들면, 여기에 개시된 다양한 프로세스 실시예들은 프로세서(602)상에 실행될 수 있거나, 또는 처리의 일 부분을 공유하는 원격 프로세서와 함께, 인터넷, 인트라넷 네트워크들, 또는 근거리 네트워크들과 같은 네트워크를 거쳐 수행될 수 있다. 추가의 대용량 기억 장치들(도시되지 않음)은 또한 네트워크 인터페이스(616)를 통해 프로세서(602)에 접속될 수 있다.
보조 I/O 디바이스 인터페이스(도시되지 않음)는 컴퓨터 시스템(600)과 함께 사용될 수 있다. 보조 I/O 디바이스 인터페이스는 프로세서(602)가 마이크로폰들, 터치 감응식 디스플레이들, 트랜스듀서 카드 판독기들, 테이프 판독기들, 음성 또는 필기 인식기들, 생체 인식 판독기들, 카메라들, 이동식 대용량 기억 장치들, 및 다른 컴퓨터들과 같은 다른 디바이스들로부터 데이터를 전송 및 더 일반적으로 그를 수신하게 하는 범용 및 주문 제작형인 인터페이스들을 포함할 수 있다.
본 개시에 포함된 실시예들은 단계적인 방식으로 설명된다. 각각의 실시예의 설명이 다른 실시예들과의 상이점의 영역들에 집중하고, 그의 설명들은 동일하거나 유사한 각각의 실시예의 부분들에 대해 상호간에 참조될 수 있다.
당업자는 본 발명의 실시예가 방법들, 디바이스들, 또는 컴퓨터 프로그램 제품들을 제공할 수 있다는 것을 이해할 것이다. 따라서, 본 출원의 실시예들은 전적으로 하드웨어인 실시예들, 전적으로 소프트웨어인 실시예들, 및 하드웨어 및 소프트웨어 양태들을 조합하는 실시예들의 형태를 취할 수 있다. 더욱이, 본 출원의 실시예들은 컴퓨터 작동 가능한 컴퓨터 코드를 포함하는 컴퓨터 작동 가능한 저장 매체(자기 디스크 기억 장치들, CD-ROM들, 및 광 기억 장치들을 포함하지만 그로 한정되지 않음)을 구현하는 컴퓨터 제품들의 하나 이상의 형태들을 채용할 수 있다.
하나의 일반적인 구성에서, 컴퓨터 장비는 하나 이상의 프로세서들(CPU들), 입력/출력 인터페이스들, 네트워크 인터페이스들, 및 메모리를 포함한다. 메모리는 컴퓨터 판독 가능한 매체 내 휘발성 기억 장치들, 랜덤 액세스 메모리(RAM), 및/또는 판독 전용 메모리(ROM) 또는 플래시 메모리(플래시 RAM)와 같은 비휘발성 메모리와 같은 이러한 형태들을 포함할 수 있다. 메모리는 컴퓨터 판독 가능한 매체의 일 예이다. 영구 및 비영구 및 제거 가능한 및 제거가능하지 않은 매체를 포함하는 컴퓨터 판독 가능한 매체는 임의의 방법 또는 기술에 의해 정보 저장을 달성할 수 있다. 정보는 컴퓨터 판독 가능한 명령들, 데이터 구조들, 프로그램 모듈들, 또는 다른 데이터일 수 있다. 컴퓨터 저장 매체의 예들은 상 변화 메모리(phase-change memory; PRAM), 정적 랜덤 액세스 메모리(SRAM), 동적 랜덤 액세스 메모리(DRAM), 다른 형태들의 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 전기적 소거 가능한 프로그램 가능한 판독 전용 메모리(EEPROM), 플래시 메모리 또는 다른 메모리 기술, 컴팩트 디스크 판독 전용 메모리(CD-ROM), 디지트 다기능 디스크(DVD) 또는 다른 광 기억 장치, 자기 카세트들, 자기 테이프 또는 자기 디스크 기억 장치, 또는 다른 자기 기억 장비 또는 컴퓨터들에 액세스 가능한 정보를 저장하기 위해 사용될 수 있는 임의의 다른 비송신 매체를 포함하지만, 그로 한정되지 않는다. 본 명세서에 규정된 바와 같이, 컴퓨터 판독 가능한 매체는 변조된 데이터 신호들 및 반송파들과 같은 일시적 컴퓨터 판독가능한 매체(일시적 매체)를 포함하지 않는다.
본 출원의 실시예들은 방법들, 단말 장비(시스템들), 단말 장비(시스템), 및 본 출원의 실시예들의 컴퓨터 프로그램 제품들에 기초하여 플로차트들 및/또는 블록도들을 참조하여 설명된다. 플로차트들 및/또는 블록도들 내의 각각의 플로차트 및/또는 블록도 및 플로차트들 및/또는 블록도들 내의 플로차트들 및/또는 블록도들의 조합들이 컴퓨터 명령들에 의해 실현될 수 있다는 것을 주의하라. 이들 컴퓨터 프로그램 명령들은 범용 컴퓨터들, 특수화된 컴퓨터들, 임베딩된 프로세서 디바이스들의 프로세서들, 또는 기계를 생성하기 위한 다른 프로그램 가능한 데이터 처리 단말들에 제공될 수 있다. 컴퓨터들 또는 다른 프로그램 가능한 데이터 처리 단말 장비의 프로세서들에 의해 실행된 명령들은 결과적으로 디바이스들이 플로차트들의 하나 이상의 프로세스들 및 블록도들의 하나 이상의 블록들에 특정된 기능들을 구현하도록 한다.
이들 컴퓨터 프로그램 명령들은 또한 컴퓨터들 또는 다른 프로그램 가능한 데이터 처리 단말 장비가 특정한 방식으로 작동하도록 안내할 수 있는 컴퓨터 판독 가능한 메모리에 저장될 수 있다. 결과로서, 컴퓨터 판독 가능한 메모리에 저장된 명령들은 명령 디바이스들을 포함하는 제품들을 초래한다. 이들 명령 디바이스들은 플로차트들의 하나 이상의 프로세스들 및/또는 블록도들의 하나 이상의 블록들에 특정된 기능들을 구현한다.
이들 컴퓨터 프로그램 명령들은 또한 컴퓨터들 또는 다른 프로그램 가능한 데이터 처리 단말 장비상에 로딩될 수 있고 컴퓨터 구현 처리를 초래하도록 컴퓨터들 또는 다른 프로그램 가능한 데이터 처리 단말 장비상에 일련의 단계들을 실행하게 할 수 있다. 그에 의해 컴퓨터들 또는 다른 프로그램 가능한 데이터 처리 단말 장비상에 실행된 명령들은 플로차트들의 하나 이상의 프로세스들 및/또는 블록도들의 하나 이상의 블록들에 특정된 기능들의 단계들을 제공한다.
본 출원의 바람직한 실시예들이 이전에 설명되었지만, 당업자는 기본적인 독창적 개념을 파악하면 이들 실시예들에 대한 다른 변경들 또는 수정들을 행할 수 있다. 따라서, 첨부된 청구항들은 본 출원의 실시예들의 범위 내에 속하는 모든 변경들 및 수정들뿐만 아니라 바람직한 실시예들을 포함하는 것으로 해석될 것이다.
전술한 실시예들이 이해의 명료성을 위해 일부 상세하게 설명되었지만, 본 발명은 제공된 상세들에 한정되는 것은 아니다. 본 발명을 구현하는 많은 대안적인 방식들이 존재한다. 개시된 실시예들은 예시적이고 제한적이 아니다.

Claims (19)

  1. 네트워크 트래픽 처리 방법에 있어서,
    제 1 공중 네트워크와 연관된 제 1 네트워크 트래픽의 하나 이상의 패킷들이 드롭된 것을 결정하는 단계로서, 상기 제 1 공중 네트워크 어드레스는 타깃 호스트와 연관되는, 상기 결정 단계;
    제 2 공중 네트워크 어드레스를 제 2 네트워크 트래픽에 할당하고, 상기 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성하는 단계로서:
    상기 제 2 네트워크 트래픽은 필터링 디바이스로부터 도착하여 상기 타깃 호스트를 대상으로 하고;
    상기 제 2 공중 네트워크 어드레스는 상기 타깃 호스트로 지향된 네트워크 트래픽을 수신하도록 구성되고;
    상기 포워딩 경로는 상기 제 2 공중 네트워크 어드레스에 수신된 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워드하도록 구성되는, 상기 제 2 공중 네트워크 어드레스를 할당하고 상기 포워딩 경로를 생성하는 단계; 및
    상기 제 1 공중 네트워크 어드레스 및 상기 제 2 공중 네트워크 어드레스에 대응하는 상기 타깃 호스트로 지향된 합법적인 네트워크 트래픽과 악의적인 네트워크 트래픽을 분리하는 단계로서, 상기 분리하는 단계는:
    상기 제 2 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로 송신하도록 상기 필터링 디바이스에 통지하고 상기 포워딩 경로에 따라 상기 제 2 네트워크 트래픽이 상기 타깃 호스트로 포워딩되게 하는 단계; 및
    상기 필터링 디바이스가 아닌 다른 장치로부터 도착한 상기 제 1 공중 네트워크 어드레스로 지향된 제 1 네트워크 트래픽이 블랙 홀 라우팅되는 단계를 포함하는, 상기 분리하는 단계를 포함하는, 네트워크 트래픽 처리 방법.
  2. 제 1 항에 있어서,
    상기 결정 단계, 상기 할당 단계, 상기 생성 단계, 및 상기 통지 단계는 소프트웨어 정의 네트워크(software defined network; SDN)상에 수행되는, 네트워크 트래픽 처리 방법.
  3. 제 1 항에 있어서,
    상기 제 1 공중 네트워크 어드레스와 연관된 상기 제 1 네트워크 트래픽의 상기 하나 이상의 패킷들이 드롭된 것을 결정하는 단계는:
    제어기로부터 통지 메시지를 수신하는 단계로서, 상기 제 1 공중 네트워크 어드레스로 전송된 상기 제 1 네트워크 트래픽의 양이 미리 결정된 임계치를 초과할 것이 결정되는 결정에 응답하여, 상기 통지 메시지가 송신되고, 상기 통지 메시지는 라우팅 디바이스가 상기 제 1 공중 네트워크 어드레스로 전송된 제 1 네트워크 트래픽을 드롭하는 것을 나타내는, 상기 통지 메시지를 수신하는 단계를 포함하는, 네트워크 트래픽 처리 방법.
  4. 제 1 항에 있어서,
    상기 포워딩 경로는 상기 제 2 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로부터 상기 타깃 호스트의 전용 어드레스(private address)로 포워딩하기 위한 경로인, 네트워크 트래픽 처리 방법.
  5. 제 1 항에 있어서,
    상기 필터링 디바이스에 통지하는 단계는:
    통지 메시지를 상기 필터링 디바이스로 송신하는 단계를 포함하고, 상기 통지 메시지는 상기 제 1 공중 네트워크 어드레스에 대응하는 네트워크 트래픽의 수신지 어드레스를 상기 제 2 공중 네트워크 어드레스로 업데이트할 것을 상기 필터링 디바이스에 통지하는, 네트워크 트래픽 처리 방법.
  6. 제 1 항에 있어서,
    상기 포워딩 경로에 관련하는 정보를 라우팅 디바이스로 전송하는 단계; 및
    상기 포워딩 경로에 따라 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워딩할 것을 상기 라우팅 디바이스에 지시하는 단계를 더 포함하는, 네트워크 트래픽 처리 방법.
  7. 네트워크 트래픽을 처리하기 위한 시스템에 있어서,
    하나 이상의 프로세서들로서:
    제 1 공중 네트워크 어드레스와 연관된 제 1 네트워크 트래픽의 하나 이상의 패킷들이 드롭된 것을 결정하고, 상기 제 1 공중 네트워크 어드레스는 타깃 호스트와 연관되고;
    제 2 공중 네트워크 어드레스를 제 2 네트워크 트래픽에 할당하고 상기 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성하고,
    상기 제 2 네트워크 트래픽은 필터링 디바이스로부터 도착하고 상기 타깃 호스트를 대상으로 하고;
    상기 제 2 공중 네트워크 어드레스는 상기 타깃 호스트로 지향된 네트워크 트래픽을 수신하도록 구성되고;
    상기 포워딩 경로는 상기 제 2 공중 네트워크 어드레스에 수신된 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워딩하도록 구성되고;
    상기 제 1 공중 네트워크 어드레스 및 상기 제 2 공중 네트워크 어드레스에 대응하는 상기 타깃 호스트로 지향된 합법적인 네트워크 트래픽과 악의적인 네트워크 트래픽을 분리하고, 상기 합법적인 네트워크 트래픽과 상기 악의적인 네트워크 트래픽을 분리하는 것은:
    상기 제 2 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로 송신할 것을 상기 필터링 디바이스에 통지하고 상기 포워딩 경로에 따라 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워딩되게 하고;
    상기 필터링 디바이스가 아닌 다른 장치로부터 도착한 상기 제 1 공중 네트워크 어드레스로 지향된 제 1 네트워크 트래픽이 블랙 홀 라우팅되는 것을 포함하도록 구성된, 상기 하나 이상의 프로세서들; 및
    상기 하나 이상의 프로세서들에 결합되고 상기 하나 이상의 프로세서들에 명령들을 제공하도록 구성된 하나 이상의 메모리들을 포함하는, 네트워크 트래픽을 처리하기 위한 시스템.
  8. 제 7 항에 있어서,
    상기 시스템은 소프트웨어 정의 네트워크(SDN)인, 네트워크 트래픽을 처리하기 위한 시스템.
  9. 제 7 항에 있어서,
    상기 제 1 공중 네트워크 어드레스와 연관된 상기 제 1 네트워크 트래픽의 상기 하나 이상의 패킷들이 드롭된 것을 결정하는 것은:
    통지 메시지를 제어기로부터 수신하는 것을 포함하고, 상기 제 1 공중 네트워크 어드레스로 전송된 상기 제 1 네트워크 트래픽의 양이 미리 결정된 임계치를 초과하는 것이 결정되는 결정에 응답하여, 상기 통지 메시지가 송신되고, 상기 통지 메시지는 라우팅 디바이스가 상기 제 1 공중 네트워크 어드레스로 전송된 제 1 네트워크 트래픽을 드롭하는 것을 나타내는, 네트워크 트래픽을 처리하기 위한 시스템.
  10. 제 7 항에 있어서,
    상기 포워딩 경로는 상기 제 2 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로부터 상기 타깃 호스트의 전용 어드레스로 포워딩하기 위한 경로인, 네트워크 트래픽을 처리하기 위한 시스템.
  11. 제 7 항에 있어서,
    상기 필터링 디바이스에 통지하는 것은:
    통지 메시지를 상기 필터링 디바이스로 송신하는 것을 포함하고, 상기 통지 메시지는 상기 제 1 공중 네트워크 어드레스에 대응하는 네트워크 트래픽의 수신지 어드레스를 상기 제 2 공중 네트워크 어드레스로 업데이트할 것을 상기 필터링 디바이스에 통지하는, 네트워크 트래픽을 처리하기 위한 시스템.
  12. 제 7 항에 있어서,
    상기 하나 이상의 프로세서들은 또한:
    상기 포워딩 경로에 관한 정보를 라우팅 디바이스로 전송하고;
    상기 포워딩 경로에 따라 상기 타깃 호스트로 상기 제 2 네트워크 트래픽을 포워딩할 것을 상기 라우팅 디바이스에 지시하도록 구성되는, 네트워크 트래픽을 처리하기 위한 시스템.
  13. 타깃 호스트에서 DDoS 공격들에 대항하기 위해 네트워크 트래픽을 처리하기 위한 컴퓨터 명령들을 포함하는 컴퓨터 프로그램이 저장된 유형의 컴퓨터 판독 가능 저장 매체에 있어서,
    상기 컴퓨터 명령들은:
    제 1 공중 네트워크 어드레스와 연관된 제 1 네트워크 트래픽의 하나 이상의 패킷들이 드롭된 것을 결정하고, 상기 제 1 공중 네트워크 어드레스는 상기 타깃 호스트와 연관되고,
    제 2 공중 네트워크 어드레스를 제 2 네트워크 트래픽에 할당하고 상기 제 2 공중 네트워크 어드레스에 대응하는 포워딩 경로를 생성하고,
    상기 제 2 네트워크 트래픽은 필터링 디바이스로부터 도착하고 상기 타깃 호스트를 대상으로 하고;
    상기 제 2 공중 네트워크 어드레스는 상기 타깃 호스트로 지향된 네트워크 트래픽을 수신하도록 구성되고;
    상기 포워딩 경로는 상기 제 2 공중 네트워크 어드레스에 수신된 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워딩하도록 구성되고;
    상기 제 1 공중 네트워크 어드레스 및 상기 제 2 공중 네트워크 어드레스에 대응하는 상기 타깃 호스트로 지향된 합법적인 네트워크 트래픽과 악의적인 네트워크 트래픽을 분리하고, 상기 분리하는 것은:
    상기 제 2 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로 송신할 것을 필터링 디바이스에 통지하고 상기 포워딩 경로에 따라 상기 제 2 네트워크 트래픽을 상기 타깃 호스트로 포워딩하게 할 것; 및
    상기 필터링 디바이스가 아닌 다른 장치로부터 도착한 상기 제 1 공중 네트워크 어드레스로 지향된 제 1 네트워크 트래픽이 블랙 홀 라우팅되는 것을 포함하는, 유형의 컴퓨터 판독 가능 저장 매체.
  14. 네트워크 트래픽 처리 방법에 있어서,
    제 1 공중 네트워크 어드레스와 연관된 네트워크 트래픽을 필터링하고 상기 필터링된 네트워크 트래픽을 상기 제 1 공중 네트워크 어드레스에 포워딩하는 단계;
    SDN로부터 제 2 공중 네트워크 어드레스를 수신하는 단계로서, 상기 제 2 공중 네트워크 어드레스는 상기 제 1 공중 네트워크 어드레스와 처음에 연관되는 상기 네트워크 트래픽과 연관되는, 상기 제 2 공중 네트워크 어드레스를 수신하는 단계; 및
    상기 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로 포워딩하는 단계를 포함하는, 네트워크 트래픽 처리 방법.
  15. 제 14 항에 있어서,
    제어기에 의해 구성된 상기 제 1 공중 네트워크 어드레스를 수신하는 단계를 더 포함하고, 상기 제 1 공중 네트워크 어드레스는 상기 네트워크 트래픽과 연관된 수신지 어드레스인, 네트워크 트래픽 처리 방법.
  16. 제 14 항에 있어서,
    상기 네트워크 트래픽과 연관된 수신지 어드레스를 상기 제 1 공중 네트워크 어드레스로부터 상기 제 2 공중 네트워크 어드레스로 업데이트하는 단계를 더 포함하는, 네트워크 트래픽 처리 방법.
  17. 네트워크 트래픽을 처리하기 위한 시스템에 있어서,
    하나 이상의 프로세서들로서:
    제 1 공중 네트워크 어드레스와 연관된 네트워크 트래픽을 필터링하고 상기 필터링된 네트워크 트래픽을 상기 제 1 공중 네트워크 어드레스로 포워딩하고,
    SDN으로부터 제 2 공중 네트워크 어드레스를 수신하고, 상기 제 2 공중 네트워크 어드레스는 상기 제 1 공중 네트워크 어드레스와 처음에 연관되는 네트워크 트래픽과 연관되고,
    상기 네트워크 트래픽을 상기 제 2 공중 네트워크 어드레스로 포워딩하도록 구성된, 상기 하나 이상의 프로세서들; 및
    상기 하나 이상의 프로세서들에 결합되고 상기 하나 이상의 프로세서들에 명령들을 제공하도록 구성된 하나 이상의 메모리들을 포함하는, 네트워크 트래픽을 처리하기 위한 시스템.
  18. 제 17 항에 있어서,
    상기 하나 이상의 프로세서들은 또한:
    제어기에 의해 구성된 상기 제 1 공중 네트워크 어드레스를 수신하도록 구성되고, 상기 제 1 공중 네트워크 어드레스는 상기 네트워크 트래픽과 연관된 수신지 어드레스인, 네트워크 트래픽을 처리하기 위한 시스템.
  19. 제 17 항에 있어서,
    상기 하나 이상의 프로세서들은 또한:
    상기 네트워크 트래픽과 연관된 수신지 어드레스를 상기 제 1 공중 네트워크 어드레스로부터 상기 제 2 공중 네트워크 어드레스로 업데이트하도록 구성되는, 네트워크 트래픽을 처리하기 위한 시스템.
KR1020187036440A 2016-07-15 2017-07-10 공격들에 대해 방어하기 위한 네트워크 트래픽 처리 KR102281685B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201610561330.7 2016-07-15
CN201610561330.7A CN107623663B (zh) 2016-07-15 2016-07-15 处理网络流量的方法及装置
US15/643,948 US10587637B2 (en) 2016-07-15 2017-07-07 Processing network traffic to defend against attacks
US15/643,948 2017-07-07
PCT/US2017/041318 WO2018013457A1 (en) 2016-07-15 2017-07-10 Processing network traffic to defend against attacks

Publications (2)

Publication Number Publication Date
KR20190004350A KR20190004350A (ko) 2019-01-11
KR102281685B1 true KR102281685B1 (ko) 2021-07-28

Family

ID=60941468

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187036440A KR102281685B1 (ko) 2016-07-15 2017-07-10 공격들에 대해 방어하기 위한 네트워크 트래픽 처리

Country Status (7)

Country Link
US (1) US10587637B2 (ko)
EP (1) EP3485613B1 (ko)
JP (1) JP6710295B2 (ko)
KR (1) KR102281685B1 (ko)
CN (1) CN107623663B (ko)
TW (1) TWI727059B (ko)
WO (1) WO2018013457A1 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11968226B1 (en) * 2017-03-16 2024-04-23 Amazon Technologies, Inc. Targeted traffic filtering
CN108199906B (zh) * 2018-02-07 2021-03-30 深圳市风云实业有限公司 一种sdn构架中异常流量处理方法、装置和用户终端
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
CN109413262B (zh) * 2018-09-06 2021-05-07 深圳市梁信科技有限公司 一种无线存储管理系统
US10945806B2 (en) 2018-09-07 2021-03-16 Warsaw Orthopedic, Inc. Surgical guide and methods of use
US10768990B2 (en) 2018-11-01 2020-09-08 International Business Machines Corporation Protecting an application by autonomously limiting processing to a determined hardware capacity
CN109688242B (zh) * 2018-12-27 2022-03-22 深信服科技股份有限公司 一种云防护系统及方法
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
US11700233B2 (en) * 2019-06-04 2023-07-11 Arbor Networks, Inc. Network monitoring with differentiated treatment of authenticated network traffic
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11477163B2 (en) * 2019-08-26 2022-10-18 At&T Intellectual Property I, L.P. Scrubbed internet protocol domain for enhanced cloud security
CN110620787A (zh) * 2019-09-30 2019-12-27 怀来斯达铭数据有限公司 DDoS攻击的防护方法和系统
EP4176566A4 (en) * 2020-07-02 2024-02-28 Microsoft Technology Licensing, LLC DETECTION OF METRICS INDICATING NETWORK OPERATING CHARACTERISTICS AND IDENTIFICATION AND CONTROL BASED ON DETECTED ANOMALIES
US11601369B1 (en) * 2021-09-01 2023-03-07 Arbor Networks, Inc. Mitigation of network attacks by prioritizing network traffic
CN114124744B (zh) * 2021-11-24 2023-06-02 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质
CN114448674A (zh) * 2021-12-27 2022-05-06 天翼云科技有限公司 一种分布式流量清洗方法及系统
CN116761213B (zh) * 2023-08-23 2023-11-17 深圳市南方硅谷半导体股份有限公司 一种手机流量的应用方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008080416A1 (en) 2006-12-28 2008-07-10 Telecom Italia S.P.A. Method and apparatus to control application messages between a client and a server having a private network address
US20080320151A1 (en) * 2002-10-30 2008-12-25 Riverbed Technology, Inc. Transaction accelerator for client-server communications systems
US9264301B1 (en) 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001247273A1 (en) * 2000-03-03 2001-09-17 Luminous Networks, Inc. Routing switch for dynamically rerouting traffic due to detection of faulty link
JP4161989B2 (ja) 2005-07-08 2008-10-08 沖電気工業株式会社 ネットワーク監視システム
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
KR100942456B1 (ko) 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN102195843B (zh) * 2010-03-02 2014-06-11 中国移动通信集团公司 一种流量控制系统和方法
WO2012037666A1 (en) * 2010-09-24 2012-03-29 Pravala Inc. Accessing local network resources in a multi-interface system
US8432789B2 (en) * 2010-12-28 2013-04-30 Avaya Inc. Split multi-link trunking (SMLT) hold-down timer for internet protocol (IP) multicast
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US9172721B2 (en) 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
JP6324026B2 (ja) 2013-11-07 2018-05-16 三菱電機株式会社 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法
US9722926B2 (en) * 2014-01-23 2017-08-01 InMon Corp. Method and system of large flow control in communication networks
JP6213292B2 (ja) 2014-02-17 2017-10-18 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
CN107888617A (zh) * 2014-12-17 2018-04-06 蔡留凤 软件定义的网络架构的工作方法
US9253206B1 (en) 2014-12-18 2016-02-02 Docusign, Inc. Systems and methods for protecting an online service attack against a network-based attack
CN104954367B (zh) * 2015-06-04 2019-02-12 饶小毛 一种互联网全向跨域DDoS攻击防护方法
CN105049441B (zh) * 2015-08-07 2019-01-01 杭州数梦工场科技有限公司 防止链路型DDoS攻击的实现方法和系统
CN105591963B (zh) * 2015-08-27 2018-10-12 新华三技术有限公司 Sdn中报文转发方法和设备
US10116692B2 (en) 2015-09-04 2018-10-30 Arbor Networks, Inc. Scalable DDoS protection of SSL-encrypted services
US9742795B1 (en) * 2015-09-24 2017-08-22 Amazon Technologies, Inc. Mitigating network attacks
CN105282169B (zh) * 2015-11-04 2018-08-24 中国电子科技集团公司第四十一研究所 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080320151A1 (en) * 2002-10-30 2008-12-25 Riverbed Technology, Inc. Transaction accelerator for client-server communications systems
WO2008080416A1 (en) 2006-12-28 2008-07-10 Telecom Italia S.P.A. Method and apparatus to control application messages between a client and a server having a private network address
US9264301B1 (en) 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks

Also Published As

Publication number Publication date
EP3485613B1 (en) 2021-08-25
US20180020016A1 (en) 2018-01-18
TW201804765A (zh) 2018-02-01
EP3485613A1 (en) 2019-05-22
EP3485613A4 (en) 2020-04-08
KR20190004350A (ko) 2019-01-11
JP2019525528A (ja) 2019-09-05
US10587637B2 (en) 2020-03-10
CN107623663A (zh) 2018-01-23
WO2018013457A1 (en) 2018-01-18
JP6710295B2 (ja) 2020-06-17
CN107623663B (zh) 2020-12-15
TWI727059B (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
KR102281685B1 (ko) 공격들에 대해 방어하기 위한 네트워크 트래픽 처리
CN112422481B (zh) 网络威胁的诱捕方法、系统和转发设备
US10091238B2 (en) Deception using distributed threat detection
US9838427B2 (en) Dynamic service handling using a honeypot
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
US20160323245A1 (en) Security session forwarding following virtual machine migration
EP3507964B1 (en) Malware detection for proxy server networks
US10333827B2 (en) Adaptive session forwarding following virtual machine migration detection
US8955093B2 (en) Cooperative network security inspection
CN105743878B (zh) 使用蜜罐的动态服务处理
US20140096229A1 (en) Virtual honeypot
US20180103061A1 (en) Apparatus and method for implementing network deception
US10516694B1 (en) Hierarchical mitigation of denial of service attacks on communication networks
US11539722B2 (en) Security threat detection based on process information
US10181031B2 (en) Control device, control system, control method, and control program
US11228603B1 (en) Learning driven dynamic threat treatment for a software defined networking environment
US20210314237A1 (en) Security threat detection during service query handling
US20230208810A1 (en) Context-aware service query filtering
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud
US11463404B2 (en) Quarantined communications processing at a network edge
JP6286314B2 (ja) マルウェア通信制御装置
US20240022579A1 (en) System to terminate malicious process in a data center
JP6215144B2 (ja) 制御装置、制御方法、および、制御プログラム
Hsu et al. Handover: A mechanism to improve the reliability and availability of network services for clients behind a network address translator
WO2023121868A1 (en) Networking and security split architecture

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant