KR102536957B1 - System and Method for Detecting Attacker Packet for IP Traceback Analysing - Google Patents

System and Method for Detecting Attacker Packet for IP Traceback Analysing Download PDF

Info

Publication number
KR102536957B1
KR102536957B1 KR1020210012411A KR20210012411A KR102536957B1 KR 102536957 B1 KR102536957 B1 KR 102536957B1 KR 1020210012411 A KR1020210012411 A KR 1020210012411A KR 20210012411 A KR20210012411 A KR 20210012411A KR 102536957 B1 KR102536957 B1 KR 102536957B1
Authority
KR
South Korea
Prior art keywords
packet
client
server
fingerprint
incoming
Prior art date
Application number
KR1020210012411A
Other languages
Korean (ko)
Other versions
KR20220109125A (en
Inventor
전광길
Original Assignee
인천대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인천대학교 산학협력단 filed Critical 인천대학교 산학협력단
Priority to KR1020210012411A priority Critical patent/KR102536957B1/en
Publication of KR20220109125A publication Critical patent/KR20220109125A/en
Application granted granted Critical
Publication of KR102536957B1 publication Critical patent/KR102536957B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법은 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 효과가 있다.A system and method for detecting attack packets through IP traceback analysis apply a client puzzle to an input router, use a path fingerprint scheme for an output router, and introduce a quantum annealing technology on the server side to introduce malicious packets into the network in a hybrid manner. It has the effect of minimizing the DDoS attack by reducing the amount of

Figure R1020210012411
Figure R1020210012411

Description

IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법{System and Method for Detecting Attacker Packet for IP Traceback Analysing}System and method for detecting attack packets through IP traceback analysis {System and Method for Detecting Attacker Packet for IP Traceback Analysing}

본 발명은 공격 패킷 감지 시스템에 관한 것으로서, 더욱 상세하게는 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법에 관한 것이다.The present invention relates to a system for detecting attack packets, and more particularly, by applying a client puzzle to an input router, using a route fingerprint system for an output router, and introducing a quantum annealing technology on the server side to detect packets flowing into a network in a hybrid manner. A system and method for detecting attack packets through IP traceback analysis that minimizes DDos attacks by reducing the amount of malicious packets.

분산 서비스 거부 공격은 오늘날 인터넷에서 가장 어려운 보안 문제 중 하나이다. 현재 DDos 공격에 대한 보호 메카니즘인 공격 트래픽은 피해자 측에서 필터링된다.Distributed denial of service attacks are one of the most difficult security problems on the Internet today. Attack traffic, which is currently a protection mechanism against DDoS attacks, is filtered on the victim's side.

공격자는 공격 트래픽이 피해자에 의해 필터링되는지 여부에 관계없이 피해자의 대역폭에 대한 액세스를 차단하는 목표를 달성할 수 있다.An attacker can achieve his goal of blocking access to the victim's bandwidth whether or not the attack traffic is filtered by the victim.

피해자가 공격을 인식하면, 피해자는 라우터를 시작하여 공격자가 보낸 적절한 수의 공격 패킷을 수집하고, 이들을 검사 데이터로 수집하여 공격 차단 방법을 강구하게 된다.When the victim recognizes the attack, the victim starts the router to collect the appropriate number of attack packets sent by the attacker, collects them as inspection data, and devises a method to block the attack.

그러나 DDos 공격은 너무 많은 트래픽으로 피해자를 압도하고, 소스 IP 주소가 부정확하고 지속적으로 무작위 가능성이 있는 경우, 악성 요청을 차단하는 것이 번거롭거나 어려운 문제점이 있다.However, DDoS attacks can be cumbersome or difficult to block malicious requests if they overwhelm the victim with too much traffic, and if the source IP address is inaccurate and constantly random.

한국 등록특허번호 제10-0858271호Korean Registered Patent No. 10-0858271

이와 같은 문제점을 해결하기 위하여, 본 발명은 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법을 제공하는데 그 목적이 있다.In order to solve this problem, the present invention applies the client puzzle to the input router, uses the route fingerprint system to the output router, and introduces quantum annealing technology to the server side to increase the amount of malicious packets entering the network in a hybrid manner. The purpose of the present invention is to provide an attack packet detection system and method through IP traceback analysis that minimizes DDos attacks by reducing DDoS attacks.

상기 목적을 달성하기 위한 본 발명의 특징에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템은,An attack packet detection system through IP traceback analysis according to the features of the present invention for achieving the above object,

인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 입력 라우터; 및an input router that sets a client puzzle composed of authentication sections to the client; and

상기 클라이언트의 IP 주소와 해당 경로 지문을 매핑 테이블에 저장하고, 유입되는 패킷과 동일한 데이터가 상기 매핑 테이블에 포함되는 경우, 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 서버를 포함하고, 상기 클라이언트는 상기 입력 라우터와 연동하여 상기 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷이 상기 서버로 전달된다.The client's IP address and corresponding route fingerprint are stored in a mapping table, and if the same data as an incoming packet is included in the mapping table, a quantum annealing process is performed on the incoming packet, and the quantum annealed packet is converted into malicious and a server that determines the packet as a packet and deletes it from the mapping table, and the client interworks with the input router to deliver the packet to be transmitted to the server when the client puzzle is solved.

클라이언트는 상기 클라이언트 퍼즐을 해결한 후, 상기 클라이언트 퍼즐에 대한 해답을 생성하여 상기 입력 라우터를 통해 상기 서버로 전송하고,After the client solves the client puzzle, a solution to the client puzzle is generated and transmitted to the server through the input router;

상기 입력 라우터는 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하며,The input router transmits the packet to the server if the client puzzle is solved according to the solution, and deletes the packet if the client puzzle is not solved;

상기 서버는 타임스탬프를 사용하여 임시 테이블에 상기 해답을 관련 임시값으로 기록하고, 상기 관련 임시값과 상기 클라이언트의 배열에 대한 해시를 표시한다.The server records the answer as an associated temp in a temp table using a timestamp, and displays a hash of the relative temp and the client's arrangement.

본 발명은 입력 라우터로부터 패킷을 수신하고, 상기 패킷의 헤더에 고유한 경로 지문을 포함시키고, 상기 패킷을 상기 서버로 전송하는 출력 라우터를 더 포함한다.The present invention further includes an output router that receives a packet from an input router, includes a unique route fingerprint in a header of the packet, and transmits the packet to the server.

출력 라우터는 상기 클라이언트에 의해 송신되는 유입 IP 패킷 R에서 거리 표시 필드(R.dist)와 경로 표시 필드(R.pid)로 이루어진 상기 경로 지문을 생성하고, 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 상기 R.dist의 값으로 계산하고, 해시 작업을 수행하는 H(R,pid, Ni)가 상기 R.pid의 값으로 계산하여 상기 유입 IP 패킷 R을 각 홉(hop)마다 업데이트하고, 상기 Ni는 유입 인터페이스인 상기 R과 관련된 랜덤 번호일 수 있다.The output router generates the route fingerprint consisting of a distance indication field (R.dist) and a route indication field (R.pid) in the incoming IP packet R transmitted by the client, and initializes the value of R.dist to 0. and R.dist + 1 is calculated as the value of R.dist, and H(R,pid, Ni) performing the hash operation is calculated as the value of R.pid to transfer the incoming IP packet R to each hop ( hop), and the Ni may be a random number related to the R, an ingress interface.

본 발명의 특징에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법은,A method for detecting attack packets through IP traceback analysis according to the features of the present invention,

입력 라우터에서 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 단계;setting a client puzzle consisting of authentication sections in an input router;

상기 입력 라우터는 상기 클라이언트로부터 상기 클라이언트 퍼즐을 해결한 해답을 수신하고, 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하는 단계;The input router receives a solution for solving the client puzzle from the client, and if the client puzzle is solved according to the solution, transmits the packet to the server, and deletes the packet if the client puzzle is not solved. doing;

상기 입력 라우터에 연결된 출력 라우터는 상기 입력 라우터로부터 패킷을 수신하고, 상기 수신한 패킷의 헤더에 고유한 경로 지문을 포함시키는 단계;receiving a packet from the input router by an output router connected to the input router, and including a unique path fingerprint in a header of the received packet;

서버에서 유입되는 패킷의 경로 지문과 동일한 데이터가 매핑 테이블에 존재하는지 비교하여 상기 경로 지문이 상기 매핑 테이블에 존재하는 경우 합법적인 패킷으로 판단하는 단계; 및comparing data identical to the route fingerprint of the incoming packet from the server in the mapping table, and determining that the packet is valid if the route fingerprint exists in the mapping table; and

상기 서버는 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 단계를 포함한다.The server performs a quantum annealing process on the incoming packet, determines the quantum annealed packet as a malicious packet, and deletes it from the mapping table.

전술한 구성에 의하여, 본 발명은 하이브리드 방식을 적용하여 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하고, 네트워크 성능을 높이며, 네트워크 대역폭을 증가시키는 효과가 있다.According to the configuration described above, the present invention has the effect of minimizing the DDoS attack by reducing the amount of malicious packets flowing into the network by applying the hybrid method, increasing network performance, and increasing network bandwidth.

본 발명은 DDos 공격을 인식하고 완화할 수 있는 최적의 효율성을 제공할 수 있는 효과가 있다.The present invention has an effect of providing optimal efficiency capable of recognizing and mitigating a DDoS attack.

도 1은 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 IP 역추적의 수학적 모델을 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 경로 지문의 일례를 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법을 설명하기 위한 도면이다.1 is a diagram showing the configuration of an attack packet detection system through IP backtracking analysis according to an embodiment of the present invention.
2 is a diagram showing a mathematical model of IP backtracking according to an embodiment of the present invention.
3 is a diagram showing an example of a route fingerprint according to an embodiment of the present invention.
4 is a diagram for explaining a method of detecting an attack packet through IP backtracking analysis according to an embodiment of the present invention.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain component is said to "include", it means that it may further include other components without excluding other components unless otherwise stated.

도 1은 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명의 실시예에 따른 IP 역추적의 수학적 모델을 나타낸 도면이고, 도 3은 본 발명의 실시예에 따른 경로 지문의 일례를 나타낸 도면이다.1 is a diagram showing the configuration of an attack packet detection system through IP backtracking analysis according to an embodiment of the present invention, FIG. 2 is a diagram showing a mathematical model of IP backtracking according to an embodiment of the present invention, and FIG. is a diagram showing an example of a route fingerprint according to an embodiment of the present invention.

본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템(100)은 클라이언트(110), 입력 라우터(120), 출력 라우터(130) 및 서버(140)를 포함한다.An attack packet detection system 100 through IP traceback analysis according to an embodiment of the present invention includes a client 110, an input router 120, an output router 130, and a server 140.

입력 라우터(120)는 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트(110)에 설정한다.The input router 120 sets a client puzzle composed of authentication sections to the client 110 .

클라이언트(110)는 입력 라우터(120)와 연동하여 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷이 서버(140)로 전송할 수 있다,The client 110 can transmit a packet to be transmitted to the server 140 when the client puzzle is solved in association with the input router 120.

서버(140)는 클라이언트(110)의 IP 주소와 해당 경로 지문이 포함된 매핑 테이블을 저장하고, 유입되는 패킷과 동일한 데이터가 매핑 테이블에 포함되는 경우, 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 양자 어닐링된 패킷을 악성 패킷으로 판단하여 매핑 테이블에서 삭제한다.The server 140 stores a mapping table including the IP address of the client 110 and the corresponding route fingerprint, and if the same data as the incoming packet is included in the mapping table, performs a quantum annealing process on the incoming packet, The quantum annealed packet is determined as a malicious packet and deleted from the mapping table.

출력 라우터(130)는 입력 라우터(120)로부터 패킷을 수신하고, 패킷의 헤더에 고유한 경로 지문을 포함시키고, 패킷을 서버(140)로 전송한다.Output router 130 receives a packet from input router 120, includes a unique route fingerprint in the header of the packet, and forwards the packet to server 140.

본 발명은 ICMP 기반 패킹 로깅(Packet Logging)이 경로 지문(Path Finger Print)과 통합하여 적은 오버헤드로 최상의 패킷 로깅을 달성하는 트레이스 백 접근 방식을 제공한다. 즉, 적은 수의 공격 패킷은 클라이언트 퍼즐이 입력측에 통합되어 있기 때문에 트레이스 백 프로세스에서 약간의 노력과 패킷 로깅 목적으로 중간 라우터에 할당되는 소량의 리소스만 필요하다.The present invention provides a traceback approach in which ICMP-based Packet Logging is integrated with Path Finger Print to achieve the best packet logging with low overhead. That is, a small number of attack packets require little effort in the traceback process and a small amount of resources allocated to intermediate routers for packet logging purposes, since the client puzzle is integrated on the input side.

본 발명은 최적화 기법을 기초로 한 양자 어닐링(Quantum Annealing) 방식을 사용한다. 그 이유는 다변수 개선 문제가 설계를 특징짓는 자율적 요소의 전체 배열과 많은 자유 요소의 용량(비용 작업이라함)에 대한 가장 극단적이고 최소 추정을 찾는 것으로 구성되어 있기 때문이다.The present invention uses a quantum annealing method based on an optimization technique. The reason is that multivariate improvement problems consist of finding the most extreme and minimum estimates for the total array of autonomous elements that characterize the design and for the capacity of many free elements (referred to as the cost task).

비용 작업은 설정에 의존하고, 비용 작업을 제한하거나 확장하는 이상적인 설정을 찾아야 한다.Cost tasks depend on the setup, and you need to find the ideal setup that limits or expands the cost tasks.

본 발명의 역추적은 최적화를 위한 더 좋은 방법이 되기 위해 자체 양자 어닐링의 다중 경로 구성을 정의하는 복수의 라우터 요소가 있다.Backtracking of the present invention has multiple router elements that define the multi-path configuration of self-quantum annealing to be a better method for optimization.

본 발명은 경로 지문을 기반으로 한 추적 모델을 제공한다.The present invention provides a tracking model based on route fingerprint.

본 발명은 완전한 공격 방식을 개발하는데 필요한 패킷의 양과 저장 필요성까지 평가되고, 제안된 계획을 평가하기 위한 새로운 실행 측정이 특징이다.The present invention features a novel performance measure for evaluating proposed schemes, where the amount of packets needed to develop a complete attack scheme and even storage needs are evaluated.

(1) 역추적 모델(Traceback Model)(1) Traceback Model

역추적은 클라이언트 혼동과 고유한 핑거 흔적으로 두 가지 기본 부분으로 구성된다.Backtracking consists of two basic parts: client confusion and unique finger trails.

d개의 개별 라우터 간에는 침입자와 피해자 사이에 직접적인 경로가 있다고 가정한다.Assume that there is a direct path between the intruder and the victim between d individual routers.

Ri 라우터는 패킷을 표시하고, 다른 라우터가 라벨이 지정된 패킷을 다시 사용하지 않을 가능성을 계산한다.The Ri router marks the packet and calculates the probability that another router will not use the labeled packet again.

도 2에 도시된 바와 같이, R1 라우터는 하나의 패킷에 표시하면, 다른 라우터에 의해 표시되지 않을 확률은

Figure 112021011575860-pat00001
이다.As shown in Figure 2, if the R1 router marks one packet, the probability that it is not marked by another router is
Figure 112021011575860-pat00001
am.

해시값은 8개의 개별 조각으로 나누고, 그 중 하나를 무작위로 전송한다.The hash value is divided into 8 separate pieces, and one of them is sent randomly.

따라서, 마킹된 패킷의 생성 확률은 P/8이다. 하나의 표시가 생성되고, 다른 라우터가 표시를 사용하지 않을 확률(

Figure 112021011575860-pat00002
)은 다음의 수학식 1과 같다.Therefore, the probability of generating a marked packet is P/8. Probability that one indication is generated and no other router uses the indication (
Figure 112021011575860-pat00002
) is equal to the following Equation 1.

Figure 112021011575860-pat00003
Figure 112021011575860-pat00003

2개 이상의 표시된 패킷이 8개의 개별 조각의 세트로 에지(ei)에 도착할 확률(Pr(ei))은 다음의 수학식 2와 같다.The probability (Pr(ei)) that two or more marked packets arrive at the edge (ei) as a set of eight individual pieces is:

Figure 112021011575860-pat00004
Figure 112021011575860-pat00004

여기서, N은 패킷의 개수,

Figure 112021011575860-pat00005
은 하나의 표시된 패킷의 도착 확률,
Figure 112021011575860-pat00006
은 표시된 패킷이 수집기에 도달하지 않을 확률이다.where N is the number of packets,
Figure 112021011575860-pat00005
is the arrival probability of one marked packet,
Figure 112021011575860-pat00006
is the probability that the marked packet will not reach the collector.

1에서 두 값을 빼면, 두 개 이상의 표시된 패킷이 수집기에 도착할 확률을 계산할 수 있다.By subtracting both values from 1, we can calculate the probability that two or more marked packets will arrive at the collector.

역추적(Traceback)을 위해 필요한 8개의 세그먼트가 필요하기 때문에 8번의 전력을 상승시킨다. 예를 들어, 각 공격자가 초당 25개의 패킷을 전송한다고 가정한다. 그런 다음, 역추적 시간은 A1, A2, A3, A4에 대해 발견 확률이 95%에 도달하는데 65초가 걸린다.Because 8 segments are required for traceback, power up 8 times. For example, suppose each attacker sends 25 packets per second. Then, the backtracking time takes 65 seconds for the detection probability to reach 95% for A1, A2, A3, and A4.

(2) 입력 필터링을 위한 클라이언트 퍼즐(Client Puzzle)(2) Client Puzzle for input filtering

라우터가 입력을 통해 전달되는 잘못된 IP 소스 주소 또는 위조된 IP 소스 주소로 인해 발생하는 문제를 줄이기 위해 유니캐스트 역방향 경로 전달(Unicast Reverse Path Forwarding, RPF) 기능을 제공한다.To mitigate problems caused by incorrect or forged IP source addresses being passed through routers as inputs, a Unicast Reverse Path Forwarding (RPF) feature is provided.

입력 필터링의 개념은 클라이언트 인터페이스에서 유니캐스트 RPF가 활성화되면, 입력 라우터(120)가 입력으로 수신된 모든 패킷을 확인하여 클라이언트(110) 및 클라이언트 인터페이스가 라우팅 테이블에 표시하고, 수신된 인터페이스와 일치하는지 확인한다.The concept of input filtering is that when unicast RPF is activated on a client interface, the input router 120 checks all packets received as input, displays the client 110 and the client interface in the routing table, and checks whether they match the received interface. Check.

유니캐스트 RPF는 라우터 인터페이스에서 수신된 패킷이 최상의 반환 경로 중 하나에 있는 패킷의 소스에 도달하는지 확인한다.Unicast RPF ensures that packets received on a router interface reach the packet's source on one of the best return paths.

패킷이 최상의 역방향 경로 중 하나에서 수신되면, 평소와 같이 패킷을 서버(140)로 전송한다. 동일한 인터페이스 상에서 패킷이 수신되면, 역방향 경로에 라우터가 없는 경우, 클라이언트 주소를 변경하거나 위조할 수 있다.When a packet is received on one of the best reverse paths, it forwards the packet to server 140 as usual. If a packet is received on the same interface, the client address can be changed or forged if there is no router on the reverse path.

유니캐스트 RPF가 역방향 경로를 찾지 못하면 패킷이 삭제된다.If unicast RPF cannot find a reverse path, the packet is dropped.

본 발명은 입력 필터링 옵션을 개선하기 위하여 입력 라우터(120)에 클라이언트 퍼즐 개념을 도입하였다.The present invention introduces the client puzzle concept to the input router 120 to improve input filtering options.

클라이언트 퍼즐은 전략에 따라 입력 라우터(120) 또는 입력 스위치로 전송될 수 있다.Client puzzles can be sent to either the input router 120 or the input switch depending on the strategy.

클라이언트(110)가 패킷을 전송할 때, 쿠키가 연결되고, 타임스탬프(Timestamp)가 표시된다.When the client 110 transmits a packet, a cookie is connected and a timestamp is displayed.

서버(140)는 퍼즐, 서버 임시값, 생존하는 퍼즐 시간 및 스트림 식별자에 가까운 퍼즐과 해답을 제공한다.Server 140 provides puzzles and solutions that approximate the puzzle, the server temp, the surviving puzzle time, and the stream identifier.

그런 다음, 서버(140)는 퍼즐과 해당 매개변수, 플로우 식별자, 서버 시간, 퍼즐의 성숙도 및 경과 시간을 클라이언트(110), 서버(140) 및 클라이언트 쿠키로 다시 보낸다.Server 140 then sends the puzzle and its parameters, flow identifier, server time, puzzle maturity and elapsed time back to client 110, server 140, and client cookie.

클라이언트(110)는 퍼즐 후에 계약을 찾고 서버(140)의 진단에 응답한다. 이러한 메시지를 받은 서버(140)는 서버 타임스탬프를 사용하여 서버(140)의 임시 테이블에 기록하고, 임시 테이블에 기록이 완료되지 않았는지 판단하고, 해시를 검색하여 클라이언트(110)가 보낸 것과 구분하여 응답을 확인한다.Client 110 finds the contract after the puzzle and responds to server 140's diagnosis. The server 140 receiving this message uses the server timestamp to record it in the temporary table of the server 140, determines whether the writing in the temporary table has not been completed, and searches the hash to distinguish it from the one sent by the client 110. to check the response.

올바른 해답이 주어지면, 서버(140)는 패킷을 수락한다. 해시 반전 퍼즐은 고객에게 해답이 어디에 있는지에 대한 아이디어를 제공하는 표시를 포함하여 고객이 단독 해시 반전과 혼동되는 세분화된 퍼즐을 전달하는데 사용된다.Given a correct answer, server 140 accepts the packet. Hash Reversal Puzzles are used to convey granular puzzles that customers confuse with single hash reversals, including indications to give customers an idea of where the answer lies.

퍼즐의 난이도를 변경하기 위해서는 단서(힌트)의 정확도를 높이거나 낮출 수 있다.In order to change the difficulty of the puzzle, the accuracy of the clue (hint) can be increased or decreased.

퍼즐은 요새(Bastion)라는 인증 섹션으로 구성된다.The puzzle consists of an authentication section called the Bastion.

임의로 생성된 숫자 "x"가 해시 h(x) 입력으로 사용된다고 가정한다.Suppose a randomly generated number "x" is used as hash h(x) input.

O(D)로 퍼즐을 만들기 위해서는 보증인이 해시와 h(x) 및 you(0,D)를 고객으로 전달한다.To make the puzzle O(D), the guarantor passes the hash and h(x) and you(0,D) to the customer.

you(0,D)은 항상 임의로 선택된 숫자를 0와 D의 주위에 순환시킨다. 입력 라우터(120)에서 클라이언트 퍼즐 개념이 배포되어 네트워크 트래픽이 감소한다.you(0,D) always cycles a randomly chosen number around 0 and D. At the input router 120, the client puzzle concept is distributed to reduce network traffic.

클라이언트(110)는 클라이언트 퍼즐을 해결한 후, 클라이언트 퍼즐에 대한 해답을 생성하여 입력 라우터(120)를 통해 서버(140)로 전송한다.After the client 110 solves the client puzzle, the solution to the client puzzle is generated and transmitted to the server 140 through the input router 120 .

x값은 퍼즐이 풀렸는지 안풀렸는지 여부에 따라 구해진다. 입력 라우터(120)는 클라이언트 퍼즐이 해결되면, 패킷 전송 요청이 서버(140)로 전달되고, 그렇지 않으면, 악의적인 것으로 간주되어 패킷이 삭제된다.The value of x is calculated depending on whether the puzzle was solved or not. The input router 120 forwards the packet forwarding request to the server 140 if the client puzzle is solved, otherwise it is deemed malicious and the packet is dropped.

클라이언트(110)는 퍼즐과 관련된 서버 쿠키에 해답을 제출해야 한다. 정확히 말하면, 서버(140)는 타임스탬프를 사용하여 임시 테이블에 해답을 관련 임시값으로 기록하고, 관련 임시값(Nonce)과 클라이언트(110)의 배열에 대한 해시를 표시하고, 서버 쿠키가 더 쉽게 만들어졌는지 확인한다.Client 110 must submit the answer to the server cookie associated with the puzzle. To be precise, the server 140 uses the timestamp to record the answer in a temp table with an associated nonce, and displays a hash of the associated nonce and an array of clients 110, making server cookies easier. make sure it's made

퍼즐을 이해하는 클라이언트(110)는 서버(140)에 대한 최상의 접근을 허용하고, 퍼즐을 이해하지 못하는 클라이언트(110)는 악성으로 간주하여 패킷을 폐기한다.A client 110 that understands the puzzle is granted best access to the server 140, and a client 110 that does not understand the puzzle considers it malicious and discards the packet.

(3) 출력 필터링을 위한 경로 지문(Path Fingerprint)(3) Path Fingerprint for Output Filtering

클라이언트 시스템에서는 인터넷에서 허용되는 활동을 제어하기 위해 인바운드 액세스 원칙을 만드는 것이 표준이다.On client systems, it is standard to create inbound access principles to control what activities are allowed on the Internet.

클라이언트 시스템에서는 할당된 IP 주소 공간만으로 패킷이 나가도록 하는 방법 중에 클라이언트 출발 스위치에 아웃 바운드 채널을 설정하는 방법이 있다.In the client system, there is a method of setting an outbound channel in the client originating switch as a way to send out packets only through the allocated IP address space.

본 발명은 출력 라우터(130)를 위한 아웃바운드 필터링 옵션을 제공한다.The present invention provides outbound filtering options for the output router (130).

경로 지문은 서버(140)에 도달해야 하는 출력 라우터(130) 상에 위치한다.The route fingerprint is located on the output router 130 that must reach the server 140.

각 IP 패킷은 비정상적으로 고유한 경로 지문을 IP 패킷에 포함시키고, 가짜 지문 IP 패킷은 악성 패킷으로 간주된다.Each IP packet abnormally contains a unique path fingerprint into the IP packet, and the fake fingerprint IP packet is considered malicious.

IP 패킷의 탐색에서 고유한 지문을 생성하기 위해서는 각 참여 스위치가 각 프레임 인터페이스에 n 비트 자체 보증 번호를 할당하고, 이러한 번호를 안전하게 유지한다.To generate a unique fingerprint in the discovery of IP packets, each participating switch assigns an n-bit self-guaranteed number to each frame interface and keeps these numbers secure.

IP 패킷을 표시하는 고유한 방법은 d 비트 제거 필드(교차 전환 스위치 수량)와 n 비트 구별 증명 필드(탐색된 시스템 데이터와 불규칙한 숫자에서 얻은 식별자)의 2개의 필드로 구성된다.The unique method of marking an IP packet consists of two fields: a d-bit removal field (the number of cross-transfer switches) and an n-bit proof of distinction field (an identifier obtained from searched system data and an irregular number).

IP 패킷의 고유한 표시는 IP 패킷의 헤더에 배치되어 패킷 옆의 대상으로 전달된다. IP 패킷의 고유한 지문은 IP 패킷이 헤더에 배치되고, 패킷과 함께 대상으로 전달된다.A unique indication of an IP packet is placed in the header of the IP packet and passed to the destination next to the packet. The unique fingerprint of an IP packet is placed in the header of the IP packet and delivered to the destination along with the packet.

출력 라우터(130)가 IP 패킷을 수신하면, 먼저 파티션 필드를 검사한다. respect가 0이면, Tolerant 라우터는 대기하고, 패킷 수신 경험이 있는 Intrigue 라우터로 대체된다.When the output router 130 receives an IP packet, it first examines the partition field. If respect is 0, the Tolerant router will stand by and fall back to an Intrigue router that has experience in receiving packets.

Tolerant 라우터는 분리 필드를 1로 설정하고, ID 필드를 패킷 인터페이스 이동에 연결된 자체 보증 번호로 지운다.Tolerant routers set the Detach field to 1 and clear the ID field to the self-assured number associated with the packet interface move.

분리 필드가 0이 아닌 고려 사항(Consideration)으로 시작하는 경우, 1만큼 확장되고, 인식 가능한 증거 필드를 H(PID, Ni)로 재설계한다. 여기서, PID는 패킷의 경로 표시 필드에 대한 현재 추정치를 나타내고, Ni는 반대로 접근하는 약한 충격의 임의의 개수를 의미한다.If the Separation field starts with a non-zero Consideration, it is extended by 1, and redesigns the recognizable evidence field to H(PID, Ni). Here, PID represents a current estimate of the path indication field of the packet, and Ni represents an arbitrary number of weak impacts approaching in reverse.

본 발명에서 사용한 이상적인 지문 크기는 no of hop이 3비트와, pid가 6비트이다.The ideal fingerprint size used in the present invention is 3 bits for no of hop and 6 bits for pid.

각 IP 헤더는 경로 지문을 제거할 수 있는 공간이 있는 16비트 증명 필드가 있다. 이러한 16비트는 2개의 필드로 나누어진다.Each IP header has a 16-bit proof field with space to remove the route fingerprint. These 16 bits are divided into two fields.

하나는 5비트로 별도의 추정치를 저장하는데 사용되고, 나머지 비트는 PID 고려 사항(Consideration)을 저장하는데 사용된다.One is used to store a separate estimate with 5 bits, and the remaining bits are used to store PID considerations.

주 라우터 R1은 분리 필드를 1로 설정하고, 기본 PID를 이동 인터페이스의 임의의 숫자, 즉, N1으로 설정한다.Primary router R1 sets the detach field to 1, and sets the primary PID to an arbitrary number on the mobile interface, i.e., N1.

각 라우터는 분리 필드를 증가시키고, PID 필드를 업데이트한다. 이와 같이, 과거 PID 고려 사항(Consideration)과 현재 접근하는 인터페이스의 불규칙 숫자에서 알 수 있다. H는 해시 작업을 수행함을 나타낸다.Each router increments the Separation field and updates the PID field. As such, it can be seen from the past PID considerations and the irregular number of currently accessed interfaces. H indicates that a hash operation is performed.

R은 클라이언트(110)에 의해 송신되는 유입 IP 패킷이다.R is the incoming IP packet sent by client 110.

도 3에 도시된 바와 같이, R.dist와 R.pid는 각각 패킷 R에서 거리 표시 필드와 경로 표시 필드를 나타낸다. Ni는 유입 인터페이스인 R과 관련된 랜덤 번호이다.As shown in FIG. 3, R.dist and R.pid indicate a distance indication field and a route indication field in packet R, respectively. Ni is a random number associated with R, the incoming interface.

출력 라우터(130)에서 유입 패킷 R을 업데이트하는 방법은 다음과 같다.The method of updating the incoming packet R at the output router 130 is as follows.

출력 라우터(130)는 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 R.dist의 값으로 계산하고, H(R,pid, Ni)이 R.pid의 값으로 계산된다.The output router 130 initially initializes the value of R.dist to 0, calculates R.dist + 1 as the value of R.dist, and calculates H(R,pid, Ni) as the value of R.pid .

경로 지문을 생성하는 과정은 다음의 알고리즘 1과 같다.The process of generating the route fingerprint is the same as Algorithm 1 below.

Figure 112021011575860-pat00007
Figure 112021011575860-pat00007

(4) 경로 전달 테이블 업데이트(4) Update route forwarding table

본 발명은 SIPF(Source Initiated Path Forwarding) 방법을 구현한다. IP 패킷 소스는 먼저 SIPF 테이블을 업데이트하고, 이는 경로의 다음 라우터로 전달된다.The present invention implements a Source Initiated Path Forwarding (SIPF) method. The IP packet source first updates the SIPF table, which is forwarded to the next router in the path.

SIPF 테이블은 악성 패킷을 식별하고 처리하는데 사용된다. SIPF 테이블은 특히, IP, Pid, Counter의 3개 필드가 포함되어 있다.The SIPF table is used to identify and process malicious packets. In particular, the SIPF table includes three fields: IP, Pid, and Counter.

여기서, IP는 서로 다른 클라이언트(소스)(110)의 IP 주소이고, Pid는 지문의 고유한 표시이고, 카운터는 서버(140)에서 사라지는 특정한 클라이언트(110)의 번호를 나타낸다.Here, IP is the IP address of different clients (sources) 110, Pid is a unique mark of the fingerprint, and the counter represents the number of a particular client 110 that disappears from the server 140.

동적 제어(라우팅)로 인해 웹의 토폴로지 또는 웹 방식이 변경되면, SIPF 테이블이 생성되고, 해당 항목이 업그레이드된다.When the web topology or web method changes due to dynamic control (routing), a SIPF table is created and the corresponding item is upgraded.

카운터 값은 SIPF를 저장하는데 사용할 수 있는 데이터베이스를 기반으로 확장(또는 축소)할 수 있다.The counter value can be expanded (or contracted) based on a database that can be used to store the SIPF.

목적지가 또 다른 IP 주소에서 IP 패킷을 수신하면, 테이블을 다른 세그먼트에 추가할 수 있다.If the destination receives an IP packet from another IP address, the table can be added to another segment.

따라서, SIPF는 적당한 비율의 제한만 필요하고, 이상적인 개방 진입을 감소시킨다고 할 수 있다.Therefore, it can be said that SIPF requires only a moderate proportion of confinement and reduces the ideal open entry.

ICMP ECHO 요청 메시지는 명시적 IP 소스 주소의 트랙 지문을 명확하게 검사한다. 목적지는 SIPF 테이블에 다른 IP 주소를 입력하기 전에 ICMP ECHO 요청을 클라이언트(110)의 IP 주소로 보내야 한다. 한편, 반환된 ICMP ECHO 응답 메시지에서 사용할 수 있는 예외적인 검사는 해당 IP 주소에 대한 미래 지향적인 인상으로 모니터링한다.The ICMP ECHO request message explicitly checks the track fingerprint of the explicit IP source address. The destination must send an ICMP ECHO request to the IP address of the client 110 before entering another IP address into the SIPF table. On the other hand, the exceptional check available in the returned ICMP ECHO response message monitors with a forward-looking impression of that IP address.

특정 IP 주소의 경로 지문을 검사하는 주된 이유는 2가지이다. 먼저, 첫 번째는 IP 패킷에 새로운 IP 주소를 추가해야 하고, 두 번째는 SIPF 테이블의 세그먼트를 업그레드 하라는 지시들이다.There are two main reasons for checking the route fingerprint of a specific IP address. First, the first is to add a new IP address to the IP packet, and the second is instructions to upgrade a segment of the SIPF table.

다른 클라이언트가 도착할 때, 필수적인 상황을 고려하면, SIPF 테이블은 가능한 모든 IP의 매핑을 의무화 할 수 없다. 기존 SIPF 테이블을 다른 것으로 대체하는 경향이 있는 것은 기본적인 문제와 유사하다.Considering the essential situation when another client arrives, the SIPF table cannot mandate mapping of all possible IPs. The tendency to replace existing SIPF tables with others is similar to the underlying problem.

따라서, 테이블이 꽉 찬 경우, 테이블의 통로를 대체하기 위한 대체 계산이 필요하다. 대체 계산은 가장 자주 사용하는 계산이다.Therefore, when the table is full, an alternative calculation is needed to replace the aisle of the table. Substitution calculations are the most frequently used calculations.

테이블이 가득차면, IP 패킷 세그먼트를 향해 새로운 푸쉬에 의해 클라이언트(Source)(110)의 IP 주소가 제거된다.When the table is full, the IP address of the client (Source) 110 is removed by a new push towards the IP packet segment.

SIPF 테이블에 허용되는 항목의 수는 관리자 또는 웹 서버의 임원이 결정한다.The number of entries allowed in the SIPF table is determined by the administrator or executive of the web server.

SIPF 테이블이 꽉 찼을 때, SIPF 테이블의 현재 항목은 다음과 같은 MFU 알고리즘 2에 의해 새로운 출시(Debuts)로 대체된다.When the SIPF table is full, the current entries in the SIPF table are replaced with new Debuts by MFU Algorithm 2 as follows:

SIPF 테이블의 업데이트하는 과정은 다음의 알고리즘 2와 같다.The process of updating the SIPF table is the same as Algorithm 2 below.

Figure 112021011575860-pat00008
Figure 112021011575860-pat00008

R은 유입 패킷, T는 스케줄링 큐(Scheduling Queue)를 나타낸다.R represents an incoming packet and T represents a scheduling queue.

패킷의 헤더에 저장된 정보는 R.ip와 R.pf를 포함한다.Information stored in the header of the packet includes R.ip and R.pf.

R.ip는 클라이언트(110)의 IP 주소이고, R.pf는 경로 지문을 나타낸다.R.ip is the IP address of the client 110, and R.pf represents a route fingerprint.

ICMP.addr은 새로운 유입 패킷의 ICMP(Internet Control Message Protocol) Echo 요청의 값을 나타낸다.ICMP.addr represents the value of the ICMP (Internet Control Message Protocol) echo request of the new incoming packet.

ICMP는 인터넷 프로토콜 모음 중 하나로 IP 동작에서 네트워크 진단이나 제어 목적으로 사용되고, 네트워크 상에서 오류가 발생했을 때 이에 대한 응답으로 만들어져 오류가 발생한 패킷을 보낸 IP 주소로 전송한다.ICMP is one of the internet protocol suites and is used for network diagnosis or control purposes in IP operation. It is created as a response to an error when an error occurs on the network and transmits an error packet to the sending IP address.

서버(140)는 R.pf = SIPF.pf가 되는지 판단하고, SIPF.counter > 35인 경우, SIPF 테이블로부터 엔트리를 삭제하고, 스케줄링 큐 T의 끝단으로 패킷을 이동한다.The server 140 determines whether R.pf = SIPF.pf, and if SIPF.counter > 35, deletes the entry from the SIPF table and moves the packet to the end of the scheduling queue T.

R.pf = SIPF.pf는 유입되는 패킷과 동일한 데이터가 SIPF 테이블에 포함되는 경우이다.R.pf = SIPF.pf is the case where the same data as the incoming packet is included in the SIPF table.

서버(140)는 SIPF.counter > 35인 아니라고 판단하는 경우, SIPF.counter = SIPF.counter + 1을 수행한다.When the server 140 determines that SIPF.counter > 35 is not, SIPF.counter = SIPF.counter + 1 is performed.

서버(140)는 R.pf = SIPF.pf가 아니라고 판단하는 경우, ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송한다.When the server 140 determines that R.pf = SIPF.pf, an ICMP echo request message is generated and transmitted to the client 110.

서버(140)는 R.pf = SIPF.pf가 아닌 경우 ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송하고, ICMP.pf! = IP.pf인 경우, SIPF 테이블에 새로운 R.ip와 R.pf를 업데이트하며, SIPF.counter를 1로 설정한다.If R.pf = SIPF.pf, the server 140 generates an ICMP echo request message and transmits it to the client 110, and ICMP.pf! = IP.pf, the SIPF table is updated with new R.ip and R.pf, and SIPF.counter is set to 1.

서버(140)는 R.pf = SIPF.pf가 아닌 경우 ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송하고, ICMP.pf! = IP.pf가 아닌 경우, SIPF 테이블에서 가짜 패킷으로 표시한 후 가짜 패킷을 폐기한다.If R.pf = SIPF.pf, the server 140 generates an ICMP echo request message and transmits it to the client 110, and ICMP.pf! = If not IP.pf, discard fake packets after marking them as fake packets in the SIPF table.

(5) 양자 어닐링(Quantum Annealing) 방법(5) Quantum Annealing Method

서버(140)에서는 양자 어닐링 방법을 최적화 프로세스의 일부로 사용된다.In server 140, the quantum annealing method is used as part of the optimization process.

양자 어닐링(Quantum Annealing) 방법은 경로 지문 필터링을 수행한 후, 서버(140)로 유입되는 패킷에서 최소 솔루션 세트를 찾는데 사용된다. 양자 어닐링 방법은 패킷의 최소 솔루션 세트를 찾는 공지된 기술일 수 있다.A quantum annealing method is used to find a minimum solution set in a packet flowing into the server 140 after performing path fingerprint filtering. The quantum annealing method may be a known technique for finding the minimum solution set of a packet.

양자 어닐링 방법은 양자 변동을 사용하는 프로세스에 의해 주어진 후보 솔루션 세트에 대해 주어진 가설 함수의 전역 최소값을 찾기위한 메타 휴리스틱이다.The quantum annealing method is a metaheuristic for finding the global minimum of a given hypothesized function for a given set of candidate solutions by a process using quantum fluctuations.

양자 어닐링은 동일한 무게로 모든 후보 상태의 양자 기계적 중첩을 시작한다. 모든 상태의 크기는 일정 시간이 지난 후에도 계속적으로 변경되어 서로 다른 상태 간에 양자 터널링이 발생한다.Quantum annealing initiates quantum mechanical superposition of all candidate states with equal weight. The size of all states continuously changes even after a certain amount of time has elapsed, resulting in quantum tunneling between different states.

샘플 공간은 다음은 수학식 3과 같이 표현된다.The sample space is expressed as Equation 3 below.

Figure 112021011575860-pat00009
Figure 112021011575860-pat00009

여기서, "a"는 원자이고, 테스트 공간에서 원자들의 개수는 솔루션(Solution)을 형성한다.Here, "a" is an atom, and the number of atoms in the test space forms a solution.

솔루션의 개수는 다음의 수학식 4와 같다.The number of solutions is shown in Equation 4 below.

Figure 112021011575860-pat00010
Figure 112021011575860-pat00010

여기서, n은 노드의 수이고, r은 악성 반응의 수이다. 원자는 네트워크의 패킷을 나타내고, 공간은 네트워크 영역을 나타낸다.Here, n is the number of nodes and r is the number of malignant reactions. Atoms represent packets in a network, and spaces represent network areas.

접근 가능한 전략은 작은 솔루션 세트에만 활용된다. 즉, 방대한 솔루션 세트를 준비할 수 없기 때문에 양자 어닐링 기술에 대해 발전할 수 있다.Accessible strategies are only utilized for a small set of solutions. In other words, advances can be made on quantum annealing technology because a vast solution set cannot be prepared.

가설 함수(Hypothesis Function)는 다음의 수학식 5와 같다.The hypothesis function is as shown in Equation 5 below.

Figure 112021011575860-pat00011
Figure 112021011575860-pat00011

주어진 가설 함수에서 허브가 악성으로 작동할 확률을 평가한다. 허브가 악성으로 진행될 확률값(p)은 다음의 수학식 6에 의해 계산된다.Evaluate the probability that a hub behaves maliciously given a hypothesis function. The probability value (p) of a hub becoming malignant is calculated by Equation 6 below.

Figure 112021011575860-pat00012
Figure 112021011575860-pat00012

여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계이다. 이러한 매개 변수는 패킷이 악성인지 여부를 테스트하는데 사용되고, 악성 노드가 네트워크에서 삭제되었는지 테스트하는데 사용된다.Here, N i is the number of packets entering the node, and I f is the sum of incoming flows. These parameters are used to test whether a packet is malicious, and to test if a malicious node has been removed from the network.

허브가 악성으로 진행될 확률값(p)은 양자 어닐링의 입력으로 주어지고, 이는 차례로 샘플 공간을 생성한다.The probability value p for a hub to become malignant is given as an input to quantum annealing, which in turn creates a sample space.

원자들은 솔루션을 위해 만들어진다.Atoms are made for solutions.

모든 반복에 대해서 가설 함수의 목적값은 다음과 같이 확인한다.For every iteration, the objective value of the hypothesized function is checked as follows.

생성된 양자가 최상의 솔루션을 제공할 가능성이 없는 경우, 다음의 반복이 이미 생성된 솔루션으로 선행된다.If the quantum generated is not likely to give the best solution, the next iteration is preceded by the already generated solution.

현재의 원자가 이상적일 가능성이 있는 경우, 솔루션의 개별 원자가 최상의 솔루션으로 승인된다.If the current atom is likely to be ideal, the individual atom in the solution is accepted as the best solution.

더 나은 기회가 생기면, 다음 반복이 현재 솔루션으로 다시 만들어진다.When a better opportunity arises, the next iteration is recreated with the current solution.

가장 극적인 반복에 도달하거나 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때가지 유사한 절차가 반복된다.A similar procedure is repeated until the most dramatic iteration is reached or a final measure is met where the objective of the hypothesized function becomes zero.

반복이 종료되면, 최종 솔루션이 악성 패킷을 구별하기 위한 최상의 답변으로 선택된다. 원자에 기록된 패킷은 악성 패킷으로 대표되고, 이러한 패킷은 시스템으로부터 제거된다. 양자 어닐링 기반 최적화 프로세스는 하기의 알고리즘 3에서 설명된다.At the end of the iteration, the final solution is selected as the best answer to distinguish malicious packets. Packets written to atoms represent malicious packets, and these packets are removed from the system. A quantum annealing based optimization process is described in Algorithm 3 below.

Figure 112021011575860-pat00013
Figure 112021011575860-pat00013

n은 노드들의 수이고, r은 악성 노드들의 수, i=0으로 가정한다(step 1).It is assumed that n is the number of nodes, r is the number of malicious nodes, and i=0 (step 1).

서버(140)는 공격 패킷을 감지하기 위한 양자 원자를 계산할 수 있다.Server 140 may calculate quantum atoms to detect attack packets.

서버(140)는 수학식 5를 이용하여 가설함수를 계산하고(step 2), 수학식 6을 이용하여 확률값을 계산할 수 있다(step 3).The server 140 may calculate a hypothesis function using Equation 5 (step 2) and calculate a probability value using Equation 6 (step 3).

서버(140)는 수학식 1과 수학식 2를 이용하여 샘플 공간에서 원자들의 개수와 목적값(Objective Value, ov)을 계산할 수 있다(step 4).The server 140 may calculate the number of atoms and an objective value (ov) in the sample space using Equations 1 and 2 (step 4).

서버(140)는 i<=N 또는 ovi가 ovi-1가 될때 까지 반복한다(step 5).The server 140 repeats until i<=N or ov i becomes ov i-1 (step 5).

서버(140)는 각 양자 원자를 발생하고, 원자들의 최상의 조합을 선택한다(step 6).Server 140 generates each quantum atom and selects the best combination of atoms (step 6).

서버(140)는 목적값을 전류 양자와 생성된 양자를 위해서 계산한다(step 7).The server 140 calculates target values for the current quanta and the generated quanta (step 7).

서버(140)는 양자가 최상의 솔루션으로 발생되는 경우, i = i+1과 발생된 솔루션을 가지고 step 5로 진행한다(step 8).Server 140 proceeds to step 5 with i = i+1 and the generated solution if both are generated as the best solution (step 8).

서버(140)는 양자가 최상의 솔루션이 아니고, 전류 원자가 최상인 경우, i = i+1과 솔루션에서 개인 원자들을 가지고 step 5로 진행한다(step 9).Server 140 proceeds to step 5 with i = i+1 and the individual atoms in the solution if neither is the best solution and the current atom is the best (step 9).

서버(140)는 양자가 최상의 솔루션이 아니고, 전류 솔루션이 최상인 경우, i = i+1과 전류 솔루션을 가지고 step 5로 진행한다(step 10).If neither is the best solution and the current solution is the best, the server 140 proceeds to step 5 with i = i+1 and the current solution (step 10).

서버(140)는 솔루션(ovi)이 DDos 공격을 감지하는 최상의 솔루션을 찾아낸다.Server 140 finds the best solution for which solution ov i detects a DDoS attack.

도 4는 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법을 설명하기 위한 도면이다.4 is a diagram for explaining a method of detecting an attack packet through IP backtracking analysis according to an embodiment of the present invention.

전술한 (2) 입력 필터링을 위한 클라이언트 퍼즐(Client Puzzle), (3) 출력 필터링을 위한 경로 지문(Path Fingerprint), (4) 경로 전달 테이블 업데이트, (5) 양자 어닐링(Quantum Annealing) 방법을 사용하여 공격 패킷을 감지하는 방법을 설명한다.Using the aforementioned (2) Client Puzzle for input filtering, (3) Path Fingerprint for output filtering, (4) Path propagation table update, and (5) Quantum Annealing method. and how to detect attack packets.

클라이언트(110)는 패킷을 전송하기 위한 패킷 요청 메시지를 생성한다(S100).The client 110 generates a packet request message for transmitting a packet (S100).

입력 라우터(120)는 패킷을 요청한 클라이언트(110)에 클라이언트 퍼즐을 수행한 후(S101), 클라이언트 퍼즐에 대한 해답이 일치하는지 판단하고(S102), 일치하는 경우, 서버(140)로 패킷을 전송하고(S103), 해답이 일치하지 않는 경우, 유입되는 패킷을 제거한다(S104).The input router 120 performs a client puzzle on the client 110 requesting the packet (S101), determines whether the solution to the client puzzle matches (S102), and if it matches, transmits the packet to the server 140. (S103), and if the answers do not match, the incoming packet is removed (S104).

출력 라우터(130)는 유입되는 패킷의 헤더에 경로 지문을 포함시키고, 각 홉(hop)마다 경로 지문을 업데이트시킨다(S105).The output router 130 includes a route fingerprint in the header of an incoming packet and updates the route fingerprint for each hop (S105).

서버(140)는 유입되는 패킷과 동일한 데이터가 SIPF 테이블에 존재하는지 비교하고, 경로 지문이 SIPF 테이블에 존재 여부에 따라 합법적인 패킷인지 판단한다(S106, S107). 경로 지문이 SIPF 테이블에 존재하면, 합법적인 패킷이다.The server 140 compares whether the same data as the incoming packet exists in the SIPF table, and determines whether the packet is legitimate according to whether the path fingerprint exists in the SIPF table (S106, S107). If the path fingerprint is present in the SIPF table, it is a legitimate packet.

서버(140)에서 합법적인 패킷인지 판단하는 과정은 전술한 SIPF 테이블의 업데이트하는 과정을 나타낸다.The process of determining whether the packet is legitimate in the server 140 represents the above-described process of updating the SIPF table.

서버(140)는 유입되는 패킷이 합법적인 패킷이 아닌 악성 패킷인 경우, 폐기하고(S108), 유입되는 패킷이 합법적인 패킷인 경우, 패킷을 양자 어닐링 프로세스로 전송한다(S109).If the incoming packet is not a legitimate packet but a malicious packet, the server 140 discards it (S108), and if the incoming packet is a legitimate packet, it transmits the packet to the quantum annealing process (S109).

서버(140)는 양자 어닐링 프로세스를 수행하여 유입되는 패킷이 DDos 공격 패킷인지 판단하고(S110), DDos 공격 패킷인 경우, 패킷을 폐기하고(S111), DDos 공격 패킷이 아닌 경우, 서비스 요청을 수행한다(S112).The server 140 performs a quantum annealing process to determine whether an incoming packet is a DDoS attack packet (S110), if it is a DDoS attack packet, discards the packet (S111), and if it is not a DDoS attack packet, performs a service request. Do (S112).

이상에서 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.As described above, the embodiments of the present invention are not implemented only through devices and/or methods, and may be implemented through programs for realizing functions corresponding to the configurations of the embodiments of the present invention, recording media on which the programs are recorded, and the like. And, such an implementation can be easily implemented by an expert in the technical field to which the present invention belongs from the description of the above-described embodiment.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements made by those skilled in the art using the basic concept of the present invention defined in the following claims are also included in the scope of the present invention. that fall within the scope of the right.

100: 공격 패킷 감지 시스템
110: 클라이언트
120: 입력 라우터
130: 출력 라우터
140: 서버100: attack packet detection system
110: client
120: input router
130: output router
140: server

Claims (9)

인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 입력 라우터; 및
상기 클라이언트의 IP 주소와 해당 경로 지문을 매핑 테이블에 저장하고, 유입되는 패킷과 동일한 데이터가 상기 매핑 테이블에 포함되는 경우, 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 서버를 포함하고, 상기 클라이언트는 상기 입력 라우터와 연동하여 상기 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷을 상기 서버로 전달하며,
상기 클라이언트는 상기 클라이언트 퍼즐을 해결한 후, 상기 클라이언트 퍼즐에 대한 해답을 생성하여 상기 입력 라우터를 통해 상기 서버로 전송하고,
상기 입력 라우터는 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하며,
상기 서버는 타임스탬프를 사용하여 임시 테이블에 상기 해답을 관련 임시값으로 기록하고, 상기 관련 임시값과 상기 클라이언트의 배열에 대한 해시를 표시하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.an input router that sets a client puzzle composed of authentication sections to the client; and
The client's IP address and corresponding route fingerprint are stored in a mapping table, and if the same data as an incoming packet is included in the mapping table, a quantum annealing process is performed on the incoming packet, and the quantum annealed packet is converted into malicious and a server that determines the packet as a packet and deletes it from the mapping table, wherein the client interworks with the input router to deliver a packet to be transmitted to the server when the client puzzle is solved;
After the client solves the client puzzle, a solution to the client puzzle is generated and transmitted to the server through the input router;
The input router transmits the packet to the server if the client puzzle is solved according to the solution, and deletes the packet if the client puzzle is not solved;
The server records the answer as a related temporary value in a temporary table using a timestamp, and displays a hash of the related temporary value and the array of the client. 삭제delete 청구항 1에 있어서,
상기 입력 라우터로부터 패킷을 수신하고, 상기 패킷의 헤더에 고유한 경로 지문을 포함시키고, 상기 패킷을 상기 서버로 전송하는 출력 라우터를 더 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.The method of claim 1,
The attack packet detection system through IP traceback analysis further comprising an output router receiving a packet from the input router, including a unique path fingerprint in a header of the packet, and transmitting the packet to the server. 청구항 3에 있어서,
상기 출력 라우터는 상기 클라이언트에 의해 송신되는 유입 IP 패킷 R에서 거리 표시 필드(R.dist)와 경로 표시 필드(R.pid)로 이루어진 상기 경로 지문을 생성하고, 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 상기 R.dist의 값으로 계산하고, 해시 작업을 수행하는 H(R,pid, Ni)가 상기 R.pid의 값으로 계산하여 상기 유입 IP 패킷 R을 각 홉(hop)마다 업데이트하고, 상기 Ni는 유입 인터페이스인 상기 R과 관련된 랜덤 번호인 IP 역추적 분석을 통한 공격 패킷 감지 시스템.The method of claim 3,
The output router generates the route fingerprint consisting of a distance indication field (R.dist) and a route indication field (R.pid) in the incoming IP packet R transmitted by the client, and sets the initial R.dist value to 0. Initialize, calculate R.dist + 1 as the value of R.dist, and H(R,pid, Ni) performing the hash operation calculates as the value of R.pid to transfer the incoming IP packet R to each hop Attack packet detection system through IP traceback analysis, which is updated every (hop), and Ni is a random number related to the R, an incoming interface. 청구항 1에 있어서,
상기 매핑 테이블은 악성 패킷을 식별하고 처리에 사용되는 SIPF(Source Initiated Path Forwarding) 테이블로 서로 다른 클라이언트의 주소인 IP, 지문의 고유한 표시인 Pid, 서버에서 사라지는 특정한 클라이언트의 번호인 Counter의 3개 필드가 포함되고,
상기 유입되는 패킷의 헤더에는 클라이언트의 IP 주소(R.ip)와 경로 지문(R.pf)을 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.The method of claim 1,
The mapping table is a SIPF (Source Initiated Path Forwarding) table used to identify and process malicious packets. IP, which is the address of different clients, Pid, which is a unique fingerprint mark, and Counter, which is the number of a specific client that disappears from the server. field is included,
The attack packet detection system through IP traceback analysis including the client's IP address (R.ip) and route fingerprint (R.pf) in the header of the incoming packet. 청구항 5에 있어서,
상기 서버는 상기 유입되는 패킷의 헤더에서 상기 경로 지문을 추출하고, 상기 추출한 경로 지문이 상기 SIPF 테이블에 동일한 데이터가 있는지 판단하고, 외부 네트워크로 상기 유입되는 패킷을 전송하고, 상기 추출한 경로 지문이 상기 SIPF 테이블에 동일한 데이터가 아니라고 판단하면, ICMP(Internet Control Message Protocol) echo 요청 메시지를 생성하여 상기 클라이언트로 전송하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.The method of claim 5,
The server extracts the route fingerprint from the header of the incoming packet, determines whether the extracted route fingerprint has the same data in the SIPF table, transmits the incoming packet to an external network, and If it is determined that the data is not the same in the SIPF table, an attack packet detection system through IP traceback analysis generates an Internet Control Message Protocol (ICMP) echo request message and transmits it to the client. 청구항 1에 있어서,
상기 서버는 상기 유입되는 패킷이 악성 패킷으로 진행될 확률값을 하기의 수학식 1에 의해 계산되고, 상기 확률값을 하기의 가설 함수(Hypothesis Function, hp)의 입력으로 제공하여 상기 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때까지 반복하여 해당 패킷이 악성으로 작동할 확률을 평가하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
[수학식 1]
Figure 112021011575860-pat00014

여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계임.
[수학식 2]
Figure 112021011575860-pat00015
The method of claim 1,
The server calculates a probability value that the incoming packet proceeds as a malicious packet by Equation 1 below, and provides the probability value as an input to a hypothesis function (hp) below, so that the target value of the hypothesis function is 0 An attack packet detection system through IP traceback analysis that evaluates the probability that the packet is malicious by repeating until the final measurement value is met.
[Equation 1]
Figure 112021011575860-pat00014

Here, N i is the number of packets entering the node, and I f is the sum of incoming flows.
[Equation 2]
Figure 112021011575860-pat00015
 입력 라우터에서 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 단계;
상기 입력 라우터는 상기 클라이언트로부터 상기 클라이언트 퍼즐을 해결한 해답을 수신하고, 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 패킷을 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하는 단계;
상기 입력 라우터에 연결된 출력 라우터는 상기 입력 라우터로부터 패킷을 수신하고, 상기 수신한 패킷의 헤더에 고유한 경로 지문을 포함시키는 단계;
서버에서 유입되는 패킷의 경로 지문과 동일한 데이터가 매핑 테이블에 존재하는지 비교하여 상기 경로 지문이 상기 매핑 테이블에 존재하는 경우 합법적인 패킷으로 판단하는 단계; 및
상기 서버는 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 단계를 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 방법.setting a client puzzle consisting of authentication sections in an input router;
receiving, by the input router, a solution for solving the client puzzle from the client, and if the client puzzle is solved according to the solution, transmitting a packet to a server, and deleting the packet if the client puzzle is not solved; ;
receiving a packet from the input router by an output router connected to the input router, and including a unique path fingerprint in a header of the received packet;
comparing data identical to the route fingerprint of the incoming packet from the server in the mapping table, and determining that the packet is valid if the route fingerprint exists in the mapping table; and
The server performs a quantum annealing process on the incoming packet, determines the quantum annealed packet as a malicious packet, and deletes it from the mapping table. 청구항 8에 있어서,
상기 서버는 상기 유입되는 패킷이 악성 패킷으로 진행될 확률값을 하기의 수학식 1에 의해 계산되고, 상기 확률값을 하기의 가설 함수(Hypothesis Function, hp)의 입력으로 제공하여 상기 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때까지 반복하여 해당 패킷이 악성으로 작동할 확률을 평가하는 IP 역추적 분석을 통한 공격 패킷 감지 방법.
[수학식 1]
Figure 112021011575860-pat00016

여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계임.
[수학식 2]
Figure 112021011575860-pat00017
The method of claim 8,
The server calculates a probability value that the incoming packet proceeds as a malicious packet by Equation 1 below, and provides the probability value as an input to a hypothesis function (hp) below, so that the target value of the hypothesis function is 0 A method of detecting attack packets through IP traceback analysis that evaluates the probability that the packet operates as malicious by repeating until the final measurement value is satisfied.
[Equation 1]
Figure 112021011575860-pat00016

Here, N i is the number of packets entering the node, and I f is the sum of incoming flows.
[Equation 2]
Figure 112021011575860-pat00017
KR1020210012411A 2021-01-28 2021-01-28 System and Method for Detecting Attacker Packet for IP Traceback Analysing KR102536957B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210012411A KR102536957B1 (en) 2021-01-28 2021-01-28 System and Method for Detecting Attacker Packet for IP Traceback Analysing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210012411A KR102536957B1 (en) 2021-01-28 2021-01-28 System and Method for Detecting Attacker Packet for IP Traceback Analysing

Publications (2)

Publication Number Publication Date
KR20220109125A KR20220109125A (en) 2022-08-04
KR102536957B1 true KR102536957B1 (en) 2023-05-26

Family

ID=82837179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210012411A KR102536957B1 (en) 2021-01-28 2021-01-28 System and Method for Detecting Attacker Packet for IP Traceback Analysing

Country Status (1)

Country Link
KR (1) KR102536957B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858271B1 (en) 2007-11-27 2008-09-11 주식회사 나우콤 Method and system for defensing distributed denial of service
KR20110040152A (en) * 2009-10-13 2011-04-20 한국전자통신연구원 Method for reverse tracking of attaker packet and system for the same

Also Published As

Publication number Publication date
KR20220109125A (en) 2022-08-04

Similar Documents

Publication Publication Date Title
Zheng et al. A light-weight distributed scheme for detecting IP prefix hijacks in real-time
CN106961387B (en) Link type DDoS defense method and system based on forwarding path self-migration
Juen et al. Defending tor from network adversaries: A case study of network path prediction
US20060239203A1 (en) Lightweight packet-drop detection for ad hoc networks
Sung et al. Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation
US20050044208A1 (en) Mechanism for tracing back anonymous network flows in autonomous systems
Karlin et al. Nation-state routing: Censorship, wiretapping, and BGP
Benarfa et al. ChoKIFA+: an early detection and mitigation approach against interest flooding attacks in NDN
Vermeulen et al. Alias resolution based on ICMP rate limiting
KR101541531B1 (en) Routing method based on available bandwidth pattern in software defined network
Balakrishnan et al. Trust and recommendations in mobile ad hoc networks
Tian et al. An incrementally deployable flow-based scheme for IP traceback
Marder APPLE: Alias pruning by path length estimation
Wong et al. Truth in advertising: Lightweight verification of route integrity
KR102149531B1 (en) Method for connection fingerprint generation and traceback based on netflow
Nur et al. Single packet AS traceback against DoS attacks
Malliga et al. A hybrid scheme using packet marking and logging for IP traceback
Srinivasan et al. M-coop: A scalable infrastructure for network measurement
KR102536957B1 (en) System and Method for Detecting Attacker Packet for IP Traceback Analysing
Praveena et al. Hybrid approach for IP traceback analysis in wireless networks
Krupp et al. Bgpeek-a-boo: Active bgp-based traceback for amplification ddos attacks
Latif et al. Distributed denial of service attack source detection using efficient traceback technique (ETT) in cloud-assisted healthcare environment
Lu et al. A novel approach for single-packet IP traceback based on routing path
Gao et al. Protecting router cache privacy in named data networking
Ongkanchana et al. Hunting BGP zombies in the wild

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant