KR102401661B1 - SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF - Google Patents

SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF Download PDF

Info

Publication number
KR102401661B1
KR102401661B1 KR1020210081336A KR20210081336A KR102401661B1 KR 102401661 B1 KR102401661 B1 KR 102401661B1 KR 1020210081336 A KR1020210081336 A KR 1020210081336A KR 20210081336 A KR20210081336 A KR 20210081336A KR 102401661 B1 KR102401661 B1 KR 102401661B1
Authority
KR
South Korea
Prior art keywords
server
source
login
address
packet
Prior art date
Application number
KR1020210081336A
Other languages
Korean (ko)
Inventor
김응노
조주영
Original Assignee
김응노
조주영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김응노, 조주영 filed Critical 김응노
Priority to KR1020210081336A priority Critical patent/KR102401661B1/en
Priority to KR1020220032310A priority patent/KR102545705B1/en
Application granted granted Critical
Publication of KR102401661B1 publication Critical patent/KR102401661B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

According to the present invention, a DDoS attack detection and defense system comprises: a service server; a login server for confirming a service user as a registered user as a member; and a firewall server for monitoring a packet of a user transmitted to a service server to block a DDoS attack of the service server. The login server extracts a source IP address from at least a part of the packets of the user transmitted to the login server to transmit the same to the firewall server. Also, the firewall server extracts the source IP address from the packet of the user transmitted to the service server to determine traffic of the user transmitted to the service server as abnormal traffic when the extracted source IP address is not in a list of the source IP address transmitted from the login server. Therefore, a DDoS symptom can be more accurately and quickly recognized and responded.

Description

DDoS 공격의 탐지 및 방어 시스템 및 그 방법 {SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF}DDoS attack detection and defense system and method {SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF}

본 발명은 분산서비스거부(Distributed Denial Of Service, DDoS) 공격의 탐지 및 방어 시스템 및 그 방법에 관한 것으로서, 보다 구체적으로는 소정 서비스 사용 유저의 로그인 데이터를 기초로 DDoS 징후를 보다 정확하고 빠르게 파악하여 대응할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법에 관한 것이다. The present invention relates to a system and method for detecting and defending a distributed denial of service (DDoS) attack, and more specifically, to more accurately and quickly identifying DDoS symptoms based on the login data of a user using a predetermined service. It relates to a DDoS attack detection and defense system that can respond and a method therefor.

분산 시스템들의 증가와 인터넷의 확산으로 인하여 네트워크를 통한 공격의 가능성은 점점 늘어나고 있다. 잠재적인 공격의 위협으로부터 시스템을 보호하기 위해서 방화벽(Firewall)과 같은 보안 시스템들을 설치하고 있다. 그러나, 기존의 보안 장치들은 지역 네트워크 경계를 넘어선 탐지가 불가능하고, 네트워크 차원의 효율적이고 적극적인 대응이 불가능하다.Due to the increase of distributed systems and the spread of the Internet, the possibility of attacks through networks is increasing. In order to protect the system from the threat of potential attacks, security systems such as a firewall are installed. However, the existing security devices are unable to detect beyond the local network boundary, and effective and active response at the network level is impossible.

인터넷에서 발생하는 많은 종류의 공격을 방어하기 위해 방화벽과 같은 보안 기술들이 점차 발전하고 있지만 이러한 기술들의 발전에도 불구하고 DDoS 공격의 위협은 크게 증가하고 있다. 가장 큰 이유 중 하나는, DDoS 공격이, 하나의 PC가 다수의 IP 주소를 변조하여 특정한 호스트를 공격하는 방식에서 벗어나서, 공격자가 하위에 수많은 공격 에이전트(좀비 PC)를 만들어 특정한 호스트를 상대로 동시에 많은 패킷을 전송하여 서비스 불능 상태로 만드는 방식으로 진화하고 있기 때문이다. 이러한 DDoS 공격 방식에서는, 하나의 PC에서 다수의 IP 주소가 변조되는 것이 아니라, 각각의 좀비 PC마다 해당되는 IP 주소가 사용되기 때문에, IP 주소의 변조 여부로 DDoS 공격을 탐지하기는 어렵고, 네트워크 트래픽을 분석하여 DDoS 공격 여부를 탐지하게 된다. 예컨대, 시간 당 트래픽 수가 임계치를 넘어선다면, 이는 DDoS 공격의 악성 트래픽으로 판단될 수 있다.Although security technologies such as firewalls are gradually developing to prevent many types of attacks occurring on the Internet, the threat of DDoS attacks is greatly increasing despite the advancement of these technologies. One of the biggest reasons is that the DDoS attack deviates from the method in which a single PC modifies multiple IP addresses to attack a specific host, and the attacker creates numerous attack agents (zombie PCs) below to attack a specific host at the same time. This is because it is evolving into a method that makes the service unavailable by sending packets. In such a DDoS attack method, it is difficult to detect a DDoS attack based on whether the IP address is tampered with, because a corresponding IP address is used for each zombie PC rather than a plurality of IP addresses being tampered with in one PC. is analyzed to detect whether a DDoS attack exists. For example, if the number of traffic per hour exceeds the threshold, it may be determined as malicious traffic of a DDoS attack.

그러나, 이러한 트래픽 분석에 따른 DDoS 공격 탐지 방법은, DDoS 공격자가 시간 당 트래픽 수를 줄이는 등 트래픽 생성 패턴을 교묘히 바꿀 수 있다는 점에서 그 탐지에 한계가 있으며, 많은 양의 트래픽을 분석해야 하는 바, 탐지하는데 시간이 오래 걸리고, 그에 따라 DDoS 공격에 빠르게 대응하기 어려운 문제가 있다. However, the DDoS attack detection method according to such traffic analysis has limitations in its detection in that a DDoS attacker can skillfully change the traffic generation pattern, such as reducing the number of traffic per hour, and it is necessary to analyze a large amount of traffic, It takes a long time to detect, and accordingly, there is a problem in that it is difficult to quickly respond to a DDoS attack.

특허 출원 번호: 10-2010-0121547Patent application number: 10-2010-0121547

본 발명은 이러한 문제점을 해결하기 위한 것으로서, 소정 서비스 사용자의 로그인 데이터를 기초로 DDoS 징후를 보다 정확하고 빠르게 파악하여 대응할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.An object of the present invention is to provide a DDoS attack detection and defense system and method capable of detecting and responding to DDoS symptoms more accurately and quickly based on login data of a predetermined service user to solve this problem.

또한, 본 발명은 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.In addition, the present invention provides a DDoS attack detection and defense system and method that allow an administrator to detect a DDoS attack from various angles depending on the situation by enabling the selection of criteria for determining malicious traffic of a DDoS attack according to a login attempt pattern. aim to do

또한, 본 발명은 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.In addition, the present invention allows the administrator to flexibly respond to DDoS attacks depending on the situation by allowing the selection of a malicious traffic standard for detecting a DDoS attack and a malicious traffic standard to which a blocking policy is applied according to a login attempt pattern. An object of the present invention is to provide a DDoS attack detection and defense system and method therefor.

본 발명의 일 실시예에 따르면, DDoS 공격 탐지 및 방어 시스템이며, 서비스 서버와, 사용자의 회원 가입 여부를 확인하는 로그인 서버와, 상기 서비스 서버로 발송된 사용자의 패킷을 모니터링하여, 상기 서비스 서버로의 DDoS 공격을 차단하는 방화벽 서버를 포함할 수 있다. 상기 로그인 서버는 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 상기 방화벽 서버에 전송하고, 상기 방화벽 서버는 상기 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하여, 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 없으면 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단할 수 있다.According to an embodiment of the present invention, it is a DDoS attack detection and defense system, a service server, a login server that checks whether a user has registered as a member, and monitors a user's packet sent to the service server, and sends it to the service server. It may include a firewall server to block DDoS attacks from The login server extracts a source IP address from at least some of the user's packets sent to the login server and transmits it to the firewall server, and the firewall server extracts the source IP address from the user's packet sent to the service server. Thus, if the extracted source IP address is not in the list of source IP addresses transmitted from the login server, it is possible to determine the user's traffic sent to the service server as abnormal traffic.

또한, 상기 방화벽 서버는, 상기 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 있으면 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단할 수 있다.Also, if the extracted source IP address is in the list of source IP addresses transmitted from the login server, the firewall server may determine that the user's traffic sent to the service server is normal traffic.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server may be the source IP address of a packet on which TCP 3-way hand shaking is performed by accessing the login server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 로그인을 완료한 패킷의 출발지 IP 주소일 수 있다.Also, the source IP address transmitted to the firewall server may be the source IP address of a packet that has logged in to the login server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server may be a source IP address of a packet in which data corresponding to an ID and password are a combination of at least two of text, numbers, and symbols in the user's packet sent to the login server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server may be a source IP address of a packet that conforms to a communication protocol for communication to the login server for the user's packet sent to the login server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버에 로그인을 완료한 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server is (1) a packet with TCP 3-way hand shaking connected to the login server, (2) a packet after logging in to the login server, and (3) sent to the login server A packet in which the data corresponding to the ID and password is a combination of at least two of text, numbers, and symbols in the user's packet, (4) The user's packet sent to the login server follows the communication protocol for communication to the login server It may be a source IP address of a packet that satisfies at least one of

또한, 상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고, 상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버에 로그인을 완료한 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함할 수 있다.In addition, the login server transmits login attempt pattern information together with the source IP address to the firewall server, and the login attempt pattern information includes the source IP address transmitted to the firewall server, (1) accessing the login server and connecting TCP 3- In the packet with way hand shaking, (2) logging in to the login server, and (3) in the user's packet sent to the login server, the data corresponding to the ID and password is a combination of at least two of text, numbers, and symbols. Packet, (4) The user's packet sent to the login server may include information on which packet is the source IP address of the packet that conforms to the communication protocol for communication to the login server.

또한, 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트일 수 있다.Also, the list of source IP addresses transmitted from the login server may be a list of source IP addresses corresponding to the login attempt pattern selected by the administrator.

또한, 적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단할 수 있다.In addition, whether or not a DDoS attack may be determined based on at least the amount of abnormal traffic.

또한, 시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단할 수 있다.In addition, when the amount of abnormal traffic per hour exceeds a predetermined threshold, it may be determined as a DDoS attack.

또한, 본 발명의 또 다른 실시예에 따르면, DDoS 공격 탐지 및 차단 방법이며, 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 방화벽 서버에 전송하는 단계와, 방화벽 서버에서, 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하는 단계와, 서비스 서버로 발송된 사용자의 패킷으로부터 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 없으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하는 단계와, 적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하는 단계를 포함할 수 있다.Further, according to another embodiment of the present invention, there is provided a DDoS attack detection and blocking method, comprising the steps of extracting a source IP address from at least some of the packets of a user sent to a login server and transmitting the source IP address to a firewall server; extracting a source IP address from the user's packet sent to the service server, and if the source IP address extracted from the user's packet sent to the service server is not in the list of source IP addresses transmitted to the firewall server, the The method may include determining that the user's traffic sent to the service server is abnormal traffic, and determining whether a DDoS attack occurs based on at least the amount of abnormal traffic.

또한, 상기 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 있으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는 단계를 더 포함할 수 있다.The method may further include determining that the user's traffic sent to the service server is normal traffic when the extracted source IP address is in the list of source IP addresses transmitted to the firewall server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server may be the source IP address of a packet on which TCP 3-way hand shaking is performed by accessing the login server.

또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버에 로그인을 완료한 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소일 수 있다.In addition, the source IP address transmitted to the firewall server is (1) a packet that has been connected to the login server and undergoes TCP 3-way hand shaking, and (2) a user packet sent to the login server is used for communication with the login server. A packet that conforms to the communication protocol, (3) a packet in which the data corresponding to the ID and password in the user's packet sent to the login server is a combination of at least two of text, numbers, and symbols, (4) a packet that completes the login to the login server It may be a source IP address of a packet that satisfies at least one of

또한, 상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고, 상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버에 로그인을 완료한 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함할 수 있다.In addition, the login server transmits login attempt pattern information together with the source IP address to the firewall server, and the login attempt pattern information includes the source IP address transmitted to the firewall server, (1) accessing the login server and connecting TCP 3- A packet with way hand shaking, (2) a packet sent to the login server by a user that follows the communication protocol for communication to the login server, (3) a packet that corresponds to an ID and password in a user packet sent to the login server The data may include information on the source IP address of a packet that satisfies which packet among packets in which data is a combination of at least two of text, numbers, and symbols, and (4) packets in which log-in to the log-in server is completed.

또한, 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트일 수 있다.Also, the list of source IP addresses transmitted from the login server may be a list of source IP addresses corresponding to the login attempt pattern selected by the administrator.

또한, 시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단할 수 있다.In addition, when the amount of abnormal traffic per hour exceeds a predetermined threshold, it may be determined as a DDoS attack.

본 발명의 일 실시예에 따르면, 소정 서비스 사용자의 로그인 데이터를 기초로 DDoS 공격을 보다 정확하고 빠르게 탐지하여 대응하는 것이 가능하다.According to an embodiment of the present invention, it is possible to more accurately and quickly detect and respond to a DDoS attack based on login data of a predetermined service user.

또한, 본 발명의 일 실시예에 따르며, 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지하는 것이 가능하다.In addition, according to an embodiment of the present invention, it is possible for an administrator to detect a DDoS attack from various angles depending on the situation by enabling the selection of criteria for determining malicious traffic of a DDoS attack according to a login attempt pattern.

또한, 본 발명의 일 실시예에 따르면, 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처하는 것이 가능하다.In addition, according to an embodiment of the present invention, it is possible to select a malicious traffic criterion for detecting a DDoS attack and a malicious traffic criterion to which a blocking policy is applied according to a login attempt pattern, so that an administrator can respond to a DDoS attack according to the situation. It is possible to respond flexibly to

도 1은 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템을 도시한다.
도 2는 본 발명의 일 실시예에 따른 방화벽 서버의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 방법을 나타내는 흐름도이다.1 illustrates a DDoS attack detection and defense system according to an embodiment of the present invention.
2 is a block diagram of a firewall server according to an embodiment of the present invention.
3 is a flowchart illustrating a DDoS attack detection and defense method according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.Hereinafter, with reference to the accompanying drawings, the present invention will be described in detail so that those of ordinary skill in the art can easily carry out the present invention. However, the present invention may be embodied in several different forms and is not limited to the embodiments described herein.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.The terminology used herein is for the purpose of describing the embodiments and is not intended to limit the present invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase.

본 명세서에서 사용되는 "포함한다(comprises)", "포함하는(comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. As used herein, “comprises”, “comprising” refers to the presence or absence of one or more other components, steps, operations and/or elements mentioned addition is not excluded.

또한, 본 발명에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 구성 요소들을 설명하는데 사용될 수 있지만, 구성 요소들은 용어들에 의해 한정되어서는 안 된다. 이와 같은 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, terms including ordinal numbers such as first, second, etc. used in the present invention may be used to describe the components, but the components should not be limited by the terms. These terms are used only for the purpose of distinguishing one component from another. In addition, in the description of the present invention, if it is determined that a detailed description of a related known technology may obscure the gist of the present invention, the detailed description thereof will be omitted.

이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다. Hereinafter, an embodiment according to the present invention will be described in detail with reference to the accompanying drawings. The configuration of the present invention and its effects will be clearly understood through the following detailed description.

도 1은 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템을 도시한다. 도 1에 따르면, 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템은 로그인 서버(130), 방화벽 서버(140), 서비스 서버(150)를 포함한다.1 illustrates a DDoS attack detection and defense system according to an embodiment of the present invention. Referring to FIG. 1 , the DDoS attack detection and defense system according to an embodiment of the present invention includes a login server 130 , a firewall server 140 , and a service server 150 .

포털 서비스 사업자와 같이 사용자에게 복수의 서비스를 제공하는 경우, 각각의 서비스 서버(150)에 대하여 로그인 서버(130)를 두기 보다는, 복수의 서비스 서버에 대하여 공통의 로그인 서버(130)를 두는 것이 일반적이다(여기서, 공통의 로그인 서버라 함은 복수의 서비스 서버에 대하여 기능적으로 공통의 로그인 서버를 둔다는 의미이며, 물리적으로 단일의 서버를 둔다는 의미는 아님). 로그인 서버(130)는 사용자의 회원 가입 여부를 확인한다. 서비스 서버(150)는 서비스마다 제공될 수 있다. 예컨대, 메신저 서비스 서버, 음성/영상 통화 서비스 서버, (블로그, 까페와 같은) 커뮤니티 서비스 서버가 서비스 서버(150)에 해당될 수 있다.When providing a plurality of services to users like a portal service provider, it is common to provide a common login server 130 for a plurality of service servers rather than a login server 130 for each service server 150 . (here, the common login server means having a functionally common login server for a plurality of service servers, not physically providing a single server). The login server 130 checks whether the user has registered as a member. The service server 150 may be provided for each service. For example, a messenger service server, a voice/video call service server, and a community service server (such as a blog or a cafe) may correspond to the service server 150 .

통상적으로 DDoS 공격은 이러한 서비스 서버(150)를 대상으로 한다. 즉, 좀비 PC(120)가 서비스 서버에 접속하는 경우, 앞서 서술한 바와 같이 좀비 PC(120)는 출발지 IP 주소를 변조하지 않기 때문에 TCP 3-way hand shaking이 정상적으로 이루어지게 되는 바, SYN Cooki 방화벽으로는 좀비 PC에 의한 DDoS 공격을 탐지하기 어렵고, 네트워크 트래픽(예컨대, 시간 당 트래픽 생성양)을 분석하여 DDoS 공격 여부를 탐지하게 되는데, 이는 DDoS 공격 여부를 조기에 탐지하는데 한계가 있다. Typically, DDoS attacks target the service server 150 . That is, when the zombie PC 120 accesses the service server, as described above, the zombie PC 120 does not falsify the source IP address, so TCP 3-way hand shaking is normally performed, and the SYN Cookie firewall It is difficult to detect a DDoS attack by a zombie PC with this method, and it is possible to detect a DDoS attack by analyzing the network traffic (eg, the amount of traffic generated per hour), which has limitations in early detection of a DDoS attack.

본 발명은 서비스 사용자의 로그인 데이터를 이용하여 DDoS 공격 여부를 조기에 탐지한다.The present invention detects the presence of a DDoS attack early by using the login data of the service user.

본 발명에서는, 로그인 서버(130)에 DDoS 공격이 아닌 정상적으로 로그인 시도를 한 패킷의 출발지 IP 주소로 서비스 서버(150)에 접속하는 트래픽은, DDoS 공격이 아닌 정상적인 트래픽으로 판단한다.In the present invention, traffic that accesses the service server 150 with the source IP address of a packet that normally attempts to log in to the log-in server 130 rather than a DDoS attack is determined as normal traffic, not a DDoS attack.

여기서, 로그인 서버(130)에 접속되는 패킷들 중 어떤 패킷을 DDoS 공격이 아닌 정상적으로 로그인 시도를 한 패킷으로 판단할 지에 대한 기준은 아래와 같을 수 있다.Here, among the packets connected to the login server 130 , a criterion for determining which packet is not a DDoS attack but a normal login attempt may be as follows.

예컨대, 본 발명의 제1 기준에 따르면, 통상적으로 좀비 PC(120)는 서비스 서버에 DDoS 공격을 시도하며, 로그인 서버(130)에는 DDoS 공격을 하지는 않으며, 정상 PC(110)는 서비스 서버(150) 접속 이전에 로그인 서버 접속 이력이 있는 점을 감안하여, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 이러한 경우, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소로 서비스 서버(150)에도 접속하였다면, 이 트래픽은 DDoS 공격이 아닌 정상적인 트래픽으로 판단될 수 있다. For example, according to the first criterion of the present invention, in general, the zombie PC 120 attempts a DDoS attack on the service server, does not perform a DDoS attack on the login server 130 , and the normal PC 110 performs a DDoS attack on the service server 150 . ) In consideration of the fact that there is a log-in server connection history before the connection, it is possible to determine that a packet in which TCP 3-way hand shaking is performed by accessing the log-in server 130 is a packet in which a login attempt was made normally. In this case, if the login server 130 is accessed and the service server 150 is also accessed with the source IP address of the packet subjected to TCP 3-way hand shaking, this traffic may be determined as normal traffic, not a DDoS attack.

또한, 본 발명의 제2 기준에 따르면, 좀비 PC(120)가 로그인 서버(130)에 먼저 접속한 후, 서비스 서버(150)에 DDoS 공격을 시도하는 경우도 있을 수 있는 점을 감안하여, 로그인 서버(130)로 발송된 사용자의 패킷이 로그인 서버(130)로의 통신을 위한 통신 프로토콜을 따르고 있는 경우, 이러한 패킷을 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷으로 판단할 수 있다. 일반적으로, 서비스 사용자 단말은 메신저 서버, 음성/영상 통화 서버와 같은 서비스 서버에 통신하기 위한 앱(예컨대, 메신저 앱)이 설치되어 있다. 이러한 앱 설치 이후, 앱과 서비스 서버(150) 사이의 통신(구체적으로는, 패킷)은 서비스 서버에서 제공하는 소정의 통신 프로토콜을 따른다. 좀비 PC(120)의 경우 변조되지 않은 출발지 IP 주소로 서비스 서버(150)에 접속하긴 하지만, 좀비 PC(120)가 서비스 사용자 단말의 소정 앱을 장악하여 이 앱을 통해 소정의 통신 프로토콜을 따르는 패킷을 서비스 서버(150)에 송신하기는 현실적으로 어려울 수 있다. 따라서, 로그인 서버(130)로 발송된 사용자의 패킷을 분석하여 이 패킷이 로그인 서버(130)로의 통신을 위한 통신 프로토콜을 따르고 있는 경우, 이러한 패킷을 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷으로 판단할 수 있다.In addition, according to the second criterion of the present invention, the zombie PC 120 first accesses the login server 130 and then attempts a DDoS attack on the service server 150. If the user's packet sent to the server 130 conforms to the communication protocol for communication to the login server 130 , it can be determined that this packet is a packet that is normally attempted to log in to the login server 130 . In general, in the service user terminal, an app (eg, a messenger app) for communicating with a service server such as a messenger server and an audio/video call server is installed. After installing the app, communication (specifically, packets) between the app and the service server 150 follows a predetermined communication protocol provided by the service server. In the case of the zombie PC 120, although it accesses the service server 150 with an unaltered source IP address, the zombie PC 120 takes over a predetermined app of the service user terminal and follows a predetermined communication protocol through this app. It may be practically difficult to transmit to the service server 150 . Therefore, if the user's packet sent to the login server 130 is analyzed and the packet follows the communication protocol for communication to the login server 130, this packet is sent to the login server 130 for a normal login attempt. can be judged as

또한, 본 발명의 제3 기준에 따르면, 로그인 서버(130)로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합이면, 이러한 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 위와 같은 기준에 따르면, 사용자가 비밀번호 내지 아이디를 정확히 입력하지는 못했지만 적어도 비밀번호 내지 아이디 입력을 시도한 패킷에 대해서도, 로그인 서버에 정상적인 로그인 시도를 한 패킷에 포함될 수 있다.In addition, according to the third criterion of the present invention, if the data corresponding to the ID and password in the user's packet sent to the log-in server 130 is a combination of at least two of text, numbers, and symbols, such a packet is normally used to prevent a login attempt. It can be determined as one packet. According to the above criteria, although the user did not correctly input the password or ID, at least a packet in which the password or ID was attempted may be included in the packet in which a normal login attempt is made to the login server.

또한, 본 발명의 제4 기준에 따르면, 로그인 서버(130) 접속 후 로그인 서버(130)에 올바른 아이디 및 비밀번호를 포함하는 패킷이 전송되어 로그인이 완료된 경우의 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 이러한 경우, 로그인이 완료된 패킷의 출발지 IP 주소로 서비스 서버(150)에도 접속하였다면, 이 트래픽은 DDoS 공격이 아닌 정상적인 트래픽으로 판단될 수 있다.In addition, according to the fourth criterion of the present invention, after access to the login server 130 , a packet including the correct ID and password is transmitted to the login server 130 , and the packet when the login is completed is determined as a packet that successfully attempted login can do. In this case, if the service server 150 is also accessed with the IP address of the source of the logged-in packet, this traffic may be determined as normal traffic, not a DDoS attack.

로그인 서버(130)는 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷의 출발지 IP 주소를 실시간으로 방화벽 서버(140)로 전송한다. 예컨대, 로그인 서버(130)가 제1 기준을 따른다면, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소를 방화벽 서버(140)로 전송하게 된다.The login server 130 transmits the source IP address of the packet that has made a normal login attempt to the login server 130 to the firewall server 140 in real time. For example, if the login server 130 complies with the first criterion, it connects to the login server 130 and transmits the source IP address of the packet on which TCP 3-way hand shaking is performed to the firewall server 140 .

로그인 서버(130)는 제1 기준 내지 제4 기준 중 어느 하나에 따른 패킷에 대하여 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 구현될 수 있지만, 제1 기준 내지 제4 기준 중 어느 하나라도 만족하는 패킷에 대하여 출발지 IP 주소가 방화벽 서버(140)로 전송되는 것으로 구현될 수도 있다. 이러한 경우, 로그인 서버(130)는 추출된 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 함께 방화벽 서버(140)로 전송할 수 있다. 예컨대, 전송 패킷의 로그인 시도 패턴 정보 필드는 아래 기준에 따라 기재될 수 있다. The login server 130 may be implemented by transmitting a source IP address to the firewall server 140 for a packet according to any one of the first to fourth criteria, but any one of the first to fourth criteria may be implemented. It may be implemented that the source IP address is transmitted to the firewall server 140 for a satisfied packet. In this case, the login server 130 may transmit the login attempt pattern information together with the extracted source IP address to the firewall server 140 . For example, the login attempt pattern information field of the transport packet may be described according to the following criteria.

1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷: 11) A packet with TCP 3-way hand shaking connected to the login server: 1

2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜(예, HTTP, SSL, 자체 프로토콜 등)을 따르는 패킷: 2 2) The packet sent by the user to the login server conforms to the communication protocol (eg HTTP, SSL, own protocol, etc.) for communication to the login server: 2

3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷: 33) In the user's packet sent to the login server, the data corresponding to the ID and password is a combination of at least two of text, number, and symbol: 3

4) 로그인 서버에 로그인을 완료한 패킷: 44) Packet that completed login to login server: 4

예를 들어, 해당 패킷이 1), 2)를 만족하는 경우, 로그인 시도 패턴 정보는 "12"로 기록될 수 있으며, 해당 패킷이 1)만을 만족하는 경우, 로그인 시도 패턴 정보는 "1"로 기록될 수 있다. For example, if the corresponding packet satisfies 1) and 2), the login attempt pattern information may be recorded as “12”. If the corresponding packet satisfies only 1), the login attempt pattern information may be recorded as “1”. can be recorded.

도 2는 본 발명의 일 실시예에 따른 방화벽 서버(140)의 구성도이다. 도 2를 참조하면, 방화벽 서버(140)는, 데이터베이스로서, 출발지 IP 주소 리스트(141), 정상 IP 주소 리스트(142), 비정상 IP 주소 리스트(143)를 포함할 수 있으며, 기능적으로는 패킷 미러부(144), 패킷 분석부(145), DDoS 공격 탐지부(146), 및 트래픽 제어부(147)를 포함할 수 있다. 2 is a block diagram of a firewall server 140 according to an embodiment of the present invention. Referring to FIG. 2 , the firewall server 140 may include, as a database, a source IP address list 141 , a normal IP address list 142 , and an abnormal IP address list 143 , and is functionally a packet mirror. It may include a unit 144 , a packet analysis unit 145 , a DDoS attack detection unit 146 , and a traffic control unit 147 .

방화벽 서버(140)는 로그인 서버(130)로부터 전송받은 출발지 IP 주소를 실시간으로 출발지 IP 주소 리스트(141)에 저장한다. 제1 기준 내지 제4 기준 중 어느 하나라도 만족하는 패킷에 대하여 출발지 IP 주소가 방화벽 서버(140)로 전송되는 경우, 즉 로그인 시도 패턴 정보가 출발지 IP 주소와 함께 방화벽 서버(140)로 전송되는 경우에는, 출발지 IP 주소와 함께 로그인 시도 패턴 정보도 출발지 IP 주소 리스트(141)에 저장된다. The firewall server 140 stores the source IP address received from the login server 130 in the source IP address list 141 in real time. When the source IP address is transmitted to the firewall server 140 for a packet that satisfies any one of the first to fourth criteria, that is, when login attempt pattern information is transmitted to the firewall server 140 together with the source IP address In , login attempt pattern information is also stored in the source IP address list 141 together with the source IP address.

또한, 방화벽 서버(140)의 패킷 미러부(144)는, 서비스 서버(150)로 접속하는 사용자 트래픽을 모니터링하기 위해, 서비스 서버(150)로 접속하는 사용자 트래픽의 패킷을 미러링한다. In addition, the packet mirror unit 144 of the firewall server 140 mirrors packets of user traffic connecting to the service server 150 in order to monitor user traffic connecting to the service server 150 .

패킷 분석부(145)는 미러링된 패킷을 분석하여, 해당 패킷의 트래픽이 정상적인 로그인 시도를 거친 트래픽인지, 아니면 정상적인 로그인 시도를 거치지 않은 트래픽인지를 판단하고, 정상적인 로그인 시도를 거친 트래픽의 출발지 IP 주소는 정상 IP 주소 리스트(142)에 저장하고, 정상적인 로그인 시도를 거치지 않은 트래픽의 출발지 IP 주소는 비정상 IP 주소 리스트(143)에 저장한다. The packet analyzer 145 analyzes the mirrored packet, determines whether the traffic of the packet is traffic that has undergone a normal login attempt or has not undergone a normal login attempt, and the source IP address of the traffic that has undergone a normal login attempt. is stored in the normal IP address list 142 , and the source IP address of traffic that has not undergone a normal login attempt is stored in the abnormal IP address list 143 .

본 발명의 일 실시예로서, 해당 패킷의 트래픽이 정상적인 로그인 시도를 거친 트래픽인지 여부는, 해당 패킷의 출발지 IP 주소가 로그인 서버로부터 전송받은 출발지 IP 주소로 생성된 출발지 IP 주소 리스트에 저장된 IP 주소인지 여부로 판단될 수 있다.As an embodiment of the present invention, whether the traffic of the corresponding packet is traffic that has undergone a normal login attempt is determined whether the source IP address of the packet is an IP address stored in the source IP address list generated as the source IP address received from the login server. It can be judged whether

예를 들어, 로그인 서버(130)가 제1 기준에 따른 패킷(즉, 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷)의 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 출발지 IP 주소 리스트(141)에는 이러한 패킷의 출발지 IP 주소가 저장되며, 패킷 분석부(145)는 서비스 서버(150)로 접속된 패킷의 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 있으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 판단하고, 서비스 서버(150)로 접속된 패킷의 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 없으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단한다.For example, the login server 130 is set to transmit the source IP address of the packet according to the first criterion (that is, a packet that has been connected to the login server and subjected to TCP 3-way hand shaking) to the firewall server 140 . In this case, the source IP address of the packet is stored in the source IP address list 141 , and the packet analyzer 145 is configured to determine if the source IP address of the packet connected to the service server 150 is in the source IP address list 141 . , it is determined that the traffic of the corresponding packet is traffic that has undergone a normal login attempt, and if the source IP address of the packet connected to the service server 150 is not in the source IP address list 141, the traffic of the packet is not passed through a normal login attempt. It is judged as non-traffic.

또한, 로그인 서버(130)가 로그인 시도 패턴과 함께 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 출발지 IP 주소 리스트(141)에는 출발지 IP 주소와 함께 로그인 시도 패턴 정보도 저장된다. 관리자는 어떤 로그인 시도 패턴에 따른 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 볼 것인지 선택할 수 있다. 예컨대, 제2 기준에 따른 패킷(즉, 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷)의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 선택된다면, 패킷 분석부(145)는 서비스 서버(140)에 접속된 패킷의 출발지 IP 주소가 로그인 시도 패턴 정보에 적어도 "2"가 포함된 출발지 IP 주소의 리스트에 있으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 판단한다. 앞서 설명한 바와 같이, 통상적으로 좀비 PC(120)는 서비스 서버(150)에 DDoS 공격을 시도하며, 로그인 서버(130)에는 DDoS 공격을 하지는 않기 때문에, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단(즉, 제1 기준)하는 것은 유효할 수 있다. 그러나, DDoS 공격 행태는 방어 방법의 개발에 따라 지속적으로 진화하며 다양하게 이루어질 수 있기 때문에, 경우에 따라서는 제2 기준 내지 제4 기준이 DDoS 공격을 탐지하는데 더 효과적일 수 있다. 따라서, 위와 같이 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지하는 것이 가능해지고, 이로써 보다 조기에 정확하게 DDoS 공격이 탐지될 수 있다. 또한, 패킷 분석부(145)는 허용/차단 정책을 위해 정상 IP 주소 리스트(142)와 비정상 IP 주소 리스트(143)를 생성 저장할 수 있다. 로그인 서버(130)가 로그인 시도 패턴과 함께 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 패킷 분석부(145)는 로그인 시도 패턴 별로 정상 IP 주소 리스트(142), 비정상 IP 주소 리스트(143)를 생성하는 것으로 구현될 수 있다. 즉, 정상 IP 주소 리스트로(142)서, 제1 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제2 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제2 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제3 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제3 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제4 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제4 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트)가 생성된다. In addition, when the login server 130 is set to transmit the source IP address together with the login attempt pattern to the firewall server 140, the source IP address list 141 stores the login attempt pattern information together with the source IP address. . The administrator can select whether to view the packet traffic according to which login attempt pattern as traffic that has undergone a normal login attempt. For example, if the traffic of the packet according to the second criterion (that is, the user's packet sent to the login server conforms to the communication protocol for communication to the login server) is selected as traffic that has undergone a normal login attempt, the packet analysis unit ( If the source IP address of the packet connected to the service server 140 is in the list of source IP addresses including at least “2” in the login attempt pattern information, the packet traffic is determined as traffic that has undergone a normal login attempt. do. As described above, since the zombie PC 120 typically attempts a DDoS attack on the service server 150 and does not perform a DDoS attack on the login server 130, it accesses the login server 130 and accesses the TCP 3-way It may be valid to determine a packet with hand shaking as a packet with a normal login attempt (ie, the first criterion). However, since the DDoS attack behavior continuously evolves and can be varied according to the development of the defense method, the second to fourth criteria may be more effective in detecting the DDoS attack in some cases. Therefore, by allowing the administrator to select the criteria for determining the malicious traffic of a DDoS attack according to the login attempt pattern as described above, it becomes possible for the administrator to detect the DDoS attack from various angles depending on the situation, thereby allowing the DDoS attack to be detected earlier and more accurately. have. Also, the packet analyzer 145 may generate and store the normal IP address list 142 and the abnormal IP address list 143 for the allow/block policy. When the login server 130 is set to transmit the source IP address to the firewall server 140 together with the login attempt pattern, the packet analyzer 145 performs the normal IP address list 142 and the abnormal IP address for each login attempt pattern. It may be implemented by creating a list 143 . That is, as the normal IP address list 142 , the first normal IP address list (source IP address list of traffic in the source IP address list in which the source IP address satisfies the first criterion as user traffic accessing the service server) , 2nd normal IP address list (source IP address list of user traffic connecting to the service server and the source IP address list for which the source IP address satisfies the second criterion), 3rd normal IP address list (to the service server) The source IP address list of traffic in the source IP address list where the source IP address satisfies the third criterion as accessing user traffic), the 4th normal IP address list (user traffic connecting to the service server, where the source IP address is the fourth source IP address list of traffic in the source IP address list that satisfies the criteria) is generated.

또한, 비정상 IP 주소 리스트(143)로서, 제1 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제2 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제2 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제3 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제3 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제4 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제4 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트)가 생성되는 것으로 구현될 수 있다.In addition, as the abnormal IP address list 143, the first abnormal IP address list (source IP address list of traffic that is not in the source IP address list that satisfies the first criterion as user traffic accessing the service server); 2nd abnormal IP address list (source IP address list of user traffic accessing to the service server and the source IP address is not in the source IP address list that satisfies the second criterion), 3rd abnormal IP address list (access to the service server) source IP address list of traffic whose source IP address is not in the source IP address list that satisfies the third criterion as user traffic that source IP address list of traffic that is not in the source IP address list that satisfies .

DDoS 공격 탐지부(146)는, 서비스 서버(150)로 유입되는 트래픽을 분석하여 DDoS 공격을 탐지한다. 예컨대, DDoS 공격 탐지부(146)는 시간당 정상적인 로그인 시도를 거치지 않은 트래픽의 양을 기초로 DDoS 공격 여부를 판단할 수 있다. 또한, DDoS 공격 탐지부(146)는 기존의 DDoS 공격 탐지 단계의 일부와 조합하여 DDoS 공격 여부를 판단할 수도 있다.The DDoS attack detection unit 146 detects a DDoS attack by analyzing the traffic flowing into the service server 150 . For example, the DDoS attack detection unit 146 may determine whether or not a DDoS attack occurs based on the amount of traffic that has not undergone a normal login attempt per hour. In addition, the DDoS attack detection unit 146 may determine whether a DDoS attack exists by combining it with a part of the existing DDoS attack detection step.

예컨대, DDoS 공격 탐지부(146)는 미러링된 패킷을 분석하여 TCP 3-way hand shaking이 정상적으로 이루어지지 않은 트래픽은 DDoS 공격의 악성 트래픽으로 판단할 수 있다. 이를 통해, 변조된 출발지 IP 주소로 서비스 서버(150)에 접속을 시도하는 트래픽이 일차적으로 DDoS 공격의 악성 트래픽으로 필터링될 수 있다. For example, the DDoS attack detection unit 146 may analyze the mirrored packet and determine that traffic for which TCP 3-way hand shaking is not normally performed is malicious traffic of the DDoS attack. Through this, traffic attempting to access the service server 150 with the forged source IP address may be primarily filtered as malicious traffic of a DDoS attack.

다음으로, DDoS 공격 탐지부(146)는, TCP 3-way hand shaking이 정상적으로 이루어진 트래픽에 대해서, 시간당 정상적인 로그인 시도를 거치지 않은 트래픽의 양이 소정 임계치를 넘는 경우, DDoS 공격으로 판단할 수 있다. 종래에는 서비스 서버(150)로 접속하여 TCP 3-way handshaking이 정상적으로 이루어진 트래픽 모두를 분석하는 바, DDoS 공격의 탐지에 한계가 있었을 뿐만 아니라 DDoS 공격의 탐지에 시간이 오래 걸렸다. 위와 같이, 본 발명의 일 실시예에 따른 DDoS 공격 탐지부는, 사용자의 로그인 데이터를 이용하여 시간 당 정상적인 로그인 시도를 거치지 않은 트래픽의 양이 소정 임계치를 넘는지 여부를 통해 DDoS 공격을 탐지하는 바, 조기에 정확하게 DDoS 공격을 탐지할 수 있다. 또한, (상술한 바와 같이) 시간당 정상적인 로그인 시도를 거치지 않은 트래픽은 관리자가 어떤 기준을 선택하느냐에 따라 달리 선택될 수 있다. 예컨대, 관리자는 제1 비정상 IP 주소 리스트로부터 시간당 <서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽>을 시간당 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단할 수 있다.Next, the DDoS attack detection unit 146 may determine that it is a DDoS attack when the amount of traffic that has not undergone a normal login attempt per hour exceeds a predetermined threshold with respect to traffic for which TCP 3-way hand shaking has been normally performed. In the related art, when accessing the service server 150 and analyzing all traffic normally performed by TCP 3-way handshaking, there is a limit to the detection of a DDoS attack and it takes a long time to detect a DDoS attack. As described above, the DDoS attack detection unit according to an embodiment of the present invention detects a DDoS attack based on whether the amount of traffic that has not undergone a normal login attempt per hour exceeds a predetermined threshold using the user's login data. It can detect DDoS attacks early and accurately. In addition, traffic that does not pass through a normal login attempt per hour (as described above) may be selected differently depending on which criterion an administrator selects. For example, the administrator determines that <traffic that is not in the source IP address list that satisfies the first criterion as user traffic accessing the service server as user traffic connecting to the service server> per hour from the first abnormal IP address list is traffic that does not undergo normal login attempts per hour can do.

DDoS 공격 탐지부(146)가 DDoS 공격으로 판단하는 경우, 이를 트래픽 제어부(147)에 알린다. 트래픽 제어부는 DDoS 공격으로 판단되는 경우에는 정상적인 로그인 시도를 거치지 않은 트래픽에 대해서는 서비스 서버(140)로의 접속을 차단한다. 이때, 관리자가 서비스 서버(140)로 유입되는 트래픽 상황에 따라 복수의 차단 정책 중 하나를 선택할 수 있도록 하는 것이 바람직하다. 예컨대, 차단되는 트래픽은 비정상 IP 주소 리스트(143)의 출발지 IP 주소로 접속된 트래픽일 수 있다.When the DDoS attack detection unit 146 determines that it is a DDoS attack, it notifies the traffic control unit 147 of this. When it is determined as a DDoS attack, the traffic controller blocks access to the service server 140 for traffic that has not undergone a normal login attempt. In this case, it is preferable that the administrator be able to select one of a plurality of blocking policies according to the traffic situation flowing into the service server 140 . For example, the blocked traffic may be traffic connected to the source IP address of the abnormal IP address list 143 .

또한, DDoS 공격 탐지를 위해 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단한 트래픽과, 차단 정책이 적용되는 트래픽은 다를 수 있다. In addition, traffic determined as traffic that has not undergone a normal login attempt for DDoS attack detection may be different from traffic to which a blocking policy is applied.

예컨대, DDoS 공격 탐지 시에, 서비스 서버(140)로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 로그인 시도 패턴 정보에 적어도 "1" 또는 "2"가 포함된 출발지 IP 주소의 리스트에 없는 트래픽을 정상적인 로그인 시도를 거치지 않는 트래픽으로 판단하더라도, 차단 정책은 제1 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에 대해서만 적용될 수 있다. 다르게는, 순차적으로, 제1 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에 먼저 차단 정책을 적용하고, 트래픽 상황에 따라, 제2 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에도 추가적으로 차단 정책을 적용할 수 있다. 이와 같이, 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처하는 것이 가능해진다.For example, when a DDoS attack is detected, as user traffic accessing the service server 140 , the source IP address is not in the list of source IP addresses including at least “1” or “2” in the login attempt pattern information for normal login. Even if it is determined that the traffic is not attempted, the blocking policy may be applied only to traffic having the source IP address of the first abnormal IP address list. Alternatively, sequentially, the blocking policy is first applied to the traffic having the source IP address of the first abnormal IP address list, and, depending on the traffic situation, the blocking policy is additionally applied to the traffic having the source IP address of the second abnormal IP address list can be applied In this way, by allowing the selection of a malicious traffic criterion for detecting a DDoS attack and a malicious traffic criterion to which a blocking policy is applied according to the login attempt pattern, it becomes possible for the administrator to flexibly respond to the DDoS attack according to the situation. .

일 예로서, 제1 기준, 제2 기준, 제3 기준, 제4 기준 순으로, 차단 정책을 적용할 수 있다. (제1 기준에 따른) 제1 비정상 IP 주소의 리스트에 차단 정책을 적용한다면, DDoS 공격에 가장 느슨하게 대응하는 것이며, (제4 기준에 따른) 제4 비정상 IP 주소의 리스트까지 차단 정책을 적용한다면, DDoS 공격에 가장 확실하게 대응하는 것일 수 있다. As an example, the blocking policy may be applied in the order of the first criterion, the second criterion, the third criterion, and the fourth criterion. If the blocking policy is applied to the list of the first abnormal IP addresses (according to the first criterion), it is the most loose response to the DDoS attack, and if the blocking policy is applied to the list of the fourth abnormal IP addresses (according to the fourth criterion) , it may be the most reliable response to DDoS attacks.

DDOS 공격은 완벽한 100% 방어가 불가능하고, 공격량을 경감(mitigate) 시켜서, 서비스 불능 상태를 회복하는 것이 바람직하다. 제1 비정상 IP 주소의 리스트에 차단 정책을 적용하면, DDoS 공격량의 경감은 낮을 수 있지만, 정상적인 사용자를 차단하는 오탐 확률이 낮은 이점이 있다. 따라서, 제1 비정상 IP 주소의 리스트에서 제4 비정상 IP 주소의 리스트까지 순서대로 차단 정책을 적용하여, 공격량의 경감을 확인해 볼 수 있다. It is impossible to completely defend against DDOS attacks, and it is desirable to recover the out of service state by mitigating the attack amount. If the blocking policy is applied to the list of the first abnormal IP address, the mitigation of the DDoS attack amount may be low, but there is an advantage in that the probability of false positives blocking normal users is low. Therefore, it is possible to check the reduction in the amount of attack by applying the blocking policy sequentially from the list of the first abnormal IP address to the list of the fourth abnormal IP address.

도 3은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 방법을 나타내는 흐름도이다.3 is a flowchart illustrating a DDoS attack detection and defense method according to an embodiment of the present invention.

도 3을 참고로, 로그인 서버(130)는 로그인 서버(130)로 발송된 사용자 패킷으로부터 출발지 IP 주소를 추출한다(S110). 로그인 서버(130)는 추출된 출발지 IP 주소를 방화벽 서버(140)로 전송한다(S120). 이때, 로그인 서버(130)는 추출된 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 함께 방화벽 서버(140)로 전송할 수 있다. Referring to FIG. 3 , the login server 130 extracts a source IP address from the user packet sent to the login server 130 ( S110 ). The login server 130 transmits the extracted source IP address to the firewall server 140 (S120). In this case, the login server 130 may transmit the login attempt pattern information together with the extracted source IP address to the firewall server 140 .

방화벽 서버(140)는, 로그인 서버(130)로부터 전송받은 출발지 IP 주소를 출발지 IP 주소 리스트(141)에 저장한다(S130). 로그인 시도 패턴 정보도 함께 전송받는 경우에는, 이 정보도 출발지 IP 주소 리스트(141)에 저장된다.The firewall server 140 stores the source IP address received from the login server 130 in the source IP address list 141 (S130). When the login attempt pattern information is also transmitted, this information is also stored in the source IP address list 141 .

다음 단계로, 방화벽 서버(140)는 서비스 서버(150)로 유입되는 사용자의 패킷으로부터 출발지 IP 주소를 추출한다(S140). 방화벽 서버(140)는, 추출된 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 없으면, 해당 트래픽을 비정상 트래픽으로 판단한다(S150). 이때, 관리자가 로그인 시도 패턴을 선택하는 경우, 출발지 IP 주소는 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트이다.In the next step, the firewall server 140 extracts the source IP address from the user's packet flowing into the service server 150 (S140). The firewall server 140, if the extracted source IP address is not in the source IP address list 141, determines the corresponding traffic as abnormal traffic (S150). In this case, when the administrator selects a login attempt pattern, the source IP address is a list of source IP addresses corresponding to the login attempt pattern selected by the administrator.

방화벽 서버(140)는 시간 당 비정상 트래픽 양을 기초로 DDoS 공격 여부를 판단하며(S160), DDoS 공격으로 판단되는 경우 비정상 트래픽에 대해 차단 정책을 적용한다(S170). The firewall server 140 determines whether a DDoS attack occurs based on the amount of abnormal traffic per hour (S160), and applies a blocking policy to the abnormal traffic when it is determined to be a DDoS attack (S170).

130: 로그인 서버
140: 방화벽 서버
150: 서비스 서버
141: 출발지 IP 주소 리스트
142: 정상 IP 주소 리스트
143: 비정상 IP 주소 리스트
144: 패킷 미러부
145: 패킷 분석부
146: DDoS 공격 탐지부
147: 트래픽 제어부130: login server
140: firewall server
150: service server
141: source IP address list
142: list of normal IP addresses
143: Abnormal IP address list
144: packet mirror unit
145: packet analysis unit
146: DDoS attack detection unit
147: traffic control

Claims (18)

DDoS 공격 탐지 및 방어 시스템이며,
서비스 서버와,
사용자의 회원 가입 여부를 확인하는 로그인 서버와,
상기 서비스 서버로 발송된 사용자의 패킷을 모니터링하여, 상기 서비스 서버로의 DDoS 공격을 차단하는 방화벽 서버를 포함하고,
상기 로그인 서버는 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 상기 방화벽 서버에 전송하고,
상기 방화벽 서버는 상기 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하여, 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 없으면 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하고,
상기 방화벽 서버로 전송되는 출발지 IP 주소는,
(1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
(2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 ,
(3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
(4) 로그인 서버에 로그인을 완료한 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소인,
DDoS 공격 탐지 및 방어 시스템. It is a DDoS attack detection and defense system,
service server;
A login server that checks whether the user is a member,
and a firewall server that monitors a user's packet sent to the service server and blocks a DDoS attack on the service server,
The login server extracts a source IP address from at least some of the packets of the user sent to the login server and transmits it to the firewall server,
The firewall server extracts a source IP address from the user's packet sent to the service server, and if the extracted source IP address is not in the list of source IP addresses transmitted from the login server, the user's traffic sent to the service server It is judged as abnormal traffic,
The source IP address transmitted to the firewall server is,
(1) packets with TCP 3-way hand shaking connected to the login server;
(2) The user's packet sent to the login server follows the communication protocol for communication to the login server;
(3) In the user's packet sent to the login server, the data corresponding to the ID and password is a combination of at least two of text, number, and symbol;
(4) The source IP address of the packet that satisfies at least one of the packets that log in to the login server,
DDoS attack detection and defense system. 제1항에 있어서, 상기 방화벽 서버는, 상기 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 있으면 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는,
DDoS 공격 탐지 및 방어 시스템. The method of claim 1, wherein the firewall server determines that the user's traffic sent to the service server is normal traffic if the extracted source IP address is in the list of source IP addresses transmitted from the login server.
DDoS attack detection and defense system. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고,
상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가,
(i) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
(ii) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷,
(iii) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
(iv) 로그인 서버에 로그인을 완료한 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함하는,
DDoS 공격 탐지 및 방어 시스템.According to claim 1,
The login server transmits login attempt pattern information along with the source IP address to the firewall server,
The login attempt pattern information includes a source IP address transmitted to the firewall server,
(i) packets with TCP 3-way hand shaking connected to the login server;
(ii) the user's packet sent to the login server follows the communication protocol for communication to the login server;
(iii) a packet in which the data corresponding to the ID and password in the user's packet sent to the login server is a combination of at least two of text, number, and symbol;
(iv) including information on the source IP address of a packet that satisfies which packet among the packets that log in to the login server is completed;
DDoS attack detection and defense system. 제8항에 있어서,
상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트인,
DDoS 공격 탐지 및 방어 시스템. 9. The method of claim 8,
The list of source IP addresses transmitted from the login server is a list of source IP addresses corresponding to the login attempt pattern selected by the administrator,
DDoS attack detection and defense system. 제1항에 있어서,
적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하는,
DDoS 공격 탐지 및 방어 시스템.According to claim 1,
Determining whether or not a DDoS attack is based on at least the amount of abnormal traffic,
DDoS attack detection and defense system. 제10항에 있어서,
시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단하는,
DDoS 공격 탐지 및 방어 시스템.11. The method of claim 10,
If the amount of abnormal traffic per hour exceeds a predetermined threshold, it is determined as a DDoS attack.
DDoS attack detection and defense system. DDoS 공격 탐지 및 방어 방법이며,
로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 방화벽 서버에 전송하는 단계와,
방화벽 서버에서, 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하는 단계와,
서비스 서버로 발송된 사용자의 패킷으로부터 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 없으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하는 단계와,
적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하고,
상기 방화벽 서버로 전송되는 출발지 IP 주소는,
(1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
(2) 로그인 서버에 로그인을 완료한 패킷,
(3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
(4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소인,
DDoS 공격 탐지 및 방어 방법.DDoS attack detection and defense method,
extracting the source IP address from at least some of the user's packets sent to the login server and sending it to the firewall server;
In the firewall server, extracting the source IP address from the packet sent to the service server;
If the source IP address extracted from the user's packet sent to the service server is not in the list of source IP addresses transmitted to the firewall server, determining that the user's traffic sent to the service server is abnormal traffic;
Determining whether a DDoS attack is based on at least the amount of abnormal traffic,
The source IP address transmitted to the firewall server is,
(1) packets with TCP 3-way hand shaking connected to the login server;
(2) A packet that has completed logging in to the login server;
(3) In the user's packet sent to the login server, the data corresponding to the ID and password is a combination of at least two of text, number, and symbol;
(4) the source IP address of the packet that the user's packet sent to the login server satisfies at least one of the packets conforming to the communication protocol for communication to the login server;
How to detect and defend against DDoS attacks. 제12항에 있어서, 상기 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 있으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는 단계를 더 포함하는,
DDoS 공격 탐지 및 방어 방법.13. The method of claim 12, further comprising: if the extracted source IP address is in the list of source IP addresses transmitted to the firewall server, determining that the user's traffic sent to the service server is normal traffic,
How to detect and defend against DDoS attacks. 삭제delete 삭제delete 제12항에 있어서,
상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고,
상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가,
(i) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
(ii) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷,
(iii) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
(iv) 로그인 서버에 로그인을 완료한 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함하는,
DDoS 공격 탐지 및 방어 방법.13. The method of claim 12,
The login server transmits login attempt pattern information along with the source IP address to the firewall server,
The login attempt pattern information includes a source IP address transmitted to the firewall server,
(i) packets with TCP 3-way hand shaking connected to the login server;
(ii) the user's packet sent to the login server follows the communication protocol for communication to the login server;
(iii) a packet in which the data corresponding to the ID and password in the user's packet sent to the login server is a combination of at least two of text, number, and symbol;
(iv) including information on the source IP address of a packet that satisfies which packet among the packets that log in to the login server is completed;
How to detect and defend against DDoS attacks. 제16항에 있어서,
상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트인,
DDoS 공격 탐지 및 방어 방법.17. The method of claim 16,
The list of source IP addresses transmitted from the login server is a list of source IP addresses corresponding to the login attempt pattern selected by the administrator,
How to detect and defend against DDoS attacks. 제12항에 있어서,
시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단하는,
DDoS 공격 탐지 및 방어 방법.

13. The method of claim 12,
If the amount of abnormal traffic per hour exceeds a predetermined threshold, it is determined as a DDoS attack.
How to detect and defend against DDoS attacks.
KR1020210081336A 2021-06-23 2021-06-23 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF KR102401661B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210081336A KR102401661B1 (en) 2021-06-23 2021-06-23 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF
KR1020220032310A KR102545705B1 (en) 2021-06-23 2022-03-15 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210081336A KR102401661B1 (en) 2021-06-23 2021-06-23 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020220032310A Division KR102545705B1 (en) 2021-06-23 2022-03-15 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Publications (1)

Publication Number Publication Date
KR102401661B1 true KR102401661B1 (en) 2022-05-24

Family

ID=81808083

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210081336A KR102401661B1 (en) 2021-06-23 2021-06-23 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF
KR1020220032310A KR102545705B1 (en) 2021-06-23 2022-03-15 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020220032310A KR102545705B1 (en) 2021-06-23 2022-03-15 SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Country Status (1)

Country Link
KR (2) KR102401661B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100121547A (en) 2008-04-30 2010-11-17 쩌지앙 메인룩스 라이팅 씨오., 엘티디. White light led and lamp of the white light led
KR20110028106A (en) * 2009-09-11 2011-03-17 한국전자통신연구원 Apparatus for controlling distribute denial of service attack traffic based on source ip history and method thereof
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id
KR20190083498A (en) * 2018-01-04 2019-07-12 주식회사 뉴텍코리아 packet filtering system for preventing DDoS attack

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100121547A (en) 2008-04-30 2010-11-17 쩌지앙 메인룩스 라이팅 씨오., 엘티디. White light led and lamp of the white light led
KR20110028106A (en) * 2009-09-11 2011-03-17 한국전자통신연구원 Apparatus for controlling distribute denial of service attack traffic based on source ip history and method thereof
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id
KR20190083498A (en) * 2018-01-04 2019-07-12 주식회사 뉴텍코리아 packet filtering system for preventing DDoS attack

Also Published As

Publication number Publication date
KR102545705B1 (en) 2023-06-20
KR20220170738A (en) 2022-12-30

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
EP1817685B1 (en) Intrusion detection in a data center environment
US7237264B1 (en) System and method for preventing network misuse
US8490190B1 (en) Use of interactive messaging channels to verify endpoints
US20040073800A1 (en) Adaptive intrusion detection system
US7934254B2 (en) Method and apparatus for providing network and computer system security
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer&#39;s access to the network
KR20140022975A (en) Apparatus and method for controlling traffic based on captcha
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
KR102401661B1 (en) SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF
KR20090113745A (en) Cyber attack traceback system by using spy-bot agent, and method thereof
Kamal et al. Analysis of network communication attacks
US11451584B2 (en) Detecting a remote exploitation attack
Fleming et al. Network intrusion and detection: An evaluation of snort
KR20080035724A (en) Method and apparatus for detecting and blocking network attack without attack signature
Gheorghe et al. Attack evaluation and mitigation framework
US20080320593A1 (en) Method, System and Computer Readable Medium For Intrusion Control
Bhakthavatsalam et al. Prevention of a SYNflood attack using ExtremeXOS modular operating system
CN115277173A (en) Network security monitoring management system and method
CN115208596A (en) Network intrusion prevention method, device and storage medium
Schultz Demystifying intrusion detection: sorting through the confusion, hyperbole and misconceptions
Palani et al. Network security testing using discovery rechniques
Zainal Abidin Study on Intrusion Detection System for a Campus Network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant